Коммерческая тайна для предприятия – это как душа для человека, его внутренний стержень. Поэтому непременное условие успеха бизнеса в наши дни, когда интеллектуальный капитал создается и используется под недремлющим оком системы информационной безопасности (СИБ).
Если информационная безопасность предприятия – это состояние защищенности его информационной среды, то защита корпоративной информации – это деятельность по предотвращению ее утечки, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. Соответственно системой информационной безопасности (СИБ) называется совокупность методологии, политики, аппаратно-программных средств и персонала, обеспечивающая необходимые и достаточные условия для защиты корпоративной информации.
Угроза безопасности
Многие эксперты отмечают, что ситуация экономической нестабильности подняла волну страхов среди работников компаний на всех уровнях – от рядовых исполнителей до руководителей. Большинство предприятий в борьбе с издержками принялись за массовые сокращения, и это помимо прочего привело к резкому снижению лояльности сотрудников к работодателям и, как следствие, к повышению риска утечки конфиденциальной информации. Так, по данным IDC, более половины служащих США, Великобритании и Нидерландов заблаговременно скопировали ее в ожидании увольнения, а 71% планируют использовать коммерческие тайны прежнего работодателя на новом рабочем месте.
Более того, растет потенциал внешних угроз. По сведениям «Лаборатории Касперского», количество вредоносных программ только с 2007 г. за год выросло почти в 3,7 раза. Вместе с тем еще до августа прошлого года разработчики антивирусных программ говорили, что эра эпидемий компьютерных вирусов закончилась. Никому уже не интересно выводить из строя миллионы машин ради сомнительной идеи. Сегодня подавляющее большинство атак совершается на корпоративные сети и хранилища данных с целью наживы и подавления конкурентов. Получается, что вся мощь вредоносного кода нацелена на бизнес. При этом основными источниками подобных угроз являются социальные сети, программы для передачи мгновенных сообщений (типа ICQ), онлайн-игры, мобильные телефоны, то есть все, что связано с телекоммуникациями.
Повышенное внимание к вопросам информационной безопасности и построения корпоративных СИБ вызвано не только обострением конкуренции, в том числе на рынке труда, в условиях финансовых трудностей, но и повышением доли интеллектуального капитала в стоимости компаний. Управление знаниями из модной бизнес-технологии превращается в необходимость, обеспечивающую непрерывную инновационную активность предприятия (см. «ЭЖ», 2008, № 36, с. 31).
Правила защиты
Чтобы управлять рационально и держать руку на пульсе, нужно быть уверенным, что тылы надежно прикрыты и секреты недоступны конкурентам. Поэтому в основе СИБ должна лежать политика корпоративной безопасности (см. «ЭЖ», 2006, № 39, с. 38 и «ЭЖ», 2007, № 03, с. 35). Она включает набор документированных правил, описывающих комплекс мероприятий по предотвращению внутренних и внешних угроз бизнесу, сферу полномочий и границы доступа к различным корпоративным данным для сотрудников компании.
Что касается внутренних угроз, существуют методы, позволяющие существенно снизить риск корпоративных преступлений (см. «ЭЖ», 2009, № 08, с. 19). Одним из них является прозрачность бизнеса. Для этого необходима четкая регламентация основных бизнес-процессов предприятия. Мошенники ищут лазейки в системе документооборота, отношений с поставщиками, бухгалтерском учете и т.д. Если все задачи будут закреплены за конкретными сотрудниками и в любой ситуации ясно, кто и за какие решения несет ответственность, то схема взаимодействий внутри организации и с внешним окружением будет как на ладони.
Однако наряду с инсайдерскими диверсиями большую опасность таят в себе сбои в работе хранилищ данных и систем обработки по объективным причинам. Поэтому еще на этапе построения СИБ в ИТ-бюджете необходимо предусмотреть расходы на системы резервного копирования данных, бесперебойного электропитания, фильтрации сетевого напряжения, пожаротушения в серверной и т.д.
