Меры для защиты информации
«Можно назвать следующие общие меры для защиты информации:
управленческие, предполагающие обеспечение правильной организации, взаимодействия и планирования подразделений компании для решения задач в области ИБ;
операционные, направленные на реализацию функций обеспечения безопасности, выполняемых сотрудниками компании.
Выбор конкретных организационных или программно-технических мер защиты зависит от результатов оценки рисков ИБ.
Состав программно-технических мер защиты компании во многом зависит от специфики используемых информационных систем и тех задач, которые необходимо решать.
Вместе с тем на сегодняшний день существует несколько ключевых подсистем, которые должны входить в состав комплекса защиты информации в компании:
подсистема выявления компьютерных вирусов;
подсистема обнаружения несанкционированных воздействий злоумышленников на сеть;
подсистема анализа уязвимостей, позволяющих осуществить информационные атаки;
подсистема персонального и межсетевого экранирования для блокирования опасных пакетов данных;
подсистема контроля целостности для выявления последствий информационных атак;
подсистема выявления спама;
подсистема криптографической защиты информации (обеспечивает конфиденциальность и целостность передаваемых данных);
подсистема защиты от угроз, связанных с утечкой конфиденциальных данных;
подсистема мониторинга безопасности (выполняет функции централизованного сбора и анализа информации о событиях, связанных с угрозами)».
«Практика показывает, что 90% всех операций, к какому бы департаменту они формально ни относились, прямо или косвенно касаются IT. Приведу характерный пример, связанный с управлением правами доступа к информационным системам одной компании. При приеме на работу сотрудника (или при расширении его полномочий) в скорейшей реализации запроса в IT-подразделении заинтересован линейный менеджер: ему нужно срочно ввести нового работника в строй. Обратная ситуация при увольнении: линейному менеджеру безразлично, удален ли увольняемый сотрудник из списков доступа к информационным системам или нет. За отсутствие в списках доступа фамилий уволенных сотрудников отвечает уже IT-отдел. Поэтому я и стал инициатором организации сквозного процесса в компании, охватывающего и бизнес-подразделения, и отдел кадров, и IT. Подписывая обходной лист уже после внедрения данного процесса, я был абсолютно уверен: если стоит подпись моего сисадмина, значит, увольняющийся сотрудник удален из всех информационных систем компании.
Еще более интересным опытом было распространение данной процедуры на наших многочисленных субконтракторов, использующих наши технологии и имеющих для этого доступ к нашим системам. Правда, для этого пришлось организовать сквозное взаимодействие уже не только внутренних бизнес-подразделений компании, но и внешних подрядчиков. На практике это вылилось в разработку, согласование и утверждение документов, регламентирующих порядок приема, перемещения и увольнения сотрудников у наших подрядчиков и, что особенно важно, порядок своевременного информирования нас об этих событиях».
«Если аудит ИБ дает положительное заключение, это не должно стать поводом для ослабления внимания к информационной безопастности. Технологии постоянно развиваются: увеличивается мощность процессоров, разрабатываются новые методы. Пример: rainbow attack – это технология, которая быстро и легко взламывает многие из тех паролей, которые совсем недавно казались очень стойкими. Внутренние проверки должны проводиться сотрудниками отдела безопасности, которые подчиняются непосредственно руководству компании, и только ему. Желательно, чтобы сам факт проведения проверок не был известен остальным сотрудникам».
управленческие, предполагающие обеспечение правильной организации, взаимодействия и планирования подразделений компании для решения задач в области ИБ;
операционные, направленные на реализацию функций обеспечения безопасности, выполняемых сотрудниками компании.
Выбор конкретных организационных или программно-технических мер защиты зависит от результатов оценки рисков ИБ.
Состав программно-технических мер защиты компании во многом зависит от специфики используемых информационных систем и тех задач, которые необходимо решать.
Вместе с тем на сегодняшний день существует несколько ключевых подсистем, которые должны входить в состав комплекса защиты информации в компании:
подсистема выявления компьютерных вирусов;
подсистема обнаружения несанкционированных воздействий злоумышленников на сеть;
подсистема анализа уязвимостей, позволяющих осуществить информационные атаки;
подсистема персонального и межсетевого экранирования для блокирования опасных пакетов данных;
подсистема контроля целостности для выявления последствий информационных атак;
подсистема выявления спама;
подсистема криптографической защиты информации (обеспечивает конфиденциальность и целостность передаваемых данных);
подсистема защиты от угроз, связанных с утечкой конфиденциальных данных;
подсистема мониторинга безопасности (выполняет функции централизованного сбора и анализа информации о событиях, связанных с угрозами)».
«Практика показывает, что 90% всех операций, к какому бы департаменту они формально ни относились, прямо или косвенно касаются IT. Приведу характерный пример, связанный с управлением правами доступа к информационным системам одной компании. При приеме на работу сотрудника (или при расширении его полномочий) в скорейшей реализации запроса в IT-подразделении заинтересован линейный менеджер: ему нужно срочно ввести нового работника в строй. Обратная ситуация при увольнении: линейному менеджеру безразлично, удален ли увольняемый сотрудник из списков доступа к информационным системам или нет. За отсутствие в списках доступа фамилий уволенных сотрудников отвечает уже IT-отдел. Поэтому я и стал инициатором организации сквозного процесса в компании, охватывающего и бизнес-подразделения, и отдел кадров, и IT. Подписывая обходной лист уже после внедрения данного процесса, я был абсолютно уверен: если стоит подпись моего сисадмина, значит, увольняющийся сотрудник удален из всех информационных систем компании.
Еще более интересным опытом было распространение данной процедуры на наших многочисленных субконтракторов, использующих наши технологии и имеющих для этого доступ к нашим системам. Правда, для этого пришлось организовать сквозное взаимодействие уже не только внутренних бизнес-подразделений компании, но и внешних подрядчиков. На практике это вылилось в разработку, согласование и утверждение документов, регламентирующих порядок приема, перемещения и увольнения сотрудников у наших подрядчиков и, что особенно важно, порядок своевременного информирования нас об этих событиях».
«Если аудит ИБ дает положительное заключение, это не должно стать поводом для ослабления внимания к информационной безопастности. Технологии постоянно развиваются: увеличивается мощность процессоров, разрабатываются новые методы. Пример: rainbow attack – это технология, которая быстро и легко взламывает многие из тех паролей, которые совсем недавно казались очень стойкими. Внутренние проверки должны проводиться сотрудниками отдела безопасности, которые подчиняются непосредственно руководству компании, и только ему. Желательно, чтобы сам факт проведения проверок не был известен остальным сотрудникам».