Cum să vă asigurați sistemul de informații

• Cum să protejați compania de scurgerile de informații din bazele de date;
• Este posibil să asigurați sistemul de eșecuri?
• Cum să testați sistemul de securitate a informațiilor al companiei dvs.

• Cum în grupul de asigurări "Avesta" protejează baza, numărând peste 100 de mii de clienți;
• De ce există jurnale de activitate ale utilizatorilor în compania "Intalev"?
• Un exemplu care vă va permite să calculați, prin calcul, dacă trebuie să puneți echipament de rezervă pentru a proteja informațiile;
• Ce probleme se poate confrunta cu directorul general?

• pierderea de date;
• divulgarea de informații confidențiale;
• eșecul sistemelor informatice, care exclude posibilitatea de a lucra cu clienții;
• creșterea costurilor generale.

Această problemă apare, în primul rând, din cauza deteriorării materialelor media (hard disk-uri, CD-uri etc.) și, în al doilea rând, din cauza virușilor care au intrat în computer sau în rețea. Un alt motiv pentru pierderea datelor este atacul hackerilor.

Cum să preveniți. Pentru a face acest lucru aveți nevoie de:

Cum sunt protejate întreprinderile mari?

Informațiile care și-au pierdut relevanța ar trebui arhivate. De asemenea, ar trebui să se verifice periodic conservarea materialelor de arhivă.

Tehnologia de conectare la Internet cu ajutorul Wi-Fi (de obicei funcționează în restaurante și baruri) reprezintă o potențială amenințare pentru compania noastră. Orice astfel de conexiune poate duce la un atac hacker cu pierderi ulterioare de date sau scurgeri de informații. Pentru a evita acest lucru, este necesar să se dezvolte în regulile companiei pentru utilizarea tehnologiei Wi-Fi.

Dezvăluirea informațiilor confidențiale

Abordări ale securității în Rusia și în Occident

În Rusia, ei preferă să investească în asigurarea securității în Occident - pentru a asigura riscurile. Cu alte cuvinte, Rusia este înclinată să cumpere un server pentru backup, iar în SUA - să asigure un server de lucru de la pierderea de date. Cu toate acestea, soluția optimă este undeva între ele. Dacă este imposibil să se asigure 100% securitatea informațiilor, este logic să se investească în dezvoltarea infrastructurii de securitate, iar unele dintre riscuri - de a asigura.

Se întâmplă că angajații transferate către terți (de obicei concurenți) disponibile la întreprindere informațiile critice: .. Informații privind volumele de vânzări, baza de clienți etc. Dezvăluirea de informații confidențiale este posibilă și în cadrul companiei (de exemplu, remunerarea, salariile, planurile de restructurare și r. n.) (*).

Cum să preveniți. Cel mai bine este să restricționați accesul la informații. Angajatul va fi disponibil numai datele necesare pentru lucrare. De exemplu, un manager de vânzări va putea să lucreze numai cu informații despre clienții săi. O astfel de organizare a activității personalului în cazul dezvăluirii informațiilor va permite să se determine rapid sursa scurgerilor și să se reducă la minimum pierderile.

Pentru a proteja cele mai importante informații, puteți utiliza o metodă, cum ar fi criptarea datelor. În acest caz, cei din afară, chiar dacă au acces la informații confidențiale, nu o vor putea citi.

Spune directorul general

Problema protecției împotriva scurgerilor de informații este în primul rând în compania noastră. Baza de date conține informații despre mai mult de 100 de mii de persoane asigurate. Desigur, pierderea acestor date nu va duce la prăbușirea afacerii, însă dezvoltarea companiei va fi suspendată.

Evgeny Grikhanov | Director pentru Tehnologii Informaționale, Relogix, Moscova

Utilizarea mediilor de stocare externe (dischete, CD-uri reversibile, carduri flash) conduce deseori la dezvăluirea informațiilor confidențiale.

La începutul carierei sale profesionale, care lucrează ca inginer la datorie în editura „Kommersant“, de multe ori m-am confruntat cu faptul că lipsa de unități floppy pe computere și scriitori CD forțat jurnaliști să aplice în IT-Service, cu o cerere de a trimite unul sau celălalt material. Nu putem spune că a fost o protecție ideală și garantată împotriva scurgerilor de informații, dar, ca orice acțiune de inginer său datoria este conectat, puteți găsi întotdeauna cine și când informațiile copiate.

Cum a apărat directorul financiar datele

Laptopul CFO avea o zonă criptată pe care o deschise cu o parolă. Când a folosit un laptop într-o cafenea sau într-un restaurant (în domeniul Wi-Fi), a citit e-mailul, a transferat fișierele necesare în zona criptată și apoi sa deconectat de la rețea. Chiar dacă directorul financiar este jefuit de un laptop, hoții sunt puțin probabil să poată citi informațiile. Această schemă are un singur dezavantaj - parola. Dacă veniți cu o combinație simplă sau nu o schimbați, puteți anula aceste metode de protecție. Drumul este să utilizați cheile electronice împreună cu parola.

