IT-безопасность: коммерческая тайна как приманка для конкурентов

Информационное общество, в котором работает бизнес наиболее ценным активом считает информацию. А конфиденциальная информация, ноу-хау, стоит порой гораздо дороже любых материальных активов. Если она станет известной конкурентом, они смогут предложить клиентам более интересные условия работы, либо создать товар лучше, чем у вас, воспользовавшись Вашей же информацией. В этом случае ошибку будет исправить гораздо дороже, чем купить новый офис или инструменты.

Прежде чем начать дискутировать на тему защиты конфиденциальной информации, следует обратиться к определению конфиденциальной информации.
Конфиденциальная информация - это информация, доступ к которой ограничивается в соответствии с законодательством РФ, и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.

Кто есть враг?

Кому может быть интересна информация, которой обладает ваша организация?
Например, СМИ. Им может понадобиться публикация вашей деятельности для придания общественной огласке тайн вашего бизнеса. Однако СМИ могут любую информацию преподнести немного не в том виде, в котором вы хотели бы.
Интерес могут проявлять проверяющие и контролирующие госорганы для проверки вашей деятельности на соответствие законодательству, например для проверки вашей бухгалтерии и перемещений денежных средств.
Также существует возможность угрозы со стороны недовольных сотрудников. Они захотят отомстить за увольнение, сравнить свою зарплату с коллегами и руководством. Получить доступ к информации и удалить ее, либо испортить, либо изменить с целью получения выгоды внутреннему сотруднику намного проще. Ведь он уже внутри компании и имеет авторизованный доступ в сеть компании.
Не забудем упомянуть злонамеренных лиц. Для них выгодна продажа информации о компании в открытое пользование. Компьютерные профессионалы, которые рассчитывают заработать на хищении информации и продаже ее конкурентам компании или собственно тем, у кого они ее украли.
Для конкурентов использование бухгалтерской отчетности, базы клиентов, наработок, знаний, изобретений, информации о производстве для получения прибыли и разрушения чужого бизнеса - просто подарок судьбы.
В данной статье предлагается остановиться на самом серьезном пункте - Конкуренты.
Не очень приятно, когда компанию обходит ее противник. А как часто случается, что он обходит компанию на всех поворотах, применяя только известную вам технику, используя разрабатываемые именно вами инструменты?
Секунду назад вы были уверены, что имеете козырь в рукаве, и вот его же достает из своего рукава ваш конкурент. Зачастую это бывает смертельно для бизнеса.

Каким образом можно похитить информацию

Вариант 1
Разослать рассылку рекламных писем сотрудникам компании. Заразить офисные компьютеры вирусом. Вирус соберет нужную информацию в сети организации и отправит на сервер или почтовый ящик злоумышленника.
Вариант 2
Представиться охраннику сотрудником службы эпидемиологического надзора и, проникнув на территорию офиса, подключившись к серверному оборудованию или рабочим станциям, переписать необходимую информацию.
Вариант 3
Позвонить на рабочий телефон сотрудника, представившись новым администратором сети. Объяснить, что сейчас проводятся восстановительные работы "упавшего" почтового сервера и обновляется база данных пользователей. Далее попросить сотрудника продиктовать по телефону или отправить свои данные для входа в корпоративную сеть или почту.
Вариант 4
Выявить сотрудника организации, недовольного своим начальством, и договориться с ним за небольшие деньги пересылать всю интересующую вас информацию.
Вариант 5
Организовать DDOS-атаку "отказ в обслуживании" на интернет-серверы конкурента с целью вывести их из работоспособного состояния на период, который необходим, чтобы клиенты отвернулись от сервисов и услуг организации, неспособной противостоять информационной войне.
Продолжать можно очень долго. Способов похитить у вас ваши деньги сотни, а результат один - информация будет в руках у злоумышленников. И не стоит забывать, что даже если вашу информацию сложно похитить, то ее гораздо проще испортить или уничтожить! Ведь даже просто лишить вас информации, и тогда вы уже лишаетесь возможности развиваться и вести бизнес.

Как выжить, когда вас поджидают опасности на каждом шагу?

