В настоящее время все больше и больше людей осознают важность безопасности информации. Врач, бизнесмен, бухгалтер или юрист - у всех них есть свои личные секреты, которые ни под каким предлогом они не желают раскрывать. Тем более, если дело касается предприятий - компании предпочитают скрывать и тщательно охранять корпоративные секреты, разработки и другие конфиденциальные материалы. Иногда эту информацию необходимо предоставлять доверенным лицам, кому доступ к конфиденциальной информации разрешен "хозяином".
Очень важно правильно подойти к решению вопросов информационной безопасности, грамотно выбрать консультантов по безопасности, поставщиков систем защиты, чтобы не выкидывать "на ветер" средства и, самое важное, утраченную информацию, которую требовалось защитить.
Существует такое понятие, как отношение цена/качество, то есть человек (организация) должен понимать, информацию какой стоимости какой ценой он собирается защищать. Нелогично, если финансовые документы приблизительной стоимости $X защищались системой за $X+X, но можно отметить, что иностранные компании вкладывают до 20% своих средств в информационную безопасность своего предприятия.
Информация тоже живет
Информация тоже имеет свою жизнь. Она рождается (собирается пользователем) как человек, живет (хранится), ездит на работу и домой (передается и получается) и работает (обрабатывается). И, в конце концов, умирает (уничтожается).
Так же, как и человека, информацию надо охранять и защищать, причем на всех этапах ее жизненного цикла. Для этого специалисту по безопасности предприятия или консультанту (менеджеру) в фирмах, занимающихся защитой информации, необходимо обладать обширными знаниями каналов утечки информации и способах их ликвидации, законодательной базы государства и быть технически "подкованным" человеком.
Рассмотрим основные каналы утечки информации относительно ее жизненного цикла. После "рождения" информации, а в настоящее время информация "рождается" в электронном виде, ее необходимо где-то хранить. Как правило, информация создается не для частного использования, а для передачи другому лицу/лицам, то есть она передается или по электронным каналам, или физически на каком либо носителе. Затем, при получении информации, она обрабатывается и/или передается дальше/обратно, или хранится. Если информация "рождена" с какой либо конкретной целью, то после ее выполнения она уничтожается (стирается).
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
В противном случае информация остается в хранилище на определенный срок.
Даже на непрофессиональный взгляд в этой цепочке присутствуют уязвимые звенья, которые при неблагоприятных обстоятельствах могут послужить ключевыми точками потери информации или ее несанкционированной подмены.
Каналы утечки информации
После того, как финансовый документ в филиале крупной компании появился на свет, его необходимо отправить электронной почтой в головной офис на подпись руководителю.
Типичная ситуация, но вот чем она грозит при неумелой политике информационной безопасности:
1. Документ создан, и счастливый сотрудник, после долой работы над ним отошел на обед. В это время злоумышленник осуществил несанкционированный доступ к персональному компьютеру сотрудника и подменил или уничтожил документ.
2. Документ создан, сотрудник положил его в папку на файловом сервере корпоративной сети и пошел домой. В это время его конкурент по карьерной лестнице или недоброжелатель, добравшись до сервера, подменил или уничтожил документ.
3. Документ создан, сотрудник положил его в папку на файловом сервере корпоративной сети. Произошла атака на корпоративную сеть компании со стороны сети Интернет и все базы данных и другие материалы уничтожены.
4. Документ создан и отправлен по электронной почте или отправлен на ftp сервер в головной офис. При передаче документа произошел его перехват и подмена.
5. Документ создан, переписан на дискету и отправлен с курьером в головной офис. Курьер за день очень устал и забыл папку с дискетой в метро.
6. Документ создан, обработан и содержится где-то на диске какого-то компьютера. Компьютер списывается и новый владелец находит в скрытых файлах годовой финансовый отчет. Обрадованный, он его продает конкуренту.
7. По сети или через обмен дискетами компьютер сотрудника или сервер сети был заражен вирусом, что повлекло за собой уничтожение баз данных и другой важной информации.
В любом из этих случаев компания терпит финансовые убытки и, если информация о происшествии выходит за пределы компании, теряет свою репутацию на рынке.
