Решения по защите информации

Какую проблему бизнеса решают: обеспечение защиты и сохранности данных.

Для каких компаний предназначены ИТ-решения: крупные организации, предприятия среднего и малого бизнеса. Домашние пользователи.

Сложность: парадоксально, но порой случается так, что ИТ-решений по безопасности в рамках одной организации становится слишком много, и это начинает замедлять бизнес-процессы.shutterstock_197187698

О решении

ГОСТ Р 50922-96 определил защиту информации как деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Настоящий стандарт установил основные термины и определения понятий в области защиты информации.

Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. Для достижения максимального эффекта необходимо применять комплексную защиту информации на предприятии.

Информационной безопасности не было бы, если бы не было информационной опасности. Если быть точными, то безопасных мест для информации нет. Информационных угроз великое множество, но если разбить их на категории, то мы получим примерно следующую классификацию:

  • утечка информации,
  • повреждение информации,
  • нелегальное использование информационного носителя,
  • повреждение системы хранения информации.

Самой страшной уязвимостью является человеческий фактор: чувство безнаказанности во время пребывания в сети, желание мести кому-либо, преступное любопытство и простая невнимательность.

В наши дни уровень профессионализма кибер-преступников неуклонно растет: им удается взламывать все более сложные ИТ-системы. К счастью, и уровень средств информационной защиты совершенствуется с высокой скоростью, спектр решений становится все более широким, а их фокус – более узким, направленным на решение конкретных задач.

История средств защиты информации

Владение информацией с древних времен давало преимущества той стороне, которая располагала более точными сведениями о своих соперниках. Государственные и коммерческие секреты появились еще на заре человеческого общества вместе с государствами и торговыми отношениями между ними. Одновременно появилась и стала развиваться разведывательная деятельность по добыванию этих сведений. Вся история развития государств свидетельствует о широком использовании раз­ведки для получения информации об их экономике, вооружении и др. Наряду с военными секретами конкуренты всегда охотились и за технологическими секретами, особенно касающимися производства оружия.

Желание добывать конфиденциальную информацию всегда сопровождалось не меньшим желанием противоположной стороны защитить эту информацию. Поэтому история развития средств разведки – это также история развития средств и методов защиты информации.

Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества. В 60-х годах на Западе стало появляться большое количество публикаций о различных аспектах защиты информации. Такое внимание к этой проблеме было вызвано в первую очередь все возрастающими финансовыми потерями частных компаний и государственных учреждений от преступлений в компьютерной сфере.

В 1970-80х годах шла интенсивная разработка способов и средств защиты информации. В это время наступило постепенное осознание необходимости комплексной защиты информации. Расширился перечень используемых средств защиты, стала широко практиковаться криптографическая защита информации. Формируется информационное право — новая отрасль международной правовой системы.

Начиная с середины 1980-х годов начался новый этап в развитии технологий информационной безопасности. Он был связан с созданием и развитием глобальных информационно-коммуникационных сетей.

Современный этап развития информационной безопасности связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно- коммуникационными системами. Новые способы работы требуют новых способов управления рисками. Мобильность, гибкий график работы, BYOD-подход (возможность работать с корпоративными ресурсами со своего собственного мобильного устройства) и расширение сотрудничества между организациями увеличивают риски и подрывают существующую ИТ-архитектуру. Задача состоит в том, чтобы предоставить пользователям гибкость, необходимую для оптимальной бизнес-производительности, обеспечивая при этом безопасность и соблюдение требований безопасности на предприятии.

В сложившихся условиях важным является рассмотрение информационной безопасности как неотъемлемой составной части национальной безопасности Российской Федерации.

Преимущества использования решений по защите информации для Вашего бизнеса

В результате разработки эффективного подхода к управлению информационной безопасностью Вы получите:

  • Снижение рисков и потенциальных воздействий на бизнес до приемлемого уровня;
  • Увеличение ценности бизнеса за счет оптимизации инвестиций в безопасность и соотнесения с целями организации; корреляция стратегии информационной защиты со стратегией компании;
  • Сохранение и увеличение доли рынка за счет создания репутации т.н. «защищенной компании».

