- Inscrit
- 17 Nov. 2010
- messages
- 1,428
- Score de réaction
- 7
- Points
- 38
- Age
- 62
Comme Helpych, pourrait-on dire, j'ai écrit en collaboration. Igor (Aide) m'a permis d'utiliser comme exemple un cas de sa pratique, A Andrey (Pravlalab) , donc généralement, répondant à ma question, il a tout peint pour que j'aie peur de retoucher. Et bien sûr Andrey Nuikin (Agence. PrivacyGuard) qui, en tant que spécialiste de la sécurité informatique, a commenté l'article.
En conséquence, il y avait du matériel que le comité de rédaction du magazine Commercial Director a divisé par deux et a fait deux articles. Ce - a été publié dans le numéro de juin, le prochain sera publié en août.
Nous économisons des actifs non réglementaires
Kirill Skazin,
PDG, Programmes de sécurité intelligente
En tant que compagnon constant de la concurrence dans les affaires, il y a toujours eu une veille concurrentielle. Et la direction de toute entreprise, bâtissant une stratégie de développement, est pleinement consciente que dans une société dépendante de l'information, la réception rapide des informations et leur analyse est l'un des principaux avantages par rapport aux concurrents. Le gestionnaire doit comprendre que des informations sur son entreprise sont également susceptibles d'être collectées, et par conséquent, la protection des informations sur son entreprise n'est pas moins importante que la possibilité de s'informer sur celle de quelqu'un d'autre.
L'organisation et le développement de n'importe quel type d'entreprise est, avant tout, une lutte. Tout d'abord, la lutte pour entrer sur le marché, puis - pour tenir, prendre pied et croître. Et presque toujours, une entreprise est soumise à des tests de résistance dans un environnement concurrentiel plutôt agressif.
=================================================== ============
Kirill Skazin Diplômé de VIPTS du Ministère des Affaires Intérieures de la Fédération de Russie. Lieutenant-colonel de police à la retraite. De 2003 à 2009, il a travaillé dans la structure de sécurité de l'entreprise Renault. En 2009, il est devenu l'un des fondateurs des programmes de sécurité intelligente.
Programmes de sécurité intellectuelle CJSC (groupe IPS) fournit des services de sécurité. Parmi les clients figurent Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
À risque
Le plus grand risque de perte d'informations existe dans les entreprises des secteurs d'activité avec un seuil d'entrée sur le marché bas et les principaux produits sous forme d'actifs incorporels (enquêtes, projets, examens, conseil). Par exemple, la gestion d'événements, où chaque vendeur contacte des clients et a sa propre base de clients clés. Son départ de l'entreprise entraîne une gêne psychologique ou financière. Mais si sa clientèle (sans la participation de l'employé lui-même) migre vers ses concurrents - il y a une faille dans le système de protection des informations commerciales. Et cela relève directement du directeur commercial et du chef du service commercial.
Protégez l'essentiel
Personne n'a sûrement le désir de devenir paranoïaque, interdisant maniaque toute tentative d'utiliser des bases communes. Par conséquent, la première chose à faire est d'identifier les zones, les points spécifiques qui nécessitent une protection et où la perte ou le transfert de données à d'autres personnes (par exemple, des concurrents) menace les entreprises de subir de graves pertes.
Ce n'est peut-être pas un exemple tout à fait approprié, mais dans le football, avec un coup franc, les joueurs debout dans le mur ont une chance de frapper une balle dans n'importe quelle partie du corps, mais ils ne protègent pas les jambes et la tête, mais seulement ce qui, dans les circonstances, est vraiment le plus vulnérable .
Quel maillon du service commercial est le plus vulnérable? Clientèle? Bien sûr. Innovations en promotion, marketing, publicité? Sûrement. Peut-être que dans le système de formation à la gestion, vous avez des technologies spéciales que vous ne voulez pas partager avec vos concurrents.
Pour protéger chacun de ces blocs, les méthodes d'organisation du contrôle du personnel et de restriction de l'accès aux informations, ainsi que la protection des logiciels et du matériel, sont d'une grande importance. Après avoir identifié les points douloureux, il est nécessaire de développer de telles méthodes de protection qui ne consommeraient pas plus de 20% du budget potentiel de l'entreprise et la protégeraient au moins à 80% - selon la loi Pareto.
Il y a vingt ans, les archives de documents relatifs aux secrets officiels et commerciaux occupaient des salles assez grandes et isolées avec un mode d'accès spécial; elles ne pouvaient être obtenues que pour la peinture et pour la peinture
à la fin de la journée de travail, assurez-vous de revenir. Aujourd'hui, tout ce qui se trouve dans ces armoires et coffres-forts peut facilement tenir sur plusieurs disques magnétiques, et toute personne ayant accès à ces informations peut facilement copier et restituer
le transmettre par e-mail. C'est pourquoi aujourd'hui une protection efficace des bases de données clients, de la documentation et de tout ce qui constitue un avantage concurrentiel de l'entreprise est impossible sans l'utilisation des technologies informatiques modernes.
Les entreprises créent des systèmes de sécurité de l'information sérieux non seulement de leur propre initiative, mais également à la demande de la loi et des normes de l'industrie (loi fédérale n ° 152 sur la protection des données personnelles et la norme PCI DSS pour les organisations financières et les banques). À cet égard, il est nécessaire de prendre en compte la certification des équipements de protection conformément aux exigences de la législation et des normes de l'industrie.
=================================================== ============
Opinion
La défense à tout prix?
Andrey Nuykin , Spécialiste certifié en sécurité de l'information
Le marché des systèmes DLP se développe activement; au cours des dernières années, de nombreuses nouvelles solutions sont apparues. Le coût de chacun d'eux dépend des exigences du client et peut aller de plusieurs dizaines de milliers de roubles pour un système simple pour une petite entreprise à plusieurs millions pour la création de systèmes pour de grandes sociétés.
Par expérience, je peux dire que les systèmes DLP complexes des développeurs russes se situent dans 3 à 4 millions de roubles. à un parc de 250 ordinateurs. Si nécessaire, le coût de l'équipement (serveurs, systèmes de stockage de données, etc.) et le coût des licences logicielles (OS, SGBD, etc.) doivent également être ajoutés ici.
Mais dans tous les cas, le choix et le coût d'un système DLP particulier dépendent de nombreux facteurs (coût des informations protégées, modèle de menace et modèle d'intrus, mode de fonctionnement du système DLP en ligne ou hors ligne, canaux de fuite possibles, etc.).
Dans la version la plus simple pour une entreprise moyenne, vous pouvez vous en tirer avec des mesures organisationnelles et des outils logiciels simples et rencontrer 20 à 30 000 roubles. Cependant, le niveau de protection sera approprié.
Avec la croissance des exigences, le coût augmente, et il est très important de trouver un équilibre entre le coût de la protection, le coût des informations protégées et la facilité d'utilisation.
Eh bien, nous ne devons pas oublier le maillon le plus faible - l'homme. Aucun système ne fournira une protection à 100%. L'un des rôles importants est joué par la sensibilisation des personnes dans le domaine de la sécurité de l'information.
Andrey Nuykin diplômé de l'Institut militaire des communications gouvernementales d'Orel. Certification réussie de l'organisation internationale ISACA - auditeur de sécurité de l'information certifié (CISA) et gestionnaire de sécurité de l'information certifié (CISM). Expérience dans le domaine de la sécurité de l'information - plus de huit ans.
=================================================== ============
Technologie intelligente sans négligence
Les méthodes informatiques de protection des informations sont basées sur l'utilisation de systèmes logiciels spéciaux, par exemple les systèmes DLP (Data Loss Prevention, Data fuite Prevention). La mise en œuvre du système vous permet de reconnaître et de classer les informations dans un objet (par exemple, dans un e-mail, un fichier, une application),
qui est stocké dans la mémoire de l’ordinateur, est utilisé ou transmis via des canaux de communication. DLP permet
appliquer dynamiquement différentes règles à ces objets, en commençant par l'envoi de notifications et en terminant par le blocage
(Tableau 1).