Типичные способы ликвидации основных каналов утечки информации
Персональный компьютер
Есть несколько методов защиты информации на персональном компьютере или рабочей станции сети. Основной из них - шифрование с достаточной длиной ключа. Применяя персональное шифрование, можно быть полностью уверенным в сохранности информации. Существует множество реализаций этого способа: от бесплатной программы PGP, до системы защиты информации Secret Disk, использующей для хранения паролей электронные ключи. Зашифрованную информацию можно передавать любыми способами (и по электронной почте, и с курьером), так как злоумышленник, каким либо способом получив зашифрованный файл, ничего не сможет с ним сделать. Подмена также исключена.
Также существуют системы защиты, блокирующие загрузку компьютера до предъявления электронного идентификатора.
Не стоит забывать и об антивирусной защите персональных ресурсов. В этом отлично зарекомендовал себя антивирусный комплекс "Kaspersky Antivirus" Лаборатории Касперского, ранее известный, как "Антивирус Касперского".
Корпоративная сеть
В настоящее время уже многие компании владеют доступом в Интернет, пользуются электронной почтой. Соответственно, появляется вопрос о защите внутренних корпоративных сетевых ресурсов, защите файловых, почтовых и web-серверов и безотказной их работы, ограничении и разделении полномочий сотрудников, работающих с сетью Интернет. Как правило, организации используют для этого так называемые межсетевые экраны.
Особенно насущная проблема - защита каналов передачи данных между головным офисом и филиалами компании. Так как данные передаются через открытые сети (например, Интернет), то это вынуждает полностью "закрывать" канал. Для этого используются VPN (Virtual Private Network), то есть виртуальные частные сети. Сейчас к этой аббревиатуре добавилась буква S (SVPN - Secure Virtual Private Network), то есть защищенная виртуальная частная сеть. VPN организует шифрованный канал точка-точка или точка - многоточка между офисами, филиалами или удаленными сотрудниками компании.
Среди всего разнообразия межсетевых экранов особенно выделяется продукция компании Check Point Software Technologies - мирового лидера по производству систем сетевой защиты. Компания вошла в рейтинг NASDAQ и в этом году выпустила новый продукт Next Generation, который пришел на смену выдающемуся МЭ Check Point Firewall-1/VPN-1.
Для защиты информации на корпоративных серверах также используется шифрование и применяется антивирусная защита.
Сети питания и другие каналы
Существует вероятность снятия информации и другими, более изощренными способами. Как, например, по сетям электропитания, по электромагнитным и виброакустическим излучениям.
Для предотвращения таких случаев обычно используют помехоподавляющие фильтры или проводят серию мероприятий, направленных на невозможность использования технических средств снятия информации.
Уничтожение информации
Некоторые организации или частные лица не доверяют обычному стиранию информации, отслужившей свой срок, форматированию носителей. Также у некоторых компаний есть желание иметь систему, которая срочно, за доли секунды, сможет гарантировано уничтожить носитель на магнитных дисках (жесткий диск, дискета, zip, стримерная кассета). Причем как работающий, так и хранящийся в сейфе.
В такой ситуации оправданным будет использование уничтожителей информации на магнитных носителях и специальные информационные сейфы с источником бесперебойного питания, в которых, например, жесткий диск может работать и, при необходимости, его можно безвозвратно уничтожить.
Комплексный подход
Как Вы могли заметить, проблема обеспечения информационной безопасности становится проблемой, на которую трудно закрыть глаза, и которая сходу не решается. Требуется комплексный и всесторонний подход, точный анализ и обширная исследовательская работа по проектированию комплекса мер защиты корпоративной информации.
В настоящее время существуют компании, предоставляющие такого вида услуги. Необходимо отметить, что компания, в которую вы обратитесь по вопросам безопасности информации, обязана иметь большой опыт работы в этой сфере, а ее специалисты должны грамотно управлять базой знаний в этой области и точно определять потребности клиента.
После определенного времени работы такая компания предоставит Вам технико-экономическое решение, отвечающее вашим требованиям и пожеланиям по безопасности ориентированное исключительно на Вашу компанию.
Так что, если Вы считаете, что Ваша информация представляет ценность, то настало время задуматься о ее безопасности.
Статью подготовил ведущий маркетолог-аналитик Воронов Валерий Иванович. 
