Helpych gibi ben de ortak yazarlıkla yazdım. Igor (Yardım) onun uygulamasından bir örnek olarak kullanmama izin verdi, A Andrey (Pravdalab) , bu yüzden genel olarak soruma cevap vererek, her şeyi düzenlemeye korktuğum şekilde boyadı. 
Ve tabi ki Andrey Nuikin (Ajans. PrivacyGuard) , BT güvenliği alanında uzman olarak makaleye yorum yaptı.
Sonuç olarak, Commercial Director dergisinin editörlerinin yarıya indirdiği ve iki makale hazırladığı materyal ortaya çıktı. Bu Haziran sayısında yayınlandı, bir sonraki Ağustos ayında yayınlanacak.
Düzenleyici olmayan varlıkların korunması
kirill Skazin,
CEO, Akıllı Güvenlik Programları
İş dünyasında sürekli bir rekabet arkadaşı olarak, her zaman rekabet zekası olmuştur. Ve bir geliştirme stratejisi oluşturan herhangi bir şirketin yönetimi, bilgiye bağımlı bir toplumda, bilgilerin zamanında alınmasının ve analizinin rakiplere göre ana avantajlardan biri olduğunun tamamen farkındadır. Yönetici, büyük olasılıkla, şirketi hakkında da bilgi toplandığını anlamalıdır ve bu nedenle, işiyle ilgili bilgileri korumak, başka birininki hakkında bilgi edinmekten daha az önemli değildir.
Belki de herhangi bir işletmenin organizasyonu ve gelişimi, her şeyden önce bir mücadeledir. Önce pazara girme mücadelesi, sonra - kalmak, bir dayanak kazanmak ve büyümek. Ve neredeyse her zaman, bir işletmenin gücü oldukça agresif bir rekabet ortamında test edilir.
================================================= ==========
kirill Skazin Rusya Federasyonu İçişleri Bakanlığı VIPTSh'den mezun oldu. Emekli Polis Yarbay. 2003'ten 2009'a kadar Renault endişesinin güvenlik yapısında çalıştı. 2009 yılında Akıllı Güvenlik Programları şirketinin kurucularından oldu.
ZAO Akıllı Güvenlik Programları (IPS grubu) güvenlik hizmetleri vermektedir. Müşteriler arasında Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo bulunmaktadır.
================================================= ==========
Riskli
En büyük bilgi kaybı riski, pazara giriş eşiği düşük olan iş alanlarından ve maddi olmayan duran varlıklar (araştırma, proje, uzmanlık, danışmanlık) şeklindeki ana ürünlerden şirketlerde bulunmaktadır. Örneğin, her satıcının müşterilerle iletişim halinde olduğu ve kendi temel müşteri tabanına sahip olduğu etkinlik yönetimi. Şirketten ayrılması psikolojik veya mali rahatsızlıklar doğurur. Ancak müşteri tabanı (çalışanın katılımı olmadan) rakiplere geçerse, ticari bilgilerin korunması için sistemde bir kusur vardır. Ve bu, ticari direktör ve satış departmanı başkanının doğrudan sorumluluğundadır.
Ana korumak
Elbette hiç kimsenin paranoyak olma, ortak temeller kullanma girişimlerini çılgınca yasaklama arzusu yoktur. Bu nedenle yapılacak ilk şey, veri kaybının veya diğer kişilere (örneğin rakiplere) aktarılmasının işi ciddi kayıplarla tehdit ettiği bölgeleri, koruma gerektiren belirli noktaları belirlemektir.
Belki tamamen alakalı bir örnek değil, ancak futbolda, bir serbest vuruşta, duvarda duran oyuncuların vücudun herhangi bir yerinde topa vurma şansı vardır, ancak bacakları ve kafayı korumazlar, ancak sadece koşullar altında gerçekten en savunmasız olanı.
Ticari departmandaki hangi bağlantı en savunmasız? Müşteri tabanı? Şüphesiz. Promosyon, pazarlama, reklamcılıkta yenilikler? Kesinlikle. Belki de yönetici yetiştirme sisteminde rakiplerle paylaşmak istemediğiniz özel teknolojileriniz vardır.