Dans quelle mesure un gestionnaire doit-il être au courant des technologies de protection des données informatiques? La meilleure réponse est non! Si ce front est couvert par un bon spécialiste et que vous n'avez jamais rencontré le problème du vol d'informations, de leur diffusion illégale et indésirable. Si au moins une fois une telle catastrophe vous frappe, vous devez trouver l'heure et contrôler la création (modification) du système de sécurité informatique.
Comment justifier le besoin de dépenses
Il y a une réponse simple à cette question: si le leader est adéquat et, étant un mercenaire, apprécie sa position, et étant
le propriétaire est son argent, il doit lui-même comprendre la valeur des informations clés. Si néanmoins requis
preuve, la meilleure façon est un exemple pratique. Vous n'avez pas besoin de devenir un espion pour ça. Expliquer la nécessité d'introduire un règlement sur les secrets commerciaux, de restructurer les processus commerciaux, y compris de restreindre l'accès des employés aux informations stratégiques, ne perd pas un temps précieux à parler. Asseyez-vous devant l'ordinateur du secrétaire, du responsable ou de toute autre personne restée allumée pendant la pause déjeuner de l'employé et copiez tout ce que vous pensez être précieux sur une clé USB. Ensuite, vous pouvez vous adresser au PDG avec un rapport indiquant que votre concurrent direct a reçu des données sur ... plus bas dans la liste. Le leader sera sûrement assez furieux pour approuver l'introduction d'un système de mesures de protection dans l'entreprise et de pompage informatique le même jour.
Facteur humain
Bien sûr, la mise en œuvre des systèmes DLP pour protéger les informations est loin d'être limitée. Technologies informatiques - ce n'est qu'une partie, un élément distinct qui reste à venir, créant un système de sécurité intégrée et de protection des informations.
Cependant, les documents eux-mêmes ne sont pas une garantie de bien-être absolu en termes d'informations
Sécurité. Dans ma pratique, il y avait souvent des entreprises qui avaient tout: et des réglementations soigneusement
et les professionnels de l'informatique intelligents avec un logiciel de sécurité de l'information de pointe. Et les fuites ont continué.
Dans ce cas, il convient de prêter attention au facteur humain, plus précisément à l'organisation de la gestion de l'entreprise
et surveille la mise en œuvre des procédures de sécurité de l'information et la façon dont les employés exécutent ces procédures. À propos de ça
lu dans le numéro de juillet du magazine.
=================================================== ============
Opinion
Menaces d'information
Julia Nikitina , Directeur marketing, Code de sécurité
Il est regrettable de noter que les technologies qui contribuent au développement des entreprises servent également des intrus dont le but est le capital informationnel des entreprises. Le développement et l'utilisation généralisée de la technologie informatique conduisent à la nécessité de protéger les informations stockées et traitées dans les systèmes informatiques d'information contre un grand nombre de menaces (tableau 2).
Exemples tirés de la pratique mondiale lorsque les entreprises sont utilisées à des fins de veille concurrentielle ou de compromis
la technologie informatique, plus que suffisante, rappelle au moins l’incident de l’année dernière à HSBC. Rejeté
Un employé de la banque a volé les détails de 15 000 clients. Les comptes d'utilisateurs du système bancaire en ligne ont été affectés,
principalement des résidents de Suisse et de France (après l'incident, la banque a changé le système de sécurité, ce qui lui a coûté 94 millions de dollars).
L'un des moyens les plus abordables de protéger les données est la séparation des droits d'accès aux informations traitées dans l'infrastructure virtuelle entre l'administrateur informatique et l'administrateur de la sécurité.
S'il existe une menace pour la sécurité de l'information, il n'est pas toujours possible de trouver le coupable. Souvent, un administrateur système est reconnu coupable d'une fuite, qui, par devoir, a distribué des droits d'accès aux utilisateurs.
Par conséquent, il est juste de veiller à ce que les employés aient accès à l'information avec la connaissance du service d'information
Sécurité.
