Wie Helpych könnte man sagen, ich habe in Zusammenarbeit geschrieben. Igor (Hilfe) erlaubte mir, als Beispiel einen Fall aus seiner Praxis zu verwenden, A. Andrey (Pravlalab) Als er meine Frage beantwortete, malte er im Allgemeinen alles so, dass ich Angst hatte, es zu bearbeiten. 
Und natürlich Andrey Nuikin (Agentur. PrivacyGuard) der als Spezialist für IT-Sicherheit den Artikel kommentierte.
Infolgedessen gab es Material, das die Redaktion der Zeitschrift Commercial Director halbierte und zwei Artikel verfasste. Dies - wurde in der Juni-Ausgabe veröffentlicht, die nächste wird im August veröffentlicht.
Wir sparen nicht regulatorische Vermögenswerte
Kirill Skazin,
CEO, Intelligente Sicherheitsprogramme
Als ständiger Begleiter des Wettbewerbs in der Wirtschaft gab es immer Wettbewerbsinformationen. Das Management eines Unternehmens, das eine Entwicklungsstrategie entwickelt, ist sich bewusst, dass in einer informationsabhängigen Gesellschaft der rechtzeitige Erhalt von Informationen und deren Analyse einer der Hauptvorteile gegenüber Wettbewerbern ist. Der Leiter muss verstehen, dass wahrscheinlich auch Informationen über sein Unternehmen gesammelt werden. Daher ist der Schutz von Informationen über sein Unternehmen nicht weniger wichtig als die Möglichkeit, Informationen über andere Personen zu erhalten.
Die Organisation und Entwicklung von Unternehmen jeglicher Art ist in erster Linie ein Kampf. Zuerst der Kampf um den Markteintritt, dann - um festzuhalten, Fuß zu fassen und zu wachsen. Und fast immer wird ein Unternehmen in einem eher aggressiven Wettbewerbsumfeld Festigkeitstests unterzogen.
=================================================== ============
Kirill Skazin Absolvierte VIPTS des Innenministeriums der Russischen Föderation. Pensionierter Oberstleutnant der Polizei. Von 2003 bis 2009 arbeitete er in der Sicherheitsstruktur des Renault-Konzerns. 2009 wurde er einer der Gründer von Intelligent Security Programs.
Programme für geistige Sicherheit CJSC (IPS-Gruppe) bietet Sicherheitsdienste. Zu den Kunden zählen Baker & McKenzie, Nissan, Sanofi-Aventis und Valeo.
=================================================== ============
In Gefahr
Das größte Risiko des Informationsverlusts besteht bei Unternehmen aus Unternehmensbereichen mit einer niedrigen Markteintrittsschwelle und wichtigen Produkten in Form von immateriellen Vermögenswerten (Umfragen, Projekte, Prüfungen, Beratung). Zum Beispiel Event Management, bei dem jeder Verkäufer Kunden kontaktiert und eine eigene Basis von Schlüsselkunden hat. Sein Ausscheiden aus dem Unternehmen ist mit psychischen oder finanziellen Beschwerden verbunden. Wenn jedoch sein Kundenstamm (ohne die Teilnahme des Mitarbeiters selbst) zu Wettbewerbern migriert, liegt ein Fehler im System zum Schutz von Geschäftsinformationen vor. Und dies liegt in der direkten Verantwortung des kaufmännischen Leiters und des Leiters der Verkaufsabteilung.
Schützen Sie die Hauptsache
Sicherlich hat niemand den Wunsch, paranoid zu werden und jeden Versuch, gemeinsame Grundlagen zu verwenden, manisch zu verbieten. Daher müssen zunächst Bereiche identifiziert werden, bestimmte Punkte, die geschützt werden müssen und bei denen der Verlust oder die Übertragung von Daten an andere Personen (z. B. Wettbewerber) das Geschäft mit schwerwiegenden Verlusten bedroht.
Dies mag kein völlig angemessenes Beispiel sein, aber im Fußball haben die in der Wand stehenden Spieler mit einem Freistoß die Möglichkeit, einen Ball in einen beliebigen Körperteil zu schlagen, aber sie schützen nicht die Beine und den Kopf, sondern nur das, was unter den gegebenen Umständen wirklich am anfälligsten ist .
