Публикации

Вопрос о возможности применения IT-решений в бизнесе — это в первую очередь вопрос о защите конфиденциальной информации. С этой задачей сталкивается любой предприниматель.

Разумный подход к защите информации можно сформулировать так: стоимость системы защиты информации не должна превышать стоимости самой информации.

Принципы защиты

При организации охраны информации следует руководствоваться соображениями разумности и не гнаться за 100%-ной защитой, допуская возможность хищения части данных.

Все это можно свести к двум целесообразным принципам:

технология защиты информации должна выбираться так, чтобы при минимальных затратах обеспечивать максимальную защиту;

надежность защиты должна определяться из соображений оптимизации отношения «функциональность системы без защиты»/«функциональность системы с защитой».

Нетрудно увидеть, что цель защиты коммерческой информации — защита собственно информации, а не каналов связи, помещений и физических лиц. Исходя из этого, определяются и технологии защиты данных на предприятии.

Выбор технологии

Задача защиты информации возникает в трех основных случаях:

- защита коммерческой тайны, содержащейся в информации, хранимой на локальных машинах и в электронных архивах;

- защита информации во внутреннем документообороте организации;

- защита информации при обмене с клиентами организации по корпоративной сети или сети общего пользования.

Оптимальное соответствие выше сформулированным экономическим принципам обеспечивается при использовании криптологических (cryptology — дословно наука о тайне) методов защиты информации.

Повседневная экономия

Внедрение системы защиты информации в корпоративную сеть позволяет наладить оборот электронных документов, конфиденциальной информации с обеспечением юридической значимости документов. Экономически это выгодно, поскольку: сокращается время прохождения документа, т.к. используются открытые каналы связи и нет необходимости прибегать к помощи курьеров; повышается надежность защиты коммерческой тайны.

Кроме того, существуют дополнительные положительные моменты, связанные с использованием защищенного документооборота: повышается персональная ответственность сотрудников, т.к. даже черновики документов проходят в подписанном виде; снижается риск от злонамеренных действий сотрудников; упрощается процедура работы с конфиденциальной информацией.

ТехЭкспертиза

Дмитрий Раскатов, руководитель отдела развития ОАО «Сеть Цифровых Каналов»,

- При создании системы защиты информации в первую очередь необходимо:

Выяснить, кому принадлежит информация, подлежащая защите, и существуют ли обязательные нормативные требования о выборе способов её защиты. Если это обязательные нормы, определенные действующим законодательством, то необходима работа лицензированного интегратора систем защиты информации. Если нет, то можно попытаться сначала самостоятельно оценить потенциальный ущерб компании, стоимость защищаемой информационной системы. Даже при последующем заказе аудита, аудитор будет работать с теми же данными, которые ему предоставит заказчик. Потенциальный ущерб и стоимость информационной системы это опорные данные для соблюдения принципа разумной достаточности в выделении средств на защиту информации.

Как при самостоятельной работе по созданию системы защиты информации, так и при её заказе, необходимо помнить: * технические средства и системы это только инструменты для управления информацией, они - продолжение организационных мер; информационная безопасность это – состояние, нормальный процесс компании, а не результат внедрения системы защиты информации или организационной меры.

Михаил Кондрашин, руководитель Центра компетенций Trend Micro в России

- Сегодня наибольший интерес у предприятий вызывает вопрос, как выбрать наиболее полную и экономически оправданную защиту своей сети? Какими критериями руководствоваться?

Компания Trend Micro – мировой лидер на рынке ПО и услуг в области антивирусной защиты сетей и Интернет-контента – выделяет следующие ключевые параметры при выборе корпоративной защиты и учитывает их при разработке своих решений:

1) ПО должно обеспечивать защиту от всего спектра интернет-угроз. Как защиту от традиционных видов - вирусы, троянцы, черви, так и иных - программ-шпионов, спама, а также защиту от прямых хакерских атак.

2) Защита должна закрывать все точки проникновения угроз в сеть компании. Trend Micro предлагает не только продукты для защиты рабочих станций и файловых серверов, но и средства фильтрации почты, Веб-трафика на шлюзе и некоторых других.

3) Необходимо, чтобы все средства защиты управлялись из единого центра управления.

4) Важна способность продукта превентивно реагировать на угрозы. Компания Trend Micro предлагает специальные сканеры уязвимости, которые позволяют выявить узлы, подверженные заражению, до того, как они фактически заразятся. Кроме этого, в рамках технологии URL Filtering пользователи оказываются огражденными от  сомнительных сайтов, что защищает их даже от неизвестных видов угроз. Технологии Network Reputation Services и IP Profiler позволяют блокировать почтовые черви, неизвестные на этот момент вирусным аналитикам TrendLabs.

5) Необходимо автоматизировать как можно больше рутинных операций. Например, в продуктах Trend Micro полностью автоматизирована очистка от последствий заражения – не требуется никаких дополнительных операций на самой пораженной рабочей станции. 

Применение перечисленных критериев на практике значительно минимизирует совокупную стоимость владения IT-инфраструктурой предприятия.

Подготовила Нина Сагадеева,

sagadeeva@apress.ru

С использованием www.director-info.ru