Источник: Секретарское дело
Александр Игнатенко, заместитель генерального директора ЗАО «Специальная Информационная Служба» (ЗАО «СИнС»)
оГЛЯНИТЕСЬ ВОКРУГ СЕБЯ... ШИРОКО... И вЫ УВИДИТЕ, ЧТО В НАШ ИНФОРМАЦИОННЫЙ ВЕК СЛИШКОМ БЕСПЕЧНО «ХРАНИТЬ МОЛЧАНИЕ»
Как обезопасить компанию от коммерческого мошенничества, в т. ч. от похищения личных данных? Какие способы использовать? Кому доверять, а кого проверять?
Несколько реальных случаев.
Директор компании жалуется на ХАКЕРОВ, которые постоянно воруют коммерческую информацию из корпоративной компьютерной сети, что приводит к убыткам.
Анализ состояния корпоративной компьютерной сети показал отсутствие реальных атак на фирму. Дальнейший анализ общей системы безопасности фирмы позволил найти «хакера» – системный администратор, он же курьер, он же племянник директора, за небольшое вознаграждение копировал и передавал конкурентам интересующую их информацию.
От организации отделилась группа сотрудников, создала новую фирму в аналогичной сфере деятельности, и заказчики, в том числе и вновь появившиеся, стали постоянно уходить к конкуренту.
Анализ состояния информационной безопасности фирмы показал, что отсутствие контроля количества печатаемых на принтере накладных позволило кладовщику за вознаграждение передавать копии документов с реквизитами заказчиков конкурентам.
В фирму поступила информация из правоохранительных органов об осуществлении ряда незаконных платежей с использованием внешнего IPадреса фирмы. Подобная ситуация могла привести к изъятию серверов и приостановке бизнеспроцесса.
Однако грамотная настройка оборудования и программного обеспечения позволила сделать быстрый и документированный анализ системных журналов и показать отсутствие незаконных действий со стороны сотрудников фирмы.
Представленные примеры показывают важность информационного обеспечения фирмы и необходимость его защиты. Нужно понять, что безопасность фирмы, ее экономическая и информационная безопасность не красивые словосочетания, а требования бизнеса, без которых успешная экономическая деятельность невозможна.
Известно, что информация представляет собой весьма ценный продукт и, естественно, нуждается в определенной защите. Защита информации обеспечивает соблюдение:
- конфиденциальности, т. е. защиту от несанкционированного доступа;
- целостности, т. е. защиту от несанкционированного изменения;
- доступности, т. е. защиту от несанкционированного удержания информации и ресурсов.
Политика информационной безопасности – составная часть общей политики безопасности предприятия. Прежде чем приступать к мероприятиям по обеспечению информационной безопасности, необходимо определить: что защищать, от кого и как. Для этого производится обследование объекта защиты, после чего составляется специальный пакет документов, называемый «Политика информационной безопасности предприятия».
В процессе подготовки пакета документов производится категорирование информации, разграничение доступа к информации, определяются ответственные за информацию и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. Инструкции в обязательном порядке должны быть разъяснены тому лицу или группе лиц, для которых они написаны, поскольку слабым местом защиты информации в большинстве случаев является банальная неосведомленность сотрудников. Как правило, особое внимание уделяется требованиям к специалистам компьютерной сети и хранилищ данных, а также «Аварийному плану» – документу, описывающему, что делать, кому, как и в какой последовательности, если реализуется одна из угроз, а также содержащему описание процесса восстановления нормальной деятельности компании.
Важно обратить внимание на то, что использование нелицензионного программного обеспечения может привести как к неприятностям с обладателями авторского права, так и к внедрению вредоносного программного обеспечения в корпоративную компьютерную сеть.
Кому доверять, а кого проверять?
Полный текст читайте в печатной версии журнала Секретарское дело