Главная Написать письмо Twitter Facebook RSS Новости

Как бесплатно построить ИБ компании


Обеспечение безопасности данных сегодня является одной из приоритетных задач для многих коммерческих и государственных организаций. Даже одна утечка информации может принести серьезные финансовые убытки бизнесмену, а чиновника и вовсе лишить должности. Однако, осознавая ценность конфиденциальных данных и проблематику их утечки, не каждый может грамотно, а главное, эффективно выстроить барьер безопасности вокруг своей информации. Собственно о том, как защитить свои данные от утечки и пойдет речь дальше.

Для решения проблем информационной безопасности существуют специализированные средства, например DLP-системы (от англ. Data Leak Prevention). Данные системы позволяют контролировать информационные потоки компании, передаваемые посредством электронной почты, веб-браузеров, интернет-мессенджеров, Skype, внешних носителей (USB/CD/DVD) и т.д. DLP-системы анализируют потоковые данные, выходящие за черту защищаемой информационной зоны. При обнаружении в информационном потоке конфиденциальных данных срабатывает компонентная система, и передача данных блокируется. Однако внедрение DLP-системы на предприятии – удовольствие недешевое, поэтому некоторые руководители вынуждены отказываться от него. Но что делать, если защищать корпоративные данные нужно, а средств на внедрение полноценной DLP-системы нет?

В этом случае многие компании предпочитают выстраивать информационную безопасность своими силами. Однако стоит понимать, что качество и эффективность собственноручно выстроенной системы ощутимо отличаются от того, что могут предложить специализированные средства. Тем не менее наличие хоть какой-нибудь системы защиты данных на предприятии лучше, чем ее полное отсутствие.

Давайте рассмотрим базовый комплекс мер, который необходим для обеспечения информационной безопасности в условиях, когда хочется сэкономить. Прежде всего, руководство должно задуматься о том, какая информация представляет наибольшую ценность для компании. Ведь защищать «то, не знаю что» крайне нерационально. Также может возникнуть банальное желание защищать все. Однако, как показывает практика, добиться этого крайне сложно даже крупным и обеспеченным организациям. В противном случае, взяв широкий размах, вашей компании просто не хватит средств, чтобы завершить начатое дело. Если же определить ценность документов для вас составляет трудность, попробуйте представить, что может случиться с компанией, если какие-либо из них будут похищены. Какая именно утечка способна нанести компании наибольший вред? Именно эти сведения и являются для вас наиболее ценными!

После того как перечень особо важных документов определен, стоит разработать политику информационной безопасности, разграничивающую права доступа к конфиденциальным данным между сотрудниками, а затем провести соответствующий инструктаж. В данном документе должен быть обозначен список конфиденциальных документов, сотрудники, имеющие право доступа к ним, уровень доступа, возможные варианты угроз и методы защиты от них. Сам процесс создания подобной «бумаги» не должен вызывать у вас трудностей: посмотрите аналоги в Интернете, примеры подобных документов не являются редкостью. Адаптировав найденную инструкцию под свои нужды, можно получить готовую политику информационной безопасности.

Следующий шаг – составление должностной инструкции на основе политики безопасности, которую в идеале должны подписать все сотрудники. Не лишним будет провести зачет среди персонала, тогда инструкция надолго останется в памяти людей. Для профилактики подобный инструктаж стоит повторять с определенной периодичностью, например раз в один-два месяца.

Следующим шагом на пути строительства информационной безопасности станет разграничение доступа персонала к документации. Настроив права доступа в любых штатных системах, используемых компанией (CRM, бухгалтерский учет, СЭД и пр.), выполнить поставленную задачу не составит труда. Однако стоит помнить, что подобное разграничение необходимо настроить для всех информационных систем, так как в противном случае созданная система безопасности будет недостаточно эффективной.

Еще одним важным этапом в обеспечении безопасности информации является защита корпоративной сети и рабочих станций сотрудников от угроз из внешнего мира. Можно, конечно, прибегнуть к использованию специализированных средств, но мы не будем отклоняться от темы и продолжим разговор о бесплатных методах. Удивительно, но очень многие предприятия страдают из-за утечек данных только потому, что не используют межсетевой экран или вовсе забывают установить пароль доступа к офисной сети Wi-Fi. Для начала стоит позаботиться хотя бы об этом. В противном случае даже малоопытному злоумышленнику хватит навыков в IT-сфере, чтобы похитить корпоративные секреты.

