RSS
Защита информации - как часть системы корпоративной безопасности
Информационное общество, тесно связанное с телекоммуникациями и обменом всевозможной информацией предоставило бизнесу как новые возможности, так и новые угрозы. Информация стала стоить гораздо дороже многих материальных ценностей, и ее потеря может поставить под угрозу существование самого бизнеса.
В России до сих пор не все руководители и лица, ответственные за развитие компаний, осознают важность защиты собственных данных. Как показывают различные опросы среди представителей бизнес-сообщества страны, только в третьей части компаний всерьез задумываются об информационной безопасности, имея при этом специальный отдел, который занимается защитой их интересов. Такие цифры выглядят странными на фоне того, что эти же исследования показывают, что с проблемой утечек конфиденциальной информации сталкивались более половины опрошенных. Однако в последние годы наметились тенденции, которые можно считать обнадеживающими.
Большие планы
По оценкам компании SearchInform, одного из ведущих игроков российского рынка средств защиты и контроля информационных потоков, в 2010 г. затраты российских компаний на обеспечение информационной безопасности выросли в 3 - 4 раза по сравнению с 2009 г., а в нынешнем году ожидается двукратный рост по сравнению с 2010 г.
"В России постепенно зарождается культура информационной безопасности, появляется понимание, что безопасностью надо заниматься, нужно устанавливать системы защиты информации. Тем самым страна пошагово движется к цивилизованному рынку, - считает генеральный директор SearchInform Лев Матвеев. - Не только нефтяные, финансовые компании, но и организации других секторов экономики выходят на тот уровень, когда есть что охранять. Чем более интеллектуальной деятельностью занимается компания, тем больше у нее информации, требующей защиты".
Одной из основных тенденций сегодня является рост количества утечек конфиденциальной информации, в первую очередь персональных данных. Это происходит не только в России, но и на всем постсоветском пространстве, где в отличие от западных стран большая часть инцидентов остается неизвестной широкой общественности, что мешает пострадавшим в ходе этих утечек оперативно принимать меры по нейтрализации их возможных последствий.
В то же время нельзя не отметить оптимистичных планов многих компаний по защите собственной конфиденциальной информации. Исследования показали, что организации, еще не внедрившие у себя DLP-систему или другие средства мониторинга информационных потоков, в 45% случаев планируют в ближайшее время это сделать.
Что любопытно, по оценкам аналитиков, в 2011 г. заметно возрастет количество утечек именно персональных данных. Причем более частыми они будут в первом полугодии, а во второй половине года пойдут на спад благодаря действию Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. Федерального закона от 23.12.2010 N 359-ФЗ). Правда, лишь в том случае, если изменения в Законе, как и обещано, вступят в силу 1 июля текущего года без очередной отсрочки и будут соблюдены российскими организациями. Количество других утечек информации, как ожидается, будет держаться примерно на том же уровне, что и в 2010 г.
Важную роль в борьбе с похитителями информации должен сыграть и вступивший в силу 27 января 2011 г. Федеральный закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", в котором определены действия, признаваемые манипулированием рынком. Например, к ним относится умышленное распространение заведомо ложных сведений, в результате которого цена, спрос, предложение или объем торгов существенно отклонились. Запрещаются также указанные действия и использование инсайдерской информации определенными способами. За нарушение Закона об инсайде установлена административная и уголовная ответственность.
Грамотный подход
Разработка политики по безопасности и планов по совершенствованию корпоративной стратегии защиты информации для достижения приемлемого уровня защищенности информационных активов компании не является общим для всех процессом. Каждая отдельно взятая организация нуждается в индивидуальном решении. Для этого следует в первую очередь обоснованно произвести расчет финансовых вложений в обеспечение безопасности на основе анализа рисков и соотнести эти расходы с потенциальным ущербом и вероятностью его возникновения.
В каждом отдельном случае необходимо выявить уязвимость компании относительно утечек информации. Причем желательно это осуществлять не постфактум, после "атак" на уязвимые ресурсы, а в результате грамотного анализа имеющихся условий. При этом, безусловно, необходимо учитывать особенности каждого бизнеса. Например, те компании, специфика которых предусматривает возможность удаленной работы сотрудников с корпоративной информацией, должны уделять в том числе как можно больше внимания именно этому компоненту, поскольку, как показало недавнее исследование американской компании People Security, две трети сотрудников подвергают конфиденциальные данные риску во время работы за пределами рабочего места, а некоторые сотрудники даже ставят под угрозу такую строго регламентированную и конфиденциальную информацию, как номера кредитных карт клиентов и номера социального обеспечения. Опрос американских специалистов показал, что более 70% компаний не имеют выраженной политики относительно удаленной работы и работы в общественных местах. Российские цифры в такой ситуации, по нашему мнению, превысили бы отметку 90%.
