Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

 

  РУБРИКА
«Инфосфера» №35),  сентябрь 2007
технологии безопасности

 

Безопасность превыше всего.
Как не дать «утечь» информации


Маргарита Палопеженцева

Многие компании даже не задумываются о собственной информационной безопасности. У большинства из них меры в этой области сводятся к контролю за Интернет-трафиком, установлению антивирусных программ и надежной охране офисного имущества. Как показывает практика, при возникновении критической ситуации в сфере информационной безопасности, затраты на ее устранение оказываются во много раз больше «профилактических». «Инфосфера» решила рассмотреть, на каком уровне находится ее информационная защищенность, воспользовавшись для этого национальным стандартом РФ - практическими правилами управления информационной безопасностью, вступившими в действие c 1 января 2007 года.

Вопрос, который возникает в первую очередь - а есть ли в бюджете организации средства на информационную безопасность? У нашей редакции таких затрат не предусмотрено, и, наверняка, многие организации тоже ответят на этот вопрос отрицательно. Увы, политика информационной безопасности в нашем случае никак не закреплена документально - строчек о конфиденциальности и ответственности работников организации нет ни в договорах со сторонними организациями, ни в должностных инструкциях сотрудников. Что касается самих сотрудников - в идеале они должны проходить проверку при найме на работу, доступ к информации в организации должен регулироваться в соответствии с полномочиями работников, в обязательном порядке с ними заключаются соглашения о конфиденциальности. В случае наступления критической ситуации каждый сотрудник должен знать, что ему делать. Обязанности по осуществлению политики безопасности также должны быть распределены между всем персоналом компании.

Для определения необходимых степеней защиты информации, ее нужно классифицировать - установить приоритетность и необходимость, выделить действительно ценные ресурсы, сохранить которые важно в первую очередь.

Радует, что хотя бы физическая защита помещений и техники в нашей редакции, наверняка, как и во всех фирмах без исключения, выполняется. Как оказалось, помимо надежных замков, решеток и охраны, необходимо уделять внимание правильной утилизации устаревшего и вышедшего из строя оборудования, а также любых носителей информации. Осуществление политики «чистого стола» и «чистого экрана» также позволяет существенно обезопасить компанию от утечки важной информации.

Контролю над работой информационных систем в «Инфосфере» внимание уделяется, но, как показал стандарт безопасности, недостаточное. Помимо постоянно обновляемого антивирусного программного обеспечения, политики безопасности электронной почты и использований паролей для доступа к ресурсам следует регистрировать любые сбои и ошибки, возникающие при работе с компьютером. Также необходимо создавать резервные копии значимой информации - это может спасти положение в критических ситуациях. Еще для обеспечения безопасности могут использоваться системы контроля над пользователями и сетевыми ресурсами.

предлагаем сотрудничество Обозначенные выше проблемы затрагивают лишь самые основные пункты предложенных правил. Для того чтобы понять, насколько серьезны наши упущения, «Инфосфера» обратилась за комментарием к специалистам Центра сетевой безопасности «Арнис».
Ситуация типичная, за исключением предварительного ознакомления сотрудников компании с упомянутым стандартом, что само по себе - значительный шаг в понимании формулировки «информационная безопасность», как и вопросы, возникшие при чтении стандарта. Хорошо и то, что появляется мотив для оценки информационных ресурсов, причем не по причине их утраты и при отсутствии соответствующего ущерба, поэтому у компании есть время для проведения инвентаризации этих ресурсов в нормальных условиях.

Ответ на первый возникший вопрос неутешителен - средств на обеспечение ИБ в бюджете нет. Но, к счастью, и не требуется в спешке опустошать другие статьи бюджета, пока нет разработанной политики ИБ и не определены действительно необходимые затраты на ее (ИБ) обеспечение. Для начала можно использовать имеющиеся в компании административные ресурсы и распределить ответственность за исполнение теперь понятных требований стандарта между сотрудниками. К примеру, кадровая служба по согласованию с администрацией может разработать дополнения к трудовым контрактам, определяющим условия конфиденциальности, детализировать должностные инструкции с точки зрения обеспечения ИБ. А персонал ИТ-службы, даже в лице единственного системного администратора, может просто реализовать штатную (в операционной системе) политику парольной защиты, разработать инструкцию поведения персонала в нештатных условиях, грозящих потерей информации, будь то вирусная атака или авария электропитания, и обеспечить максимальную сохранность и достоверность информационных ресурсов.

  • Для определения необходимых степеней защиты информации ее нужно классифицировать - установить приоритетность и необходимость, выделить действительно ценные ресурсы, сохранить которые важно в первую очередь.
  • Для начала можно использовать имеющиеся в компании административные ресурсы и распределить ответственность за исполнение теперь понятных требований стандарта между сотрудниками.

.

Последовательные действия администрации компании в организации ИБ упростят планирование и обеспечат снижение затрат на реализацию ИБ - очевидная ценность определенных информационных ресурсов позволит выстроить их эффективную защиту без распыления средств на некритические, второстепенные и малозначимые ресурсы, не влияющие на основные бизнес-процессы, как, примеру, кража принтерной бумаги. Ранжирование ресурсов поможет выявить и скрытые, как, скажем, ценность отдельных сотрудников, играющих существенную роль в эффективности компании, уход которых к конкурентам может привести если не краху бизнеса, то к убыткам при уводе клиентов, к примеру, либо при «выносе» интеллектуальных ценностей.

Прочли и реализовали, можно успокоиться? Вряд ли. Без разработки детальной политики ИБ, привязанной к текущим бизнес-процессам, без проведения внешнего аудита ИБ оценить эффективность выработанных мер собственными силами не получится - бессмысленно проверять себя силами собственных специалистов, вспомните Мэрфи - источником ошибок является очевидный факт. Не стоит забывать, что организация ИБ - это процесс, требующий постоянного внимания и совершенствования.

Новые технологии позволяют в буквальном смысле уносить любые данные самыми неожиданными способами - копированием в плееры и фотоаппараты, перекачиванием на внешние серверы в Интернете, «переливанием» на беспроводные устройства - одним словом, красть. Но, как бы ни совершенствовались технические средства защиты информации, всегда остается так называемый «человеческий фактор» как источник ошибок и «свежих» решений, эффективно противостоять которым возможно только разработкой и внедрением комплекса превентивных мер технического и организационного характера с привлечением профессионалов в сфере ИБ.

В конечном итоге, необходимо создание системы, позволяющей управлять информационными рисками для минимизации ущерба, но это уже совсем другой разговор.


WWW.ARNIS.RU


© Центр Сетевой Безопасности Арнис, 2007

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница