Российская группа "Траст" открывает дочерний банк на Украине (коментар Олександра Бродського, Голови Правління ВАТ ТФБ "Контракт") // Коммерсантъ - 2007. - № 37 (6 марта).Дабы исключить негативные последствия разного рода вторжений и посягательств на конфиденциальные данные, компании вынуждены особенно тщательно подходить к организации системы защиты информации. Это не только предотвращает утечку крайне важных сведений, но и исключает их искажение, обеспечивая тем самым функциональность информационных систем. Отечественные компании неохотно рассказывают о своих просчетах в области информационной IT-безопасности, ссылаясь на закрытость информации. И это понятно. Ведь утечка конфиденциальных данных чревата печальными последствиями. Ухудшение имиджа, муссирование темы в прессе и плохое паблисити – это лишь цветочки. Ягодки начинаются при подсчетах денежных потерь и дальнейшем снижении прибыльности активов. В лучшем случае через год-два компания сможет «отмыть» репутацию и вернуть долю на рынке. В худшем – объявит себя банкротом. Анализ годовых финансовых отчетов компаний, где были зафиксированы громкие утечки более года назад, показывает, что ухудшение имиджа может привести к снижению чистой прибыли на 20-30% в результате недополученного дохода. Например, такую участь опробовала на себе американская компания ChoicePoint, допустившая утечку в 2005 году. Тогда украденные приватные данные граждан США привели к убыткам в полсотни миллионов долларов. Во избежание подобных потерь, на современном предприятии должны быть приняты все необходимые меры для обеспечения максимальной степени защиты информации. Как уберечься В зависимости от размеров компании и ее сферы деятельности различаются и подходы к разработке политики безопасности и принципы построения систем защиты информации. Впрочем, спектр используемых решений достаточно устойчив. К наиболее популярным и обязательным средствам защиты информации относятся межсетевые экраны (они же firewall), антивирусные и антишпионские средства, серверные списки контроля доступа, системы обнаружения вторжений. Это самые популярные технологии ИБ, необходимые для построения корпоративной системы защиты информации. В случае если стоимость информации невысока, а главная задача защиты состоит в обеспечении стабильной работы сети, то набора, включающего firewall-средства построения VPN (виртуальная частная сеть) и антивирус, достаточно. Однако если речь идет не о малом бизнесе, где сеть насчитывает несколько десятков рабочих станций, то базовых инструментов защиты мало. В сети могут присутствовать файловые, почтовые серверы, рабочие станции, и на каждом таком узле установлено множество программ, неправильная настройка которых значительно ослабляет защиту сети и, соответственно, упрощает возможность несанкционированного доступа. Эффективным средством обнаружения слабых мест в сети являются средства анализа защищенности. Один из таких инструментов – сканеры безопасности (сетевые сканеры), которые позволяют исследовать сетевые ресурсы на предмет наличия слабых мест, произвести анализ полученных данных и получить отчет обо всех найденных уязвимых местах. Другим адаптивным средством безопасности являются системы обнаружения и предотвращения вторжений (IDS/IPS). Они занимаются мониторингом и анализом вверенных им ресурсов. В случае обнаружения подозрительных действий системы IDS сообщают об этом, а также дают информацию об их характере. Системы IPS, помимо этого, предпринимают активные действия по блокированию атак. Перечисленные инструменты защиты составляют лишь малую часть от существующего в настоящее время арсенала средств защиты информации. Кроме них, в современных компаниях распространены решения по мониторингу трафика, разграничению доступа, управлению уязвимостями, добавочной защите операционных систем, управлению безопасностью и др. По словам директора департамента IT-консалтинга корпорации «Инком» Эдуарда Савушкина, зачастую под безопасностью подразумевается только один аспект, связанный с конфиденциальностью, и не рассматриваются вопросы целостности и доступности. При этом мероприятия по обеспечению безопасности в большей степени связаны с техническими средствами защиты, комплекс как таковой не рассматривается.
