Like Helpych, one might say, I wrote in collaboration. Igor (Help) allowed me to use as an example a case from his practice, A Andrey (Pravlalab) , so he generally, answering my question, painted everything so that I was afraid to edit. 
And of course Andrey Nuikin (Agency. PrivacyGuard) who, as a specialist in IT security, commented on the article.
As a result, there was material that the editorial board of the magazine Commercial Director halved and made two articles. This - was released in the June issue, the next will be released in August.
We save non-regulatory assets
Kirill Skazin,
CEO, Intelligent Security Programs
As a constant companion of competition in business, there has always been competitive intelligence. And the management of any company, building a development strategy, is fully aware that in an information-dependent society, timely receipt of information and its analysis is one of the main advantages over competitors. The manager must understand that information about his company is also likely to be collected, and therefore protecting information about his business is no less important than being able to learn about someone else's.
The organization and development of perhaps any type of business is, first and foremost, a struggle. First, the struggle to enter the market, then - to hold on, gain a foothold and grow. And almost always, a business is subjected to strength tests in a rather aggressive competitive environment.
=================================================== ============
Kirill Skazin Graduated from VIPTS of the Ministry of Internal Affairs of the Russian Federation. Retired police lieutenant colonel. From 2003 to 2009 he worked in the security structure of the Renault concern. In 2009, he became one of the founders of Intelligent Security Programs.
Intellectual Security Programs CJSC (IPS group) provides security services. Among the clients are Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
At risk
The greatest risk of losing information exists in companies from business sectors with a low threshold for entering the market and major products in the form of intangible assets (surveys, projects, examinations, consulting). For example, event management, where each seller contacts customers and has its own base of key customers. His departure from the company entails psychological or financial discomfort. But if his client base (without the participation of the employee himself) migrates to competitors - there is a flaw in the system of protecting commercial information. And this is the direct responsibility of the commercial director and the head of the sales department.
Protect the main thing
Surely no one has the desire to become paranoid, manically prohibiting any attempt to use common bases. Therefore, the first thing to be done is to identify areas, specific points that require protection and at which loss or transfer of data to other people (for example, competitors) threatens business with serious losses.
This may not be an entirely appropriate example, but in football, with a free-kick, the players standing in the wall have a chance to get a ball hit in any part of the body, but they protect not the legs and the head, but only what in the circumstances is really the most vulnerable .
Which link in the commercial department is the most vulnerable? Customer base? Of course. Innovations in promotion, marketing, advertising? Surely. Perhaps, in the managerial training system, you have special technologies that you don’t want to share with competitors.
In protecting each of these blocks, methods of organizing personnel control and restricting access to information, as well as software and hardware protection, are of great importance. Having identified the pain points, it is necessary to develop such protection methods that would eat up no more than 20% of the company's potential budget and protect it by at least 80% - according to Pareto law.
Twenty years ago, the archives of documents related to official and commercial secrets occupied rather large isolated rooms with a special access mode; they could be obtained only for painting and for painting
at the end of the working day, be sure to return. Today, everything that lay in these cabinets and safes can easily fit on several magnetic disks, and anyone who has access to this information can easily copy and render
forward it by email. That is why today effective protection of client databases, documentation and all that is a competitive advantage of the company is impossible without the use of modern IT technologies.
Companies create serious information security systems not only on their own initiative, but also at the request of the law and industry standards (Federal Law No. 152 “On the Protection of Personal Data” and the PCI DSS standard for financial organizations and banks). In this regard, it is necessary to take into account the certification of protective equipment in accordance with the requirements of legislation and industry standards.
=================================================== ============
Opinion
Defense at all costs?
Andrey Nuykin , Certified Information Security Specialist
The DLP-systems market is actively developing; over the past few years, many new solutions have appeared. The cost of each of them depends on the requirements of the customer and can range from several tens of thousands of rubles for a simple system for a small company to several million for creating systems for large corporations.