Классификация решений по защите информации

По способу реализации защиты информации:

  • Технические средства. Это различные по типу устройства (механические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо доступу к информации по факту проникновения. Первую часть задачи решают запорные устройства, решетки на окнах, защитная сигнализация. Вторую — сетевые фильтры, генераторы шума, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации.
  • Программные средства. Это программы для идентификации пользователей, контроля доступа, шифрования информации, резервного копирования, тестового контроля системы защиты и др.
  • Смешанные аппаратно-программные средства. Располагают тем же функционалом, что аппаратные и программные средства по отдельности, и имеют промежуточные свойства.
  • Организационные средства. Складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа) и организационно-правовых (законодательная база и правила работы, устанавливаемые руководством конкретного предприятия).

Интересуемая нас категория «программные средства» (ИТ-решения по организации защиты информации) подразделяется следующим образом:

По области защиты:

  • защита конечных точек (Endpoint Security): ПК, ноутбуки;
  • защита серверов;
  • защита клиентских машин.

По решаемым задачам ИБ:

  1. Борьба со шпионским ПО (антивирусы: «Доктор Веб», «Лаборатория Касперского», ESET, McAfee, Symantec и др.);
  2. Противодействиеутечкаминформации (системыDLP (Data Leak Prevention): InfoWatch, Positive Technologies идр.);
  3. Межсетевоеэкранирование (Firewall: Check Point, Fortinet, Kerio, Palo Alto идр.);
  4. Зашифрованнаяпередачаданных (VPN (Virtual Private Network): Check Point, Fortinet, Symantec);
  5. Резервное копирование данных (Backup: Symantec, Veeam);
  6. Организация удаленного доступа («Код безопасности», CheckPoint);
  7. Менеджмент в сфере ИБ (SIEM (Security information and event management) – комплексные ИТ-решения по управлению информационной безопасностью на предприятии: McAfee);
  8. Защита мобильных устройств («Лаборатория Касперского», McAfee).

Сроки внедрения: зависят от масштаба компании, а также текущей степени защищенности. Если Ваша организация небольшая (до 10 сотрудников), то можно приобрести антивирус в форме лицензии на несколько ПК и самостоятельно установить в течение 1 часа времени.

Оптимальным выбором для компаний малого бизнеса будет ИТ-решение, обеспечивающее комплексную безопасность (с функцией антивирусной защиты, функцией блокирования портов, предотвращения утечек данных), например, от «Лаборатории Касперского». Либо решение класса UTM (Unified Threat Management) для защиты сетевых ресурсов производства Check Point, Fortinet и др.

Если же речь идет о среднем и крупном бизнесе, то здесь необходима комплексная защита. На разработку стратегии по обеспечению безопасности, подбор оптимальных ИТ-решений и их внедрение могут уйти месяцы.

План работ:

Учет перечисленных ниже принципов поможет выстроить эффективную систему ИБ в Вашей организации:

  • понимание руководством важности защиты информации и возможных рисков при некорректно выстроенной системе ИБ на предприятии, приверженность к инициативам в этой области;
  • планирование политики информационной безопасности до внедрения новых технологий;
  • обеспечение интеграции между бизнес-процессами и системой информационной безопасности;
  • выстраивание политики ИБ в соответствии с целями организации (например, если компания планирует открытие офисов за рубежом, то для обеспечения информационной безопасности требуются ИТ-решения определенного класса).
  • донесение до руководства и рядовых сотрудников информации о значении ИБ, составление инструкций и рекомендаций по использованию того или иного корпоративного сервиса с точки зрения защиты от угроз. Обучение информационной грамотности.
  • разграничение прав пользователей. В любых информационных системах на предприятии (учетные, кадровые, BI системы и пр.) должны быть настроены права доступа, согласно занимаемым ими должностям. Например, в настройках CRM необходимо прописать возможность скачивания клиентской базы лишь для узкого круга сотрудников.

Эксперты нашей компании имеют большой опыт в области организации и модернизации системы информационной безопасности на предприятиях. Они способны объективно оценить индивидуальные особенности организаций, выявить узкие места и возможные риски, а также разработать рекомендации по их устранению. Кроме того, мы располагаем командой сертифицированных специалистов по внедрению ИТ-решений в области безопасности.

Заказать консультацию

 

Статьи по теме:

Федеральный закон №152-ФЗ «О персональных данных»

Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)

Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005)

http://ru-ib.ru/
http://www.iso27000.ru/
http://www.seconline.ru/
http://www.crn.ru/news/detail.php?ID=105130
http://www.forbes.ru/tekhnologii/tekhnika-i-biznes/300667-chuzhie-sredi-svoikh-kak-tekhnologii-pomogayut-sledit-za-sotrud