Bu blokların her birinin korunmasında hem personel kontrolünü organize etme ve bilgiye erişimi kısıtlama yöntemleri hem de yazılım ve teknik koruma araçları büyük önem taşımaktadır. Ağrı noktalarını belirledikten sonra, şirketin potansiyel bütçesinin %20'sinden fazlasını tüketmeyecek ve Pareto yasasına göre en az %80 oranında koruyacak koruma yöntemleri geliştirmek gerekir.
Yirmi yıl önce, resmi ve ticari sırlarla ilgili belgelerin arşivleri, özel bir erişim rejimi ile oldukça büyük izole odaları işgal etti, ancak imza karşılığında ve imza karşılığında elde edilebilirlerdi.
mesai bitiminde iade edilmelidir. Günümüzde bu dolap ve kasalarda bulunan her şey birçok manyetik diske kolaylıkla sığabilmekte ve bu bilgilere erişimi olan herkes kolaylıkla kopyalayıp çıkarabilmektedir.
e-posta ile gönder. Bu nedenle, günümüzde müşteri veritabanlarının, belgelerinin ve bir şirketin rekabet avantajı olan her şeyin etkin bir şekilde korunması, modern BT teknolojileri kullanılmadan imkansızdır.
Şirketler, sadece kendi inisiyatifleriyle değil, aynı zamanda yasaların ve sektör standartlarının talebi üzerine de ciddi bilgi güvenliği sistemleri oluştururlar (152 Sayılı “Kişisel Verilerin Korunması Hakkında Federal Kanun” ve finansal kuruluşlar ve bankalar için PCI DSS standardı). Bu bağlamda, koruyucu ekipman sertifikalarının mevzuat gereklilikleri ve endüstri standartları doğrultusunda dikkate alınması gerekmektedir.
================================================= ==========
Fikir
Ne pahasına olursa olsun savunma?
Andrey Nuikin , sertifikalı bilgi güvenliği uzmanı
DLP sistemleri pazarı aktif olarak gelişiyor; son birkaç yılda birçok yeni çözüm ortaya çıktı. Her birinin maliyeti, müşterinin gereksinimlerine bağlıdır ve küçük bir şirket için basit bir sistem için birkaç on binlerce ruble ile büyük şirketler için sistemlerin oluşturulması için birkaç milyon arasında değişebilir.
Tecrübelerime göre, Rus geliştiricilerin karmaşık DLP sistemlerinin 3-4 milyon rubleye sığdığını söyleyebilirim. 250 bilgisayarlık bir filo için. Buna, gerekirse, ekipman maliyeti (sunucular, depolama sistemleri vb.) ve yazılım lisanslarının maliyeti (OS, DBMS, vb.) eklenmelidir.
Ancak her durumda, belirli bir DLP sisteminin seçimi ve maliyeti birçok faktöre bağlıdır (korunan bilginin maliyeti, davetsiz misafirin tehdit modeli ve modeli, DLP sisteminin çevrimiçi veya çevrimdışı modu, olası sızıntı kanalları vb.) .).
En basit versiyonda, ortalama bir şirket için organizasyonel önlemler ve basit yazılım araçları ile geçinebilir ve 20-30 bin ruble karşılayabilirsiniz. Ancak, koruma seviyesi uygun olacaktır.
Gereksinimlerin artmasıyla maliyet artar ve burada koruma maliyeti, korunan bilgilerin maliyeti ve işin rahatlığı arasında bir denge bulmak çok önemlidir.
Eh, en zayıf halkayı - kişiyi unutmamalıyız. Hiçbir sistem %100 koruma sağlamaz. Önemli rollerden biri, bilgi güvenliği alanında insanları bilinçlendirmektir.
