|
Ведь информация давно уже стала инструментом, возможностью для роста и развития компании, очень ценным ресурсом, без которого работа предприятия невозможна.
По оценкам специалистов, ущерб от компьютерных преступлений в мире увеличивается на 35% в год. При этом ущерб от «обычных» преступлений и компьютерных преступлений в финансовой сфере серьезно разнится: ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка – всего лишь 19 тысяч долларов.
Впрочем, бояться стоит не только хакеров и шпионов конкурента, но и собственных сотрудников, которые из мести или по иным причинам могут похитить или просто удалить важную информацию. Также велик риск случайного стирания или порчи данных – по неосторожности работника. Не стоит забывать и о поломке системы, перебоях электропитания, потопах и т.д.
Поэтому защита данных, как от внешних проникновений, так и от внутренних диверсий, а также сбоев и неосторожности – просто необходима.
Обеспечение информационной безопасности на предприятии предполагает комплексный подход. Прежде всего, советуют эксперты, необходимо разработать политику информационной безопасности предприятия.
«Политика безопасности – это регламентирующий документ, учитывающий все нюансы работы предприятия, связанные с хранением, передачей и использованием информации», – поясняет Павел Елизаров, технический директор ООО «Лана».
В политике безопасности прописывается: как хранить данные, какими средствами защищать, кто имеет доступ к информации, какие права имеют сотрудники, кто несет ответственность и т.д. В этом документе может быть прописано большинства систем в организации: и пожарная безопасность, и системы видеонаблюдения, электропитания, сетевая инфраструктура компании и т.д. То есть, по сути, вся работа предприятия.
У финансовых учреждений или организаций, работающих с данными, считающимися государством секретными, обращение с информацией строго регламентировано. У других компаний, отмечает Павел Елизаров, как таковой политики информационной безопасности зачастую нет, но бывают документы, которые частично выполняют ее функции, например, инструкции для сотрудников. Достаточно таких документов или нет, решать самому предприятию, все зависит от объема, вида информации и количества работников.
«Защитой информации надо всерьез заняться, когда в компании число сотрудников превышает 50% тех, которым руководитель доверяет», – считает Елизаров.
Существует широкий спектр технических и программных средств защиты информации на предприятии.
КАК ЗАЩИТИТЬСЯ
Специалисты выделяют несколько уровней защиты информации. На первом рубеже находятся сетевые экраны – брандмауэр или firewall, которые обеспечивают защиту от хакерских атак, вирусов, несанкционированного доступа извне. Брандмауэр может быть как аппаратным, так и программным решением. По мнению Сергей Кукшинева, руководителя направления системной интеграции ООО «Кузбасский компьютерный центр», отдельное устройство лучше, оно выполняет только эту функцию, доступ к нему имеет только системный администратор и вероятность сбоев, встроенной в него программы значительно меньше. Второй уровень защиты – это антивирусная система. Она может быть реализована на каждом отдельном компьютере, также есть продукты по защите серверов и комплексные антивирусные продукты, которые могут централизовано управляться с сервера, контролировать Интернет-трафик и выполнять еще ряд функций.
Сейчас тенденция в антивирусной защите такова, что установка антивирусной программы на каждый инфраструктурный сервер считается важнее, чем установка антивирусных пакетов на каждую рабочую станцию, потому что большинство данных сегодня хранится на сервере, и его заражение более критично для работы компании. Крупные организации устанавливают многоуровневую антивирусную защиту: на почтовые, файловые сервера, а также систему с централизованным управлением и агентами на каждом компьютере. Для небольших организаций обязательна защита серверов и, возможно, отдельные антивирусные пакеты на всех рабочих станциях.
Еще один из уровней защиты – это защита важных бизнес-документов. Можно использовать различные программные продукты по управлению правами на информацию. Документам можно присвоить разные признаки, например, файл для свободного распространения, который могут просматривать все пользователи, распечатывать, отправлять по почте. А документ с ограниченными правами, может открыть только определенная группа лиц.
Следующий уровень защиты – это программный продукт, который позволяет ограничить доступ к любым пишущим устройствам, CD и DVD-дискам, дискетам, «флэшкам», внешним жестким дискам, чтобы информацию нельзя было «унести». Но при этом порты не полностью заблокированы, можно создать «белый» список «флэшек», дискет и др., которые сотрудники могут применять.
«Можно использовать этот программный продукт иначе, – говорит Иван Казаков, генеральный директор ООО «Информация. Технология. Бизнес», – разрешить доступ всем пишущим устройствам, но при этом отслеживать, какую информацию копируют».
Также, можно ограничить доступ и к самому компьютеру. На предприятии обязательно должна действовать система идентификации (т.е. именования всех пользователей) и аутентификации (подтверждение подлинности называемого имени пользователя). При этом для аутентификации можно использовать пароль, который не должен, как советуют специалисты, иметь какое-то значение – лучше всего набор строчных, прописных букв и цифр. Но очень часто сотрудники забывают свои пароли, передают их другим, поэтому пароль можно заменить на электронные ключи, смарт-карты, USB-брелки. Это исключает возможность ошибки и доступа к компьютерам компании посторонних лиц. Также, как и пароли, которые необходимо время от времени менять, эти устройства нужно периодически «перешивать».
