Проблемы информационной безопасности - Эпиграф.инфо

wrapper

Бизнес и риски – близнецы-братья. Информационная безопасность предпринимательской деятельности – постоянная забота и головная боль руководителей и владельцев предприятий. Потенциальным объектам вражеских атак лучше заранее предпринять контрмеры, чтобы противостоять злоумышленникам, изобретающим новые способы отъема чужой собственности и хищения ценной коммерческой информации.

В век IT информация становится ценнейшим активом любой компании. Особенно это касается периодов экономической нестабильности, когда последствия утечек конфиденциальных данных гораздо ощутимее, а цена ошибки выше. Чем перспективнее и прибыльнее предприятие, тем больше желающих поживиться за его счет. Интерес для злоумышленников могут представлять данные о покупателях и поставщиках, документы управленческого и бухгалтерского учета, деловая переписка, персональные данные сотрудников, информация о технологиях и ноу-хау, и многое другое.

Особенности текущего момента

23 13

Поскольку проблемы информационной безопасности усугубляются процессами проникновения во все сферы общества средств обработки и передачи данных, постановка на предприятии современной системы информационной безопасности должна быть многоплановой, комплексной и обеспечивать:
целостность данных – защиту от сбоев, ведущих к потере информации, а также от неавторизованного создания или уничтожения данных;
конфиденциальность информации;
доступность информации для авторизованных пользователей.

«Если разделить угрозы на внутренние и внешние, то среди первых наиболее актуальны утечки информации, а среди внешних – целенаправленные атаки на предприятия», – говорит региональный представитель компании InfoWatch в СФО Владимир Ермолаев. – «Эти угрозы представляют серьезную опасность в том числе потому, что компании предпринимают недостаточные меры для защиты».

«Последние годы наблюдается процесс активизации органов власти в сфере информационной безопасности», – констатирует замдиректора Новосибирского филиала ФГУП «НТЦ «Атлас» Игорь Раскинд. – «Правительство, ФСТЭК и ФСБ внесли правки в действующие законы, выпущены новые документы в части обеспечения безопасности персональных данных, информационной безопасности и промышленных систем. Актуализированы банковские стандарты.

Помимо необходимости выполнения законодательных «новаций», компании могут сталкиваться со специфическими информационными угрозами, требующими применения таких решений как DLP-системы, IdM-решения, SIEM-системы и ряд других. Выполнение этих задач влечет за собой как пересмотр и актуализацию имеющихся мер защиты, так и проведение новых мероприятий».

Стереотипы и заблуждения

Как обычно реагирует на информационные угрозы бизнес? Способно ли предприятие самостоятельно оценить бизнес-риски и защититься от текущих и потенциальных угроз?

По мнению председателя совета директоров Softline Игоря Боровикова, существенная часть руководителей не осознала необходимость защиты информации и выполнения требований законодательства: «Однако даже законопослушные компании не до конца понимают, что появляются новые угрозы, требования законодательства меняются, реагируя на развитие технологий и эволюцию угроз. Чтобы эффективное решение со временем не стало бесполезным, необходима периодическая актуализация системы информационной безопасности».

«Распространен стереотип, что для обеспечения полноценной защиты достаточно применения антивирусного средства», – дополняет И. Раскинд. – «Часто руководство начинает уделять внимание вопросам информационной безопасности тогда, когда инцидент уже произошел или компания попала в список плановых проверок регулятора».

«Бывает, что после неудачного пилотного испытания одного продукта возникает заблуждение, что нет инструментов, способных своевременно выявить и предотвратить утечки», – заключает Владимир Ермолаев. – «Наша практика доказывает: такие DLP-системы есть, и злоумышленники часто выявляются уже на этапе внедрения пилотного проекта. Другой стереотип – это то, что DLP-система представляет собой сложное, «тяжелое» решение. Однако, если предлагается не только система, учитывающая потребности и ограничения компаний среднего и малого бизнеса, но и качественные услуги по внедрению, кастомизации и обучению, информационная безопасность доступна всем. Составить перечень критичной информации предприятие должно самостоятельно, но это только первый этап. Для того, чтобы адекватно оценить риски, необходимо составить модели угроз и портрет нарушителя. То есть иметь определенную экспертизу в области ИБ-консалтинга. Не думаю, что в каждой компании есть такой штатный специалист».

Мнения пользователей

Нельзя сказать, что компании, не специализирующиеся на информационной безопасности, недооценивают ее значимость, но они заняты своим основным бизнесом, а сил и средств на «апдейт» второстепенных бизнес-процессов как правило не хватает.

«Проблема в области обеспечения ИБ есть у всякой коммерческой организации, даже если она сама этого не понимает», – комментирует директор ЦДО «Сфера» Михаил Гольдберг. – «В данной сфере меня беспокоит, прежде всего, сохранность конфиденциальной информации; сохранность баз данных от порчи или утери в результате технических и программных проблем, в том числе проблем с поставщиками «облачных технологий».

«Существует миф, что достаточно купить систему информационной безопасности, внедрить её, аттестовать рабочие места и всё заработало, и риски минимизированы», – рассуждает исполнительный директор компании 2B Group Михаил Шевченко. – «Как правило, вопросы ИБ начинают беспокоить руководителя или собственника в двух случаях. Первый – когда для минимизации правовых рисков следует выполнить требования по приведению инфраструктуры в соответствие нормативным требованиям регулирующих и надзорных органов. Второй – когда приходит реальное понимание, что есть угроза бизнесу и оценка рисков от потери/порчи информации говорит о возможности нанесения существенного ущерба. В зависимости от случая и выбирается путь решения проблемы.

Целесообразнее работать над уровнем доступности информации в компании, думать об объеме данных, необходимом и достаточном для решения должностных задач каждого конкретного специалиста, о дисциплине в документообороте. То есть работать над совершенствованием бизнес-процессов. Никто, кроме руководства, это не сделает, единого рецепта нет. Можно привлекать консультантов, экспертов, но надеяться на то, что можно, не участвуя в процессе, заплатить деньги, и проблема будет решена – как минимум глупо. Это касается и собственного специалиста по ИБ. Если же процессы выстроены правильно, для установки технических средств защиты бывает достаточно привлечь системного администратора».
Перспективы и итоги
«Основные изменения в области информационной безопасности обусловлены кризисом», – полагает Владимир Ермолаев. – «Так как конкуренция обостряется, уволенные сотрудники склонны мстить работодателям, а информация приобретает все большую ценность и провоцирует рост числа злонамеренных утечек».

«Учитывая нестабильную внешнеполитическую и внешнеэкономическую обстановку, политика импортозамещения как в сфере информационных технологий, так и в информационной безопасности приобретает все большую актуальность», – заключает Игорь Раскинд.

А для того, чтобы не запутаться во всем многообразии предлагаемых продуктов и выбрать оптимальные решения, необходимо в первую очередь сформировать стратегию и поэтапно реализовывать ее, закрывая наиболее критичные риски. Нельзя обойтись без предварительных ответов на вопросы: «Что приобрести в первую очередь?», «На чем можно сэкономить, а где мелочиться не стоит?», «Что именно из средств защиты выбрать?». Важно правильно выбрать конкретное средство защиты, с заделом на будущую расширяемость и масштабируемость. Такой подход позволит не только реализовать комплексную защиту, но и оптимизировать затраты на ее реализацию.

При выборе провайдера услуг ИБ важно оценивать опыт фирмы и профессиональную квалификацию работников. А в договор заложить не только поставку, установку и настройку, но и регулярный аудит и консультирование при расширении бизнеса. Хочется посоветовать не экономить на предварительном и последующем аудите системы безопасности бизнеса – всего одна «незакрытая лазейка» способна свести «на нет» все усилия по созданию всей системы.

Дмитрий Карасев

Об издании

Новости Сибири: события, подробности, факты

16+

Сетевое издание Эпиграф.инфо
Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Свидетельство о регистрации ЭЛ № ФС 77 - 70647 от 03.08.2017 г.

Адрес

Учредитель: Общество с ограниченной ответственностью "МЕТРОПОЛИС-НСК" Адрес учредителя: 630015, Новосибирская обл., г. Новосибирск, пр. Дзержинского, д. 1/3, оф. 710

Адрес редакции: 630015, Новосибирская обл., г. Новосибирск, пр. Дзержинского, д. 1/3, оф. 710

Главный редактор Еренкова Ольга Николаевна

e-mail: inform@epig.ru

Правовая информация

Распространяется бесплатно. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях. Редакция не предоставляет справочной информации. При перепечатке с сайта, гиперссылка на публикацию или указание источника обязательны