Andrey Nuikin Orel'deki Askeri Devlet İletişim Enstitüsü'nden mezun oldu. Uluslararası kuruluş ISACA - sertifikalı bilgi güvenliği denetçisi (CISA) ve sertifikalı bilgi güvenliği yöneticisi (CISM) sertifikasını geçti. Bilgi güvenliği alanında sekiz yıldan fazla deneyim.
================================================= ==========
Akıllı teknoloji eksi özensizlik
BT bilgi koruma yöntemleri, örneğin DLP (veri kaybı önleme, veri sızıntısı önleme) bilgi sızıntısı önleme sistemi gibi özel yazılım sistemlerinin kullanımına dayanır. Sistemin uygulanması, bir nesnedeki (örneğin bir e-posta mesajı, dosya, uygulamadaki) bilgileri tanımanıza ve sınıflandırmanıza olanak tanır.
Bilgisayarın belleğinde saklanan, kullanımda olan veya iletişim kanalları üzerinden iletilen bilgi. DLP izin verir
bildirimlerin iletilmesiyle başlayıp engelleme ile biten bu nesnelere dinamik olarak farklı kurallar uygulayın
(Tablo 1).
Bir yönetici, BT veri koruma teknolojilerinden ne ölçüde haberdar olmalıdır? En iyi cevap hiçbiri! Bu cephe iyi bir uzman tarafından karşılanıyorsa ve bilgi hırsızlığı, yasadışı ve istenmeyen dağıtımı sorunuyla hiç karşılaşmadıysanız. En az bir kez başınıza böyle bir talihsizlik geldiyse, zamanı bulmalı ve BT güvenlik sisteminin oluşturulmasını (değiştirilmesini) kontrol etmelisiniz.
Harcama ihtiyacı nasıl gerekçelendirilir
Bu sorunun basit bir cevabı var: Lider yeterliyse ve paralı asker olarak konumunu takdir ediyorsa ve
sahibi - parası, kendisi önemli bilgilerin değerini anlamalıdır. Ancak gerekirse
kanıt, en iyi yol pratik bir örnektir. Bunu yapmak için casus olmanıza gerek yok. Bir ticari sır maddesi ekleme gereğini açıklarken, çalışanların stratejik bilgilere erişimini kısıtlamak da dahil olmak üzere iş süreçlerini yeniden yapılandırın, değerli zamanınızı konuşarak boşa harcamayın. Bir çalışanın öğle tatilinde açık kalan bir sekreterin, yöneticinin veya başka birinin bilgisayarında oturun ve bir flash sürücü için değerli olduğunu düşündüğünüz her şeyi kopyalayın. Daha sonra, doğrudan rakibinizin listenin aşağısındaki ... hakkında veri aldığına dair bir raporla CEO'ya gidebilirsiniz. Elbette yönetici, kuruluşta bir koruyucu önlemler sisteminin başlatılmasını ve aynı gün BT yükseltmelerini onaylayacak kadar öfkeli olacaktır.
İnsan faktörü
Tabii ki, bilgi koruma konusundaki çalışmalar DLP sistemlerinin tanıtılmasıyla sınırlı olmaktan uzaktır. BT teknolojileri, entegre bir güvenlik ve bilgi koruma sistemi oluşturarak henüz ulaşılmamış olan ayrı bir unsur, yalnızca bir parçasıdır.
Bununla birlikte, belgelerin kendileri bilgi açısından mutlak esenliğin garantisi değildir.
güvenlik. Uygulamamda, her şeye sahip şirketlerle sık sık karşılaştım: dikkatlice yazılmış yönetmelikler,
ve son teknoloji bilgi güvenliği yazılım ürünlerine sahip akıllı BT uzmanları. Ve sızıntılar devam etti.
Bu durumda, insan faktörüne, daha doğrusu şirket yönetiminin nasıl organize edildiğine dikkat etmeye değer.
bilgi güvenliği prosedürlerinin uygulanmasını ve çalışanların bu prosedürlere nasıl uyduğunu izler. Hakkında
derginin Temmuz sayısında okuyabilirsiniz.
