Наши услуги
ИНФОРМ. БЕЗОПАСНОСТИ консалтинг
- Информационная безопасность: цели и задачи;
- Составляющие информационной безопасности;
- Традиционная работа службы безопасности;
- Ошибки в информационной безопасности;
- Наше предложение (или в поисках идеального решения по информационной безопасности).
Предупреждённым быть и начеку - сродни вооружённым быть.
«Цезарь».
Предупрежден - значит спасен.
"Герой России Сергей Шойгу"
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
или что нужно знать и делать для того, чтобы сохранить бизнес.
Информационная безопасность: надуманность или необходимость? Каким предприятиям нужно заниматься информационной безопасностью? Что из себя представляет информационная безопасность? На эти и другие вопросы мы постараемся дать ответ.
Наверное, мало кто поспорит с таким утверждением, что один из самых ценных активов бизнеса - информация. Обладание и управление информацией для каждой организации - необходимая повседневная деятельность, от которой зависит успешность и, зачастую, выживаемость бизнеса.
Информационная безопасность предприятия – комплекс информационно-технических и организационных мер, направленный на:
- снижение непредвиденных издержек компании,
- предотвращение утечек конфиденциальной коммерческой информации,
- предотвращения противоправных действий персонала,
- поддержание рабочей атмосферы в коллективе,
- расследования происшествий и противоправных действий,
- предотвращения утечки персонала,
- повышение дисциплины и производительности труда,
- мониторинг уровня лояльности персонала.
Прочитав эти пункты, каждый владелец или собственник бизнеса сможет дать ответ на вопрос о необходимости информационной безопасности в своем бизнесе. Хотя, думается, вывод вполне очевиден: информационная безопасность является такой же необходимой сферой деятельностью, которой являются экономическая, физическая, юридическая, технологическая, сырьевая, кадровая и др. безопасность.
В отношении доступа к информации существует несколько подходов, принятых в бизнесе:
Общаясь с владельцами бизнесов, мы часто слышим о том, что, де, у них есть служба безопасности, которая "занимается всем чем нужно». Как традиционно работают службы безопасности предприятий мы рассмотрим во второй части.
В каждой организации необходимо организовать обеспечение информационной безопасности по трем направлениям: организационная, правовая и инженерно-техническая защита. Собственно, последний, включающий аппаратно-программный комплекс информационной безопасности, и является предметом данного раздела.
! ВАЖНО !
Есть основные ПРИНЦИПЫ НАДЕЖНОЙ ЗАЩИТЫ ИНФОРМАЦИИ, которым должна соответствовать каждая построенная система информационной безопасности. Они таковы:
1) Стоимость средств защиты информации должна быть меньше, чем размеры возможного ущерба;
2) Каждый пользователь должен иметь минимальный набор привилегий, необходимый для его работы;
3) Защита информации тем более эффективна, чем проще пользователю с ней работать;
4) Должна быть предусмотрена возможность отключения в экстренных случаях;
5) Специалисты, имеющие отношение к системе защиты информации, должны полностью представлять себе принципы ее функционирования и, в случае возникновения затруднительных ситуаций, адекватно на них реагировать;
6) Под защитой должна находиться вся система обработки информации;
7) Разработчики системы защиты информации не должны быть в числе тех, кого эта система будет контролировать;
8) Система защиты информации должна предоставлять доказательства корректности своей работы;
9) Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность за результат работы системы;
10) Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других;
11) Надежная система защиты информации должна быть полностью протестирована и согласована;
12) Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора;
13) Система защиты информации должна разрабатываться исходя из предположения, что пользователи будут совершать серьезные ошибки и вообще имеют наихудшие намерения;
14) Наиболее важные и критические решения должны приниматься человеком;
15) Существование механизмов защиты информации должно быть по возможности скрыто от пользователей, работа которых находится под контролем.
Составляющие информационной безопасности.
Перечислив основные слагаемые информационной безопасности и принципы надежной защиты информации, рассмотрим их подробнее.
1) Снижение непредвиденных издержек компании.
Это все издержки компании, которые могут возникнуть в результате противоправных действий или бездействий должностных и/или частных лиц, которые могут нанести компании значительный вред и привести к ощутимым потерям. К таковым следует отнести:
- Ухудшение репутации и имиджа компании в глазах контрагентов, деловых партнеров, представителей органов власти и общественности,
- Утрата ноу-хау и секретов (технологических, стратегических и др.),
- Ослабление позиций компании в конкурентной борьбе,
- Потеря сотрудников,
- Уменьшение клиентской базы (снижение притока новых клиентов и уменьшение количества старых клиентов),
- Потеря ключевых контрагентов и бизнес-партнеров.
2) Предотвращение утечек конфиденциальной коммерческой информации.
Под конфиденциальной информацией обычно в общем плане понимают всю ту информацию, потеря которой для организации является нежелательной.