"Code de sécurité" - Développeur russe de logiciels et de matériel assurant la protection
systèmes d'information. Parmi les clients - plus de 2500 organisations étatiques et commerciales en Russie et dans les pays
CIS. Site officiel - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
En conséquence, il y avait du matériel que le comité de rédaction du magazine Commercial Director a divisé par deux et a fait deux articles. Ce - a été publié dans le numéro de juin, le prochain sera publié en août.
Nous économisons des actifs non réglementaires
Kirill Skazin,
PDG, Programmes de sécurité intelligente
En tant que compagnon constant de la concurrence dans les affaires, il y a toujours eu une veille concurrentielle. Et la direction de toute entreprise, bâtissant une stratégie de développement, est pleinement consciente que dans une société dépendante de l'information, la réception rapide des informations et leur analyse est l'un des principaux avantages par rapport aux concurrents. Le gestionnaire doit comprendre que des informations sur son entreprise sont également susceptibles d'être collectées, et par conséquent, la protection des informations sur son entreprise n'est pas moins importante que la possibilité de s'informer sur celle de quelqu'un d'autre.
L'organisation et le développement de n'importe quel type d'entreprise est, avant tout, une lutte. Tout d'abord, la lutte pour entrer sur le marché, puis - pour tenir, prendre pied et croître. Et presque toujours, une entreprise est soumise à des tests de résistance dans un environnement concurrentiel plutôt agressif.
=================================================== ============
Kirill Skazin Diplômé de VIPTS du Ministère des Affaires Intérieures de la Fédération de Russie. Lieutenant-colonel de police à la retraite. De 2003 à 2009, il a travaillé dans la structure de sécurité de l'entreprise Renault. En 2009, il est devenu l'un des fondateurs des programmes de sécurité intelligente.
Programmes de sécurité intellectuelle CJSC (groupe IPS) fournit des services de sécurité. Parmi les clients figurent Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
À risque
Le plus grand risque de perte d'informations existe dans les entreprises des secteurs d'activité avec un seuil d'entrée sur le marché bas et les principaux produits sous forme d'actifs incorporels (enquêtes, projets, examens, conseil). Par exemple, la gestion d'événements, où chaque vendeur contacte des clients et a sa propre base de clients clés. Son départ de l'entreprise entraîne une gêne psychologique ou financière. Mais si sa clientèle (sans la participation de l'employé lui-même) migre vers ses concurrents - il y a une faille dans le système de protection des informations commerciales. Et cela relève directement du directeur commercial et du chef du service commercial.
Protégez l'essentiel
Personne n'a sûrement le désir de devenir paranoïaque, interdisant maniaque toute tentative d'utiliser des bases communes. Par conséquent, la première chose à faire est d'identifier les zones, les points spécifiques qui nécessitent une protection et où la perte ou le transfert de données à d'autres personnes (par exemple, des concurrents) menace les entreprises de subir de graves pertes.
Ce n'est peut-être pas un exemple tout à fait approprié, mais dans le football, avec un coup franc, les joueurs debout dans le mur ont une chance de frapper une balle dans n'importe quelle partie du corps, mais ils ne protègent pas les jambes et la tête, mais seulement ce qui, dans les circonstances, est vraiment le plus vulnérable .
Quel maillon du service commercial est le plus vulnérable? Clientèle? Bien sûr. Innovations en promotion, marketing, publicité? Sûrement. Peut-être que dans le système de formation à la gestion, vous avez des technologies spéciales que vous ne voulez pas partager avec vos concurrents.
Pour protéger chacun de ces blocs, les méthodes d'organisation du contrôle du personnel et de restriction de l'accès aux informations, ainsi que la protection des logiciels et du matériel, sont d'une grande importance. Après avoir identifié les points douloureux, il est nécessaire de développer de telles méthodes de protection qui ne consommeraient pas plus de 20% du budget potentiel de l'entreprise et la protégeraient au moins à 80% - selon la loi Pareto.