================================================= ==========
Fikir
Bilgi tehditleri
Julia Nikitina , Pazarlama Direktörü, Güvenlik Kodu
Firmaların gelişmesine yardımcı olan teknolojilerin, amacı firmaların bilgi varlıkları olan saldırganlara da hizmet ettiğini üzülerek belirtmeliyiz. Bilgisayar teknolojisinin gelişmesi ve yaygın olarak kullanılması, bilgisayar bilgi sistemlerinde depolanan ve işlenen bilgilerin çok sayıda tehditten korunmasının gerekli olduğu gerçeğine yol açmaktadır (Tablo 2).
Rekabet istihbaratı veya taviz veren şirketler için dünya uygulamasından örnekler,
bilgisayar teknolojisi, fazlasıyla, geçen yılki HSBC olayını hatırlayın. İşten
Bir banka çalışanı 15.000 müşterinin bilgilerini çaldı. İnternet bankacılığı sisteminin kullanıcı hesapları etkilendi,
ağırlıklı olarak İsviçre ve Fransa sakinleri (olaydan sonra banka, kendisine 94 milyon dolara mal olan güvenlik sistemini değiştirdi).
Verileri korumanın en erişilebilir yollarından biri, sanal bir altyapıda işlenen bilgilere erişim haklarını bir BT yöneticisi ile bir güvenlik hizmeti yöneticisi arasında paylaşmaktır.
Bilgi güvenliğine yönelik bir tehdit olduğunda, suçluyu bulmak her zaman mümkün değildir. Genellikle bir sistem yöneticisi, görev başında kullanıcılara erişim haklarını dağıtan bir sızıntıdan suçlu bulunur.
Bu nedenle çalışanların bilgi servisinin bilgisi ile bilgiye ulaşmasını sağlamak doğrudur.
güvenlik.
"Güvenlik Kodu" koruma sağlayan bir Rus yazılım ve donanım geliştiricisidir.
bilgi sistemi. Müşteriler arasında Rusya ve diğer ülkelerde 2500'den fazla devlet ve ticari kuruluş bulunmaktadır.
BDT. Resmi site - [DLMURL]https://www.securitycode.ru[/DLMURL]
================================================= ==========
Ve tabi ki Andrey Nuikin (Ajans. PrivacyGuard) , BT güvenliği alanında uzman olarak makaleye yorum yaptı.Sonuç olarak, Commercial Director dergisinin editörlerinin yarıya indirdiği ve iki makale hazırladığı materyal ortaya çıktı. Bu Haziran sayısında yayınlandı, bir sonraki Ağustos ayında yayınlanacak.
Düzenleyici olmayan varlıkların korunması
kirill Skazin,
CEO, Akıllı Güvenlik Programları
İş dünyasında sürekli bir rekabet arkadaşı olarak, her zaman rekabet zekası olmuştur. Ve bir geliştirme stratejisi oluşturan herhangi bir şirketin yönetimi, bilgiye bağımlı bir toplumda, bilgilerin zamanında alınmasının ve analizinin rakiplere göre ana avantajlardan biri olduğunun tamamen farkındadır. Yönetici, büyük olasılıkla, şirketi hakkında da bilgi toplandığını anlamalıdır ve bu nedenle, işiyle ilgili bilgileri korumak, başka birininki hakkında bilgi edinmekten daha az önemli değildir.
Belki de herhangi bir işletmenin organizasyonu ve gelişimi, her şeyden önce bir mücadeledir. Önce pazara girme mücadelesi, sonra - kalmak, bir dayanak kazanmak ve büyümek. Ve neredeyse her zaman, bir işletmenin gücü oldukça agresif bir rekabet ortamında test edilir.
================================================= ==========
kirill Skazin Rusya Federasyonu İçişleri Bakanlığı VIPTSh'den mezun oldu. Emekli Polis Yarbay. 2003'ten 2009'a kadar Renault endişesinin güvenlik yapısında çalıştı. 2009 yılında Akıllı Güvenlik Programları şirketinin kurucularından oldu.
ZAO Akıllı Güvenlik Programları (IPS grubu) güvenlik hizmetleri vermektedir. Müşteriler arasında Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo bulunmaktadır.
================================================= ==========
Riskli
En büyük bilgi kaybı riski, pazara giriş eşiği düşük olan iş alanlarından ve maddi olmayan duran varlıklar (araştırma, proje, uzmanlık, danışmanlık) şeklindeki ana ürünlerden şirketlerde bulunmaktadır. Örneğin, her satıcının müşterilerle iletişim halinde olduğu ve kendi temel müşteri tabanına sahip olduğu etkinlik yönetimi. Şirketten ayrılması psikolojik veya mali rahatsızlıklar doğurur. Ancak müşteri tabanı (çalışanın katılımı olmadan) rakiplere geçerse, ticari bilgilerin korunması için sistemde bir kusur vardır. Ve bu, ticari direktör ve satış departmanı başkanının doğrudan sorumluluğundadır.
Ana korumak
Elbette hiç kimsenin paranoyak olma, ortak temeller kullanma girişimlerini çılgınca yasaklama arzusu yoktur. Bu nedenle yapılacak ilk şey, veri kaybının veya diğer kişilere (örneğin rakiplere) aktarılmasının işi ciddi kayıplarla tehdit ettiği bölgeleri, koruma gerektiren belirli noktaları belirlemektir.
Belki tamamen alakalı bir örnek değil, ancak futbolda, bir serbest vuruşta, duvarda duran oyuncuların vücudun herhangi bir yerinde topa vurma şansı vardır, ancak bacakları ve kafayı korumazlar, ancak sadece koşullar altında gerçekten en savunmasız olanı.
Ticari departmandaki hangi bağlantı en savunmasız? Müşteri tabanı? Şüphesiz. Promosyon, pazarlama, reklamcılıkta yenilikler? Kesinlikle. Belki de yönetici yetiştirme sisteminde rakiplerle paylaşmak istemediğiniz özel teknolojileriniz vardır.
Bu blokların her birinin korunmasında hem personel kontrolünü organize etme ve bilgiye erişimi kısıtlama yöntemleri hem de yazılım ve teknik koruma araçları büyük önem taşımaktadır. Ağrı noktalarını belirledikten sonra, şirketin potansiyel bütçesinin %20'sinden fazlasını tüketmeyecek ve Pareto yasasına göre en az %80 oranında koruyacak koruma yöntemleri geliştirmek gerekir.
Yirmi yıl önce, resmi ve ticari sırlarla ilgili belgelerin arşivleri, özel bir erişim rejimi ile oldukça büyük izole odaları işgal etti, ancak imza karşılığında ve imza karşılığında elde edilebilirlerdi.
mesai bitiminde iade edilmelidir. Günümüzde bu dolap ve kasalarda bulunan her şey birçok manyetik diske kolaylıkla sığabilmekte ve bu bilgilere erişimi olan herkes kolaylıkla kopyalayıp çıkarabilmektedir.
e-posta ile gönder. Bu nedenle, günümüzde müşteri veritabanlarının, belgelerinin ve bir şirketin rekabet avantajı olan her şeyin etkin bir şekilde korunması, modern BT teknolojileri kullanılmadan imkansızdır.
Şirketler, sadece kendi inisiyatifleriyle değil, aynı zamanda yasaların ve sektör standartlarının talebi üzerine de ciddi bilgi güvenliği sistemleri oluştururlar (152 Sayılı “Kişisel Verilerin Korunması Hakkında Federal Kanun” ve finansal kuruluşlar ve bankalar için PCI DSS standardı). Bu bağlamda, koruyucu ekipman sertifikalarının mevzuat gereklilikleri ve endüstri standartları doğrultusunda dikkate alınması gerekmektedir.
================================================= ==========
Fikir
Ne pahasına olursa olsun savunma?
Andrey Nuikin , sertifikalı bilgi güvenliği uzmanı
DLP sistemleri pazarı aktif olarak gelişiyor; son birkaç yılda birçok yeni çözüm ortaya çıktı. Her birinin maliyeti, müşterinin gereksinimlerine bağlıdır ve küçük bir şirket için basit bir sistem için birkaç on binlerce ruble ile büyük şirketler için sistemlerin oluşturulması için birkaç milyon arasında değişebilir.
Tecrübelerime göre, Rus geliştiricilerin karmaşık DLP sistemlerinin 3-4 milyon rubleye sığdığını söyleyebilirim. 250 bilgisayarlık bir filo için. Buna, gerekirse, ekipman maliyeti (sunucular, depolama sistemleri vb.) ve yazılım lisanslarının maliyeti (OS, DBMS, vb.) eklenmelidir.
Ancak her durumda, belirli bir DLP sisteminin seçimi ve maliyeti birçok faktöre bağlıdır (korunan bilginin maliyeti, davetsiz misafirin tehdit modeli ve modeli, DLP sisteminin çevrimiçi veya çevrimdışı modu, olası sızıntı kanalları vb.) .).
En basit versiyonda, ortalama bir şirket için organizasyonel önlemler ve basit yazılım araçları ile geçinebilir ve 20-30 bin ruble karşılayabilirsiniz. Ancak, koruma seviyesi uygun olacaktır.
Gereksinimlerin artmasıyla maliyet artar ve burada koruma maliyeti, korunan bilgilerin maliyeti ve işin rahatlığı arasında bir denge bulmak çok önemlidir.
Eh, en zayıf halkayı - kişiyi unutmamalıyız. Hiçbir sistem %100 koruma sağlamaz. Önemli rollerden biri, bilgi güvenliği alanında insanları bilinçlendirmektir.
Andrey Nuikin Orel'deki Askeri Devlet İletişim Enstitüsü'nden mezun oldu. Uluslararası kuruluş ISACA - sertifikalı bilgi güvenliği denetçisi (CISA) ve sertifikalı bilgi güvenliği yöneticisi (CISM) sertifikasını geçti. Bilgi güvenliği alanında sekiz yıldan fazla deneyim.
================================================= ==========
Akıllı teknoloji eksi özensizlik
BT bilgi koruma yöntemleri, örneğin DLP (veri kaybı önleme, veri sızıntısı önleme) bilgi sızıntısı önleme sistemi gibi özel yazılım sistemlerinin kullanımına dayanır. Sistemin uygulanması, bir nesnedeki (örneğin bir e-posta mesajı, dosya, uygulamadaki) bilgileri tanımanıza ve sınıflandırmanıza olanak tanır.
Bilgisayarın belleğinde saklanan, kullanımda olan veya iletişim kanalları üzerinden iletilen bilgi. DLP izin verir
bildirimlerin iletilmesiyle başlayıp engelleme ile biten bu nesnelere dinamik olarak farklı kurallar uygulayın
(Tablo 1).
Bir yönetici, BT veri koruma teknolojilerinden ne ölçüde haberdar olmalıdır? En iyi cevap hiçbiri! Bu cephe iyi bir uzman tarafından karşılanıyorsa ve bilgi hırsızlığı, yasadışı ve istenmeyen dağıtımı sorunuyla hiç karşılaşmadıysanız. En az bir kez başınıza böyle bir talihsizlik geldiyse, zamanı bulmalı ve BT güvenlik sisteminin oluşturulmasını (değiştirilmesini) kontrol etmelisiniz.