К программным средствам защиты информации можно также отнести программные продукты, осуществляющие резервное и архивное копирование. Они защищают данные от преднамеренного или случайного удаления сотрудниками или при возникновении сбоев в работе системы. Резервное копирование обычно более краткосрочное: оно действует по заданному алгоритму, сохраняя раз в день или чаще документы пользователей в определенной папке на сервере. Резервная копия нужна, чтобы максимально быстро восстановить информацию при сбое. Архивное копирование осуществляется реже, раз в неделю или в месяц, ориентируясь на бизнес-процессы компании.
По мнению, Павла Елизарова, к средствам информационной защиты, также относится обеспечение бесперебойного электропитания всей компьютерной техники. А также грамотная прокладка локальной сети, потому что нередки случаи, когда у компании «мотки» проводов на полу, и часто какие-то данные в ходе передачи теряются. Лучше всего проложить структурированную кабельную систему (СКС), объединяющую в себя локальную сеть, телефонный провод и электропитание.
БЕСЦЕННА Я ЗАЩИТА
Выбирать набор защитных средств, нужно ориентируясь на риски, которым подвержена компания, и на ее размеры. Для малого бизнеса, утверждает Иван Казаков, сегодня наиболее критичны вирусные атаки, которые являются причиной трети всех компьютерных поломок в компаниях. Поэтому хорошая антивирусная программа любого уровня – один из самых важных элементов защиты. Стоимость установки на одно рабочее место – примерно от 500 рублей. Также при наличии выделенного Интернет-канала необходим межсетевой экран – firewall, аппаратное решение которого обойдется около 3,5-6 тысяч рублей. И в зависимости от частоты обновления данных, необходимо архивирование и резервное копирование, которое можно осуществлять как автоматически, так и вручную.
«Систему архивирования и резервного копирования, – говорит Сергей Кукшинев, – организовать не сложно, зато очень часто она может решить проблему остановки работы предприятия в случае сбоев. Но на практике мы сталкиваемся с тем, что не только архивирование не производится, но даже и архивного сервера у многих компаний нет».
Для среднего бизнеса можно использовать те же средства, но антивирус с централизованным управлением лучше установить на каждый сервер. Для крупной организации, помимо этих средств, очень важно защитить данные от внутренних опасностей: случайностей или злого умысла работников предприятия. А также от хищения информации конкурентами.
Каждый сотрудник в зависимости от его компетенций должен иметь свой уровень доступа к информации, например, кладовщику вовсе необязательно иметь доступ к бухгалтерской части программы и т.д. Главное, считает Иван Казаков, свести «человеческий фактор» к минимуму. А что касается цены такой защиты, то она, как говорят, специалисты равна цене самой информации.
«ИНЦИДЕНТНЫЙ» ПОДХОД
Если не пренебрегать мерами безопасности, то защитить свою информацию, считают специалисты, можно на 99%.
«Однако сегодня, – отмечает Сергей Кукшинев, – у компаний преобладает «инцидентный» подход к решению проблем защиты информации, как говорится «пока гром не грянет, мужик не перекрестится».
Распространены примеры, когда менеджер по продажам уходит из компании, забрав с собой весь итог своей работы: все клиентские базы, историю взаимоотношений с ними. Или вышел из строя сервер, а архивов не было, так и пропала вся информация. А, возможно, и хуже того: обиженный системный администратор при увольнении может разрушить всю систему, забрать информацию и даже выложить потом ее в Интернет. В таком случае предприятие буквально «встало». Вот тогда и приходят, говорят поставщики услуги, за защитой информации.
«Работая с компанией, мы сами часто видим, в чем у нее прореха в защите данных и советуем предотвратить критическую ситуацию, – говорит Павел Елизаров, – но, обычно отказываются, пока не произошло 2-3 сбоя. После них, компания уже четко знает, что ей надо».
Но вообще комплексный подход к защите информации мало распространен. Обычно хотят реализовать только частично различные средства защиты: антивирусный пакет хороший поставить или firewall при подключении к Интернету.
Правда, утверждает Сергей Кукшинев, за текущий год проблемой информационной безопасности клиенты стали чаще интересоваться. Средний и крупный бизнес уже дорастает до более серьезных решений. Как правило, это аудиторские компании, проектные организации.
Иван Казаков, также отмечает, что участились просьбы клиентов: «сделать так, чтобы информацию нельзя было унести из системы».
Рынок защиты информации появился уже очень давно, но в регионе услуга по защите информации пока на этапе становления. Хотя сейчас она вышла на новый уровень, и по оценкам специалистов, через год рост рынка будет заметным: постепенно происходит изменение в сознании руководителей предприятий, которые стали понимать, что информационная безопасность имеет критическое значение для работы компании.
|
