Обеспечение информационной безопасности
Информационная безопасность — это комплекс мер, направленных на выявление и устранение уязвимых мест в компьютерной инфраструктуре организации. Стоимость таких мер должна быть экономически обоснованной по отношению к финансовым потерям, которые понесет предприятие, в случае реализации угрозы безопасности.
Основная цель. Выявить наиболее критичные угрозы для бизнеса компании и внедрить конкретные меры противодействия им.
- Защита информации от утечки, изъятия, повреждения, хищения, подмены.
- Обеспечение непрерывности бизнеса. Целостность и доступность информации исключает возможность простоя организации, обеспечит быстрое восстановление после сбоев.
- Предупреждение внештатных ситуаций. Возможность предотвратить угрозы безопасности.
- Возможность контролировать действия сотрудников, бизнес-процессы и информационные процессы.
- Предупреждение исков за использование нелицензионного программного обеспечения.
- Предупреждение штрафов за нарушение нормативных актов по защите информации.
Утечка информации – актуальная проблема
Базы клиентов, информация о поставщиках, отчетность, финансовые данные, информация о ценообразовании, бизнес-планы — основы и суть коммерческой деятельности.
Подобная информация имеет ценность не только для самой компании, но и для конкурентов или контролирующих органов.
Кража или, что происходит гораздо чаще, случайная утечка данных могут привести к серьезным последствиям.
Чтобы предотвратить подобные инциденты мы рекомендуем использовать комплекс мер, в который входят административные, организационные и программно-технические решения.
К административному уровню безопасности информационных систем относится создание регламентов по работе с компьютерной системой компании: соответствие нормативным актам по защите данных, администрирование, обслуживание, работа пользователей.
Процедурный (организационный) уровень включает в себя ознакомление персонала с регламентами, аттестацию сотрудников, физическую защиту, поддержание работоспособности, реагирование на нарушения режима безопасности.
Программно-технические меры носят в превентивный характер и образуют последний и самый важный рубеж информационной безопасности. Некомпетентность и неаккуратность пользователей при выполнении служебных обязанностей наносят главный ущерб безопасности — программно-технические меры призваны противостоять этому.
Обеспечение непрерывности бизнеса
Многогранность современной компьютерной системы и зависимость деятельности организации от ее работоспособности влекут за собой критические угрозы непрерывности бизнеса. Поэтому крайне важно обеспечение информационной безопасности организации.
Заражение компьютерными вирусами может вывести из строя рабочие станции пользователей, поломка сервера или сетевого оборудования парализует работу офиса, перегрузка внешних каналов связи сделает компанию недоступной для клиентов и партнеров. Отключение электроэнергии, изъятие техники контролирующими органами, сбой в работе оператора услуг связи, пожар или затопление, повреждение бухгалтерской информации, действия недобросовестных конкурентов,- рисков множество, а результат один: остановка деятельности организации.
Парализованное предприятие несет убытки от простоя, оплачивает внушительные счета специалистов, занимающихся восстановлением, теряет клиентов, которые не привыкли ждать, компенсирует неустойки поставщикам.
Подобные инциденты необходимо предупреждать. На основании аудита информационной безопасности предприятия, проведенного независимыми специалистами, выявить наиболее критические риски, разработать меры противодействия и внедрить системы резервирования.
Предотвращение внештатных ситуаций
Для предупреждения внештатных ситуаций, таких как изъятие носителей информации, захват, пожар, затопление, кража,- международные стандарты безопасности рекомендуют хранить информацию вне офиса.
В связи с этим существует несколько решений, которые могут удовлетворить потребностям различных организаций, исходя из конкретных задач. Для примера проанализируем два конкретных решения.
Использование удаленного сервера. Аренда серверных мощностей современных дата-центров несет огромную экономию для организаций. Компании избавляются от затрат на содержание и обслуживание серверного парка, но получают профессиональную круглосуточную поддержку со стороны инженеров дата-центров. Доступность и защищенность информации, размещенной на промышленных серверах, значительно выше офисных решений.