Welcher Link in der Handelsabteilung ist am anfälligsten? Kundenbasis? Natürlich. Innovationen in Werbung, Marketing, Werbung? Sicherlich. Möglicherweise verfügen Sie im Management-Schulungssystem über spezielle Technologien, die Sie nicht mit Wettbewerbern teilen möchten.
Für den Schutz jedes dieser Blöcke sind Methoden zur Organisation der Personalkontrolle und zur Einschränkung des Zugriffs auf Informationen sowie zum Schutz von Software und Hardware von großer Bedeutung. Nachdem die Schwachstellen identifiziert wurden, ist es notwendig, solche Schutzmethoden zu entwickeln, die nicht mehr als 20% des potenziellen Budgets des Unternehmens verschlingen und es zu mindestens 80% schützen - gemäß Pareto-Gesetz.
Vor zwanzig Jahren besetzten die Archive von Dokumenten, die sich auf offizielle und geschäftliche Geheimnisse bezogen, ziemlich große, isolierte Räume mit einem speziellen Zugangsmodus, die nur zum Malen und zum Malen erhältlich waren
Stellen Sie sicher, dass Sie am Ende des Arbeitstages zurückkehren. Heutzutage kann alles, was in diesen Schränken und Safes liegt, problemlos auf mehrere Magnetplatten passen, und jeder, der Zugriff auf diese Informationen hat, kann diese problemlos kopieren und rendern
leiten Sie es per E-Mail weiter. Deshalb ist heute ein wirksamer Schutz von Kundendatenbanken, Dokumentation und allem, was ein Wettbewerbsvorteil des Unternehmens ist, ohne den Einsatz moderner IT-Technologien nicht möglich.
Unternehmen schaffen seriöse Informationssicherheitssysteme nicht nur von sich aus, sondern auch auf Ersuchen der Gesetze und Industriestandards (Bundesgesetz Nr. 152 „Zum Schutz personenbezogener Daten“ und PCI-DSS-Standard für Finanzorganisationen und Banken). In diesem Zusammenhang ist es erforderlich, die Zertifizierung von Schutzausrüstung gemäß den Anforderungen der Gesetzgebung und der Industriestandards zu berücksichtigen.
=================================================== ============
Meinung
Verteidigung um jeden Preis?
Andrey Nuykin , Zertifizierter Spezialist für Informationssicherheit
Der Markt für DLP-Systeme entwickelt sich aktiv. In den letzten Jahren sind viele neue Lösungen aufgetaucht. Die Kosten für jeden von ihnen hängen von den Anforderungen des Kunden ab und können von mehreren Zehntausend Rubel für ein einfaches System für ein kleines Unternehmen bis zu mehreren Millionen für die Erstellung von Systemen für große Unternehmen reichen.
Aus Erfahrung kann ich sagen, dass komplexe DLP-Systeme russischer Entwickler in 3-4 Millionen Rubel passen. zu einem Park von 250 Computern. Bei Bedarf sollten hier auch die Kosten für Geräte (Server, Datenspeichersysteme usw.) und die Kosten für Softwarelizenzen (Betriebssystem, DBMS usw.) hinzugefügt werden.
In jedem Fall hängen die Auswahl und die Kosten eines bestimmten DLP-Systems von vielen Faktoren ab (Kosten für geschützte Informationen, Bedrohungsmodell und Eindringlingsmodell, Online- oder Offline-Betriebsmodus des DLP-Systems, mögliche Leckagekanäle usw.).
In der einfachsten Version eines durchschnittlichen Unternehmens können Sie mit organisatorischen Maßnahmen und einfachen Softwaretools auskommen und 20 bis 30.000 Rubel erreichen. Das Schutzniveau wird jedoch angemessen sein.
Mit steigenden Anforderungen steigen die Kosten, und es ist sehr wichtig, ein Gleichgewicht zwischen den Kosten für den Schutz, den Kosten für geschützte Informationen und der Benutzerfreundlichkeit zu finden.