Il y a vingt ans, les archives de documents relatifs aux secrets officiels et commerciaux occupaient des salles assez grandes et isolées avec un mode d'accès spécial; elles ne pouvaient être obtenues que pour la peinture et pour la peinture
à la fin de la journée de travail, assurez-vous de revenir. Aujourd'hui, tout ce qui se trouve dans ces armoires et coffres-forts peut facilement tenir sur plusieurs disques magnétiques, et toute personne ayant accès à ces informations peut facilement copier et restituer
le transmettre par e-mail. C'est pourquoi aujourd'hui une protection efficace des bases de données clients, de la documentation et de tout ce qui constitue un avantage concurrentiel de l'entreprise est impossible sans l'utilisation des technologies informatiques modernes.
Les entreprises créent des systèmes de sécurité de l'information sérieux non seulement de leur propre initiative, mais également à la demande de la loi et des normes de l'industrie (loi fédérale n ° 152 sur la protection des données personnelles et la norme PCI DSS pour les organisations financières et les banques). À cet égard, il est nécessaire de prendre en compte la certification des équipements de protection conformément aux exigences de la législation et des normes de l'industrie.
=================================================== ============
Opinion
La défense à tout prix?
Andrey Nuykin , Spécialiste certifié en sécurité de l'information
Le marché des systèmes DLP se développe activement; au cours des dernières années, de nombreuses nouvelles solutions sont apparues. Le coût de chacun d'eux dépend des exigences du client et peut aller de plusieurs dizaines de milliers de roubles pour un système simple pour une petite entreprise à plusieurs millions pour la création de systèmes pour de grandes sociétés.
Par expérience, je peux dire que les systèmes DLP complexes des développeurs russes se situent dans 3 à 4 millions de roubles. à un parc de 250 ordinateurs. Si nécessaire, le coût de l'équipement (serveurs, systèmes de stockage de données, etc.) et le coût des licences logicielles (OS, SGBD, etc.) doivent également être ajoutés ici.
Mais dans tous les cas, le choix et le coût d'un système DLP particulier dépendent de nombreux facteurs (coût des informations protégées, modèle de menace et modèle d'intrus, mode de fonctionnement du système DLP en ligne ou hors ligne, canaux de fuite possibles, etc.).
Dans la version la plus simple pour une entreprise moyenne, vous pouvez vous en tirer avec des mesures organisationnelles et des outils logiciels simples et rencontrer 20 à 30 000 roubles. Cependant, le niveau de protection sera approprié.
Avec la croissance des exigences, le coût augmente, et il est très important de trouver un équilibre entre le coût de la protection, le coût des informations protégées et la facilité d'utilisation.
Eh bien, nous ne devons pas oublier le maillon le plus faible - l'homme. Aucun système ne fournira une protection à 100%. L'un des rôles importants est joué par la sensibilisation des personnes dans le domaine de la sécurité de l'information.
Andrey Nuykin diplômé de l'Institut militaire des communications gouvernementales d'Orel. Certification réussie de l'organisation internationale ISACA - auditeur de sécurité de l'information certifié (CISA) et gestionnaire de sécurité de l'information certifié (CISM). Expérience dans le domaine de la sécurité de l'information - plus de huit ans.
=================================================== ============
Technologie intelligente sans négligence
Les méthodes informatiques de protection des informations sont basées sur l'utilisation de systèmes logiciels spéciaux, par exemple les systèmes DLP (Data Loss Prevention, Data fuite Prevention). La mise en œuvre du système vous permet de reconnaître et de classer les informations dans un objet (par exemple, dans un e-mail, un fichier, une application),
qui est stocké dans la mémoire de l’ordinateur, est utilisé ou transmis via des canaux de communication. DLP permet
appliquer dynamiquement différentes règles à ces objets, en commençant par l'envoi de notifications et en terminant par le blocage
(Tableau 1).
