Установить защиту от атак из интернета и ограничить доступ к сетевым ресурсам компании теперь уже недостаточно для поддержания высокого уровня информационной безопасности. В современном мире, где утечка информации может обойтись в миллионы долларов убытков, главной опасностью являются сотрудники компании.
Согласно всеукраинскому исследованию компании «Инком», проведенному в конце 2007 года, лишь 19% компаний имеют четкую политику в области информационной безопасности. При этом 67% опрошенных не исключают наличие уязвимостей в защите информационных систем своих компаний, а 80% респондентов (IT-профессионалов из различных отраслей экономики) заявили о том, что за время работы имели место незапланированные остановки и сбои информационных систем, основными последствиями которых являлись финансовые убытки.
Их размеры у украинских компаний подсчитать очень сложно ввиду чрезвычайной секретности таких данных, ведь никто не хочет портить реноме своего бизнеса и терять клиентов. Впрочем, в 2004 году корпорации UNA, украинскому разработчику комплексных систем антивирусной удалось оценить убытки украинских компаний. По их данным, только от вирусных атак украинский бизнес получил ущерб в 95 млн. евро. При этом в 66% пострадал средний и крупный бизнес в равной степени. И это не учитывая потери компаний от халатных и преднамеренных действий сотрудников. А по оценкам аналитиков, в 60% случаях в 2007 году в Украине информационная безопасность нарушалась именно сотрудниками компаний. Это может быть как умышленные так непреднамеренные действия, но иногда ущерб от них может быть катастрофический.

Например, в 2007 году семь бывших сотрудников южнокорейской компании NCSoft, специализирующейся на онлайн-играх (создала LineAge), продали исходный код Lineage III, чем нанесли ущерб на сумму более одного миллиарда долларов.
В том же году американская корпорация Affiliated Computer Services, предоставляющая услуги аутсорсинга в области информационных технологий, пересылала незащищенный диск с приватными данными жителей штата Джорджия, но до адресата диск не дошел. Из-за такой халатности пострадали 2,9 млн. человек и был нанесен ущерб на сумму $510 млн.
Также в 2007 году Bank of America потерял ноутбук с персональными данными работников своих работников от чего пострадали 40 тыс. человек, а убытки составили $13 млн. Есть еще целая масса примеров.
Несмотря на то, что в Украине ущерб от потери данных скорее всего на порядки меньше в силу не столь значительных масштабов бизнеса компании, однако последние все больше осознает ценность информации, которой владеют. Кроме того, государство из года в год ужесточает требования к обеспечению защиты информации, что волей-неволей вынуждает компании заботиться о сохранности своих данных.

Критична защита на физическом уровне

Согласно исследованию «Инком», многие украинские компаний выделяют 5-15% своего бюджета для обеспечения защиты своих IT-систем. Соответственно, бюджет обеспечения безопасности напрямую зависит от таких параметров как размер компании, а также индивидуальных бизнес-потребностей, связанных со спецификой деятельности.
Вообще же оценить стоимость работы по внедрению комплексных решений по обеспечению информационной безопасности компании можно только после оценки активов, выработки модели угроз и оценки рисков, только тогда вырабатывается план обеспечения непрерывности бизнеса. Причем крупные системные интеграторы, например, «Квазар Микро» при внедрении решения четко следуют процедурам обеспечения непрерывности обеспечения бизнеса, которые детально расписаны в ряде документов – рекомендациях и стандартах США.
«Для обеспечения непрерывности бизнеса в зависимости от видов собственности  и категорий информации в Украине на систему защиты тратится от 10 до 40% стоимости активов», - говорит Владимир Гонцул, руководитель отдела информационной безопасности и планирования систем «Квазар-Микро».
При этом комплекс мер по обеспечению информационной безопасности, как внешнего периметра информационной сети, так и внутренних IT-систем, варьируется в зависимости от рода деятельности компании, этапа развития и степени зрелости ее IT-структур, а также уровня сознательности пользователей.
«Еще несколько лет назад подход к обеспечению защиты информационных систем базировался на двухуровневом механизме. А именно, небезосновательно считая, что основная угроза ИБ исходит извне (сети интернет), в первую очередь обеспечивалась защита периметра внешней сети. Меры предосторожности ограничивались внедрением межсетевых экранов на пограничных юниксоподобных операционных системах. С другой стороны, внутренняя защита, как правило, организовывалась на базе операционных систем Windows локальных пользователей при помощи антивирусных программ», - рассказывает Николай Головин, консультант департамента ИТ-консалтинга компании «Инком».
Однако такой комплекс мер по обеспечению безопасности информационной корпоративной сети является недостаточным. Для полной, всесторонней защиты информации, непрерывности и стабильности деятельности IT-систем, критичным является также обеспечение защиты информации на физическом уровне. Такие факторы как контроль доступа, обеспечение противопожарной безопасности, резервирование критичных для бизнеса данных, контроль утечки и доступности информации, как прямо, так и косвенно влияют на информационную безопасность компании в целом.

