23 сентября 2019 г. Понедельник | Время МСК: 06:31:34
Карта сайта
 
Статьи
Как команде строитьсяРаботодатели вживляют чипы сотрудникамAgile в личной жизниСети набираются опта
«Магнит» хочет стать крупным дистрибутором
Задачи тревел-менеджера… под силу роботу?8 основных маркетинговых трендов, которые будут главенствовать в 2017 году
Статья является переводом одноименной статьи, написанной автором Дипом Пателем для известного англоязычного журнала «Entrepreneur»
Нужно стараться делать шедевры
О том, почему для девелопера жилец первичен, а дом вторичен

Как сберечь корпоративные секреты



Наталья Анищук
Источник: Журнал "Финанс."
добавлено: 17-08-2010
просмотров: 4154
Борьба с инсайдерами будет продолжаться, пока существует конкуренция. Сберечь корпоративные секреты проще при наличии соответствующей IT-инфраструктуры.
Фото: архив "Финанс."

Азы информационной безопасности – разграничение прав доступа. Большинство компаний использует DLP-системы (Data Leak Prevention – аналитическая система предотвращения утечек из информационной системы компании во внешнюю среду) двух типов. Одни решения обеспечивают в основном мониторинг трафика на периметре (рабочие станции, сервера), другие – конкретных точек обработки информации. «В идеале следует использовать комплексный подход, однако, если технологическим процессом предусмотрена обработка конфиденциальной информации только на определенном перечне узлов сети и доступ к информации с других узлов запрещается, целесообразно ограничиться использованием endpoint-решений», – считает руководитель направления информационной безопасности компании «Микротест» Дмитрий Савченко. Стоимость защиты одного узла он оценивает в 11 тыс. рублей.

Управление правами доступа каждого пользователя поможет сберечь конфиденциальную информацию | фото: Архив «Ф.»

Следи за собой. Впрочем, специалисты отмечают, что этот подход имеет существенные недостатки: DLP-системы обеспечивают только контроль периметра корпоративной сети, но внутри него права доступа к документам реализуются посредством бизнес-приложений, в которых эти документы создаются. Чтобы избежать проблем, желательно внедрить специальную систему управления правами доступа к документам. «Права могут быть в любой момент централизованно отозваны, – объясняет Александр Козлов. – Более того, кроме возможности управления доступом, существует опция гибкой настройки его уровня с детализацией допускаемых действий, вплоть до запрета на редактирование документов, снятие скриншотов, передачу на печать и копирование данных».

Как только речь идет о едином для компании централизованном решении, встает вопрос о «комплексном обследовании» корпоративной информационной среды. «На этапе аудита информационной безо­пасности проводится комплексное обследование аппаратных и программных средств, определяется круг задач, «узкие места», составляется подробное их описание, – перечисляет необходимые действия руководитель отдела решений по информационной безопасности компании «Форс – Центр разработки» Александр Козлов. – Далее готовится ТЗ: описывается архитектура предлагаемого решения. Только затем начинается его реализация». Чтобы быстро оценить проблемы предприятия, эксперт Центра информационной безопасности компании «Инфосистемы Джет» Дмитрий Михеев предлагает в течение нескольких недель собрать информацию с помощью сетевого монитора на копии трафика, или сканера файловых систем по сети, или сетевого бриджа. «Если пилотное тестирование проходит с помощью подобного решения, то никто, кроме непосредственных участников проекта, не узнает об «испытаниях», – советует Дмитрий Михеев. – Мы в такой ситуации предпочитаем использовать пассивные сетевые мониторы». По результатам исследования отбирается и внедряется набор конкретных решений.
Кроме того, не следует забывать, что все большее число компаний позволяет сотрудникам работать дистанционно. Дмитрий Савченко рекомендует не забывать о системах шифрования дискового пространства. «Эти программы обеспечат невозможность доступа посторонних лиц к информации на съемных носителях при утере ноутбука или флэшки», – говорит он.

Будь осторожен. При создании и запуске любой системы возможны ошибки. По мнению Дмит­рия Михеева, многие слишком торопятся включать активное противодействие, не дожидаясь подготовки и отладки политики информационной безопасности. Возникает чрезвычайно много инцидентов, администраторы не успевают на них реагировать, страдает работа служащих. В результате формируется негативное отношение и к системе, и к «безопасникам». Опасно использовать не полный комплекс мер защиты, а отдельные инструменты. Бывает, что компания для защиты информации использует DLP-системы, но не включает антиспам. Либо используются организационные меры защиты конфиденциальной информации, но без установки технических средств контроля над выполнением этих мер.

Поскольку тема информационной безопасности включает не только борьбу с инсайдом, но и обязательное выполнение закона о защите персональных данных, лучше сразу выбирать сертифицированные средства защиты.

Группа компаний "ИПП"
Группа компаний Институт проблем предпринимательства
ЧОУ "ИПП" входит
в Группу компаний
"Институт проблем предпринимательства"
Контакты
ЧОУ "Институт проблем предпринимательства"
191119, Санкт-Петербург,
ул. Марата, д. 92
Тел.: (812) 703-40-88,
тел.: (812) 703-40-89
эл. почта: info@ippnou.ru
Сайт: http://www.ippnou.ru


Поиск
Карта сайта | Контакты | Календарный план | Обратная связь
© 2001-2019, ЧОУ "ИПП" - курсы МСФО, семинары, мастер-классы
При цитировании ссылка на сайт ЧОУ "ИПП" обязательна.
Гудзик Ольга Владимировна,
генеральный директор ЧОУ «ИПП».
Страница сгенерирована за: 0.253 сек.
Яндекс.Метрика