При создании политики информационной безопасности компании важно определять зоны ответственности при взаимодействии различных подразделений по обеспечению этой безопасности. Безусловно, необходим и пакет организационно-распорядительной документации, разработанный и согласованный со всеми службами компании. При этом важную роль играет поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы компании, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Правильный подход способен помочь руководителям объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать и обосновать необходимые затраты на защиту. На основе полученной оценки начальники отделов и служб могут выработать необходимые организационные меры: состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях.
Ориентация на комплексность
В развитии систем информационной безопасности в настоящее время главной тенденцией, безусловно, является переход от "заплаточных" систем, которые состоят из поставляемых разными производителями компонентов, обеспечивающих решение "узких" задач, к комплексным интегрированным системам информационной безопасности. Подобные системы позволяют организациям избавиться от возникающих при использовании "заплаточных" решений проблем, связанных с совместимостью компонентов, управлять всеми компонентами в рамках единой административной консоли, а также сокращать затраты на внедрение и сопровождение системы обеспечения информационной безопасности.
Производители средств защиты информации, учитывая требования рынка, в 2011 г. собираются предложить пользователям системы, обладающие широкими возможностями и позволяющие решать еще большее количество задач по защите данных от различных угроз. Это также должно быть приурочено к вступлению в силу изменений в Федеральном законе "О персональных данных", поскольку поставщики средств защиты будут стараться реализовать потребности компаний до того, как последним предъявят претензии надзорные органы. Безусловно, появление самых интересных для компаний разработок следует ожидать в основном в I и II кварталах текущего года.
Интегрированные системы, в свою очередь, развиваются в направлении обеспечения модульной структуры, позволяя компаниям приобретать только те компоненты, которые действительно актуальны для них, что также способствует экономии при приобретении средств обеспечения информационной безопасности. В 2011 г. должны появиться новые модули для уже существующих и популярных среди корпоративных заказчиков систем российского производства, которые будут занимать все большую долю рынка и вытеснять средства, предлагаемые западными производителями.
По мнению Льва Матвеева, в 2011 г. на рынке средств информационной безопасности ожидается выход на первый план систем, позволяющих контролировать максимальное число различных каналов, по которым может происходить утечка информации. Эти системы должны обеспечивать безусловное удобство работы специалистов по информационной безопасности благодаря своим широким аналитическим возможностям.
Е.Варакса
Эксперт по информационной безопасности
В России до сих пор не все руководители и лица, ответственные за развитие компаний, осознают важность защиты собственных данных. Как показывают различные опросы среди представителей бизнес-сообщества страны, только в третьей части компаний всерьез задумываются об информационной безопасности, имея при этом специальный отдел, который занимается защитой их интересов. Такие цифры выглядят странными на фоне того, что эти же исследования показывают, что с проблемой утечек конфиденциальной информации сталкивались более половины опрошенных. Однако в последние годы наметились тенденции, которые можно считать обнадеживающими.
Большие планы
По оценкам компании SearchInform, одного из ведущих игроков российского рынка средств защиты и контроля информационных потоков, в 2010 г. затраты российских компаний на обеспечение информационной безопасности выросли в 3 - 4 раза по сравнению с 2009 г., а в нынешнем году ожидается двукратный рост по сравнению с 2010 г.
"В России постепенно зарождается культура информационной безопасности, появляется понимание, что безопасностью надо заниматься, нужно устанавливать системы защиты информации. Тем самым страна пошагово движется к цивилизованному рынку, - считает генеральный директор SearchInform Лев Матвеев. - Не только нефтяные, финансовые компании, но и организации других секторов экономики выходят на тот уровень, когда есть что охранять. Чем более интеллектуальной деятельностью занимается компания, тем больше у нее информации, требующей защиты".
Одной из основных тенденций сегодня является рост количества утечек конфиденциальной информации, в первую очередь персональных данных. Это происходит не только в России, но и на всем постсоветском пространстве, где в отличие от западных стран большая часть инцидентов остается неизвестной широкой общественности, что мешает пострадавшим в ходе этих утечек оперативно принимать меры по нейтрализации их возможных последствий.
В то же время нельзя не отметить оптимистичных планов многих компаний по защите собственной конфиденциальной информации. Исследования показали, что организации, еще не внедрившие у себя DLP-систему или другие средства мониторинга информационных потоков, в 45% случаев планируют в ближайшее время это сделать.
Что любопытно, по оценкам аналитиков, в 2011 г. заметно возрастет количество утечек именно персональных данных. Причем более частыми они будут в первом полугодии, а во второй половине года пойдут на спад благодаря действию Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. Федерального закона от 23.12.2010 N 359-ФЗ). Правда, лишь в том случае, если изменения в Законе, как и обещано, вступят в силу 1 июля текущего года без очередной отсрочки и будут соблюдены российскими организациями. Количество других утечек информации, как ожидается, будет держаться примерно на том же уровне, что и в 2010 г.