Este important să se acorde atenție parolelor: ele trebuie schimbate cu o anumită periodicitate. Foarte des, utilizatorii scriu parole pe o bucată de hârtie care este stocată pe o masă sau folosesc cea mai simplă combinație. Astfel, un outsider, care dorește să acceseze în scopul copierii informațiilor, practic nu întâmpină obstacole (a se vedea un exemplu din practică: Cum a apărat directorul financiar datele).

Dmitry Burlakov | Șeful departamentului de dezvoltare software de consultanță și firmă inovatoare "Intalev", Moscova

Pentru a reduce riscurile de informare, se efectuează curățarea periodică a discurilor hard și a cutiilor poștale.

Eșecul sistemelor informatice

• defectarea echipamentului sau a software-ului;
• eșecul rețelelor de transmisie de date;
• înfrângerea sistemelor informatice prin programe de virusi.

Evgeny Grikhanov | Director pentru Tehnologii Informaționale, Relogix, Moscova

Este necesar să se înțeleagă care sisteme ar trebui să fie disponibile în orice moment, pentru care este acceptabilă o anumită perioadă de recuperare (două sau șase ore, a doua zi etc.). Pe baza acestor informații, trebuie să determinați necesitatea echipamentului de rezervă. Este foarte important ca procedurile să fie practicate periodic cu personalul IT. Faceți acest lucru în programul de lucru al companiei. Astfel de măsuri vor permite, fără a cheltui bani în plus, să restabilească eficiența și să minimizeze timpul de inactivitate exact și rapid.

• copiați zilnic datele;
• săptămânal face o copie de rezervă completă, care este stocată în afara biroului;
• Actualizăm constant lansarea sistemului nostru informatic.

Nu este neobișnuit ca angajații să utilizeze accesul la Internet în scopuri personale, de exemplu, pentru a descărca cantități mari de informații. Acest lucru poate afecta negativ bugetul întreprinderii dvs.
Activități necesare

Pentru a proteja informațiile pe care compania dvs. le deține, instruiți directorul serviciului de informații să determine gama de activități necesare. Acestea pot fi împărțite în mod simplu și periodic. Nu cel puțin rolul în asigurarea securității informațiilor lucrează cu personalul.

Evenimentele unice includ cumpărarea și instalarea de software antivirus, echipamente de rezervă, instrumente de criptare a datelor pentru directorii de top ai companiei, programe pentru fixarea accesului la informații. În plus, este necesar să se aloce în departamentul IT un angajat sau o unitate care să răspundă de operabilitatea sistemelor și să garanteze eliminarea defecțiunilor în timp, permițând reducerea la minimum a pierderilor pentru întreprinderi. Pentru diferitele sisteme de importanță, calendarul și prioritățile pentru depanare variază.

Auditul securității informațiilor de către o companie terță parte. Un astfel de test se face cel mai bine cel puțin o dată pe an.

Verificați copia de rezervă și capacitatea sistemului de a recupera de la defecțiuni. Ar trebui să dezactivați serverele principale ale întreprinderii și să evaluați dacă angajații pot lucra eficient folosind echipamente de rezervă și sisteme de informații. Pe baza rezultatelor, este necesar să se facă o listă a problemelor care trebuie abordate înainte de următoarea verificare. Evenimentul ar trebui să aibă loc cel puțin o dată pe trimestru.

Activități de instruire cu participarea personalului IT, precum și a altor angajați care au acces la informații.

Evgeny Grikhanov | Director pentru Tehnologii Informaționale, Relogix, Moscova

În cazul în care compania este mare, este recomandabil să se ia probleme de securitate dincolo de sfera de aplicare a serviciului IT. Astfel, serviciul IT nu va fi un partener strategic al afacerii de securitate, ci executorul. La rândul său, serviciul, care se ocupă de securitatea întreprinderii, va deveni un partener strategic și de control.

În companiile mici, este rezonabil să se recurgă la serviciile unor organizații terțe care nu depind de interesele interne și pot construi profesional un sistem eficient de securitate a informațiilor al întreprinderii. Cel mai bine este să împărțiți responsabilitatea între companiile care implementează securitatea informațiilor și cele care efectuează audituri.

Lucrați cu personalul. Factorul uman joacă un rol important în sistemul de măsuri de protejare a informațiilor. Nu trebuie doar să ridicați personal calificat, ci și să creați stimulente pentru munca sa efectivă. Cea mai corectă modalitate este de a elabora criterii clare de acordare a profesioniștilor IT, legate de performanța sistemelor informatice și de satisfacția angajaților din alte departamente cu activitatea personalului IT.

