“Кто владеет информацией, тот владеет миром” — этот постулат приобретает все большую актуальность. Автоматизация и повсеместное использование ИТ-технологий полностью изменили принципы конкурентной борьбы.

Поэтому для любой компании на первый план выходит организация эффективной системы безопасности информации. Для бизнеса, как большого, так и малого, это является залогом успешности и спокойного развития.

Система информационной безопасности (или ИТ безопасность) — это целый ряд мер, направленный на защиту информации предприятия от внешних и внутренних угроз, с целью не допустить ее утечки “на сторону” и предотвращения несанкционированного входа/вмешательства в работу инфосистемы.

Главные задачи системы информационной безопасности (ИБ)

• Защита от внешнего вторжения

• Предотвращение внутреннего саботажа

• Сохранение работоспособности инфосистемы, а ее данных в аутентичном состоянии

• Минимизация потерь в случае сбоя, форс-мажора, хакерской атаки и т.д.

Оборудование и процессы информационной безопасности, требующие максимального внимания

Наибольшее количество утечек и несанкционированного доступа к информации связано с человеческим фактором. Это может быть хищение корпоративных или копирование на собственные инфо носители, распечатка секретных данных или передача их через почту, сообщения, загрузка на стороннее “облако” и т.п. А также рассекречивание паролей, особенностей работы ИС, наличия уязвимостей и недоработок.

Для решения данной задачи необходимо полное сотрудничество между отделом кибербезопасности и обычной безопасности.

Вторым “слабым местом” является электронное оборудование. Его некорректное использование либо износ приводит к сбоям и повреждению информации. Устаревшие модели компьютеров, станций, сетевых устройств не дают возможности установить новое ПО и системы защиты, что фактически “широко распахивает двери” для злоумышленников.

Поэтому перехват и несанкционированное подключение становится лишь делом времени.

Что касается программного обеспечения, то для эффективного функционирования оно должно быть новейшим, лицензионным и правильно установленным. Чтобы избежать потери/повреждения данных, необходимо его корректное использование, регулярное очищение от устаревших файлов и накопившихся ошибок.

Устаревшее ПО — первый враг для систем информационной безопасности, так как оно не способно противодействовать продвинутым программам перехвата, дешифровки и копирования, т.е. не обеспечивает защиту от фишинга.

Организация системы информационной безопасности: критерии целесообразности и эффективности

Чтобы получить гарантированный результат, рекомендуется внедрить весь комплекс защитных мер:

• ознакомление сотрудников с законодательной базой касающейся киберпреступлений;

• разработка нормативно-правовой документации предприятия, подписание договоров о неразглашении, сохранении коммерческой тайны;

• внедрение особых норм поведения при работе с ИС, обучение персонала;

• использование современного оборудования и специального ПО;

• создание аппаратно-программных, электронных, механических преград для проникновения в инфосистему и перехвата данных;

• систематически приглашать специалистов и проводить аудит информационной безопасности вашего бизнеса.

Целесообразность/определение нужного уровня внедряемой ИБ зависит от величины возможного ущерба при сбое, взломе или утечке сведений. Сюда входят как финансовые, так и репутационные потери, сложности, связанные с нарушением договоров и требований регуляторов. Поэтому возможна установка общей базовой защиты с повышенными мерами безопасности в определенных помещениях или в отделах.

Для снижения рисков рекомендуется ввести ограничение доступа персонала к полной базе ИС и ее вычислительным мощностям, а для выявления уязвимостей, отслеживания ошибок и недоработок привлекать профессионалов по кибербезопасности.