From experience, I can say that complex DLP systems of Russian developers fit into 3-4 million rubles. to a park of 250 computers. If necessary, the cost of equipment (servers, data storage systems, etc.) and the cost of software licenses (OS, DBMS, etc.) should also be added here.
But in any case, the choice and cost of a particular DLP system depends on many factors (cost of protected information, threat model and intruder model, online or offline DLP system operation mode, possible leakage channels, etc.).
In the simplest version for an average company, you can get by with organizational measures and simple software tools and meet 20-30 thousand rubles. However, the level of protection will be appropriate.
With the growth of requirements, the cost grows, and it is very important to find a balance between the cost of protection, the cost of protected information and ease of use.
Well, we must not forget about the weakest link — man. No system will provide 100% protection. One of the significant roles is played by raising the awareness of people in the field of information security.
Andrey Nuykin graduated from the Military Institute of Government Communications in Orel. Passed certification of the international organization ISACA - certified information security auditor (CISA) and certified information security manager (CISM). Experience in the field of information security - more than eight years.
=================================================== ============
Smart technology minus sloppiness
IT methods of information protection are based on the use of special software systems, for example, DLP (data loss prevention, data leak prevention) systems. The implementation of the system allows you to recognize and classify information in the object (for example, in an e-mail message, file, application),
which is stored in the computer’s memory, is in use or transmitted through communication channels. DLP allows
dynamically apply different rules to these objects, starting with sending notifications and ending with blocking
(Table 1).
To what extent should a manager be aware of IT data protection technologies? The best answer is no! If this front is covered by a good specialist and you have never encountered the problem of theft of information, its illegal and unwanted distribution. If at least once such a disaster strikes you, you must find the time and control the creation (change) of the IT security system.
How to justify the need for expenses
There is a simple answer to this question: if the leader is adequate and, being a mercenary, appreciates his position, and being
the owner is his money, he himself must understand the value of key information. If nevertheless required
evidence, the best way is a practical example. You don’t have to become a spy for this. Explaining the need to introduce a regulation on trade secrets, restructure business processes, including restricting employees' access to strategic information, do not waste precious time talking. Sit down at the computer of the secretary, manager or any other person who remained on during the lunch break of an employee and copy everything that you think is valuable onto a flash card. Next, you can go to the CEO with a report that your direct competitor has received data about ... further down the list. Surely the leader will be furious enough to approve the introduction of a system of protective measures at the enterprise and IT pumping on the same day.
Human factor
Of course, the implementation of DLP-systems work to protect information is far from limited. IT-technologies - this is only a part, a separate element that has yet to come, creating a system of integrated security and information protection.
However, the documents themselves are not a guarantee of absolute well-being in terms of information
security. In my practice, there were often companies that had everything: and carefully prescribed regulations,
and smart IT professionals with state-of-the-art information security software. And the leaks continued.
In this case, it is worth paying attention to the human factor, more precisely, to how the management of the company organizes
and monitors the implementation of information protection procedures and how employees perform these procedures. About it
read in the July issue of the magazine.
=================================================== ============
Opinion
Information Threats
Julia Nikitina , Marketing Director, Security Code
It is regrettable to note that technologies that help the development of companies also serve intruders whose purpose is the information assets of companies. The development and widespread use of computer technology leads to the need to protect the information stored and processed in information computer systems from a large number of threats (table 2).
Examples from world practice when companies are used for competitive intelligence or compromising purposes
computer technology, more than enough, recall at least last year’s incident at HSBC. Dismissed
Bank employee stole the details of 15,000 customers. The user accounts of the online banking system were affected,
mainly residents of Switzerland and France (after the incident, the bank changed the security system, which cost him $ 94 million).
One of the most affordable ways to protect data is the separation of access rights to information processed in the virtual infrastructure between the IT administrator and the security administrator.
If there is a threat to information security, it is not always possible to find the culprit. Often, a system administrator is recognized as guilty of a leak, who, on duty, distributed access rights to users.
Therefore, it is right to ensure that employees get access to information with the knowledge of the information service
security.
