Eu, como Helpych, pode-se dizer, escrevi em coautoria. Igor (Ajuda) me permitiu usar como exemplo um caso de sua prática, A Andrey (Pravdalab) , então ele geralmente, respondendo minha pergunta, pintou tudo de tal forma que eu tinha medo de editar. 
E claro Andrey Nuikin (Agência. PrivacyGuard) , que, como especialista na área de segurança de TI, comentou o artigo.
Como resultado, surgiu material, que os editores da revista Diretor Comercial cortaram ao meio e fizeram dois artigos. Este foi publicado na edição de junho, o próximo será lançado em agosto.
Preservando ativos não regulatórios
Kiril Skazin,
CEO, Programas de Segurança Inteligente
Como companheira constante da concorrência nos negócios, sempre existiu a inteligência competitiva. E a gestão de qualquer empresa, construindo uma estratégia de desenvolvimento, tem plena consciência de que numa sociedade dependente da informação, a recepção atempada da informação e a sua análise é uma das principais vantagens face aos concorrentes. O gerente deve entender que, muito provavelmente, também estão sendo coletadas informações sobre sua empresa e, portanto, proteger as informações sobre seus negócios não é menos importante do que poder aprender sobre os de outra pessoa.
A organização e desenvolvimento de, talvez, qualquer tipo de negócio é, antes de tudo, uma luta. Primeiro, a luta para entrar no mercado, depois - para ficar, ganhar uma posição e crescer. E quase sempre, um negócio é testado quanto à força em um ambiente competitivo bastante agressivo.
================================================== ==========
Kirill Skazin Graduado pelo VIPTSh do Ministério de Assuntos Internos da Federação Russa. Tenente-Coronel de Polícia aposentado. De 2003 a 2009, trabalhou na estrutura de segurança da Renault. Em 2009, tornou-se um dos fundadores da empresa Intelligent Security Programs.
Programas de Segurança Inteligente ZAO (grupo IPS) fornece serviços de segurança. Os clientes incluem Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
================================================== ==========
Em risco
O maior risco de perda de informação existe em empresas de áreas de negócio com baixo limiar de entrada no mercado e os principais produtos na forma de ativos intangíveis (pesquisa, projetos, expertise, consultoria). Por exemplo, gestão de eventos, onde cada vendedor está em contato com os clientes e tem sua própria base de clientes-chave. Sua saída da empresa acarreta desconforto psicológico ou financeiro. Mas se sua base de clientes (sem a participação do próprio funcionário) migrar para concorrentes, há uma falha no sistema de proteção das informações comerciais. E isso é responsabilidade direta do diretor comercial e do chefe do departamento de vendas.
Proteja o principal
Certamente ninguém tem o desejo de se tornar paranóico, proibindo maniacamente qualquer tentativa de usar bases comuns. Portanto, a primeira coisa a ser feita é identificar zonas, pontos específicos que requerem proteção e nos quais a perda ou transferência de dados para outras pessoas (por exemplo, concorrentes) ameaça o negócio com sérios prejuízos.
Talvez não seja um exemplo totalmente relevante, mas no futebol, em uma cobrança de falta, os jogadores parados na parede têm chance de serem atingidos pela bola em qualquer parte do corpo, mas não protegem as pernas e nem a cabeça, mas apenas o que é realmente o mais vulnerável nas circunstâncias.
Qual link do departamento comercial é o mais vulnerável? Base de clientes? Sem dúvida. Inovações em promoção, marketing, publicidade? Com certeza. Talvez, no sistema de gerentes de treinamento, você tenha tecnologias especiais que não deseja compartilhar com os concorrentes.
Na proteção de cada um desses blocos, são de grande importância tanto os métodos de organização do controle de pessoal e restrição do acesso à informação, quanto o software e os meios técnicos de proteção. Identificados os pontos problemáticos, é necessário desenvolver esses métodos de proteção que consumiriam não mais que 20% do orçamento potencial da empresa e protegê-lo em pelo menos 80% - de acordo com a lei de Pareto.