Наиболее эффективной защитой информации компании является комплексность мероприятий по обеспечению ИБ. В соответствии с системным подходом, прежде всего необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы – организационные и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети. Особенно комплексные системы защиты актуальны для финансовых структур, где потеря информации чревата серьезными последствиями. Во многих банках не только строго контролируется и ограничивается доступ, но и существуют запреты на копирование информации на внешние носители, на возможность работы пользователей с любым ПО, кроме установленного IT-департаментом. Информационная система Правэкс-Банка представляет собой систему закрытого типа. Точки подключения к вычислительной сети банка постоянно контролируются. По словам заместителя председателя правления Правэкс-Банка Валерия Билана, доступ к информации организуется по принципу минимальной необходимости. «Ведется постоянный аудит подключений пользователей и попыток несанкционированного доступа. Активно применяются технологии тонких клиентов (бездисковых станций) и терминальных серверов. Печать информации строго контролируется. Контроль осуществляется средствами операционных систем и политиками, управляемыми из центра», – поделился информацией Билан. Довольно серьезно защищен банк от проникновения различных вирусов. Здесь используется многоуровневая система антивирусной защиты. Это значит, что применяются как локальные средства защиты каждого банковского компьютера, так и внешний периметр, защищающий корпоративную и интернет-почту от проникновения вирусов. Причем на разных уровнях применяется антивирусное ПО трех разных производителей, что повышает общую защищенность информационной системы банка. Подобной политики ИБ придерживаются и в банке «Контракт». По рассказу заместителя председателя правления банка Сергея Алексеенко, здесь принята и действует комплексная программа информационной безопасности. Защита идет по трем основным направлениям – предотвращение утечки информации, недопущение утраты или искажения информации, обеспечение функциональности информационных систем банка. Принимаемые меры достаточно эффективны, при этом соблюдается разумное равновесие между эффективностью и стоимостью принимаемых решений. К слову, основные статьи затрат приходятся на стоимость межсетевого экрана (около тыс., разовые затраты) и антивирусного ПО ( тыс. в год). Не менее серьезно озабочены защитой информации крупные производители и компании, оперирующие объемными массивами данных строго конфиденциального характера. Дабы не допустить попадания критичной информации в руки конкурентов, их службы безопасности прибегают к различным методам защиты. К примеру, в компании «Союз Виктан» ежегодно проводится процедура финансового аудита, в рамках которого выполняется и аудит службы информационных технологий, в частности, информационной безопасности предприятия. Коммерческий директор компании «Фокстрот IT» Андрей Ярошовец рассказал, что в их компании каждый сотрудник, независимо от своего служебного положения, владеет только той информацией, которая ему необходима для работы. «Для этого создана система классификации с ограниченным доступом различных категорий сотрудников и установлена персональная ответственность за сохранность конфиденциальной информации с четкой градацией мер дисциплинарного и материального воздействия за ее утечку, подделку, повреждение или утерю, а также за нарушения политики информационной безопасности», – поделился информацией Ярошовец. В рекрутинговом агентстве Action Group функция защиты информации является одной из опций в рабочем программном обеспечении Recruitment HRM, написанном на базе системы управления взаимоотношениями с клиентами (CRM). Кроме общего естественного предназначения, данное решение гарантирует высокий уровень защиты внутрикорпоративной информации компании. «Теоретически скопировать информацию, наверное, можно. Вот только без наличия соответствующей оболочки прочесть ее невозможно. Особенностью CRM программ является также то, что при репликации (передача данных с помощью удаленного доступа) программа формирует закодированный файл – код из нескольких десятков чисел. Даже если письмо и будет перехвачено, прочесть его, не находясь в общей сети и не имея соответствующей программной оболочки, невозможно», – подчеркнул директор компании Action Group Дмитрий Клим. Инвестиции в информационную безопасность несоизмеримы с возможными потерями как от утечки конфиденциальной информации, так и от ее утраты или искажения. «Грамотно построенная система информационной безопасности обходится компаниям в 5-10% от их оборота. Стоимость зависит от профиля и сферы деятельности компании, критичности информации и др. Если компания выходит на IPO, ей необходимо провести полный аудит и получить соответствующий сертификат. Это тоже входит в стоимость построения системы безопасности. Есть проекты, стоимость которых начинается от тыс., а есть такие, которые обходятся и в млн.», – подчеркнул Эдуард Савушкин.
|
Відомі компанії
рекомендують “Контракт”
рекомендують “Контракт”