"Security code" - Russian developer of software and hardware that provides protection
information systems. Among clients - more than 2500 state and commercial organizations in Russia and countries
CIS. Official site - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
And of course Andrey Nuikin (Agency. PrivacyGuard) who, as a specialist in IT security, commented on the article.As a result, there was material that the editorial board of the magazine Commercial Director halved and made two articles. This - was released in the June issue, the next will be released in August.
We save non-regulatory assets
Kirill Skazin,
CEO, Intelligent Security Programs
As a constant companion of competition in business, there has always been competitive intelligence. And the management of any company, building a development strategy, is fully aware that in an information-dependent society, timely receipt of information and its analysis is one of the main advantages over competitors. The manager must understand that information about his company is also likely to be collected, and therefore protecting information about his business is no less important than being able to learn about someone else's.
The organization and development of perhaps any type of business is, first and foremost, a struggle. First, the struggle to enter the market, then - to hold on, gain a foothold and grow. And almost always, a business is subjected to strength tests in a rather aggressive competitive environment.
=================================================== ============
Kirill Skazin Graduated from VIPTS of the Ministry of Internal Affairs of the Russian Federation. Retired police lieutenant colonel. From 2003 to 2009 he worked in the security structure of the Renault concern. In 2009, he became one of the founders of Intelligent Security Programs.
Intellectual Security Programs CJSC (IPS group) provides security services. Among the clients are Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
At risk
The greatest risk of losing information exists in companies from business sectors with a low threshold for entering the market and major products in the form of intangible assets (surveys, projects, examinations, consulting). For example, event management, where each seller contacts customers and has its own base of key customers. His departure from the company entails psychological or financial discomfort. But if his client base (without the participation of the employee himself) migrates to competitors - there is a flaw in the system of protecting commercial information. And this is the direct responsibility of the commercial director and the head of the sales department.
Protect the main thing
Surely no one has the desire to become paranoid, manically prohibiting any attempt to use common bases. Therefore, the first thing to be done is to identify areas, specific points that require protection and at which loss or transfer of data to other people (for example, competitors) threatens business with serious losses.
This may not be an entirely appropriate example, but in football, with a free-kick, the players standing in the wall have a chance to get a ball hit in any part of the body, but they protect not the legs and the head, but only what in the circumstances is really the most vulnerable .
Which link in the commercial department is the most vulnerable? Customer base? Of course. Innovations in promotion, marketing, advertising? Surely. Perhaps, in the managerial training system, you have special technologies that you don’t want to share with competitors.
In protecting each of these blocks, methods of organizing personnel control and restricting access to information, as well as software and hardware protection, are of great importance. Having identified the pain points, it is necessary to develop such protection methods that would eat up no more than 20% of the company's potential budget and protect it by at least 80% - according to Pareto law.
Twenty years ago, the archives of documents related to official and commercial secrets occupied rather large isolated rooms with a special access mode; they could be obtained only for painting and for painting
at the end of the working day, be sure to return. Today, everything that lay in these cabinets and safes can easily fit on several magnetic disks, and anyone who has access to this information can easily copy and render
forward it by email. That is why today effective protection of client databases, documentation and all that is a competitive advantage of the company is impossible without the use of modern IT technologies.
Companies create serious information security systems not only on their own initiative, but also at the request of the law and industry standards (Federal Law No. 152 “On the Protection of Personal Data” and the PCI DSS standard for financial organizations and banks). In this regard, it is necessary to take into account the certification of protective equipment in accordance with the requirements of legislation and industry standards.
=================================================== ============
Opinion
Defense at all costs?
Andrey Nuykin , Certified Information Security Specialist
The DLP-systems market is actively developing; over the past few years, many new solutions have appeared. The cost of each of them depends on the requirements of the customer and can range from several tens of thousands of rubles for a simple system for a small company to several million for creating systems for large corporations.
From experience, I can say that complex DLP systems of Russian developers fit into 3-4 million rubles. to a park of 250 computers. If necessary, the cost of equipment (servers, data storage systems, etc.) and the cost of software licenses (OS, DBMS, etc.) should also be added here.
