wrapper

Бизнес и риски – близнецы-братья. Информационная безопасность предпринимательской деятельности – постоянная забота и головная боль руководителей и владельцев предприятий. Потенциальным объектам вражеских атак лучше заранее предпринять контрмеры, чтобы противостоять злоумышленникам, изобретающим новые способы отъема чужой собственности и хищения ценной коммерческой информации.

В век IT информация становится ценнейшим активом любой компании. Особенно это касается периодов экономической нестабильности, когда последствия утечек конфиденциальных данных гораздо ощутимее, а цена ошибки выше. Чем перспективнее и прибыльнее предприятие, тем больше желающих поживиться за его счет. Интерес для злоумышленников могут представлять данные о покупателях и поставщиках, документы управленческого и бухгалтерского учета, деловая переписка, персональные данные сотрудников, информация о технологиях и ноу-хау, и многое другое.

Особенности текущего момента

23 13

Поскольку проблемы информационной безопасности усугубляются процессами проникновения во все сферы общества средств обработки и передачи данных, постановка на предприятии современной системы информационной безопасности должна быть многоплановой, комплексной и обеспечивать:
целостность данных – защиту от сбоев, ведущих к потере информации, а также от неавторизованного создания или уничтожения данных;
конфиденциальность информации;
доступность информации для авторизованных пользователей.

«Если разделить угрозы на внутренние и внешние, то среди первых наиболее актуальны утечки информации, а среди внешних – целенаправленные атаки на предприятия», – говорит региональный представитель компании InfoWatch в СФО Владимир Ермолаев. – «Эти угрозы представляют серьезную опасность в том числе потому, что компании предпринимают недостаточные меры для защиты».

«Последние годы наблюдается процесс активизации органов власти в сфере информационной безопасности», – констатирует замдиректора Новосибирского филиала ФГУП «НТЦ «Атлас» Игорь Раскинд. – «Правительство, ФСТЭК и ФСБ внесли правки в действующие законы, выпущены новые документы в части обеспечения безопасности персональных данных, информационной безопасности и промышленных систем. Актуализированы банковские стандарты.

Помимо необходимости выполнения законодательных «новаций», компании могут сталкиваться со специфическими информационными угрозами, требующими применения таких решений как DLP-системы, IdM-решения, SIEM-системы и ряд других. Выполнение этих задач влечет за собой как пересмотр и актуализацию имеющихся мер защиты, так и проведение новых мероприятий».

Стереотипы и заблуждения

Как обычно реагирует на информационные угрозы бизнес? Способно ли предприятие самостоятельно оценить бизнес-риски и защититься от текущих и потенциальных угроз?

По мнению председателя совета директоров Softline Игоря Боровикова, существенная часть руководителей не осознала необходимость защиты информации и выполнения требований законодательства: «Однако даже законопослушные компании не до конца понимают, что появляются новые угрозы, требования законодательства меняются, реагируя на развитие технологий и эволюцию угроз. Чтобы эффективное решение со временем не стало бесполезным, необходима периодическая актуализация системы информационной безопасности».

«Распространен стереотип, что для обеспечения полноценной защиты достаточно применения антивирусного средства», – дополняет И. Раскинд. – «Часто руководство начинает уделять внимание вопросам информационной безопасности тогда, когда инцидент уже произошел или компания попала в список плановых проверок регулятора».

«Бывает, что после неудачного пилотного испытания одного продукта возникает заблуждение, что нет инструментов, способных своевременно выявить и предотвратить утечки», – заключает Владимир Ермолаев. – «Наша практика доказывает: такие DLP-системы есть, и злоумышленники часто выявляются уже на этапе внедрения пилотного проекта. Другой стереотип – это то, что DLP-система представляет собой сложное, «тяжелое» решение. Однако, если предлагается не только система, учитывающая потребности и ограничения компаний среднего и малого бизнеса, но и качественные услуги по внедрению, кастомизации и обучению, информационная безопасность доступна всем. Составить перечень критичной информации предприятие должно самостоятельно, но это только первый этап. Для того, чтобы адекватно оценить риски, необходимо составить модели угроз и портрет нарушителя. То есть иметь определенную экспертизу в области ИБ-консалтинга. Не думаю, что в каждой компании есть такой штатный специалист».