Spune directorul general

Serghei Safronov | Director General al Avesta Insurance Group, Sankt Petersburg

Principalul rol în sistemul de securitate a informațiilor este jucat nu de mașini, ci de oameni. La angajare, este necesar să se informeze angajații că datele pe care vor trebui să le lucreze sunt proprietatea societății, iar scurgerile acestora vor atrage pedepsirea vinovatului până la demitere. Dacă subordonața intenționează să demisioneze la propria sa solicitare, este important să facem tot posibilul ca informațiile să nu dispară cu el. Cel mai bine este să-i facilitați angajarea într-o companie care este, de exemplu, partenerul dvs. de afaceri.

Dmitry Burlakov | Șeful departamentului de dezvoltare software de consultanță și firmă inovatoare "Intalev", Moscova

Pe lângă protecția tehnică a informațiilor, aplicăm măsuri administrative. În special, pe lângă contractul de muncă, încheiem un acord cu angajații privind nedivulgarea informațiilor confidențiale. Acest document este semnat de fiecare angajat al companiei.

În concluzie, vreau să observ că procesul de asigurare a securității nu este un eveniment unic. Numai cu munca sistematică puteți fi siguri că informațiile importante pe care întreprinderea le deține sunt protejate în mod fiabil.

Cum puteți determina dacă trebuie să protejați informațiile

DataArt dezvoltă software personalizat pentru instituții financiare, companii de telecomunicații și media. Specializată în domeniul aplicațiilor Internet, al bazelor de date corporative și al instrumentelor de automatizare industrială, inclusiv în sistemele de management al clienților și al conținutului. Compania are sediul în New York și are și birouri în St. Petersburg, Jacksonville (Florida, SUA), Chepel Hill (Carolina de Nord, Statele Unite ale Americii), Londra. Mai mult de 180 de specialiști lucrează în centrele de dezvoltare din Sankt-Petersburg și Voronej. Printre clienti se numara BNP Paribas, Spirent Communications Corporation, Ernst Young, compania Motorola, Russ Russ, compania de Internet Mail.ru.
Mikhail Zavileysky | Director Executiv DataArt, Sankt Petersburg

Protecția datelor este un caz special de gestionare a riscurilor. Este necesar:
Să ia în considerare evenimente legate de pierderea sau furtul de informații.

Estimați pierderea de bani.

Evaluați probabilitatea apariției evenimentelor în perioada examinată (de obicei, un an sau mai mult).

Înmulțind indicatorii de la punctele 2 și 3, primim prețul riscului "înainte" (adică înainte de punerea în aplicare a măsurilor de protecție a informațiilor). Măsurile de protejare a informațiilor reduc probabilitatea unui eveniment și obținem o rentabilitate a proiectului. Se calculează după formula:

(Вo - След) х П = О,

unde Вo - probabilitatea "înainte", Впосле - probabilitatea "după", П - pierdere, О - întoarcere pe proiect.

Dacă costul proiectului este mai mare decât rentabilitatea, atunci nu ar trebui să fie realizat (uneori vă puteți asigura doar pe tine însuți). După efectuarea calculelor, alegem proiecte prioritare - proiecte cu cea mai mare rentabilitate. Voi da un exemplu simplu.

Studiu de caz

Probabilitatea de eșec al unui server de poștă electronică pentru o zi lucrătoare este de 1%. Eficiența companiei noastre fără e-mail este redusă cu 50%. Cifra de afaceri a companiei este de 150 de milioane de ruble. pe an.

Pierderile de la eșecul de e-mail va ajunge la 750 de mii de ruble. pe an:

150 000 000 x 50% x 1% = 750 000 frecați.

Dacă există un set de rezervă în companie, probabilitatea de a dezactiva corespondența în ziua respectivă este de 0,1%. Al doilea set de servere care funcționează în modul de așteptare ne va costa 100 de mii de ruble. pe an, precum și costul întreținerii lor - încă 120 de mii de ruble. pe an (10 mii de ruble pe lună).

Astfel, rentabilitatea proiectului va fi:

(1% - 0,1%) × 50% × 150 000 000 ruble. = 675.000 de ruble.

Costul kitului de backup (220.000 de ruble) este mai mic decât rentabilitatea proiectului (675.000 ruble). Aceasta înseamnă că randamentul va fi ușor mai mare de 300% (675 000. 220 000. 100%). Probabil, un astfel de proiect trebuie realizat.

Desigur, bazându-te pe calculele financiare, nu trebuie să pierdeți bunul simț. Astfel, unul dintre conducătorii sucursalei rusești a unei mari companii americane a primit o majorare pentru implementarea unui sistem care împiedică transferul mass-media (dischete, CD-uri și DVD-uri) de la birou. Faptul că orice informație ar putea fi trimisă în mod liber prin e-mail sau alte canale de Internet nu a deranjat pe nimeni.

Articole similare

• Cum să faci bani pe un sistem de alarmă celulară cu senzori

• Piața de informare și jurnalistul - carte-știință - enciclopedie științifică

Trimiteți-le prietenilor: