IT-безопасность внутри компании: способы защиты и устранения угроз

IT-безопасность внутри компании: способы защиты и устранения угроз

Кибератаки – не новое явление. Но они становятся все стремительнее и опаснее, а сообщества киберпреступников не жалеют усилий для разработки новых инструментов. Предлагаем вашему вниманию лучшие советы ИТ-специалистов о том, как справиться с этой угрозой, и какие способы защиты существуют.

Кому интересны персональные данные?

Алексей Баранов, руководитель группы компаний «ИнтерЛогика» и владелец студии WeBax:

В последнее время на корпоративном рынке информационной безопасности (ИБ) наблюдается оживление. Причин для этого несколько. Во-первых, государственная политика в области ИБ стала существенно жестче. Появился 152 ФЗ «О защите персональных данных». Работа по обеспечению безопасности хранения началась с учреждений здравоохранения. Многими разработчиками в спешном порядке были созданы отечественные средства защиты. Начался бум внедрений на федеральном и региональных уровнях.

Когда мы осуществляли первые внедрения систем безопасного хранения данных, у руководителей предприятий даже не было понимания, что их данные могут быть кому-то интересны, и что их может кто-то похитить.

Начались проверки и сертификации бюджетных учреждений на соответствие федеральным нормам. Безусловно, это задало общий тренд, было положено начало. В настоящее время волна ужесточения ИБ коснулась микрофинансовых учреждений, т.к. они хранят важную информацию о физических лицах и их доходах. Центробанк угрожает проверками и санкциями, что заставляет владельцев финансовых учреждений потратиться на системы безопасности.

Также любопытно рассмотреть ситуацию с распространением компьютерных вирусов, которые прямо влияют на информационную безопасность. На протяжении 10 лет способы заражения компьютеров существенно поменялись, как поменялись и способы защиты операционных систем. Современные операционные системы позиционируют себя, как самодостаточные, не требующие вмешательства пользователей в систему безопасности. Вирусы стремятся пробраться в компьютер пользователя через браузер. Причем вирусы поражают сервера хостеров и через них — компьютеры пользователей. Самодостаточность программного обеспечения и невмешательство пользователей во внутреннюю структуру операционной системы, которые наблюдаются последние 5 лет, с одной стороны не требуют от четкого соблюдения персоналом правил безопасной работы в Интернет, с другой — мотивируют ИТ отделы и руководство компаний больше ресурсов вкладывать в инфраструктуру защиты данных. Лицензионное программное обеспечение в России полноправно вошло в рынок, и теперь уже большинство руководителей понимают, что серьезные ИТ решения стоят серьезных денег. Плюс к этому компании интеграторы стали более профессиональными. То и другое создает ценность инструментов и специалистов.

Политика государства по привлечению внимания к ИТ сфере и особенно информационной безопасности создает дополнительные перспективные рынки для разработчиков и внедренцев. Стимулирует российские компании развивать ИТ инфраструктуру и вкладывать ресурсы в автоматизацию, т.е. соответствовать современным международным трендам.

Не выходи из комнаты, не совершай ошибку

Александр Лукин, эксперт-профайлер «Международная академия исследования лжи»:

Лучший способ борьбы с кибератаками — это не включать компьютер, а лучше вообще не пользоваться никакими электрическими приборами, но так как в нашей действительности — это маловероятно, то мы должны заботиться о своей безопасности (в том числе информационной) сами.

Не существует никаких волшебных средств и 100% защит, но есть простейшие правила, соблюдая которые, вы можете избавить себя от большей части неприятностей. В том числе:

  • не оставлять нигде копию своего паспорта;
  • не читать и даже не открывать вообще никакие электронные письма из неизвестных источников;
  • не записывать важную информацию на клочках бумаги;
  • не хранить в кошельке коды кредитных карт;
  • не выбирать простые пароли (имена и даты рождения членов семьи)
  • и тому подобное.

Что касается разработки и интеграции сложных систем информационной безопасности для обслуживания бизнес-процессов, то здесь необходим сугубо индивидуальный подход  в зависимости от специфики бизнеса: это могут быть и камеры слежения, и усиленная охрана, и регистрация прав/патентов (и другая защита интеллектуальной собственности),  и отслеживание репутации партнеров /контрагентов, и проверка сотрудников и контроль за их переговорами.

Так как еще раз напомним, что универсального средства не существует.

Тем более что скорее всего в ближайшие 2-3 года в нашей стране появится полноценный конкурент американской компании «Палантир», что поднимет вопрос об информационной безопасности на другой уровень.

Генеральный директор – потенциальная угроза вашей ИБ

Игорь Мялковский, Член Правления клуба ИТ директоров Санкт-Петербурга, АРСИБ, Руководитель проектов защиты информации ТРИНИТИ СОЛЮШНС:

В наибольшей степени рискам утечки информации подвержены процессы управления, бюджетирования, финансового планирования, взаиморасчетов с поставщиками, согласования продаж, а также всевозможные мероприятия, когда про ИБ просто забывают.

Кстати, главным потенциальным нарушителем ИБ является генеральный директор или другое первое лицо компании. Он обладает полной информацией о бизнес-процессах, но при этом нередко пренебрегает не всегда понятными ему рекомендациями службы безопасности, авторитарно управляя своим бизнесом.

Что касается угроз кибербезопасности, для компаний сейчас особенно опасны хищения денежных средств и DDоS-атаки. Об этом свидетельствуют отчеты антивирусных компаний.

Построение системы ИБ организации начинается с политики информационной безопасности, которая разрабатывается в соответствии с ИСО 27001/17799. Она включает план защиты конфиденциальных данных, политики работы в интернете, использования съемных носителей и др. В рамках этой же работы создаются инструкции для пользователей, администраторов ИТ и ИБ. Затем разрабатывается положение об обработке и защите персональных данных.

В политиках и положении отражаются организационно-правовые меры, технические средства и работа с персоналом. Удельный вес каждой из этих мер зависит от рода деятельности организации и выделяемого на ИБ бюджета. Например, в финансовых организациях преобладают регламенты и технические средства, в промышленности – организационно-правовые меры.

Примерная стоимость инвестиций в ИБ оценивается в 10-20% бюджета компании и зависит от масштаба бизнеса. Признано ошибкой привязывать бюджет на ИБ с ИТ-бюджетом.

Исторически в средних компаниях задачи ИБ ложатся на плечи ИТ-специалистов. Айтишники закладывают основы информационной защиты компании, начиная с простого: парольной защиты, разграничения прав доступа к внутренним ресурсам и пр.

Когда число сотрудников переваливает за 150-200, на смену айтишникам широкого профиля приходят специалисты по ИБ. Некоторые из них организовывают свою деятельность согласно правилам, действующим на прежних местах работы. Если речь идет о выходцах из госучреждений, они редко вмешиваются в работу ИТ-департаментов и включаются в нее лишь на фоне инцидентов кибербезопасности и роста рисков. И здесь начинаются конфликты между службами ИТ и ИБ. Безопасники «старой закалки» не доверяют современным средствам защиты информации и предпочитают работать по старинке, когда секретная среда не имеет связей с открытой системой. Практика показала, что острота конфликтов снижается там, где в составе отделов ИБ работает профессионал ИТ.

Ни одна инструкция не будет полностью соблюдена

Александр Решетков, ИТ-директор компании Softline:

Действительно, универсального способа борьбы с киберпреступностью не существует. Однако есть набор рекомендаций и успешных практик, а также наличие зрелых процедур реакции на инциденты ИБ.

Каждая организация на определенном этапе своего развития задумывается над обеспечением сохранности своих данных, защитой коммерческой тайны и сведений, которые она, согласно закону, должна защищать. Как правило, объем бизнеса компании, ее структура (простая или сложная) и ряд других факторов напрямую влияют на реализуемую организацией политику ИБ.

На фоне стремительного развития информационных технологий растет и количество угроз. Жесткие политики ИБ, негибкость процедур и использование устаревших технологий напрямую влияют на уровень рисков ИБ. Компания, которая своевременно реагирует на изменения в области информационных технологий, управляет своими процессами и проводит регулярные аудиты, менее подвержена различным атакам или инцидентам ИБ.

В число таких компании входит и Softline. Наличие политики ИБ, пересматриваемой на регулярной основе, наличие актуальных инструкций для технических специалистов и пользователей, регламентов подразделения информационной безопасности, выявление инцидентов, реакция на них – это всё то, что свидетельствует о зрелости наших ИБ-процессов. Своевременное обучение новых сотрудников, информирование персонала компании — всё это внедрено на уровне регламентов и процедур. Внедрен ряд технических систем для предотвращения атак, анализа трафика и защиты информации.

Конечно, ни один регламент, процедура или инструкция не будет полностью соблюдена со стороны пользователей, если не будет налажена система контроля. В качестве такого решения могут выступать как автоматизированные системы мониторинга, так и контроль на уровне «входа-выхода» процессов. Чем больше параметром подвержено контролю — тем дороже процесс контроля и меньше вероятности реализации рисков ИБ. Всегда находится согласованная граница осуществления такого контроля.

Обучение сотрудников и контроль выполнения установленных процедур – это неотъемлемые части исполнения политики ИБ.

Отдельно стоит обозначить, что информирование сотрудников об угрозах должно быть в целесообразным. Если, например, угроза влияет на деятельность отдельных направлений, то нет необходимости информировать о ней всех сотрудников. Наиболее эффективным считается информирование по целевым группам, вплоть до отдельных сотрудников, которых затронула проблема. При значительных рисках возможна эскалация такой информации до высшего руководства.

Если говорить об основах государственной политики, то можно проследить интерес к укреплению сферы ИБ как в стране, так и на международной арене. Такие основы направлены на конкретизацию таких нормативных документов, как Стратегии национальной безопасности Российской Федерации до 2020 года, Доктрины информационной безопасности Российской Федерации, Концепции внешней политики Российской Федерации и др. На мой взгляд, расширение круга вовлеченных граждан (большую часть из которых составляют общепризнанные эксперты из различных российских ИТ-компаний) к обсуждению этих документов может положительно сказаться на качестве их подготовки, минимизации возникновения коллизий и достижения лучшего практического применения.

Оригинал статьи на сайте clever-business.ru

Читайте также:

Анастасия Лущик
Лущик Анастасия Анатольевна — помощник Вихарева Сергея. Работает в компании Pardtechonlogy. Занимается переводами и публикациями материалов для сайта sbs7.ru.
 -2

Вам так же может понравится

Бесплатный вебинар «Автоматизируй это: управление бизнес-процессами с помощью системы AtlasBPM»

Компании развиваются и растут. Количество сотрудников и клиентов увеличивается, количество ошибок и брака тоже… Можно попытаться улучшить систему работы, но нельзя улучшить то, чего нет. Сделать это проще, чем кажется,

Стратегия 0 Comments

Как привлечь внимание инвестора

Главная ошибка стартапов: они думают, что знают, как заинтересовать инвестора. Ключевые моменты рассказа инвестору о своем проекте Инвестор хочет услышать от стартапера определённую информацию: у некоей группы людей есть проблема,

Статстическое управление 0 Comments

Как приумножать капитал знаний в компании с помощью Atlas BPM

Эта статья была написана мною в 2012 году. Сейчас я публикую её заново, практически без изменений. Публикую, в связи с выходом нового модуля База знаний в ATLAS BPM. Я поменял