Мнения пользователей

Нельзя сказать, что компании, не специализирующиеся на информационной безопасности, недооценивают ее значимость, но они заняты своим основным бизнесом, а сил и средств на «апдейт» второстепенных бизнес-процессов как правило не хватает.

«Проблема в области обеспечения ИБ есть у всякой коммерческой организации, даже если она сама этого не понимает», – комментирует директор ЦДО «Сфера» Михаил Гольдберг. – «В данной сфере меня беспокоит, прежде всего, сохранность конфиденциальной информации; сохранность баз данных от порчи или утери в результате технических и программных проблем, в том числе проблем с поставщиками «облачных технологий».

«Существует миф, что достаточно купить систему информационной безопасности, внедрить её, аттестовать рабочие места и всё заработало, и риски минимизированы», – рассуждает исполнительный директор компании 2B Group Михаил Шевченко. – «Как правило, вопросы ИБ начинают беспокоить руководителя или собственника в двух случаях. Первый – когда для минимизации правовых рисков следует выполнить требования по приведению инфраструктуры в соответствие нормативным требованиям регулирующих и надзорных органов. Второй – когда приходит реальное понимание, что есть угроза бизнесу и оценка рисков от потери/порчи информации говорит о возможности нанесения существенного ущерба. В зависимости от случая и выбирается путь решения проблемы.

Целесообразнее работать над уровнем доступности информации в компании, думать об объеме данных, необходимом и достаточном для решения должностных задач каждого конкретного специалиста, о дисциплине в документообороте. То есть работать над совершенствованием бизнес-процессов. Никто, кроме руководства, это не сделает, единого рецепта нет. Можно привлекать консультантов, экспертов, но надеяться на то, что можно, не участвуя в процессе, заплатить деньги, и проблема будет решена – как минимум глупо. Это касается и собственного специалиста по ИБ. Если же процессы выстроены правильно, для установки технических средств защиты бывает достаточно привлечь системного администратора».
Перспективы и итоги
«Основные изменения в области информационной безопасности обусловлены кризисом», – полагает Владимир Ермолаев. – «Так как конкуренция обостряется, уволенные сотрудники склонны мстить работодателям, а информация приобретает все большую ценность и провоцирует рост числа злонамеренных утечек».

«Учитывая нестабильную внешнеполитическую и внешнеэкономическую обстановку, политика импортозамещения как в сфере информационных технологий, так и в информационной безопасности приобретает все большую актуальность», – заключает Игорь Раскинд.

А для того, чтобы не запутаться во всем многообразии предлагаемых продуктов и выбрать оптимальные решения, необходимо в первую очередь сформировать стратегию и поэтапно реализовывать ее, закрывая наиболее критичные риски. Нельзя обойтись без предварительных ответов на вопросы: «Что приобрести в первую очередь?», «На чем можно сэкономить, а где мелочиться не стоит?», «Что именно из средств защиты выбрать?». Важно правильно выбрать конкретное средство защиты, с заделом на будущую расширяемость и масштабируемость. Такой подход позволит не только реализовать комплексную защиту, но и оптимизировать затраты на ее реализацию.

При выборе провайдера услуг ИБ важно оценивать опыт фирмы и профессиональную квалификацию работников. А в договор заложить не только поставку, установку и настройку, но и регулярный аудит и консультирование при расширении бизнеса. Хочется посоветовать не экономить на предварительном и последующем аудите системы безопасности бизнеса – всего одна «незакрытая лазейка» способна свести «на нет» все усилия по созданию всей системы.

Дмитрий Карасев

Об издании

16+

Сетевое издание Эпиграф.инфо
Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Свидетельство о регистрации ЭЛ № ФС 77 - 70647 от 03.08.2017 г.

Адрес

Учредитель: Общество с ограниченной ответственностью "МЕТРОПОЛИС-НСК"
Адрес учредителя 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Адрес редакции 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Главный редактор Еренкова Ольга Николаевна
Телефон редакции: (383) 210-51-50, 211-96-00,
e-mail: inform@epig.ru

Правовая информация

Распространяется бесплатно. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях. Редакция не предоставляет справочной информации.