Главная угроза - сотрудник

Сейчас двухуровневый механизм обеспечения защиты по-прежнему является актуальным. Однако стремительное развитие информационных сервисов, увеличение интенсивности использования в повседневной работе сети интернет привело к лавинообразному увеличению количества внешних угроз. В связи с этим фактом на сегодняшний день защита внешнего периметра информационной сети необходима не только для ограничения внешнего доступа, но и для обеспечения непрерывной работы сервисов, предоставляемых как клиентам, так и сотрудникам компании, говорит Николай Головин.
Каждая современная компания, кроме экранирования внешнего периметра информационной сети, обрастает такими сервисами как IDS/IPS, защита от DDos, защита трафика от вирусов и спама. В комплексе также появляется необходимость организовать безопасность на уровне виртуальных каналов для удаленных филиалов и сотрудников, внедрить систему внешней аутентификации для внутренних сервисов, резервировать каналы связи, построить кластерные отказоустойчивые решения, виртуализировать сервисы.
Согласно исследованию компании «Инком», самой опасной угрозой на сегодняшний момент является халатность сотрудников. Опыт показывает, что внутренний обмен информацией гораздо сложней защитить. Это связанно с тем, что внешние угрозы изначально просчитываются и внедряются соответствующие меры по их нивелированию, такие как: физическая охрана компании, пропускной режим, видео наблюдение, аппаратно-программные комплексы защиты каналов связи. С другой стороны, обычный посетитель может легко подключиться к компьютерной сети компании и получить доступ к внутренней документации и ресурсам.

Николай Головин, консультант департамента ИТ-консалтинга компании «Инком»

Наибольшая угроза информационной безопасности исходит со стороны служащих компаний. Сотрудники, имеющие официальный доступ к информационным ресурсам, должны вызывать больше беспокойства, чем вирусы и хакеры. На уровне персонала, для обеспечения сохранности и доступности информации, необходимо внедрять системы контроля доступа к операционным системам и прикладным программам, системы мониторинга действий сотрудников, системы контроля обмена информацией, криптования, резервного копирования и восстановления. Только комплексный подход сведет к минимуму риски несанкционированного доступа внутри компании.

Думать надо заблаговременно

Если все же утечка конфиденциальной информации произошла, то ее первыми признаками будет публикация конфиденциальной информации в сети интернет, уход партнеров к конкурентам, искажение внешних данных о компании, непривычная работа повседневных сервисов.
«Совокупность этих факторов должна послужить поводом для начала внутреннего расследования. Ключевыми точками расследования в случае утечки информации являются: определение небезопасного информационного ресурса, выявление сотрудников, имеющих доступ к ресурсу, анализ ресурса с точки зрения информационной безопасности. Заблаговременно службой информационной безопасности компании должны быть разработаны процедуры реагирования на внештатные ситуации, последовательность действий для определения и локализации угроз информационной безопасности», - считает эксперт «Инкома».

опубликовано

Добавить новый Поиск

Добавить комментарий
Имя:
E-mail:	не уведомлятьуведомлять
Веб-сайт:
Заголовок:
UBB-Код:	-цвет-морская волна (aqua)чёрный (black)голубой (blue)фуксия (fuchsia)серый (gray)зелёный (green)лайм (lime)красно-коричневый (maroon)тёмно-синий (navy)оливковый (olive)пурпурный (purple)красный (red)серебрянный (silver)бирюзовый (teal)белый (white)жёлтый (yellow) -размер-крошечный (x-small)маленький (small)средний (medium)большой (large)огромный (x-large)
	Пожалуйста, введите проверочный код, который Вы видите на картинке.