Dans quelle mesure un gestionnaire doit-il être au courant des technologies de protection des données informatiques? La meilleure réponse est non! Si ce front est couvert par un bon spécialiste et que vous n'avez jamais rencontré le problème du vol d'informations, de leur diffusion illégale et indésirable. Si au moins une fois une telle catastrophe vous frappe, vous devez trouver l'heure et contrôler la création (modification) du système de sécurité informatique.
Comment justifier le besoin de dépenses
Il y a une réponse simple à cette question: si le leader est adéquat et, étant un mercenaire, apprécie sa position, et étant
le propriétaire est son argent, il doit lui-même comprendre la valeur des informations clés. Si néanmoins requis
preuve, la meilleure façon est un exemple pratique. Vous n'avez pas besoin de devenir un espion pour ça. Expliquer la nécessité d'introduire un règlement sur les secrets commerciaux, de restructurer les processus commerciaux, y compris de restreindre l'accès des employés aux informations stratégiques, ne perd pas un temps précieux à parler. Asseyez-vous devant l'ordinateur du secrétaire, du responsable ou de toute autre personne restée allumée pendant la pause déjeuner de l'employé et copiez tout ce que vous pensez être précieux sur une clé USB. Ensuite, vous pouvez vous adresser au PDG avec un rapport indiquant que votre concurrent direct a reçu des données sur ... plus bas dans la liste. Le leader sera sûrement assez furieux pour approuver l'introduction d'un système de mesures de protection dans l'entreprise et de pompage informatique le même jour.
Facteur humain
Bien sûr, la mise en œuvre des systèmes DLP pour protéger les informations est loin d'être limitée. Technologies informatiques - ce n'est qu'une partie, un élément distinct qui reste à venir, créant un système de sécurité intégrée et de protection des informations.
Cependant, les documents eux-mêmes ne sont pas une garantie de bien-être absolu en termes d'informations
Sécurité. Dans ma pratique, il y avait souvent des entreprises qui avaient tout: et des réglementations soigneusement
et les professionnels de l'informatique intelligents avec un logiciel de sécurité de l'information de pointe. Et les fuites ont continué.
Dans ce cas, il convient de prêter attention au facteur humain, plus précisément à l'organisation de la gestion de l'entreprise
et surveille la mise en œuvre des procédures de sécurité de l'information et la façon dont les employés exécutent ces procédures. À propos de ça
lu dans le numéro de juillet du magazine.
=================================================== ============
Opinion
Menaces d'information
Julia Nikitina , Directeur marketing, Code de sécurité
Il est regrettable de noter que les technologies qui contribuent au développement des entreprises servent également des intrus dont le but est le capital informationnel des entreprises. Le développement et l'utilisation généralisée de la technologie informatique conduisent à la nécessité de protéger les informations stockées et traitées dans les systèmes informatiques d'information contre un grand nombre de menaces (tableau 2).
Exemples tirés de la pratique mondiale lorsque les entreprises sont utilisées à des fins de veille concurrentielle ou de compromis
la technologie informatique, plus que suffisante, rappelle au moins l’incident de l’année dernière à HSBC. Rejeté
Un employé de la banque a volé les détails de 15 000 clients. Les comptes d'utilisateurs du système bancaire en ligne ont été affectés,
principalement des résidents de Suisse et de France (après l'incident, la banque a changé le système de sécurité, ce qui lui a coûté 94 millions de dollars).
L'un des moyens les plus abordables de protéger les données est la séparation des droits d'accès aux informations traitées dans l'infrastructure virtuelle entre l'administrateur informatique et l'administrateur de la sécurité.
S'il existe une menace pour la sécurité de l'information, il n'est pas toujours possible de trouver le coupable. Souvent, un administrateur système est reconnu coupable d'une fuite, qui, par devoir, a distribué des droits d'accès aux utilisateurs.
Par conséquent, il est juste de veiller à ce que les employés aient accès à l'information avec la connaissance du service d'information
Sécurité.
"Code de sécurité" - Développeur russe de logiciels et de matériel assurant la protection
systèmes d'information. Parmi les clients - plus de 2500 organisations étatiques et commerciales en Russie et dans les pays
CIS. Site officiel - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Pièces jointes
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================