«РОСЭУ» - ассоциация «Разработчики и Операторы Систем Электронных Услуг»

Информационная безопасность в организации: реализация на практике

07 Апреля 2016 Назад

Информационная безопасность в организации: реализация на практике

 Люди, выстроившие свой бизнес, обычно прекрасно умеют считать деньги. Они точно знают стоимость материальных ресурсов, будь то оборудование, недвижимость или сотрудники. И им понятно, что они могут потерять в случае, если один из ресурсов будет недоступен или некорректно использован. Однако зачастую упускается из виду такой обыденный в сегодняшнем мире ресурс, как информация. Этот ресурс обладает стоимостью, как и любой другой, но редко какой руководитель считает ее в рублях, долларах или иной денежной единице. Мы понимаем, сколько стоит потерять классного специалиста, участок под застройку, уникальное оборудование. А сколько стоит потерять хорошую бизнес-идею?

Наверняка многие руководители сталкивались с ситуацией, когда ваши конкуренты выпускают похожий продукт чуть раньше намеченного вами срока выхода на рынок, когда неинтересный никому, кроме вашей компании, участок земли неожиданно покупает другая компания, когда увиденная нами возможность уходит буквально из-под носа. Такие «неслучайные случайности» найдутся в чулане у каждого руководителя. Действительно, зачастую это может произойти случайно. История развития науки, техники, технологий знает много примеров, когда похожие гениальные идеи приходили в умы совершенно разных, порою даже незнакомых друг другу людей. Сегодня повсеместно такое встречается и в бизнесе. Согласно данным исследований некоторых агентств, в 2015 году количество инцидентов только кибератак в России увеличилось на 38% относительно предыдущего года! Как следствие, инциденты повлекли за собой двукратное увеличение финансовых убытков потерпевших компаний.

В настоящее время актуальность вопроса защиты информации уже не составляет сомнений: информацию защищать нужно, но порой возникают трудности в понимании: для чего и от кого?

Жизненный опыт показывает, что чаще всего основным фактором, порождающим подобные ситуации, является банальная утечка информации из компании. Источниками утечки могут быть:

  • во-первых: наши же сотрудники, которых мы считаем лояльными и преданными делу

  • во-вторых: неправильное построение бизнес-процессов обработки и передачи конфиденциальной информации

  • в-третьих: важная информация может быть вообще не определена в компании как закрытая или конфиденциальная

  • и в-четвертых: отсутствие системы защиты информации или неэффективность имеющейся.

Что нам дает определение источника утечки? Возможность решить эти проблемы. Раз это не «перст судьбы» или «его величество случай», значит с этим можно и нужно работать.

После того, как руководитель компании принял решение об усилении защиты информации в компании, встает вопрос о содержании в своем штате специалиста по информационной безопасности. Но зачастую руководство компании решает доверить решение таких проблем системному администратору. Тут же возникает конфликт интересов, поскольку компетенции специалиста по информационной защите иные и он в том числе должен контролировать деятельность сотрудника, занимающегося ИТ-обеспечением. Представьте, если замкнуть обе функции на одном человеке, то получится что он сам занимается информатикой, сам себя оценивает и проверяет.

Но с поиском высококвалифицированных специалистов могут возникнут сложности – ситуация на рынке труда сейчас такова, что профессионалов в области информационной безопасности – единицы, и поэтому они – драгоценные кадры.

В таком случае одним из вариантов качественной оптимизации расходов на защиту информации в компании можно считать аутсорсинг информационной безопасности.

Аутсорсинг – всем известное понятие, когда компания передает часть бизнес-процессов на исполнение третьему лицу по договору или иному соглашению. Это позволяет снизить затраты на содержание персонала, занимающегося вопросами обеспечения безопасности, на их обучение и постоянное повышение квалификации, на необходимость закупки специфичного оборудования, его монтажа и дальнейшего технического сопровождения, на решение вопросов с контролирующими органами данной сферы и т.д.

Мы часто сталкивается с таким мнением, что выстроить в компании эффективно работающую систему защиты информации и управлять ею в дальнейшем, это очень долго и дорого. Соглашусь, что этим мнением пользуются некоторые игроки рынка информационной безопасности, однако при комплексном грамотном подходе мы всегда удивляем наших клиентов и партнеров высоким качеством и приемлемой стоимостью. Такснет представляет полный комплекс услуг, начиная с размещения информации на защищенных серверах, хранилищах (например, для электронной подписи), заканчивая консультативной и технической помощью. Этим снижаются затраты на:

  • содержание персонала

  • постоянное повышение его квалификации

  • закупку специального оборудования и прочее

Наша компания, как интегратор систем информационной безопасности, внедряет комплекс решений в этой области:

  • Безопасность веб-приложений. Помогаем компаниям контролировать уровень защищенности веб-приложений. Будь то оценка приложений до ввода в эксплуатацию, либо тестирование работающих приложений.

  • Контроль защищенности сети. Тестируем сетевую инфраструктуру компании на возможность проникновения, устраняем слабые места с целью предотвращения хищения информации.

  • Безопасный доступ в интернет обеспечивается установкой специальногошлюза для защиты организаций, активно работающих с интернетом от вредоносных программ и ПО.

  • Безопасность электронной почты. Внедряем комплекс мер по защите электронной почты от спам-атак и вирусов, а также от взлома почтового аккаунта.

