Анастасия Михалицина — Старший PR-менеджер
тел.: +7 (495) 748-05-75 | доб. 3053
E-mail: amikhalitsina@at-consulting.ru

Пять звездочек ИТ-безопасности, или Как не воспитать Сноудена в своем коллективе

30 мая 2014 , Континент Сибирь

Дмитрий Гоков, генеральный директор AT Consulting, помог читателям "КС" понять, что нужно для полноценной «обороны» корпоративного ИТ-комплекса.

_______

Когда спрашиваешь руководителей компаний, чем обеспечивается информационная безопасность на их предприятиях, часто слышишь типичный ответ: «Точно даже не знаю — установлено какое-то оборудование». Лично у меня такая неосведомленность вызывает недоумение и тревогу, ведь поверхностный подход к информационной безопасности легко может обернуться для бизнеса фатальными последствиями. Что же нужно для полноценной «обороны» корпоративного ИТ-комплекса? Попробуем разобраться.

Важно понимать, что информационная безопасность создается не только техническими, но и организационными мерами. Например, если, имея действующую ИТ-систему, вы задаетесь вопросом, как обеспечить ее безопасность, значит, одну ошибку вы уже допустили. По-хорошему данный вопрос должен был продумываться еще при проектировании системы. Именно на этом этапе можно обеспечить оптимальную защищенность информации с минимумом затрат и максимумом надежности.

Другой принципиальный момент состоит в том, что безопасность любой ИТ-системы имеет две стороны — внешнюю и внутреннюю. Первая касается защиты от вредоносных воздействий извне — для этого служат антивирусные программы, а также разнообразные межсетевые экраны, системы обнаружения вторжений и т. п. Внутренняя же безопасность подразумевает нейтрализацию рисков, содержащихся в самой системе, — в ее пользователях, аппаратной инфраструктуре, управлении. Здесь, помимо технических средств, очень важны административные инструменты — наличие определенных регламентов, правил и их строгое соблюдение. Поверьте, зачастую именно пренебрежение внутренней защищенностью ИТ-комплекса ведет к наиболее тяжелому урону для бизнеса.

Далее — надежная система информационной защиты должна обеспечивать три основных принципа. Первый из них — конфиденциальность, то есть предотвращение доступа к информации для тех, кому она не предназначена. Такой доступ может возникнуть как в результате целенаправленного вторжения в систему извне (об этом сказано выше), так и вследствие утечки информации из системы. Например, файл с данными, содержащими коммерческую тайну, был отправлен сотрудником на внешний адрес электронной почты. Попав в незащищенную среду Интернета, файл может быть легко перехвачен и использован во вред компании. Чтобы этого избежать, используются, например, специальные DLP-программы (DataLossPrevention). Они автоматически анализируют потоки данных, выходящих за периметр защищенной системы, и при обнаружении конфиденциальной информации блокируют ее передачу.

Следующий принцип информационной безопасности — целостность информации. Данные могут надежно храниться внутри системы, но при этом подвергаться риску случайного искажения или утраты. Представьте на минуту, что у вас пропала вся бухгалтерская база данных, и сколько времени потребуется на ее восстановление по первичным документам! Причиной подобной потери данных может послужить все что угодно — от неосторожных действий пользователей до поломки аппаратуры. В первом случае сокращению рисков способствует такая настройка прав пользователей, чтобы изменения данных могли производиться только узким кругом сотрудников. В случае же поломок оборудования надежной страховкой может служить только регулярное резервное копирование данных. Если в вашей компании этого до сих пор нет, угрозы, которым подвергается ваш бизнес, просто колоссальны.

И наконец, последний по счету, но не по значимости принцип —доступность. Поясню его на старом анекдоте. Увольняется системный администратор, и директор спрашивает у него пароль от главного сервера. «Он очень простой, — отвечает с улыбкой сисадмин, — пять звездочек!» Одним словом, мало защитить какие-то данные — защита должна быть организована так, чтобы не препятствовать в доступе к информации своим же пользователям.

И тут настает момент перейти, так сказать, на личности. Именно системный администратор является тем фактором, роль которого в ИТ-безопасности компании трудно переоценить. Яркий пример тому — небезызвестный Эдвард Сноуден. Не питайте иллюзий, сисадмин имеет доступ ко всем данным вашей системы, а если не имеет, то при желании может его себе обеспечить. В его руках все. Как с этим быть? Во-первых, подбирая системного администратора, подходите к этому как к выбору жены. Чтобы потом, в случае «развода», не остаться без «квартиры» — бизнеса. Считайте, что это человек, допущенный к вашему личному пространству. Во-вторых, никогда не экономьте на зарплате сисадмина — не провоцируйте его «монетизировать» свои знания криминальным способом. «Инсайдерские» базы данных, гуляющие по Интернету, — не что иное как следствие бездумного отношения работодателей к ИТ-персоналу. Не повторяйте их ошибок. Вот, собственно, и все — надеюсь, следование этим простым правилам убережет вас и от «Сноудена», и от пяти звездочек в пароле.

Отзывы

Сбербанк

Виктор Орловский, член правления, старший вице-президент ОАО «Сбербанк России»

Мне нравится работать с AT Consulting в первую очередь потому, что эксперты компании нацелены на получение требуемого результата, не останавливаются перед трудностями, ищут новые решения и, как следствие, растут профессионально.

Отзывы

Сбербанк

Виктор Орловский, член правления, старший вице-президент ОАО «Сбербанк России»

Мне нравится работать с AT Consulting в первую очередь потому, что эксперты компании нацелены на получение требуемого результата, не останавливаются перед трудностями, ищут новые решения и, как следствие, растут профессионально.

Представительства