Каким образом можно закрыть возможность утечки информации в развивающейся организации, которая не живет только сегодняшним днем, а думает о будущем?
Ответ прост - применение комплексного подхода при построении современной системы защиты информации компании или предприятия.
Многие организации считают, что, установив антивирус и межсетевой экран на рабочие станции и серверы, они решили проблему защиты. Однако это не так. Практика показывает, что на обход подобной защиты специалисту требуется от 10 минут до нескольких часов. Все зависит от настроек и версии программного обеспечения, установленного на средствах защиты. Помните, любую защиту рано или поздно можно обойти. Любой антивирус можно обмануть. И любую информацию можно украсть. Все упирается во время и ресурсы, которые будут затрачены на выполнение этой задачи.
И все сводится к тому, сколько готовы заплатить конкуренты за владение вашей конфиденциальной информацией.
Другими словами, необходимо всегда трезво оценивать ситуацию, четко понимать, сколько информация стоит и как сделать так, чтобы она была максимально защищена.

Планируем - разрабатываем

Этап 1. Для начала в организации необходимо провести аудит информационной безопасности, который позволит получить четкое понимание нынешнего состояния дел с защитой информации. Также не лишним будет провести анализ рисков, т.е. попытаться просчитать, сколько может потерять организация при возможной (пусть даже малореальной) утечке информации к конкурентам.
Если стоимость потерь, которые вы понесете при краже или потере информации, окажется ниже стоимости организации необходимого уровня защиты, значит, мы собираемся построить пятиметровую бетонную стену вокруг купюры в 1 тыс. руб. Однако если потери окажутся больше предполагаемой цены защиты, то можно сделать вывод, что вы идете верным путем.
Теперь необходимо разработать основополагающие документы, которые позволят грамотно выстроить защиту вашей организации, такие как Политика информационной безопасности и Профиль настроек оборудования. Если указанные документы в компании уже присутствуют, следует их актуализировать в соответствии с задачами защиты.
Далее в соответствии с Политикой информационной безопасности компании необходимо правильно и четко спроектировать систему защиты информации в организации.

┌─────────────────────┐
┌──────────────┐│ Планируем │ /└─────────────┐
│ ┌────────────┘│ Разрабатываем │ \┌───────────┐ │
│ │ └─────────────────────┘ │ │
\┘ └/ │ │
\ / └─┘
┌─────────────────────┐ ┌───────────────────┐
│ Реализуем │ │ Совершенствуем │
│ Меняем │ │ Поддерживаем │
└─────────────────────┘ └───────────────────┘
┌─┐ / \
│ │ ┌─────────────────────┐ /┐ ┌\
│ └──────────┘\ │ Проверяем │ ┌────────────┘ │
└────────────┐/ │ Отслеживаем │ └──────────────┘
└─────────────────────┘

Схема

Реализуем - меняем

Этап 2. Следующим шагом проекта построения эффективной защиты системы информационной безопасности является выстраивание качественной системы защиты информации - кирпичной стены для угроз информации компании, и внедрение средств защиты - кирпичей, обеспечивающих необходимый уровень защиты информации.
Стоит перечислить средства защиты, которые могут быть задействованы для грамотного уровня организации защиты:
- антивирусные системы (Antivirus);
- системы контроля доступа в помещение (СКД);
- средства межсетевого экранирования (FireWall);
- продукты контроля доступа в сети (Network Access Control-NAC);
- средства контроля почтовых сообщений (Email Security);
- средства контроля интернет-активности (Web Security);
- инструменты обнаружения вторжения (Intrusion Prevention Systems-IPS);
- сканеры уязвимостей (Vulnerabilities Scanners);
- системы контроля утечки данных (Data Loss Prevention-DLP);
- программно-аппаратные средства контроля целостности и доступа к информации на локальном компьютере (ПАК СКЦ);
- средства защиты баз данных (Database security);
- средства построения защищенного соединения (Virtual Private Network-VPN);
- решения резервного копирования (Back UP);
- и другие.
Каждая система генерирует события безопасности, на которые администратору стоит обратить внимание, и таких событий зачастую бывает более тысячи в минуту.
Конечно, можно посадить 10 - 20 специалистов, платить им высокую зарплату, и они будут анализировать "на лету" события, выбирая из них самые важные. У этих специалистов будет руководитель-эксперт с еще более высокой зарплатой. Каждую минуту к нему будут приносить отчеты специалисты, ему придется анализировать ситуацию защищенности компании на нынешний момент. И, обратившись в любой момент времени к такому эксперту, директор по информационной безопасности или просто директор компании может получить полную картину защищенности организации и ситуационную картину по всем системам.
Всю эту работу должен выполнять интеллектуальный Центр мониторинга и Управления Информационной Безопасностью - ЦУИБ. Он постоянно собирает события безопасности со всех систем защиты, анализирует полученные данные и формирует из них так называемые инциденты.
На рынке представлено множество ЦУИБ, и все они имеют свои плюсы и минусы. Среди наиболее известных можно назвать ArcSite, Enterasys Security Information and Event Manager (SIEM), RSA nVision, Security Vision (SV2010), Symantec Security Information Manager (SIM).

Проверяем - отслеживаем

Этап 3. Необходимо наладить процесс регулярной проверки состояния систем защиты на работоспособность с учетом появления и установки свежих программных продуктов и публикации новых обнаруженных уязвимостей. Также не лишним будет регулярный анализ состояния информационной безопасности в организации, который позволит выявлять отклонения от эталона информационной безопасности, описанного в Политике информационной безопасности компании. Как говорится в ISO 27001:2005 "Оценка и (при необходимости) анализ функционирования процессов в соответствии с требованиями документов системы управления информационной безопасностью, а также предоставление отчетов о результатах проведения проверок руководству компании". Эти действия необходимы также для выявления новых лазеек, которыми могут воспользоваться лица, заинтересованные в получении несанкционированного доступа к конфиденциальной информации компании. Решить данную задачу поможет Центр мониторинга и управления информационной безопасностью. Причем этот центр, как правило, способен не только отображать информацию (желательно на русском языке), но и формировать необходимые отчеты в шаблонах, созданных в соответствии с Политикой информационной безопасности. Более продвинутые ЦУИБ позволяют даже реагировать на инциденты в автоматическом режиме. Например, при выявлении атаки на сеть из Интернета - в автоматическом режиме могут быть добавлены в списки заблокированного доступа исходные адреса атакующих. Тем самым атака будет нейтрализована без привлечения администратора безопасности. И о попытке проведения атаки вы узнаете из утреннего отчета безопасности.

Совершенствуем - поддерживаем

Этап 4. При выявлении несоответствий Политике информационной безопасности и новых уязвимостей следует найти инструменты усовершенствования вашей системы комплексной защиты и залатать обнаруженные в ней прорехи, усилить слабые места. Также в рамках данного этапа осуществляется поддержка системы защиты информации в течение необходимого периода времени.
А после этого в соответствии с законами эволюции приходит понимание необходимости дальнейшего совершенствования системы защиты, и вновь начинается первый этап.
Резюмируя все вышесказанное, хотелось бы отметить следующее. Только грамотно построенная система управления информационной безопасностью (СУИБ) в руках компетентного руководителя службы информационной безопасности может служить удобным и эффективным инструментом контроля состояния информационной безопасности в компании в целом. Именно обратившись к данному инструменту, руководитель в любой момент времени будет готов сказать, какая у него текущая обстановка в организации и на что необходимо обратить внимание именно сейчас.
Таким образом, применение комплексного подхода к построению системы управления информационной безопасности позволяет надежно защитить корпоративные данные, которые надежно скрыты от чужих глаз и рук.
Не стоит уподобляться слабым, инертным организациям, работающим по старому принципу - решать проблемы по мере их поступления, когда информация уже утекла к конкурентам.
На рынке выживают современные, активные компании, которые думают наперед и подстраховывают свое будущее, активно вкладывая средства в "завтра", а не только в проблемное "сегодня".

А.Прокудин
Руководитель группы продаж
Центра компетенции
информационной безопасности
компании АйТи

    
Другие новости по теме:
  • Автоматизация бизнеса через внедрение CRM
  • FAQ: аудит информационной безопасности
  • Аудит информационной безопасности компаний
  • Обеспечение непрерывности обеспечения it безопасности
  • Аппаратные средства защиты информации
  • DIRECTUM BEL аккредетивал Оперативно-аналитический центр при Президенте Рес ...