But in any case, the choice and cost of a particular DLP system depends on many factors (cost of protected information, threat model and intruder model, online or offline DLP system operation mode, possible leakage channels, etc.).
In the simplest version for an average company, you can get by with organizational measures and simple software tools and meet 20-30 thousand rubles. However, the level of protection will be appropriate.
With the growth of requirements, the cost grows, and it is very important to find a balance between the cost of protection, the cost of protected information and ease of use.
Well, we must not forget about the weakest link — man. No system will provide 100% protection. One of the significant roles is played by raising the awareness of people in the field of information security.
Andrey Nuykin graduated from the Military Institute of Government Communications in Orel. Passed certification of the international organization ISACA - certified information security auditor (CISA) and certified information security manager (CISM). Experience in the field of information security - more than eight years.
=================================================== ============
Smart technology minus sloppiness
IT methods of information protection are based on the use of special software systems, for example, DLP (data loss prevention, data leak prevention) systems. The implementation of the system allows you to recognize and classify information in the object (for example, in an e-mail message, file, application),
which is stored in the computer’s memory, is in use or transmitted through communication channels. DLP allows
dynamically apply different rules to these objects, starting with sending notifications and ending with blocking
(Table 1).
To what extent should a manager be aware of IT data protection technologies? The best answer is no! If this front is covered by a good specialist and you have never encountered the problem of theft of information, its illegal and unwanted distribution. If at least once such a disaster strikes you, you must find the time and control the creation (change) of the IT security system.
How to justify the need for expenses
There is a simple answer to this question: if the leader is adequate and, being a mercenary, appreciates his position, and being
the owner is his money, he himself must understand the value of key information. If nevertheless required
evidence, the best way is a practical example. You don’t have to become a spy for this. Explaining the need to introduce a regulation on trade secrets, restructure business processes, including restricting employees' access to strategic information, do not waste precious time talking. Sit down at the computer of the secretary, manager or any other person who remained on during the lunch break of an employee and copy everything that you think is valuable onto a flash card. Next, you can go to the CEO with a report that your direct competitor has received data about ... further down the list. Surely the leader will be furious enough to approve the introduction of a system of protective measures at the enterprise and IT pumping on the same day.
Human factor
Of course, the implementation of DLP-systems work to protect information is far from limited. IT-technologies - this is only a part, a separate element that has yet to come, creating a system of integrated security and information protection.
However, the documents themselves are not a guarantee of absolute well-being in terms of information
security. In my practice, there were often companies that had everything: and carefully prescribed regulations,
and smart IT professionals with state-of-the-art information security software. And the leaks continued.
In this case, it is worth paying attention to the human factor, more precisely, to how the management of the company organizes
and monitors the implementation of information protection procedures and how employees perform these procedures. About it
read in the July issue of the magazine.
=================================================== ============
Opinion
Information Threats
Julia Nikitina , Marketing Director, Security Code
It is regrettable to note that technologies that help the development of companies also serve intruders whose purpose is the information assets of companies. The development and widespread use of computer technology leads to the need to protect the information stored and processed in information computer systems from a large number of threats (table 2).
Examples from world practice when companies are used for competitive intelligence or compromising purposes
computer technology, more than enough, recall at least last year’s incident at HSBC. Dismissed
Bank employee stole the details of 15,000 customers. The user accounts of the online banking system were affected,
mainly residents of Switzerland and France (after the incident, the bank changed the security system, which cost him $ 94 million).
One of the most affordable ways to protect data is the separation of access rights to information processed in the virtual infrastructure between the IT administrator and the security administrator.
If there is a threat to information security, it is not always possible to find the culprit. Often, a system administrator is recognized as guilty of a leak, who, on duty, distributed access rights to users.
Therefore, it is right to ensure that employees get access to information with the knowledge of the information service
security.
"Security code" - Russian developer of software and hardware that provides protection
information systems. Among clients - more than 2500 state and commercial organizations in Russia and countries
CIS. Official site - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Attachments
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