После того как офисная сеть будет защищена паролем, стоит задуматься о межсетевом экране – комплексе программных средств, осуществляющем контроль и фильтрацию проходящих через него сетевых пакетов по заданным правилам. Для нашей задачи можно использовать такие бесплатные версии межсетевых экранов, как Astero, ClarkConnect, ZoneAlarm Free Firewall и т.д. Однако данными примерами ограничиваться не стоит, так как существует масса других как бесплатных, так и платных вариантов.

Не менее важным этапом построения системы информационной зашиты на предприятии является разработка и внедрение правил кадровой безопасности. Не стоит принимать на работу тех сотрудников, которые уже были отмечены в инцидентах, связанных с утечкой информации. Нужно понимать, что переманивание сотрудников у конкурентов может дать не только положительный результат, но и привести к негативным последствиям. Так, например, в перспективе данному сотруднику могут предложить заработную плату больше, чем вы в состоянии ему платить, и тогда все ваши корпоративные секреты уйдут вместе с перебежчиком.

Кроме того, безопасность информации зависит не только от средств ее поддержания, но и от самого рабочего коллектива. Поэтому развивайте в компании культуру информационной безопасности, напоминайте сотрудникам о том, что их благосостояние зависит от успешного функционирования всей организации. И если компания теряет конфиденциальные данные, то это отражается на ее деятельности, а затем и на сотрудниках. Коллектив, проникшийся идеей важности обеспечения ИБ, будет работать внимательнее, а случайные инциденты (например отправка важного документа неверному адресату) сократятся.

Соблюдение вышеуказанных правил позволит снизить риск утечки конфиденциальных данных и защитить информацию от чужих рук. Конечно, стоит понимать, что данные методики не гарантируют полный контроль информационного трафика, но в качестве «фундамента» информационной безопасности подходят хорошо. В будущем же, конечно, стоит задуматься и о внедрении профессиональных систем информационной защиты.

Раздел: Информационная безопасность
Дата: 30-09-2013




Имя:

Комментарий:


Код подтверждения:
№8 - 2013


В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
Календарь
01.01.1970



Copyright © 2000-2017 "Центр Компьютерного моделирования "Перспектива" Тел: +7 (926) 011-67-54 E-mail: info@csc.ru
Новости | Интервью | Пресс-релизы | События

Все поля необходимы для заполнения.






Введите e-mail указанный при регистрации.



Для того чтобы иметь доступ к полному тексту статьи необходимо быть зарегистрированным пользователем и авторизоваться.
Для того чтобы иметь возможность просматривать журнал необходимо быть зарегистрированным пользователем и авторизоваться.

Макеты принимаются на компакт-дисках CD-R ,CD-RW, DVD-R, DVD-RW, устройствах, поддерживающих USB. Файлы также могут быть отправлены с помощью электронной почты.

Редакция журнала "Безопасность: информационное обозрение" серьезно относится к художественному оформлению журнала. В случае, если рекламные макеты вызывают замечания с художественной точки зрения, редакцией журнала может быть предложена разработка нового оригинал-макета.

Требования к форматам файлов

Макеты в прочих форматах обсуждаются индивидуально.

Не принимаются оригинал-макеты в форматах Microsoft Word, Excel, Power Point.

Требования к элементам макета издания

Все элементы, печатаемые в край полосы (под обрез) должны иметь "вылет" за край обрезного формата (доливку под обрез) - 5 мм.

Требования к содержанию рекламных материалов:

• Рекламные материалы должны соответствовать требованиям действующего законодательства РФ.
• Реклама должна соответствовать содержанию той страницы сайта, на которую ведет рекламная ссылка, быть достоверной, не вводить потребителя в заблуждение.

Требования к сайту рекламодателя:

• На странице сайта рекламодателя, на которую ведет рекламная ссылка, не должны открываться дополнительные окна (PopUp или PopUnder).
• Страница, на которую ведет рекламная ссылка, должна корректно открываться в браузере и не содержать ошибок скриптов и программ.
• Если страница сайта, на которую ведет рекламная ссылка, при размещении или в ходе рекламной кампании не отвечает или открывается некорректно, размещение будет приостановлено до исправления ошибки.

Иные требования:

• Администрация Securityinfowatch.ru оставляет за собой право отклонить любой рекламный материал без объяснения причин.

Поддерживаемые форматы баннеров

Поддерживаемые форматы JPG, PNG.

Размеры размещаемых баннеров в пикселях 990x90, 728x90, 245x245, 245x50.

Допустимый размер баннера в килобайтах определяется его размером в пикселях:

Рекламный баннер должен иметь видимые границы, т.е. быть обведенным в рамку, не совпадающую с цветом фона (по умолчанию белым).

При необходимости наши специалисты изготовят необходимый Вам баннер. Условия изготовления и расценки обсуждаются индивидуально и зависят от уровня сложности работ.