Такой информацией может быть следующая:
- Общая информация компании (учредители и их доли, место жительства учредителей и ТОП-менеджмента, организационно-штатная структура компании (группы компаний), активы компании и др.);
- Финансовые данные компании (оборот (выручка), объем закупок, наценка, прибыль, сумма уплаченных налогов, объем кредиторской задолженности, уровень заработной платы сотрудников и др.);
- Технологические данные (используемое оборудование, применяемые технологии, производительность, технические возможности, используемое сырье и др.);
- Данные контрагентов (поставщики, дилеры и дистрибьюторы, доли контрагентов и др.);
- Условия сотрудничества (договорные условия, финансовые условия, условия поддержки и продвижения, специальные (особые) условия и др.);
- Информация о персонале компании (Ф.И.О. и контактные данные отдельных сотрудников, уровень и состав заработной платы и др.);
- Различные файлы документов в том или ином виде, а также исполняемые файлы (программы);
- IT-информация (используемое оборудование и программное обеспечение, структура сети, логины и пароли на доступ, нахождение и конфигурация сетевого и серверного оборудования и др.).
Как видно, даже перечисленная вкратце информация «не для всех», попади она в ненужные руки, может серьезно осложнить жизнь компании, а то и вовсе свести его на нет.
В очень общем виде перечень конфиденциальной информации выглядит так:
3) Предотвращение противоправных действий персонала.
В данном пункте понимаются действия, относящиеся к:
- Активам компании (финансовые средства, основные средства, прочие материальные средства, разработки и ноу-хау компании, персоналу компании);
- Персоналу (дезинформирование, стравливание, унижение, подначивание, создание негативного фона в коллективе, способствование увольнению и др.);
- Контрагентам, представителям органов власти, общественности и СМИ (нарушение правил и норм общения, выдача лишней или конфиденциальной информации, дезинформирование, выдача искаженной информации и др.);
- Текущей работе компании (договорные и финансовые документы, условия работы с контрагентами, планирование и отчетность, оплата труда и др.).
4) Поддержание рабочей атмосферы в коллективе.
Этот пункт как правило касается:
- Предотвращения и расследования конфликтных ситуаций;
- Предотвращения манипулированием сотрудниками;
- Расследования случаев хищения, дезинформирования и распускания слухов;
- Выявления фактов нарушения корпоративной этики и поведения;
- Выявления и работы с неформальными лидерами и лидерами мнений.
5) Расследования происшествий и противоправных действий.
То есть работа, проводящаяся исключительно постфактум в отношении имевших место фактов.
6) Предотвращения утечки персонала.
Как правило эта деятельность основывается на:
- Выявлении недовольных сотрудников (условиями работы, карьерой, доходом и др.);
- Работа с недовольными сотрудниками (полное или частичное удовлетворение их запросов, разъяснительная работа, ротация или увольнение);
- Выявление фактов сманивания сотрудников (конкурентами, партнерами, бывшими сотрудниками);
- Выявление фактов поиска работы действующих сотрудников.
7) Повышение дисциплины и производительности труда.
- Выяснение структуры работы в сети персонала (используемые программы и сервисы и их доля времени в работе сотрудников);
- Учет отработанного времени (в разрезе дня, недели, месяца и т.д.);
- Мониторинг входящей и исходящей переписки, а также полученных и отправленный файлов.
8) Мониторинг уровня лояльности персонала.
Этот параметр является «условно сборным», зависящим от производительности и результатов труда сотрудника, а также его исходящего и входящего информационного поля.
В условном виде уровни и структуру системы безопасности предприятия можно показать так:
Традиционная работа службы безопасности предприятия.
Работа современной службы безопасности предприятия становится все более сложной и разнообразной. По этой причине в эту деятельность приходит все больше сотрудников с образованием в области IT.
Обычный функционал службы безопасности таков:
- Предварительная проверка кандидатов (по базам МВД, проверка документов, поиск отзывов о кандидате, изучение профилей в соц. сетях, проверка на Полиграфе);
- Проверка контрагентов (состояние организации, поиск генерального директора в «черном списке» руководителей, поиск отзывов о компании и т.д.);
- Контроль доступа (в помещения, в сеть);
- Видео-охрана (контроль периметра и внутреннее наблюдение);
- Сигнализация (пультовая охрана зданий и помещений);
- Защита информации (криптографическая защита, межсетевое экранирование, защита от вирусов, системы обнаружения компьютерных атак, сканирование уязвимостей и др.);
- Экономическая безопасность (контроль сделок, контроль платежей, контроль договорного документооборота и др.);
- Юридическая безопасность (противодействие рейдерству, проверки контрагентов, контроль документооборота и др.);
- Технологическая безопасность (контроль технологической документации и информации);
- Кадровая безопасность (проверки персонала, предотвращение массового оттока и др.;
- Физическая безопасность (осуществление комплекса мер по физической защите отдельных сотрудников).
В общем-то поле деятельности для специалистов по безопасности более чем широкое, заняться точно есть чем. Но, несмотря на это, из данного перечня напрочь выбивается текущий мониторинг всего происходящего в сети (переписка, активность по направлениям, открытые и полученные (отправленные) файлы, аудио-контакты и др.). Те, кто понимает суть сказанного, четко осознают, что основная информация, НАПРЯМУЮ влияющая на информационную безопасность предприятия, может быть добыта только в сети. Ее неоценимое преимущество заключается в том, что она оперативная и может быть прослежена по источникам (и датам) происхождения. А это, согласитесь, критически важный фактор для проведения расследований.
Ошибки в информационной безопасности.
Первая ошибка в плане информационной безопасности, которую совершают большинство служб безопасности, заключается в том, что СБ руками системного администратора перекрывает все коммуникационные каналы, которые она не в состоянии контролировать: ICQ, Skype, сторонние почтовые программы и др. Тем не менее, что понятно, цель всегда находит средства: если человек что-то хочет сделать, он постарается найти такую возможность. Наиболее продвинутый программный комплекс, предлагаемый нашей компанией, имеет прямо противоположный поход: коммуникационные каналы не перекрываются, но КОНТРОЛИРУЮТСЯ на 100%. Разница заключается в том, что программа позволяет выявить по сетевой активности пользователей любой инцидент (событие) в любом канале коммуникации и подробно изучить его, не привлекая дополнительного внимания со стороны.
Вторая наиболее типичная ошибка в информационной безопасности заключается в том, что самым информированным человеком в компании как правило является не сотрудник службы безопасности предприятия, а … системный администратор! Его деятельность, как правило, не контролирует никто ввиду ее специфичности. Соответственно, этот факт можно и нужно рассматривать не только как «черную дыру» в плане контроля, а как серьезную реальную угрозу безопасности: тем, кто хочет получить о Вашей организации максимум информации достаточно подобрать ключик лишь к одному человеку …
НАШЕ ПРЕДЛОЖЕНИЕ
(или в поисках идеального решения по информационной безопасности).
В настоящее время на рынке существует несколько систем информационной безопасности, которые, впрочем, продолжают тиражировать свои ошибки и ошибки друг друга. Ошибочность связана как с ошибочной парадигмой решений, так и с реализацией предлагаемых решений.
Существует ли решение в области информационной безопасности без традиционных ошибок? Существует! Собственно, то решение в области информационной безопасности, которое предлагаем мы, реализовано с учетом этих двух типичных ошибок: заказчик получает полный (!) контроль всех каналов коммуникаций, а также получает контроль над системным администратором (или IT-отделом целиком). Точнее так: все рабочие места пользователей (или еще точнее – все учетные записи пользователей), которые заказчик захочет контролировать, он сможет контролировать на 100%. Невероятно, но это факт!
Предлагаем оценить практику внедрения КИБ ЗДЕСЬ.
Полный функционал КИБ вышлем в виде презентации по запросу.
Что, собственно, можно контролировать с помощью предлагаемого решения?
Предполагается всесторонний контроль следующих сегментов коммуникаций в компании:
- использования программ,
- использования почты,
- использования системы мгновенного обмена сообщениями (CQ, QIP, MSN, JABBER), а также отслеживать общение в популярных социальных сетях (Одноклассники, LinkedIn, Facebook и т.д.),
- использования облачных сервисов,
- использования Skype (голосовые и текстовые сообщения),
- использования доступа в интернет (HTTP),
- использования подключаемого оборудования (flash-накопители, CD/DVD-диски, подключаемое фото-видео-оборудование и т.п.),
- использования (открытия, копирования, изменения, сохранения, пересылки) файлов,
- мониторинг активности пользователей,
- использования принтера,
- использования FTP – ресурсов (полученных и отправленных документов по данному протоколу),
- текущей деятельности (монитор),
- использования встроенного микрофона или подключенной гарнитуры,
- использования ноутбуков, находящихся вне корпоративной сети,
- использование корпоративных мобильных девайсов (планшеты, телефоны) на базе IOS и Android.
Словом, предлагаемое решение позволяет в режиме он-лайн отлеживать текущую деятельность пользователей, а также позволяет производить поиск необходимой информации в прошлом.
Помимо выше изложенного, предлагаемое решение в области информационной безопасности имеет мощный поисковый модуль, способный ощутимо упрощать работу специалистов по безопасности.
Вы заинтересовались?
Тогда заполните обязательную форму заявки ЗДЕСЬ:
По получению запроса, мы с Вами свяжемся по указанным контактным данным.
Успехов Вашему бизнесу!