Harcama ihtiyacı nasıl gerekçelendirilir
Bu sorunun basit bir cevabı var: Lider yeterliyse ve paralı asker olarak konumunu takdir ediyorsa ve
sahibi - parası, kendisi önemli bilgilerin değerini anlamalıdır. Ancak gerekirse
kanıt, en iyi yol pratik bir örnektir. Bunu yapmak için casus olmanıza gerek yok. Bir ticari sır maddesi ekleme gereğini açıklarken, çalışanların stratejik bilgilere erişimini kısıtlamak da dahil olmak üzere iş süreçlerini yeniden yapılandırın, değerli zamanınızı konuşarak boşa harcamayın. Bir çalışanın öğle tatilinde açık kalan bir sekreterin, yöneticinin veya başka birinin bilgisayarında oturun ve bir flash sürücü için değerli olduğunu düşündüğünüz her şeyi kopyalayın. Daha sonra, doğrudan rakibinizin listenin aşağısındaki ... hakkında veri aldığına dair bir raporla CEO'ya gidebilirsiniz. Elbette yönetici, kuruluşta bir koruyucu önlemler sisteminin başlatılmasını ve aynı gün BT yükseltmelerini onaylayacak kadar öfkeli olacaktır.
İnsan faktörü
Tabii ki, bilgi koruma konusundaki çalışmalar DLP sistemlerinin tanıtılmasıyla sınırlı olmaktan uzaktır. BT teknolojileri, entegre bir güvenlik ve bilgi koruma sistemi oluşturarak henüz ulaşılmamış olan ayrı bir unsur, yalnızca bir parçasıdır.
Bununla birlikte, belgelerin kendileri bilgi açısından mutlak esenliğin garantisi değildir.
güvenlik. Uygulamamda, her şeye sahip şirketlerle sık sık karşılaştım: dikkatlice yazılmış yönetmelikler,
ve son teknoloji bilgi güvenliği yazılım ürünlerine sahip akıllı BT uzmanları. Ve sızıntılar devam etti.
Bu durumda, insan faktörüne, daha doğrusu şirket yönetiminin nasıl organize edildiğine dikkat etmeye değer.
bilgi güvenliği prosedürlerinin uygulanmasını ve çalışanların bu prosedürlere nasıl uyduğunu izler. Hakkında
derginin Temmuz sayısında okuyabilirsiniz.
================================================= ==========
Fikir
Bilgi tehditleri
Julia Nikitina , Pazarlama Direktörü, Güvenlik Kodu
Firmaların gelişmesine yardımcı olan teknolojilerin, amacı firmaların bilgi varlıkları olan saldırganlara da hizmet ettiğini üzülerek belirtmeliyiz. Bilgisayar teknolojisinin gelişmesi ve yaygın olarak kullanılması, bilgisayar bilgi sistemlerinde depolanan ve işlenen bilgilerin çok sayıda tehditten korunmasının gerekli olduğu gerçeğine yol açmaktadır (Tablo 2).
Rekabet istihbaratı veya taviz veren şirketler için dünya uygulamasından örnekler,
bilgisayar teknolojisi, fazlasıyla, geçen yılki HSBC olayını hatırlayın. İşten
Bir banka çalışanı 15.000 müşterinin bilgilerini çaldı. İnternet bankacılığı sisteminin kullanıcı hesapları etkilendi,
ağırlıklı olarak İsviçre ve Fransa sakinleri (olaydan sonra banka, kendisine 94 milyon dolara mal olan güvenlik sistemini değiştirdi).
Verileri korumanın en erişilebilir yollarından biri, sanal bir altyapıda işlenen bilgilere erişim haklarını bir BT yöneticisi ile bir güvenlik hizmeti yöneticisi arasında paylaşmaktır.
Bilgi güvenliğine yönelik bir tehdit olduğunda, suçluyu bulmak her zaman mümkün değildir. Genellikle bir sistem yöneticisi, görev başında kullanıcılara erişim haklarını dağıtan bir sızıntıdan suçlu bulunur.
Bu nedenle çalışanların bilgi servisinin bilgisi ile bilgiye ulaşmasını sağlamak doğrudur.
güvenlik.
"Güvenlik Kodu" koruma sağlayan bir Rus yazılım ve donanım geliştiricisidir.
bilgi sistemi. Müşteriler arasında Rusya ve diğer ülkelerde 2500'den fazla devlet ve ticari kuruluş bulunmaktadır.
BDT. Resmi site - [DLMURL]https://www.securitycode.ru[/DLMURL]
================================================= ==========
Ekli dosyalar
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