Nun, wir dürfen das schwächste Glied nicht vergessen - den Menschen. Kein System bietet 100% igen Schutz. Eine wichtige Rolle spielt die Sensibilisierung der Menschen im Bereich der Informationssicherheit.
Andrey Nuykin absolvierte das Militärische Institut für Regierungskommunikation in Orel. Bestandene Zertifizierung der internationalen Organisation ISACA - Certified Information Security Auditor (CISA) und Certified Information Security Manager (CISM). Erfahrung im Bereich Informationssicherheit - mehr als acht Jahre.
=================================================== ============
Intelligente Technologie ohne Schlamperei
IT-Methoden zum Informationsschutz basieren auf der Verwendung spezieller Softwaresysteme, beispielsweise DLP-Systeme (Data Loss Prevention, Data Leak Prevention). Die Implementierung des Systems ermöglicht es Ihnen, Informationen im Objekt zu erkennen und zu klassifizieren (z. B. in einer E-Mail-Nachricht, Datei, Anwendung).
die im Speicher des Computers gespeichert ist, verwendet wird oder über Kommunikationskanäle übertragen wird. DLP erlaubt
Wenden Sie dynamisch unterschiedliche Regeln auf diese Objekte an, beginnend mit dem Senden von Benachrichtigungen und endend mit dem Blockieren
(Tabelle 1).
Inwieweit sollte ein Manager über IT-Datenschutztechnologien informiert sein? Die beste Antwort ist nein! Wenn diese Front von einem guten Spezialisten abgedeckt wird und Sie nie auf das Problem des Diebstahls von Informationen gestoßen sind, ist dies eine illegale und unerwünschte Verbreitung. Wenn Sie mindestens einmal von einer solchen Katastrophe betroffen sind, müssen Sie die Zeit finden und die Erstellung (Änderung) des IT-Sicherheitssystems steuern.
Wie man die Notwendigkeit von Ausgaben rechtfertigt
Auf diese Frage gibt es eine einfache Antwort: Wenn der Anführer angemessen ist und als Söldner seine Position und sein Sein schätzt
Der Eigentümer ist sein Geld, er selbst muss den Wert der Schlüsselinformationen verstehen. Wenn trotzdem erforderlich
Beweise, der beste Weg ist ein praktisches Beispiel. Dafür musst du kein Spion werden. Die Notwendigkeit der Einführung einer Verordnung über Geschäftsgeheimnisse und die Umstrukturierung von Geschäftsprozessen, einschließlich der Einschränkung des Zugangs der Mitarbeiter zu strategischen Informationen, zu verschwenden, verschwenden keine kostbare Zeit mit Gesprächen. Setzen Sie sich an den Computer der Sekretärin, des Managers oder einer anderen Person, die während der Mittagspause des Mitarbeiters eingeschaltet geblieben ist, und kopieren Sie alles, was Sie für wertvoll halten, auf eine Karteikarte. Als nächstes können Sie mit einem Bericht an den CEO gehen, dass Ihr direkter Konkurrent Daten über ... weiter unten in der Liste erhalten hat. Sicherlich wird der Marktführer wütend genug sein, um die Einführung eines Systems von Schutzmaßnahmen im Unternehmen und beim IT-Pumpen am selben Tag zu genehmigen.
Menschlicher Faktor
Natürlich ist die Implementierung von DLP-Systemen zum Schutz von Informationen keineswegs begrenzt. IT-Technologien - dies ist nur ein Teil, ein separates Element, das noch aussteht und ein System für integrierte Sicherheit und Informationsschutz schafft.
Die Dokumente selbst sind jedoch keine Garantie für das absolute Wohlbefinden in Bezug auf Informationen
Sicherheit. In meiner Praxis gab es oft Unternehmen, die alles hatten: und sorgfältig vorgeschriebene Vorschriften,
und intelligente IT-Experten mit modernster Informationssicherheitssoftware. Und die Lecks gingen weiter.
In diesem Fall lohnt es sich, auf den menschlichen Faktor zu achten, genauer darauf, wie sich das Management des Unternehmens organisiert
und überwacht die Implementierung von Informationssicherheitsverfahren und wie Mitarbeiter diese Verfahren durchführen. Darüber
Lesen Sie in der Juli-Ausgabe des Magazins.