Организация шифрования данных и удаленного хранения резервных копий. Данное решение требует значительных финансовых вложений, но подойдет тем руководителям, которые не готовы выносить вычислительные мощности за пределы организации. Шифрование, кроме защиты информации от постороннего доступа, также контролирует целостность резервных копий.
Контроль работы сотрудников
По статистике, 70% всех негативных инцидентов на предприятии происходит по вине сотрудников или при их участии. При этом подавляющее количество нарушений совершают люди, отработавшие в компании более одного года. Это и кражи, и «разбазаривание» рабочего времени, эксплуатация казенного оборудования в личных целях, нарушение норм корпоративной культуры, сговор с клиентами (поставщиками или покупателями), «откаты» и многое другое.
Эффективным решением данной проблемы будет внедрение комплекса мер. На ряду с программно-техническими мерами (видеонаблюдение, автоматизированный учет рабочего времени, контроль телефонных разговоров, контроль использования компьютеров, автоматизированная система управления взаимоотношениями с клиентами) необходимо внедрять и административные меры:
- Организовать подбор (отсев) кадров.
- Уведомлять сотрудников, что их будут контролировать.
- Объяснять необходимость такого контроля.
- Устанавливать четкие правила того, что будет контролироваться, и определять виды надзора.
- Ограничивать доступ к определенным ресурсам для всех сотрудников независимо от занимаемой должности.
- Четко определять меры наказания за нарушение установленных правил.
Штрафы за нелегальное программное обеспечение
Огромное разнообразие форм лицензирования программного обеспечения создают значительные трудности в учете легальности его использования. Если не навести порядок в программном обеспечении, которое используется в организации, то возникает риск стать мишенью для контролирующих органов.
Статья 146 «Нарушение авторских и смежных прав» Уголовного кодекса РФ назначает наказание штрафом до 200 тысяч рублей или до 2-х лет лишения свободы за крупные размеры нарушений. За особо крупные — до 6-ти лет или до 500 тысяч рублей штрафа. Крупным нарушением считается использование ПО на сумму более 50 тысяч рублей — стандартный набор программ, установленных на два компьютера. Особо крупное нарушение (свыше 250 тыс. рублей) — сервер и пять компьютеров.
За все установленное ПО ответственность несет руководитель организации, даже за то, о котором он не подозревает, которое устанавливают себе пользователи. Поэтому именно руководитель должен осознавать необходимость аудита используемых программ.
Целью аудита является экспертный анализ, установленного дорогостоящего ПО на возможность замены его бесплатными аналогами. В подавляющем большинстве случаев для решения задач пользователей нет необходимости использовать мощные и дорогие продукты, такие как Adobe Photoshop или Corel Draw и другие.
Также нельзя забывать о том, что, кроме штрафов за использование нелицензионных программ, обладатель авторских прав потребует оплатить и стоимость всех найденных копий.
Нарушение нормативных актов
Если на сегодняшний день многие руководители закрывают глаза на нарушения в обработке персональных данных, то в скором времени несоблюдение ФЗ-152 «О персональных данных» станет экономически невыгодным.
На сайте Министерства экономического развития уже опубликован законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Поправки к статье 13.11 КоАП РФ предусматривают увеличение штрафа для юридических и должностных лиц в 40-50 раз. Так же в новом законопроекте впервые предусмотрен штраф для индивидуальных предпринимателей.
Риск заплатить штраф в размере 200-500 тысяч рублей слишком велик, чтобы его игнорировать. Тем более, что меры по защите информации на данный момент обойдутся компании дешевле. Но с внесением поправок в КоАП РФ стоит ожидать подорожания решений, которое будет обусловлено ростом спроса на системы защиты. Поэтому мы рекомендуем уже сейчас задуматься о безопасности.