Дмитрий Гоков, генеральный директор AT Consulting, помог читателям "КС" понять, что нужно для полноценной «обороны» корпоративного ИТ-комплекса.

_______

Когда спрашиваешь руководителей компаний, чем обеспечивается информационная безопасность на их предприятиях, часто слышишь типичный ответ: «Точно даже не знаю — установлено какое-то оборудование». Лично у меня такая неосведомленность вызывает недоумение и тревогу, ведь поверхностный подход к информационной безопасности легко может обернуться для бизнеса фатальными последствиями. Что же нужно для полноценной «обороны» корпоративного ИТ-комплекса? Попробуем разобраться.

Важно понимать, что информационная безопасность создается не только техническими, но и организационными мерами. Например, если, имея действующую ИТ-систему, вы задаетесь вопросом, как обеспечить ее безопасность, значит, одну ошибку вы уже допустили. По-хорошему данный вопрос должен был продумываться еще при проектировании системы. Именно на этом этапе можно обеспечить оптимальную защищенность информации с минимумом затрат и максимумом надежности.

Другой принципиальный момент состоит в том, что безопасность любой ИТ-системы имеет две стороны — внешнюю и внутреннюю. Первая касается защиты от вредоносных воздействий извне — для этого служат антивирусные программы, а также разнообразные межсетевые экраны, системы обнаружения вторжений и т. п. Внутренняя же безопасность подразумевает нейтрализацию рисков, содержащихся в самой системе, — в ее пользователях, аппаратной инфраструктуре, управлении. Здесь, помимо технических средств, очень важны административные инструменты — наличие определенных регламентов, правил и их строгое соблюдение. Поверьте, зачастую именно пренебрежение внутренней защищенностью ИТ-комплекса ведет к наиболее тяжелому урону для бизнеса.

Далее — надежная система информационной защиты должна обеспечивать три основных принципа. Первый из них — конфиденциальность, то есть предотвращение доступа к информации для тех, кому она не предназначена. Такой доступ может возникнуть как в результате целенаправленного вторжения в систему извне (об этом сказано выше), так и вследствие утечки информации из системы. Например, файл с данными, содержащими коммерческую тайну, был отправлен сотрудником на внешний адрес электронной почты. Попав в незащищенную среду Интернета, файл может быть легко перехвачен и использован во вред компании. Чтобы этого избежать, используются, например, специальные DLP-программы (DataLossPrevention). Они автоматически анализируют потоки данных, выходящих за периметр защищенной системы, и при обнаружении конфиденциальной информации блокируют ее передачу.

Следующий принцип информационной безопасности — целостность информации. Данные могут надежно храниться внутри системы, но при этом подвергаться риску случайного искажения или утраты. Представьте на минуту, что у вас пропала вся бухгалтерская база данных, и сколько времени потребуется на ее восстановление по первичным документам! Причиной подобной потери данных может послужить все что угодно — от неосторожных действий пользователей до поломки аппаратуры. В первом случае сокращению рисков способствует такая настройка прав пользователей, чтобы изменения данных могли производиться только узким кругом сотрудников. В случае же поломок оборудования надежной страховкой может служить только регулярное резервное копирование данных. Если в вашей компании этого до сих пор нет, угрозы, которым подвергается ваш бизнес, просто колоссальны.

И наконец, последний по счету, но не по значимости принцип —доступность. Поясню его на старом анекдоте. Увольняется системный администратор, и директор спрашивает у него пароль от главного сервера. «Он очень простой, — отвечает с улыбкой сисадмин, — пять звездочек!» Одним словом, мало защитить какие-то данные — защита должна быть организована так, чтобы не препятствовать в доступе к информации своим же пользователям.

И тут настает момент перейти, так сказать, на личности. Именно системный администратор является тем фактором, роль которого в ИТ-безопасности компании трудно переоценить. Яркий пример тому — небезызвестный Эдвард Сноуден. Не питайте иллюзий, сисадмин имеет доступ ко всем данным вашей системы, а если не имеет, то при желании может его себе обеспечить. В его руках все. Как с этим быть? Во-первых, подбирая системного администратора, подходите к этому как к выбору жены. Чтобы потом, в случае «развода», не остаться без «квартиры» — бизнеса. Считайте, что это человек, допущенный к вашему личному пространству. Во-вторых, никогда не экономьте на зарплате сисадмина — не провоцируйте его «монетизировать» свои знания криминальным способом. «Инсайдерские» базы данных, гуляющие по Интернету, — не что иное как следствие бездумного отношения работодателей к ИТ-персоналу. Не повторяйте их ошибок. Вот, собственно, и все — надеюсь, следование этим простым правилам убережет вас и от «Сноудена», и от пяти звездочек в пароле.