=================================================== ============
Meinung
Informationsbedrohungen
Julia Nikitina , Marketing Director, Sicherheitscode
Es ist bedauerlich festzustellen, dass Technologien, die die Entwicklung von Unternehmen unterstützen, auch Eindringlingen dienen, deren Zweck das Informationsvermögen von Unternehmen ist. Die Entwicklung und der weit verbreitete Einsatz von Computertechnologie führen dazu, dass die in Informationscomputersystemen gespeicherten und verarbeiteten Informationen vor einer Vielzahl von Bedrohungen geschützt werden müssen (Tabelle 2).
Beispiele aus der Weltpraxis, wenn Unternehmen für Wettbewerbsinformationen oder Kompromisszwecke eingesetzt werden
Die Computertechnologie erinnert mehr als genug an den Vorfall des letzten Jahres bei HSBC. Entlassen
Bankangestellter stahl die Daten von 15.000 Kunden. Die Benutzerkonten des Online-Banking-Systems waren betroffen,
hauptsächlich in der Schweiz und in Frankreich ansässig (nach dem Vorfall änderte die Bank das Sicherheitssystem, was ihn 94 Millionen Dollar kostete).
Eine der kostengünstigsten Möglichkeiten zum Schutz von Daten ist die Trennung der Zugriffsrechte auf Informationen, die in der virtuellen Infrastruktur verarbeitet werden, zwischen dem IT-Administrator und dem Sicherheitsadministrator.
Wenn die Informationssicherheit bedroht ist, können Sie den Schuldigen nicht immer finden. Oft wird ein Systemadministrator eines Lecks schuldig gesprochen, der aus Pflichtgründen Zugriffsrechte an Benutzer verteilt.
Daher ist es richtig sicherzustellen, dass Mitarbeiter mit dem Wissen des Informationsdienstes Zugang zu Informationen erhalten
Sicherheit.
"Sicherheitscode" - Russischer Entwickler von Software und Hardware, die Schutz bietet
Informationssysteme. Unter den Kunden - mehr als 2500 staatliche und kommerzielle Organisationen in Russland und Ländern
GUS. Offizielle Seite - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Und natürlich Andrey Nuikin (Agentur. PrivacyGuard) der als Spezialist für IT-Sicherheit den Artikel kommentierte.Infolgedessen gab es Material, das die Redaktion der Zeitschrift Commercial Director halbierte und zwei Artikel verfasste. Dies - wurde in der Juni-Ausgabe veröffentlicht, die nächste wird im August veröffentlicht.
Wir sparen nicht regulatorische Vermögenswerte
Kirill Skazin,
CEO, Intelligente Sicherheitsprogramme
Als ständiger Begleiter des Wettbewerbs in der Wirtschaft gab es immer Wettbewerbsinformationen. Das Management eines Unternehmens, das eine Entwicklungsstrategie entwickelt, ist sich bewusst, dass in einer informationsabhängigen Gesellschaft der rechtzeitige Erhalt von Informationen und deren Analyse einer der Hauptvorteile gegenüber Wettbewerbern ist. Der Leiter muss verstehen, dass wahrscheinlich auch Informationen über sein Unternehmen gesammelt werden. Daher ist der Schutz von Informationen über sein Unternehmen nicht weniger wichtig als die Möglichkeit, Informationen über andere Personen zu erhalten.
Die Organisation und Entwicklung von Unternehmen jeglicher Art ist in erster Linie ein Kampf. Zuerst der Kampf um den Markteintritt, dann - um festzuhalten, Fuß zu fassen und zu wachsen. Und fast immer wird ein Unternehmen in einem eher aggressiven Wettbewerbsumfeld Festigkeitstests unterzogen.
=================================================== ============
Kirill Skazin Absolvierte VIPTS des Innenministeriums der Russischen Föderation. Pensionierter Oberstleutnant der Polizei. Von 2003 bis 2009 arbeitete er in der Sicherheitsstruktur des Renault-Konzerns. 2009 wurde er einer der Gründer von Intelligent Security Programs.