  • Безопасность баз данных. Внедряем комплекс мер по защите баз данных от несанкционированного доступа.

  • Подготовка к получению лицензии ФСБ и ФСТЭК. Оказываем консалтинговые услуги для юридических лиц, желающих получить лицензию ФСБ на работу с криптографическими средствами защиты информации или с целью их распространения конечным потребителям.

  • Выполнение требований ФЗ-152 о персональных данных. Выполняем полный комплекс организационных и технических мероприятий на стороне заказчика по приведению его информационной системы, обрабатывающей персональные данные в соответствии с требованиями российского законодательства.

  • Поставка СЗИ и СКЗИ. Поставляем программные и программно-аппаратные средства защиты информации, в том числе криптографические, для построения проектируемых или масштабирования уже эксплуатируемых систем защиты информации. Поставляемые средства защиты информации могут быть сертифицированы по требованиям регуляторов в лице ФСТЭК и ФСБ России.

Каждое решение мы разрабатываем индивидуально для каждой компании. К примеру, для небольших предприятий иногда достаточно обеспечить безопасность персональных данных в соответствии с Федеральным законом №152-ФЗ и провести разъяснительную работу среди сотрудников. Что, в принципе, может сделать каждый руководитель компании.

Но зачастую не все руководители компании имеют должное представление о том, какая именно информация должны быть защищена. Разработать комплексное решение позволяет аудит, который включает в себя следующие этапы:

  • совместно мы определяем, какие данные могут составлять коммерческую тайну;

  • формируем команду для работы – определяем ключевых сотрудников проекта (в команду могут входить: юрист, технический специалист, руководители подразделений, специалист по безопасности (высокой квалификации);

  • выясняем, где информация циркулирует, кто ее использует, в каких процессах, куда передается;

  • формируем систему защиты с учетом угроз и рисков (разрабатываем проект), рассчитываем предварительную стоимость;

  • определяем угрозы и выясняем риски, которые может понести организация (как правило, специалист по безопасности выявляет угрозы, определяет их актуальность, юрист и финансист определяют возможные риски);

  • настраиваем процесс по закупке СЗИ, определяем, какие подсистемы необходимо установить, разработать (доработать) и выявляем необходимость в переработке бизнес-процессов компании в целом;

  • выявляем «тонкие» места документооборота компании;

  • выявляем и анализируем уязвимости web-приложений, которые ежедневно используются в компании (сайт организации, электронная почта и прочее);

  • определяем, декларировать соответствие или аттестовать (за декларацию ответственность несет руководитель организации, за аттестат – ответственность несет орган по аттестации).

Стоит отметить, что перед началом любых подобных действий мы в обязательном порядке заключаем с клиентом договор о неразглашении конфиденциальных данных на весь срок хранения информации.

Таким образом, на основании аудита мы готовим технический проект, задание и только после этого создаем систему обеспечения информационной безопасности.

Как правило, система включает в себя мероприятия на нескольких уровнях:

  1. Организационно-распорядительное мероприятие – выстраивание бизнес-процессов с учетом требований информационной безопасности, определение конфиденциальной информации, обучение сотрудников ее правильной обработке и передаче.

  2. Программный и программно-аппаратный подбор и внедрение ИТ-продуктов, установка фаерволов и антивирусных программ, аппаратных комплексов для защиты USB-портов и компьютеров в целом, сетей, серверов и т.д.

  3. Физическая защита – видеонаблюдение, пожарная сигнализация, охрана.

После постепенной реализации всех этих этапов, мы делаем тестовый прогон системы и вводим в эксплуатацию. В дальнейшем - проводим периодический аудит, вносим изменения в соответствии с обновлениями в законодательстве, учитываем развитие и рост компании-клиента, предлагаем новые актуальные ИТ-решения. Оказываем поддержку и сопровождение в том числе и при проверках органов, контролирующих соблюдение закона, например, в части защиты персональных данных (для этого наша компания имеет все необходимые лицензии Федеральной службы безопасности, Федеральной службы по техническому и экспортному контролю). Регулярно взаимодействуем с органами в рамках профессиональной деятельности.

Не стоит недооценивать стоимость информации, которой мы владеем. Особенно в рамках российских бизнес-реалий.

Информация – прекрасный материальный актив, при грамотном использовании которого можно обеспечить эффективный и высокий рост финансовых показателей и развития компании. Можно создать работоспособную систему обеспечения информационной безопасности, но появление всего одной новой угрозы может свести ее на нет. Можно «закрыть» 99% источников утечки, но оставшийся 1% делает систему открытой.

Современные инструменты защиты, постоянный мониторинг угроз позволяют решить эту проблему. Но залог безопасной работы с информацией – прежде всего в понимании ее ценности как одного из важнейших активов компании.

Поэтому стоит задуматься об обеспечении безопасности этого актива, как минимум о том, чтобы в случае его утери можно было решить вопрос о возмещении каких-то финансовых или иных потерь компании и о пресечении дальнейшей утечки информации.

Раз люди бизнеса умеют считать деньги, пора начать считать и наши информационные активы, которые иногда бывают гораздо ценнее, нежели мы можем предположить.

Эльмира Гатиятуллина, заместитель генерального директора

по информационной безопасности группы компаний «Такснет»


Назад