wrapper

Сколько стоит защита?

Все зависит от того, как и от чего компания хочет защищаться и сколько средств готова вложить в собственную защищенность, говорит эксперт компании SearchInform Роман Идов. По его словам, немаловажное значение играет уже имеющаяся в компании сетевая инфраструктура и, конечно, размеры компании, поскольку обычно стоимость защиты определяется исходя из количества рабочих станций сотрудников в компании. Фактически стоимость может варьироваться от нескольких десятков тысяч до миллионов долларов.
Если брать в расчет только антивирусную защиту, то можно говорить о сумме порядка нескольких десятков долларов на рабочую станцию. Если добавить защиту от утечек информации, то здесь уже – порядок сотен (если речь идет о действительно качественном решении). А если добавить систему резервного копирования и хранения данных, антиспам, межсетевой экран и прочие вещи, то цена может увеличиться до тысячи и более.
По западным правилам на защиту информации нужно резервировать 15‑20 % IT-бюджета, говорит заместитель председателя правления Банк24.ру Борис Дьяконов.

О первоочередных мерах

В первую очередь, нужно разработать корпоративные политики безопасности, где будет расписано, что и от кого нужно защищать, рассказал Р. Идов. Ну, а затем, уже согласно им, начинать выстраивать систему технических средств защиты. Если говорить о мерах, то первоочередная задача – разграничение доступа, затем идет защита от внутренних и внешних угроз, а затем уже – защита от спама, фишинга и прочих вещей. А вообще, хорошая система должна включать сразу все элементы.
По мнению Р. Идова, наиболее важна защита для тех компаний, которые торгуют информацией, – финансовых учреждений, риэлторов, проектных компаний, разработчиков программного обеспечения и т. д., критична защита для операторов связи и данных. Хотя и производственные предприятия, даже достаточно крупные, могут всерьез пострадать из‑за наплевательского отношения к ИБ, и история знает немало подобных примеров.

О радикальных мерах

Некоторые малые компании подходят к проблеме радикально: отрубают у сотрудников аськи и скайпы, не допускают к бесплатным почтовым ящикам (мэйл, рамблер, яндекс), к соцсетям.
«Такая тактика не очень результативна, потому что сотрудники остаются без привычных им каналов, используемых по работе, – констатирует Р. Идов. – Ведь эти каналы информации, кроме всего прочего, позволяют эффективнее действовать службе маркетинга, HR и др. специалистам. К тому же, без контроля руководство лишается возможности узнать, какие уловки сотрудники могут использовать, чтобы проникнуть, к примеру, в социальные сети. Контролировать – гораздо эффективнее, чем запрещать, и все те, кто успешно выстроил систему ИБ в своей компании, прекрасно это понимают.

О вредных стереотипах

Руководитель представительства компании SearchInform в Сибирском федеральном округе Сергей Ананич рассказал об основных ошибках, препятствующих установке в фирмах систем информбезопасности.
Первый и самый распространенный стереотип: у нас дружный коллектив проверенных людей, нам эти игры в шпионов не нужны. Одно из следствий закона Мэрфи: если вы думаете, что у вас все в порядке, значит, вы чего‑то не знаете. Мы можем вас вылечить от благого неведения. Доверяй, но проверяй. Могу добавить еще одну очень старую мысль: в семье не без... Опасно ставить дело своей жизни в зависимость от случая, что у вас нет паршивой овцы, что ваши конкуренты не нашли компромат на кого‑то из лояльных сотрудников и не склонили его к инсайдерству… Да мало ли что может неожиданно для вас поменяться в «дружном коллективе». За любым делом, которое приносит деньги, должен быть соответствующий контроль.
Второй, не менее популярный стереотип: у нас отличные ИТ-специалисты, все лишние каналы они запретили, а остальное контролирует разными недорогими или даже бесплатными приложениями. Во-первых, ИТ-специалисты сами первые кандидаты на включение в группу риска, за ними самими нужен плотный контроль. Во-вторых, запрет каналов не есть решение для современного бизнеса. ИБ не должна препятствовать развитию компании. Но при этом открытые каналы должны быть под жестким контролем, причем контролем комплексным. Ну и в‑третьих, мало собрать информацию, ее нужно проанализировать, и лучше, если хотя бы часть анализа (рутинные проверки) будет производиться автоматически, чтобы высвободить человеческие ресурсы для проведения более интеллектуальных работ. А вот анализ информации и есть слабое место всех этих программ-заплаток. Поздно пытаться останавливать утечку, когда она происходит, так или иначе, но инсайдер найдет способ вынести желаемую информацию, в каждую голову не влезешь.
Любой врач, любой оперативный сотрудник скажет вам, что лучшее лечение – это профилактика. Анализ перехваченной информации, регулярное проведение проверок и отслеживание настроения в коллективе – это и есть профилактика утечек.
Третье: нам нечего защищать. Если Вы используете наемный труд, значит, вы уже являетесь оператором ПД (персональных данных). Согласно ФЗ№ 152 вы должны организовать их защиту. Традиционно под этим понимается 3 вещи: шифрование баз данных, шифрование каналов связи, разграничение прав доступа. Перечисленные меры позволяют защититься только от случайного или преднамеренного попадания данных к сотрудникам, не имеющим права с этими данными знакомиться. Сотрудники, которые работают с ПД по долгу службы, будут всегда иметь доступ к ним в незашифрованном виде. Для полноценной защиты данных от утечек необходимо исключить возможность пересылки ими информации, не регламентированной установленными правилами работы. Для этого необходимо принятие еще одной обязательной меры для защиты персональных данных от утечек – организации контроля всех информационных потоков. Такой контроль должен позволять оперативно обнаруживать все факты передачи персональных данных по всем возможным каналам утечки.

Кто есть вредитель?

Как часто на практике к утечкам информации причастны сами сотрудники IT-служб?
Опыт начальника IT-отдела Холдинга безопасности «Подразделение «Д» Денис Карпов говорит, что случаи такие бывали, хотя и имели чисто эмоциональную подоплеку, а не желание улучшить материальное состояние с помощью промышленного шпионажа. «Так что шанс получить в штате IT-диверсанта примерно такой же, как, например, в бухгалтерии – и по вероятности, и по возможным масштабам диверсии», – заключает эксперт.
А вот случаев, когда похитителями информации являлись аудиторы и налоговые консультанты, допущенные к документам фирмы, в практике Д. Карпова не было. Это уже больше из разряда шпионских фильмов, считает он.
О роли антивирусов
Рынок антивирусного ПО сегодня весьма обширен и разнообразен. При этом одни и те же производители антивирусного ПО предлагают свою продукцию различного уровня: от просто выявления вирусов и их блокирования (чаще всего бесплатные версии) до полнопрофильной Интернет-защиты. «100 %-ой гарантии, конечно же, никто не может дать, говорит С. Ананич. – Но любой антивирус – это лучше, чем никакого».

О контроле

Должен ли первый руководитель лично контролировать внедрение мер безопасности? Если он заинтересован в развитие своего бизнеса, то – безусловно, уверен С. Ананич. Он может найти себе опытного помощника в нелегком деле безопасности компании, но полностью устраняться не в его интересах. Quis custodiet ipsos custodes? (Кто будет сторожить сторожей?)
Техническая и финансовая информация: особенности защиты
Одинаковы ли инструменты для защиты технической и финансовой информации? «Инструменты похожи, но есть нюанс: чаще всего техническая информация – это чертежи, в то время как финансовая – текст, – отмечает С. Ананич. – Традиционно инструменты ИБ заточены под анализ именно текстовой информации. Я хочу подчеркнуть, что сохранность графической информации, например, чертежей, это более сложная задача. Здесь скорее поможет натренированный глаз человека, нежели какое‑либо программное обеспечение. При этом информационная безопасность, как и любая другая – это не один какой‑то продукт или метод, это комплекс мер, включающий в себя и программно-аппаратный комплекс, и оперативную работу сотрудников службы безопасности. Поэтому рекомендация может быть, например, такая: существенно сократить круг людей, которые могут выносить или отправлять в сеть файлы с конфиденциальной технической информацией, и больше использовать людские ресурсы службы безопасности.

А что сейчас?

По данным анализа, который компания Zecurion проводила совместно с новосибирским системным интегратором – компанией «Интех», для защиты от утечек конфиденциальной информации в 14 % сибирских компаний применяются специализированные DLP-системы (технологии предотвращения утечек конфиденциальной информации из информационной системы вовне). Среднероссийская статистика превышает этот показатель ровно вдвое. Еще 5 % компаний сибирского региона планируют внедрить DLP-системы по защите от утечек информации в течение ближайшего года.
«Как правило, компании защищают периметр сети, рабочие места, стандартно используются антивирусы и пароли, реже встречаются двойная аутентификация и технологии виртуальных десктопов. DLP-системы используются крайне редко— обычно в компаниях с иностранным капиталом, в которых ИТ-стандарты тесно связаны с международными. В таких компаниях защита информации находится на достаточно высоком уровне и является многоступенчатой», – комментирует Михаил Полиенко, начальник отдела развития компании «Интех».

Елена Богданова

Об издании

16+

Сетевое издание Эпиграф.инфо
Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Свидетельство о регистрации ЭЛ № ФС 77 - 70647 от 03.08.2017 г.

Адрес

Учредитель: Общество с ограниченной ответственностью "МЕТРОПОЛИС-НСК"
Адрес учредителя 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Адрес редакции 630091, Новосибирская обл., г. Новосибирск, ул. Державина, д. 28, оф. 604
Главный редактор Еренкова Ольга Николаевна
Телефон редакции: (383) 210-51-50, 211-96-00,
e-mail: inform@epig.ru

Правовая информация

Распространяется бесплатно. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях. Редакция не предоставляет справочной информации.