Programme für geistige Sicherheit CJSC (IPS-Gruppe) bietet Sicherheitsdienste. Zu den Kunden zählen Baker & McKenzie, Nissan, Sanofi-Aventis und Valeo.
=================================================== ============
In Gefahr
Das größte Risiko des Informationsverlusts besteht bei Unternehmen aus Unternehmensbereichen mit einer niedrigen Markteintrittsschwelle und wichtigen Produkten in Form von immateriellen Vermögenswerten (Umfragen, Projekte, Prüfungen, Beratung). Zum Beispiel Event Management, bei dem jeder Verkäufer Kunden kontaktiert und eine eigene Basis von Schlüsselkunden hat. Sein Ausscheiden aus dem Unternehmen ist mit psychischen oder finanziellen Beschwerden verbunden. Wenn jedoch sein Kundenstamm (ohne die Teilnahme des Mitarbeiters selbst) zu Wettbewerbern migriert, liegt ein Fehler im System zum Schutz von Geschäftsinformationen vor. Und dies liegt in der direkten Verantwortung des kaufmännischen Leiters und des Leiters der Verkaufsabteilung.
Schützen Sie die Hauptsache
Sicherlich hat niemand den Wunsch, paranoid zu werden und jeden Versuch, gemeinsame Grundlagen zu verwenden, manisch zu verbieten. Daher müssen zunächst Bereiche identifiziert werden, bestimmte Punkte, die geschützt werden müssen und bei denen der Verlust oder die Übertragung von Daten an andere Personen (z. B. Wettbewerber) das Geschäft mit schwerwiegenden Verlusten bedroht.
Dies mag kein völlig angemessenes Beispiel sein, aber im Fußball haben die in der Wand stehenden Spieler mit einem Freistoß die Möglichkeit, einen Ball in einen beliebigen Körperteil zu schlagen, aber sie schützen nicht die Beine und den Kopf, sondern nur das, was unter den gegebenen Umständen wirklich am anfälligsten ist .
Welcher Link in der Handelsabteilung ist am anfälligsten? Kundenbasis? Natürlich. Innovationen in Werbung, Marketing, Werbung? Sicherlich. Möglicherweise verfügen Sie im Management-Schulungssystem über spezielle Technologien, die Sie nicht mit Wettbewerbern teilen möchten.
Für den Schutz jedes dieser Blöcke sind Methoden zur Organisation der Personalkontrolle und zur Einschränkung des Zugriffs auf Informationen sowie zum Schutz von Software und Hardware von großer Bedeutung. Nachdem die Schwachstellen identifiziert wurden, ist es notwendig, solche Schutzmethoden zu entwickeln, die nicht mehr als 20% des potenziellen Budgets des Unternehmens verschlingen und es zu mindestens 80% schützen - gemäß Pareto-Gesetz.
Vor zwanzig Jahren besetzten die Archive von Dokumenten, die sich auf offizielle und geschäftliche Geheimnisse bezogen, ziemlich große, isolierte Räume mit einem speziellen Zugangsmodus, die nur zum Malen und zum Malen erhältlich waren
Stellen Sie sicher, dass Sie am Ende des Arbeitstages zurückkehren. Heutzutage kann alles, was in diesen Schränken und Safes liegt, problemlos auf mehrere Magnetplatten passen, und jeder, der Zugriff auf diese Informationen hat, kann diese problemlos kopieren und rendern
leiten Sie es per E-Mail weiter. Deshalb ist heute ein wirksamer Schutz von Kundendatenbanken, Dokumentation und allem, was ein Wettbewerbsvorteil des Unternehmens ist, ohne den Einsatz moderner IT-Technologien nicht möglich.
Unternehmen schaffen seriöse Informationssicherheitssysteme nicht nur von sich aus, sondern auch auf Ersuchen der Gesetze und Industriestandards (Bundesgesetz Nr. 152 „Zum Schutz personenbezogener Daten“ und PCI-DSS-Standard für Finanzorganisationen und Banken). In diesem Zusammenhang ist es erforderlich, die Zertifizierung von Schutzausrüstung gemäß den Anforderungen der Gesetzgebung und der Industriestandards zu berücksichtigen.