Há vinte anos, os arquivos de documentos relativos a segredos oficiais e comerciais ocupavam salas isoladas bastante grandes, com um regime de acesso especial, só podiam ser obtidos contra assinatura e contra assinatura.
deve ser devolvido no final do dia útil. Hoje, tudo o que havia nesses armários e cofres cabe facilmente em vários discos magnéticos, e qualquer pessoa que tenha acesso a essas informações pode facilmente copiá-las e retirá-las.
envie por e-mail. É por isso que hoje a proteção efetiva de bancos de dados de clientes, documentação e tudo o que é uma vantagem competitiva de uma empresa é impossível sem o uso de modernas tecnologias de TI.
As empresas criam sistemas sérios de segurança da informação não apenas por iniciativa própria, mas também a pedido da lei e dos padrões do setor (Lei Federal nº 152 “Sobre a Proteção de Dados Pessoais” e o padrão PCI DSS para organizações financeiras e bancos). Nesse sentido, é necessário considerar a certificação de equipamentos de proteção de acordo com os requisitos da legislação e padrões do setor.
================================================== ==========
Opinião
Defesa a qualquer custo?
Andrey Nuikin , especialista certificado em segurança da informação
O mercado de sistemas DLP está se desenvolvendo ativamente; nos últimos anos, muitas novas soluções surgiram. O custo de cada um deles depende dos requisitos do cliente e pode variar de várias dezenas de milhares de rublos para um sistema simples para uma pequena empresa a vários milhões para a criação de sistemas para grandes corporações.
Por experiência, posso dizer que sistemas DLP complexos de desenvolvedores russos se encaixam em 3-4 milhões de rublos. para uma frota de 250 computadores. A este deve ser acrescentado, se necessário, o custo dos equipamentos (servidores, sistemas de armazenamento, etc.) e o custo das licenças de software (SO, SGBD, etc.).
Mas em qualquer caso, a escolha e o custo de um determinado sistema DLP depende de muitos fatores (o custo da informação protegida, o modelo de ameaça e o modelo do intruso, o modo online ou offline do sistema DLP, possíveis canais de vazamento, etc.) .).
Na versão mais simples, para uma empresa média, você pode conviver com medidas organizacionais e ferramentas de software simples e atender de 20 a 30 mil rublos. No entanto, o nível de proteção será adequado.
Com o crescimento dos requisitos, o custo aumenta, e aqui é muito importante encontrar um equilíbrio entre o custo da proteção, o custo da informação protegida e a conveniência do trabalho.
Bem, não devemos esquecer o elo mais fraco - uma pessoa. Nenhum sistema fornecerá 100% de proteção. Um dos papéis significativos é desempenhado pela conscientização das pessoas no campo da segurança da informação.
Andrey Nuikin Graduado pelo Instituto Militar de Comunicações Governamentais em Orel. Passou na certificação da organização internacional ISACA — Certified Information Security Auditor (CISA) e Certified Information Security Manager (CISM). Mais de oito anos de experiência na área de segurança da informação.
================================================== ==========
Tecnologia inteligente menos desleixo
Os métodos de proteção de informações de TI são baseados no uso de sistemas de software especiais, por exemplo, o sistema de prevenção de vazamento de informações DLP (prevenção de perda de dados, prevenção de vazamento de dados). A implementação do sistema permite reconhecer e classificar informações em um objeto (por exemplo, em uma mensagem de e-mail, arquivo, aplicativo),
que está armazenado na memória do computador, está em uso ou transmitido pelos canais de comunicação. DLP permite
aplicar dinamicamente diferentes regras a esses objetos, começando com a transmissão de notificações e terminando com o bloqueio
(Tabela 1).
Até que ponto um gerente deve estar ciente das tecnologias de proteção de dados de TI? A melhor resposta é nenhum! Se essa frente for coberta por um bom especialista e você nunca se deparou com o problema do roubo de informações, sua distribuição ilegal e indesejada. Se tal infortúnio aconteceu com você pelo menos uma vez, você deve encontrar o tempo e controlar a criação (mudança) do sistema de segurança de TI.
Como justificar a necessidade de despesas
Há uma resposta simples para esta pergunta: se o líder é adequado e, sendo um mercenário, valoriza sua posição, e sendo
o proprietário - seu dinheiro, ele mesmo deve entender o valor das informações-chave. No entanto, se for necessário
evidência, a melhor maneira é um exemplo prático. Você não precisa ser um espião para fazer isso. Ao explicar a necessidade de introduzir uma cláusula de segredo comercial, reestruture os processos de negócios, inclusive restringindo o acesso dos funcionários a informações estratégicas, não perca tempo precioso falando. Sente-se no computador de uma secretária, gerente ou de qualquer outra pessoa deixado durante o intervalo de almoço de um funcionário e copie tudo o que você acha que é valioso para um pendrive. Em seguida, você pode ir ao CEO com um relatório de que seu concorrente direto recebeu dados sobre ... mais abaixo na lista. Certamente o gerente ficará furioso o suficiente para aprovar a introdução de um sistema de medidas de proteção na empresa e atualizações de TI no mesmo dia.
Fator humano
É claro que o trabalho de proteção da informação está longe de se limitar à introdução de sistemas DLP. As tecnologias de TI são apenas uma parte, um elemento separado que ainda não foi alcançado com a criação de um sistema integrado de segurança e proteção da informação.
No entanto, os documentos em si não são garantia de bem-estar absoluto em termos de informação
segurança. Na minha prática, muitas vezes encontrei empresas que tinham tudo: regulamentos cuidadosamente escritos,
e especialistas em TI inteligentes com produtos de software de segurança da informação de última geração. E os vazamentos continuaram.
Nesse caso, deve-se atentar para o fator humano, mais precisamente, como a gestão da empresa se organiza
e monitora a implementação dos procedimentos de segurança da informação e como os funcionários cumprem esses procedimentos. Sobre isso
lido na edição de julho da revista.
================================================== ==========
Opinião
Ameaças de informação
Julia Nikitina , Diretor de Marketing, Código de Segurança
Temos que lamentar que as tecnologias que auxiliam o desenvolvimento das empresas também servem aos atacantes, cujo objetivo são os ativos de informação das empresas. O desenvolvimento e uso generalizado da tecnologia informática leva à necessidade de proteger a informação armazenada e processada em sistemas informáticos de informação de um grande número de ameaças (Tabela 2).
Exemplos da prática mundial, quando são utilizados para fins de inteligência competitiva ou empresas comprometedoras
informática, mais do que suficiente, lembre-se do incidente do ano passado no HSBC. Demitido
Um funcionário do banco roubou os detalhes de 15.000 clientes. As contas de usuários do sistema bancário online foram afetadas,
principalmente residentes da Suíça e da França (após o incidente, o banco mudou o sistema de segurança, que lhe custou US $ 94 milhões).
Uma das maneiras mais acessíveis de proteger os dados é compartilhar direitos de acesso às informações processadas em uma infraestrutura virtual entre um administrador de TI e um administrador de serviço de segurança.
Quando há uma ameaça à segurança da informação, nem sempre é possível encontrar o culpado. Muitas vezes, um administrador do sistema é considerado culpado de um vazamento, que, de plantão, distribuiu direitos de acesso aos usuários.
Portanto, é correto garantir que os funcionários tenham acesso à informação com o conhecimento do serviço de informação.
segurança.
"Código de segurança" é um desenvolvedor russo de software e hardware que fornece proteção
sistemas de informação. Entre os clientes estão mais de 2.500 organizações estatais e comerciais na Rússia e em outros países
CEI. Site oficial - [DLMURL]https://www.securitycode.ru[/DLMURL]
================================================== ==========
E claro Andrey Nuikin (Agência. PrivacyGuard) , que, como especialista na área de segurança de TI, comentou o artigo.Como resultado, surgiu material, que os editores da revista Diretor Comercial cortaram ao meio e fizeram dois artigos. Este foi publicado na edição de junho, o próximo será lançado em agosto.
Preservando ativos não regulatórios
Kiril Skazin,
CEO, Programas de Segurança Inteligente
Como companheira constante da concorrência nos negócios, sempre existiu a inteligência competitiva. E a gestão de qualquer empresa, construindo uma estratégia de desenvolvimento, tem plena consciência de que numa sociedade dependente da informação, a recepção atempada da informação e a sua análise é uma das principais vantagens face aos concorrentes. O gerente deve entender que, muito provavelmente, também estão sendo coletadas informações sobre sua empresa e, portanto, proteger as informações sobre seus negócios não é menos importante do que poder aprender sobre os de outra pessoa.
A organização e desenvolvimento de, talvez, qualquer tipo de negócio é, antes de tudo, uma luta. Primeiro, a luta para entrar no mercado, depois - para ficar, ganhar uma posição e crescer. E quase sempre, um negócio é testado quanto à força em um ambiente competitivo bastante agressivo.
================================================== ==========
Kirill Skazin Graduado pelo VIPTSh do Ministério de Assuntos Internos da Federação Russa. Tenente-Coronel de Polícia aposentado. De 2003 a 2009, trabalhou na estrutura de segurança da Renault. Em 2009, tornou-se um dos fundadores da empresa Intelligent Security Programs.
Programas de Segurança Inteligente ZAO (grupo IPS) fornece serviços de segurança. Os clientes incluem Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
================================================== ==========
Em risco
O maior risco de perda de informação existe em empresas de áreas de negócio com baixo limiar de entrada no mercado e os principais produtos na forma de ativos intangíveis (pesquisa, projetos, expertise, consultoria). Por exemplo, gestão de eventos, onde cada vendedor está em contato com os clientes e tem sua própria base de clientes-chave. Sua saída da empresa acarreta desconforto psicológico ou financeiro. Mas se sua base de clientes (sem a participação do próprio funcionário) migrar para concorrentes, há uma falha no sistema de proteção das informações comerciais. E isso é responsabilidade direta do diretor comercial e do chefe do departamento de vendas.
Proteja o principal
Certamente ninguém tem o desejo de se tornar paranóico, proibindo maniacamente qualquer tentativa de usar bases comuns. Portanto, a primeira coisa a ser feita é identificar zonas, pontos específicos que requerem proteção e nos quais a perda ou transferência de dados para outras pessoas (por exemplo, concorrentes) ameaça o negócio com sérios prejuízos.
Talvez não seja um exemplo totalmente relevante, mas no futebol, em uma cobrança de falta, os jogadores parados na parede têm chance de serem atingidos pela bola em qualquer parte do corpo, mas não protegem as pernas e nem a cabeça, mas apenas o que é realmente o mais vulnerável nas circunstâncias.
Qual link do departamento comercial é o mais vulnerável? Base de clientes? Sem dúvida. Inovações em promoção, marketing, publicidade? Com certeza. Talvez, no sistema de gerentes de treinamento, você tenha tecnologias especiais que não deseja compartilhar com os concorrentes.
Na proteção de cada um desses blocos, são de grande importância tanto os métodos de organização do controle de pessoal e restrição do acesso à informação, quanto o software e os meios técnicos de proteção. Identificados os pontos problemáticos, é necessário desenvolver esses métodos de proteção que consumiriam não mais que 20% do orçamento potencial da empresa e protegê-lo em pelo menos 80% - de acordo com a lei de Pareto.
Há vinte anos, os arquivos de documentos relativos a segredos oficiais e comerciais ocupavam salas isoladas bastante grandes, com um regime de acesso especial, só podiam ser obtidos contra assinatura e contra assinatura.
deve ser devolvido no final do dia útil. Hoje, tudo o que havia nesses armários e cofres cabe facilmente em vários discos magnéticos, e qualquer pessoa que tenha acesso a essas informações pode facilmente copiá-las e retirá-las.
envie por e-mail. É por isso que hoje a proteção efetiva de bancos de dados de clientes, documentação e tudo o que é uma vantagem competitiva de uma empresa é impossível sem o uso de modernas tecnologias de TI.
As empresas criam sistemas sérios de segurança da informação não apenas por iniciativa própria, mas também a pedido da lei e dos padrões do setor (Lei Federal nº 152 “Sobre a Proteção de Dados Pessoais” e o padrão PCI DSS para organizações financeiras e bancos). Nesse sentido, é necessário considerar a certificação de equipamentos de proteção de acordo com os requisitos da legislação e padrões do setor.
================================================== ==========
Opinião
Defesa a qualquer custo?
Andrey Nuikin , especialista certificado em segurança da informação
O mercado de sistemas DLP está se desenvolvendo ativamente; nos últimos anos, muitas novas soluções surgiram. O custo de cada um deles depende dos requisitos do cliente e pode variar de várias dezenas de milhares de rublos para um sistema simples para uma pequena empresa a vários milhões para a criação de sistemas para grandes corporações.
Por experiência, posso dizer que sistemas DLP complexos de desenvolvedores russos se encaixam em 3-4 milhões de rublos. para uma frota de 250 computadores. A este deve ser acrescentado, se necessário, o custo dos equipamentos (servidores, sistemas de armazenamento, etc.) e o custo das licenças de software (SO, SGBD, etc.).
Mas em qualquer caso, a escolha e o custo de um determinado sistema DLP depende de muitos fatores (o custo da informação protegida, o modelo de ameaça e o modelo do intruso, o modo online ou offline do sistema DLP, possíveis canais de vazamento, etc.) .).
Na versão mais simples, para uma empresa média, você pode conviver com medidas organizacionais e ferramentas de software simples e atender de 20 a 30 mil rublos. No entanto, o nível de proteção será adequado.
Com o crescimento dos requisitos, o custo aumenta, e aqui é muito importante encontrar um equilíbrio entre o custo da proteção, o custo da informação protegida e a conveniência do trabalho.
Bem, não devemos esquecer o elo mais fraco - uma pessoa. Nenhum sistema fornecerá 100% de proteção. Um dos papéis significativos é desempenhado pela conscientização das pessoas no campo da segurança da informação.
Andrey Nuikin Graduado pelo Instituto Militar de Comunicações Governamentais em Orel. Passou na certificação da organização internacional ISACA — Certified Information Security Auditor (CISA) e Certified Information Security Manager (CISM). Mais de oito anos de experiência na área de segurança da informação.
================================================== ==========
Tecnologia inteligente menos desleixo
Os métodos de proteção de informações de TI são baseados no uso de sistemas de software especiais, por exemplo, o sistema de prevenção de vazamento de informações DLP (prevenção de perda de dados, prevenção de vazamento de dados). A implementação do sistema permite reconhecer e classificar informações em um objeto (por exemplo, em uma mensagem de e-mail, arquivo, aplicativo),
que está armazenado na memória do computador, está em uso ou transmitido pelos canais de comunicação. DLP permite
aplicar dinamicamente diferentes regras a esses objetos, começando com a transmissão de notificações e terminando com o bloqueio
(Tabela 1).
Até que ponto um gerente deve estar ciente das tecnologias de proteção de dados de TI? A melhor resposta é nenhum! Se essa frente for coberta por um bom especialista e você nunca se deparou com o problema do roubo de informações, sua distribuição ilegal e indesejada. Se tal infortúnio aconteceu com você pelo menos uma vez, você deve encontrar o tempo e controlar a criação (mudança) do sistema de segurança de TI.
Como justificar a necessidade de despesas
Há uma resposta simples para esta pergunta: se o líder é adequado e, sendo um mercenário, valoriza sua posição, e sendo
o proprietário - seu dinheiro, ele mesmo deve entender o valor das informações-chave. No entanto, se for necessário
evidência, a melhor maneira é um exemplo prático. Você não precisa ser um espião para fazer isso. Ao explicar a necessidade de introduzir uma cláusula de segredo comercial, reestruture os processos de negócios, inclusive restringindo o acesso dos funcionários a informações estratégicas, não perca tempo precioso falando. Sente-se no computador de uma secretária, gerente ou de qualquer outra pessoa deixado durante o intervalo de almoço de um funcionário e copie tudo o que você acha que é valioso para um pendrive. Em seguida, você pode ir ao CEO com um relatório de que seu concorrente direto recebeu dados sobre ... mais abaixo na lista. Certamente o gerente ficará furioso o suficiente para aprovar a introdução de um sistema de medidas de proteção na empresa e atualizações de TI no mesmo dia.
Fator humano
É claro que o trabalho de proteção da informação está longe de se limitar à introdução de sistemas DLP. As tecnologias de TI são apenas uma parte, um elemento separado que ainda não foi alcançado com a criação de um sistema integrado de segurança e proteção da informação.
No entanto, os documentos em si não são garantia de bem-estar absoluto em termos de informação
segurança. Na minha prática, muitas vezes encontrei empresas que tinham tudo: regulamentos cuidadosamente escritos,
e especialistas em TI inteligentes com produtos de software de segurança da informação de última geração. E os vazamentos continuaram.
Nesse caso, deve-se atentar para o fator humano, mais precisamente, como a gestão da empresa se organiza
e monitora a implementação dos procedimentos de segurança da informação e como os funcionários cumprem esses procedimentos. Sobre isso
lido na edição de julho da revista.
================================================== ==========
Opinião
Ameaças de informação
Julia Nikitina , Diretor de Marketing, Código de Segurança
Temos que lamentar que as tecnologias que auxiliam o desenvolvimento das empresas também servem aos atacantes, cujo objetivo são os ativos de informação das empresas. O desenvolvimento e uso generalizado da tecnologia informática leva à necessidade de proteger a informação armazenada e processada em sistemas informáticos de informação de um grande número de ameaças (Tabela 2).
Exemplos da prática mundial, quando são utilizados para fins de inteligência competitiva ou empresas comprometedoras
informática, mais do que suficiente, lembre-se do incidente do ano passado no HSBC. Demitido
Um funcionário do banco roubou os detalhes de 15.000 clientes. As contas de usuários do sistema bancário online foram afetadas,
principalmente residentes da Suíça e da França (após o incidente, o banco mudou o sistema de segurança, que lhe custou US $ 94 milhões).
Uma das maneiras mais acessíveis de proteger os dados é compartilhar direitos de acesso às informações processadas em uma infraestrutura virtual entre um administrador de TI e um administrador de serviço de segurança.
Quando há uma ameaça à segurança da informação, nem sempre é possível encontrar o culpado. Muitas vezes, um administrador do sistema é considerado culpado de um vazamento, que, de plantão, distribuiu direitos de acesso aos usuários.
Portanto, é correto garantir que os funcionários tenham acesso à informação com o conhecimento do serviço de informação.
segurança.
"Código de segurança" é um desenvolvedor russo de software e hardware que fornece proteção
sistemas de informação. Entre os clientes estão mais de 2.500 organizações estatais e comerciais na Rússia e em outros países
CEI. Site oficial - [DLMURL]https://www.securitycode.ru[/DLMURL]
================================================== ==========
Anexos
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