Важную роль в борьбе с похитителями информации должен сыграть и вступивший в силу 27 января 2011 г. Федеральный закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", в котором определены действия, признаваемые манипулированием рынком. Например, к ним относится умышленное распространение заведомо ложных сведений, в результате которого цена, спрос, предложение или объем торгов существенно отклонились. Запрещаются также указанные действия и использование инсайдерской информации определенными способами. За нарушение Закона об инсайде установлена административная и уголовная ответственность.
Грамотный подход
Разработка политики по безопасности и планов по совершенствованию корпоративной стратегии защиты информации для достижения приемлемого уровня защищенности информационных активов компании не является общим для всех процессом. Каждая отдельно взятая организация нуждается в индивидуальном решении. Для этого следует в первую очередь обоснованно произвести расчет финансовых вложений в обеспечение безопасности на основе анализа рисков и соотнести эти расходы с потенциальным ущербом и вероятностью его возникновения.
В каждом отдельном случае необходимо выявить уязвимость компании относительно утечек информации. Причем желательно это осуществлять не постфактум, после "атак" на уязвимые ресурсы, а в результате грамотного анализа имеющихся условий. При этом, безусловно, необходимо учитывать особенности каждого бизнеса. Например, те компании, специфика которых предусматривает возможность удаленной работы сотрудников с корпоративной информацией, должны уделять в том числе как можно больше внимания именно этому компоненту, поскольку, как показало недавнее исследование американской компании People Security, две трети сотрудников подвергают конфиденциальные данные риску во время работы за пределами рабочего места, а некоторые сотрудники даже ставят под угрозу такую строго регламентированную и конфиденциальную информацию, как номера кредитных карт клиентов и номера социального обеспечения. Опрос американских специалистов показал, что более 70% компаний не имеют выраженной политики относительно удаленной работы и работы в общественных местах. Российские цифры в такой ситуации, по нашему мнению, превысили бы отметку 90%.
При создании политики информационной безопасности компании важно определять зоны ответственности при взаимодействии различных подразделений по обеспечению этой безопасности. Безусловно, необходим и пакет организационно-распорядительной документации, разработанный и согласованный со всеми службами компании. При этом важную роль играет поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы компании, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Правильный подход способен помочь руководителям объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать и обосновать необходимые затраты на защиту. На основе полученной оценки начальники отделов и служб могут выработать необходимые организационные меры: состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях.
Ориентация на комплексность
В развитии систем информационной безопасности в настоящее время главной тенденцией, безусловно, является переход от "заплаточных" систем, которые состоят из поставляемых разными производителями компонентов, обеспечивающих решение "узких" задач, к комплексным интегрированным системам информационной безопасности. Подобные системы позволяют организациям избавиться от возникающих при использовании "заплаточных" решений проблем, связанных с совместимостью компонентов, управлять всеми компонентами в рамках единой административной консоли, а также сокращать затраты на внедрение и сопровождение системы обеспечения информационной безопасности.
Производители средств защиты информации, учитывая требования рынка, в 2011 г. собираются предложить пользователям системы, обладающие широкими возможностями и позволяющие решать еще большее количество задач по защите данных от различных угроз. Это также должно быть приурочено к вступлению в силу изменений в Федеральном законе "О персональных данных", поскольку поставщики средств защиты будут стараться реализовать потребности компаний до того, как последним предъявят претензии надзорные органы. Безусловно, появление самых интересных для компаний разработок следует ожидать в основном в I и II кварталах текущего года.
Интегрированные системы, в свою очередь, развиваются в направлении обеспечения модульной структуры, позволяя компаниям приобретать только те компоненты, которые действительно актуальны для них, что также способствует экономии при приобретении средств обеспечения информационной безопасности. В 2011 г. должны появиться новые модули для уже существующих и популярных среди корпоративных заказчиков систем российского производства, которые будут занимать все большую долю рынка и вытеснять средства, предлагаемые западными производителями.
По мнению Льва Матвеева, в 2011 г. на рынке средств информационной безопасности ожидается выход на первый план систем, позволяющих контролировать максимальное число различных каналов, по которым может происходить утечка информации. Эти системы должны обеспечивать безусловное удобство работы специалистов по информационной безопасности благодаря своим широким аналитическим возможностям.
Е.Варакса
Эксперт по информационной безопасности
Другие новости по теме:
FAQ: аудит информационной безопасности Вступление в силу закона "О защите персональных данных": надо ли что дела ... Комплексная информационная защита персональных данных Стандарты Банка России в области информационной безопасности Обеспечение непрерывности обеспечения it безопасности Особенности регулирования персональных данных для банков и страховщиков