Помимо описания основных аспектов организации защиты коммерческих тайн политика информационной безопасности должна включать набор документов, регламентирующих доступ к административным данным, удаленный доступ к ресурсам компании и пользование основными ИТ-услугами, Интернетом и т.д. Это позволит определить ответственность сотрудников за сохранность ценных сведений, очертить границы безопасности взаимодействия с внешним окружением, сформировать корпоративную ИТ-культуру.
Разработанная документация доводится до сведения всех без исключения сотрудников компании. Важно, чтобы каждый из них, понимал, насколько критичны утечка, повреждение и уничтожение информации о коммерческой деятельности их организации и какую роль играет ее коллективная защита.
СИБ включает также компоненты методологии информационной безопасности, в состав которой входит описание модели безопасности, методов защиты, технологии аудита информационной безопасности предприятия (см. «ЭЖ», 2007, № 26, с. 32), методики оценки экономической эффективности СИБ и т.п. Кроме того, не стоит забывать об аппаратно-программном комплексе, обеспечивающем защиту данных на физическом уровне.
ТЕЗАУРУС
Безопасность информации (данных) (information (data) security) – состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность. Определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
Конфиденциальность (confidentiality) – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право.
Целостность (integrity) – избежание несанкционированной модификации информации.
Доступность (availability) – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Источник: Википедия
Расчет окупаемости инвестиций в СИБ
ROI = (C1 х N1 + C2 х N2 + ... + Cn х Nn) : TIC,
где C – средняя стоимость потерь от инцидента нарушения информационной безопасности данного типа,
N – количество инцидентов данного типа в год,
TIC (Total Implementation Cost) – стоимость покупки и внедрения СИБ.
Источник: IDC
МНЕНИЯ ЭКСПЕРТОВ
Антон Разумов, консультант по безопасности Check Point Software Technologies
Чтобы выжить, компании вынуждены постоянно развиваться: появляются новые подразделения, меняются сотрудники, открываются дополнительные филиалы. Соответственно регулярно возникают новые угрозы безопасности. Поэтому вслед за предприятием должна развиваться и инфраструктура его информационной безопасности.
Важно внимательно подойти к выбору системы управления информационной безопасностью, потому что от удобства управления, снижения количества ошибок зависит и качество защиты, и снижение совокупной стоимости владения такой системой.
Подход к обеспечению безопасности должен быть комплексным, но несложным. Интеграция множества решений от разных вендоров затруднительна, поэтому стоит определить наиболее критичные информационные ресурсы и обеспечиваемые ими бизнес-процессы, чтобы защитить их в первую очередь. Для этого достаточно одного средства защиты, например сетевого экрана. Позже систему безопасности можно наращивать, внедряя дополнительные программные продукты по мере необходимости, избегая лишних затрат. Таким образом, сложная задача построения системы информационной безопасности решается по шагам. Как съесть слона? Ответ очевиден: по кусочкам.
Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ
Киберпреступность является самым выгодным бизнесом на сегодняшний день. Его представители обогащаются за счет кражи и использования чужих коммерческих тайн. Общая стоимость выставленной на продажу на черном рынке похищенной интеллектуальной собственности в 2008 г. оценивается приблизительно в 276 млн долл. И это, к сожалению, только начало. Стоит серьезно задуматься, какие меры принять для защиты собственного интеллектуального капитала. Особенно учитывая тот факт, что часто сотрудники предприятий халатно относятся к сохранности конфиденциальной бизнес-информации. Многие из них умышленно копируют ее на съемные носители и выносят за пределы офиса.
Тем не менее в условиях кризиса многие компании столкнулись с вынужденным сокращением бюджетов, в том числе на обеспечение информационной безопасности. Финансовых ресурсов для ужесточения противодействия внутренним и внешним угрозам стало остро не хватать. Одним из базовых решений в сложившейся ситуации должно стать внедрение на предприятии стандартов в сфере ИТ. Кроме того, необходимо провести аудит корпоративных ИТ на соответствие действующему законодательству, например Закону о защите персональных данных.
Еще одним решением является введение жестко регламентированного контроля использования информации, а также управление инцидентами, связанными с нарушением информационной безопасности. Последнее включает в себя сбор и анализ данных по всем подобным инцидентам, выявление закономерностей, контроль активности пользователей с высокой степенью доступа и подготовку отчетов.