Аудит, визначення загроз і контроль інформаційної безпеки - Розробка політики ІБ і аутсорсинг для підвищення ефективності

1. Чи створюють інформаційні технології загрозу безпеці Вашої компанії?
2. Чи можна довірити безпеку в сфері ІТ сторонньої організації?
3. Як ми можемо Вам допомогти?
4. Чому це Вам вигідно?

Чи створюють інформаційні технології загрозу безпеці Вашої компанії?

На жаль, за все треба платити. І за ті плюси, що дають сучасному бізнесу інформаційні технології, як це не сумно, теж. Давно вже стала банальною думка, що з розвитком сучасних технічних засобів число загроз для систем, що використовують такі засоби, зростає.

Які це загрози? В першу чергу - умисні або випадкові дії власних співробітників, постійні вірусні та спам-атаки, замовні спроби злому, а також стихійні лиха. Головний збиток від таких дій - витік конфіденційної інформації.

Далі за ступенем серйозності можуть слідувати знищення даних, внесення в ці дані несанкціонованих змін, вихід з ладу апаратних або програмних засобів, впровадження "чужих" програмних засобів і т.д.

Цікаві результати про класифікацію подібних ризиків з боку керівників і фахівців з інформаційної безпеки (ІБ) дало всеросійське дослідження "Внутрішні ІТ-загрози Росії в 2004", проведене компанією Infowatch.

Особливо хочеться звернути увагу на наступний факт. Якщо скласти докупи всі загрози, які так чи інакше зав'язані на власних співробітників, як то: дії інсайдерів, шкідливі програми (в більшості випадків запускаються саме співробітниками), а також недбалість, - виходить зовсім неприваблива картина.

Безумовно, все це можна розцінювати, як чергові рекламні страшилки. А можна - як привід задуматися і спробувати знайти рішення цих непростих питань. Жодним чином не претендуючи на повноту охоплення, хочеться зупинитися на одному з можливих рішень - аутсорсингу, передачі функцій забезпечення інформаційної безпеки спеціалізованої сторонньої компанії.

Для нас таке рішення є природне продовження класичної послуги "Системне адміністрування на базі ІТ-аутсорсингу". Не дарма існує "народна" мудрість: "Найбільш безпечна мережа - добре-адмініструється мережу." Без всебічного комплексного підходу, який встановлює єдину політику безпеки і строгий поточний контроль, істотно знизити ІТ ризики практично неможливо.

Постійний розвиток інформаційних технологій викликає поява цілої низки нових проблем, які повинні оперативно фіксуватися і вирішуватися фахівцями з інформаційної безпеки.

Чи можна довірити безпеку в сфері ІТ сторонньої організації?

Спробуємо відповісти на це питання від противного. У кожній організації є користувачі, що володіють практично необмеженими правами в мережі. Це мережеві адміністратори. Вони нікому не підконтрольні і можуть робити в мережі практично все, що завгодно. Як правило, вони використовують свої необмежені права для виконання своїх функціональних обов'язків.

Але уявіть на хвилину, що адміністратор чимось ображений. Будь-то низькою зарплатою, недооцінкою його можливостей, помстою і т.п. Відомі випадки, коли такі скривджені адміністратори "псували кров" не однієї компанії і приводили до дуже серйозного збитку. Чи готові Ви до такого повороту подій? Думаю що ні.

З іншого боку, аутсорсинг - це практично єдина можливість забезпечити належний рівень безпеки для підприємств середнього і малого бізнесу при мінімізації ймовірності розвитку подій за сценарієм описаного вище, розумному рівні витрат, і їх повної прозорості.

Знання, досвід, професіоналізм, вміння поєднувати теорію і практику, розуміння потреб і запитів бізнесу, орієнтація на кінцевий результат, довгострокове співробітництво і партнерство - ось те, що відрізняє компанію пропонує аутсорсинг від найманого працівника.

У цьому сенсі, інформаційна безпека як впорядкованість і організованість інформаційних процесів і зберігання інформації, спрямована, як і аутсорсинг, на підвищення ефективності та стійкості бізнесу.

Як ми можемо Вам допомогти?

Оскільки безпека завжди пов'язана з певними загрозами, а наявність різних загроз постійно в часі, то і сам захист слід будувати як безперервний процес. У цьому процесі можна виділити наступні ключові напрямки:

• визначення загроз, розробка та впровадження політик безпеки, нормативів і правил роботи для користувачів;
• аудит і контроль за роботою користувачів, додатків, операційних систем;
• аудит і контроль сховищ даних;
• аудит і контроль каналів передачі інформації;
• виявлення і контроль над можливими каналами витоку інформації;
• документування інформаційних потоків і процесів;
• організація навчання і підвищення кваліфікації користувачів.
  

Проілюструємо це на прикладі. Фірма "А" будує свою захищену інформаційну систему. В основі всього знаходяться загрози. Припустимо, у фірмі "А" загрозу визначили, як "відведення" на сторону бухгалтерської бази і бази клієнтів. Тоді заходи протидії цьому можуть бути наступними (відразу хочу сказати, що дані заходи протидії відносяться до звичайних людей, для кіношних лиходіїв творять зло заради зла, безумовно, необхідні інші способи впливу):

• використання системи моніторингу електронної пошти - перешкоджає пересилання інформації за допомогою e-mail;
• використання системи моніторингу друку - прибирає можливість безконтрольної роздруківки даних;
• система аудиту телефонних дзвінків - може протидіяти передачі конфіденційних даних по телефону;
• централізоване зберігання даних користувача на одному термінальному сервері дає можливість оперативного контролю за УСІМА одними даними, в тому числі службами миттєвого обміну повідомленнями (icq, messenger та ін.);
• політики безпеки забороняють запуск довільних програм (крім дозволених), зміна налаштувань системи і обмежують доступ до конфіденційних даних.

Чому це Вам вигідно?

Перше і головне. Аутсорсинг дає Вам можливість залучити до роботи у своїй компанії висококласних професійних фахівців супроводу систем ІТ , Яких при звичайному способі роботи Ви не змогли б собі дозволити.

У сенсі інформаційних технологій, це дає Вам можливість перейти в абсолютно іншу якісну площину, вирішити всі свої застарілі проблеми, отримати позитивний імпульс розвитку і образно кажучи "пересісти з Запорожця в Мерседес".

Аутсорсинг дозволяє керівництву концентруватися на основному бізнесі компанії, не витрачати сили, час і увагу на рішення "непрофільних" питань, зменшити витрати по утриманню власного штату співробітників: комп'ютер, обладнання робочого місця, оренда площ під робоче місце, податкові платежі і відрахування на фонд оплати праці.

Загалом, все як у прислів'ї: "Зекономлений рубль- зароблений карбованець".