=================================================== ============
Meinung
Verteidigung um jeden Preis?
Andrey Nuykin , Zertifizierter Spezialist für Informationssicherheit
Der Markt für DLP-Systeme entwickelt sich aktiv. In den letzten Jahren sind viele neue Lösungen aufgetaucht. Die Kosten für jeden von ihnen hängen von den Anforderungen des Kunden ab und können von mehreren Zehntausend Rubel für ein einfaches System für ein kleines Unternehmen bis zu mehreren Millionen für die Erstellung von Systemen für große Unternehmen reichen.
Aus Erfahrung kann ich sagen, dass komplexe DLP-Systeme russischer Entwickler in 3-4 Millionen Rubel passen. zu einem Park von 250 Computern. Bei Bedarf sollten hier auch die Kosten für Geräte (Server, Datenspeichersysteme usw.) und die Kosten für Softwarelizenzen (Betriebssystem, DBMS usw.) hinzugefügt werden.
In jedem Fall hängen die Auswahl und die Kosten eines bestimmten DLP-Systems von vielen Faktoren ab (Kosten für geschützte Informationen, Bedrohungsmodell und Eindringlingsmodell, Online- oder Offline-Betriebsmodus des DLP-Systems, mögliche Leckagekanäle usw.).
In der einfachsten Version eines durchschnittlichen Unternehmens können Sie mit organisatorischen Maßnahmen und einfachen Softwaretools auskommen und 20 bis 30.000 Rubel erreichen. Das Schutzniveau wird jedoch angemessen sein.
Mit steigenden Anforderungen steigen die Kosten, und es ist sehr wichtig, ein Gleichgewicht zwischen den Kosten für den Schutz, den Kosten für geschützte Informationen und der Benutzerfreundlichkeit zu finden.
Nun, wir dürfen das schwächste Glied nicht vergessen - den Menschen. Kein System bietet 100% igen Schutz. Eine wichtige Rolle spielt die Sensibilisierung der Menschen im Bereich der Informationssicherheit.
Andrey Nuykin absolvierte das Militärische Institut für Regierungskommunikation in Orel. Bestandene Zertifizierung der internationalen Organisation ISACA - Certified Information Security Auditor (CISA) und Certified Information Security Manager (CISM). Erfahrung im Bereich Informationssicherheit - mehr als acht Jahre.
=================================================== ============
Intelligente Technologie ohne Schlamperei
IT-Methoden zum Informationsschutz basieren auf der Verwendung spezieller Softwaresysteme, beispielsweise DLP-Systeme (Data Loss Prevention, Data Leak Prevention). Die Implementierung des Systems ermöglicht es Ihnen, Informationen im Objekt zu erkennen und zu klassifizieren (z. B. in einer E-Mail-Nachricht, Datei, Anwendung).
die im Speicher des Computers gespeichert ist, verwendet wird oder über Kommunikationskanäle übertragen wird. DLP erlaubt
Wenden Sie dynamisch unterschiedliche Regeln auf diese Objekte an, beginnend mit dem Senden von Benachrichtigungen und endend mit dem Blockieren
(Tabelle 1).
Inwieweit sollte ein Manager über IT-Datenschutztechnologien informiert sein? Die beste Antwort ist nein! Wenn diese Front von einem guten Spezialisten abgedeckt wird und Sie nie auf das Problem des Diebstahls von Informationen gestoßen sind, ist dies eine illegale und unerwünschte Verbreitung. Wenn Sie mindestens einmal von einer solchen Katastrophe betroffen sind, müssen Sie die Zeit finden und die Erstellung (Änderung) des IT-Sicherheitssystems steuern.
Wie man die Notwendigkeit von Ausgaben rechtfertigt
Auf diese Frage gibt es eine einfache Antwort: Wenn der Anführer angemessen ist und als Söldner seine Position und sein Sein schätzt
Der Eigentümer ist sein Geld, er selbst muss den Wert der Schlüsselinformationen verstehen. Wenn trotzdem erforderlich
Beweise, der beste Weg ist ein praktisches Beispiel. Dafür musst du kein Spion werden. Die Notwendigkeit der Einführung einer Verordnung über Geschäftsgeheimnisse und die Umstrukturierung von Geschäftsprozessen, einschließlich der Einschränkung des Zugangs der Mitarbeiter zu strategischen Informationen, zu verschwenden, verschwenden keine kostbare Zeit mit Gesprächen. Setzen Sie sich an den Computer der Sekretärin, des Managers oder einer anderen Person, die während der Mittagspause des Mitarbeiters eingeschaltet geblieben ist, und kopieren Sie alles, was Sie für wertvoll halten, auf eine Karteikarte. Als nächstes können Sie mit einem Bericht an den CEO gehen, dass Ihr direkter Konkurrent Daten über ... weiter unten in der Liste erhalten hat. Sicherlich wird der Marktführer wütend genug sein, um die Einführung eines Systems von Schutzmaßnahmen im Unternehmen und beim IT-Pumpen am selben Tag zu genehmigen.
Menschlicher Faktor
Natürlich ist die Implementierung von DLP-Systemen zum Schutz von Informationen keineswegs begrenzt. IT-Technologien - dies ist nur ein Teil, ein separates Element, das noch aussteht und ein System für integrierte Sicherheit und Informationsschutz schafft.
Die Dokumente selbst sind jedoch keine Garantie für das absolute Wohlbefinden in Bezug auf Informationen
Sicherheit. In meiner Praxis gab es oft Unternehmen, die alles hatten: und sorgfältig vorgeschriebene Vorschriften,
und intelligente IT-Experten mit modernster Informationssicherheitssoftware. Und die Lecks gingen weiter.
In diesem Fall lohnt es sich, auf den menschlichen Faktor zu achten, genauer darauf, wie sich das Management des Unternehmens organisiert
und überwacht die Implementierung von Informationssicherheitsverfahren und wie Mitarbeiter diese Verfahren durchführen. Darüber
Lesen Sie in der Juli-Ausgabe des Magazins.
=================================================== ============
Meinung
Informationsbedrohungen
Julia Nikitina , Marketing Director, Sicherheitscode
Es ist bedauerlich festzustellen, dass Technologien, die die Entwicklung von Unternehmen unterstützen, auch Eindringlingen dienen, deren Zweck das Informationsvermögen von Unternehmen ist. Die Entwicklung und der weit verbreitete Einsatz von Computertechnologie führen dazu, dass die in Informationscomputersystemen gespeicherten und verarbeiteten Informationen vor einer Vielzahl von Bedrohungen geschützt werden müssen (Tabelle 2).
Beispiele aus der Weltpraxis, wenn Unternehmen für Wettbewerbsinformationen oder Kompromisszwecke eingesetzt werden
Die Computertechnologie erinnert mehr als genug an den Vorfall des letzten Jahres bei HSBC. Entlassen
Bankangestellter stahl die Daten von 15.000 Kunden. Die Benutzerkonten des Online-Banking-Systems waren betroffen,
hauptsächlich in der Schweiz und in Frankreich ansässig (nach dem Vorfall änderte die Bank das Sicherheitssystem, was ihn 94 Millionen Dollar kostete).
Eine der kostengünstigsten Möglichkeiten zum Schutz von Daten ist die Trennung der Zugriffsrechte auf Informationen, die in der virtuellen Infrastruktur verarbeitet werden, zwischen dem IT-Administrator und dem Sicherheitsadministrator.
Wenn die Informationssicherheit bedroht ist, können Sie den Schuldigen nicht immer finden. Oft wird ein Systemadministrator eines Lecks schuldig gesprochen, der aus Pflichtgründen Zugriffsrechte an Benutzer verteilt.
Daher ist es richtig sicherzustellen, dass Mitarbeiter mit dem Wissen des Informationsdienstes Zugang zu Informationen erhalten
Sicherheit.
"Sicherheitscode" - Russischer Entwickler von Software und Hardware, die Schutz bietet
Informationssysteme. Unter den Kunden - mehr als 2500 staatliche und kommerzielle Organisationen in Russland und Ländern
GUS. Offizielle Seite - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Anhänge
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
