Управление безопасностью в малом и среднем бизнесе


Оглавление (нажмите, чтобы открыть):

Уважаемые предприниматели «Бизнес-центр» приглашает на бесплатный семинар: управление рисками и безопасностью в малом и среднем бизнесе.

Управление рисками и безопасностью в малом и среднем бизнесе.

Программа семинара:

1. Что такое риск? Что такое угроза?

2. Виды рисков, которые бывают в бизнесе. На старте. Во время работы.

3. Почему физическая охрана не может стоить дёшево.

4. Зачем нужна кадровая безопасность?

5. Какие основные моменты в сфере правовой безопасности нужно учитывать предпринимателю?

6. Почему именно грамотная бизнес-модель — это основа стабильно работающего бизнеса и гарантия его безопасности.

7. Зачем нужен аудит безопасности бизнеса.

Ведущий:

Юрий Шаранов, эксперт по безопасности малого и среднего бизнеса, основатель компании White Security Consulting, советника по безопасности швейцарской компании «Swiss Krono» (Кроно Стар) Вот уже более 18 лет слово «безопасность» — не просто часть жизни Юрия, «безопасность» — это и есть его жизнь. Юрий Павлович не просто ее обеспечиваю, но и занимаюсь организацией процессов защиты бизнеса в тех направлениях, о которых многие даже не догадываются.

Пройдя путь от начальника охраны до советника по безопасности швейцарской компании «Swiss Krono», основав 5 предприятий, занимающихся безопасностью в различных направлениях, Юрий понимает, как сложно предпринимателям самостоятельно выстраивать работу так, чтобы чувствовать себя в безопасности. Малому бизнесу тяжело в этом направлении вдвойне. Часто собственники даже не задумывается, что им, действительно, есть, что защищать.

Место проведения семинара: г. Кострома, ул. Локомотивная, 2, Бизнес-центр, 5 этаж, конференц-зал.

Дата проведения семинара: 23 января 2020 г. c 11:00 до 14:00.

Практика обеспечения информационной безопасности предприятий малого и среднего бизнеса

Кущенко С.В.
выпускник группы MBA CIO-18
Школа IT-менеджмента
АНХ при Правительстве РФ

Статья предназначена для руководителей подразделений IT и информационной безопасности. Практическая часть статьи основана на опыте автора в руководстве проектом внедрения системы информационной безопасности на предприятии среднего бизнеса, а также разработке и апробации на менеджменте одной из лизинговых компаний практических рекомендаций по защищенной работе руководителя. Предлагаемые методики и практические решения могут быть использованы при расследовании компьютерных преступлений. Цель статьи – показать основные угрозы для предприятий малого и среднего бизнеса и рассмотреть методики по их преодолению.

Состояние и особенности компьютерной преступности в России

Статистика управления «К» МВД РФ свидетельствует о постоянном росте ущерба, наносимого компании внешними воздействиями, такими как компьютерная преступность или влияние государства через нормативные акты и законы (в частности федеральный закон «О персональных данных»). В наше время этот ущерб становится одним из наиболее опасных для компании. Он не просто существует, а уже сильно влияет на бизнес и до кризиса составлял почти 2 млн. руб. А по результатам 2009 года – 17 млн. рублей! Поэтому можно сказать, что безопасность – самая серьезная проблема, с которой столкнулись предприятия малого и среднего бизнеса.

А актуальна ли рассматриваемая проблематика обеспечения информационной безопасности предприятий малого и среднего бизнеса? Действительно, многие Российские компании задумываются над тем, стоит ли вообще проводить расследование. Однако, следует принимать к сведению, что если произойдет, например, квартирная кража, то потерпевший конечно же обратится в милицию. Информация – это такая же собственность, как и Ваши деньги, Ваше имущество. Владея информацией, Вы владеете своим бизнесом.

К сожалению, Российские компании, занимающиеся информационной безопасностью, обычно уделяют внимание лишь технической и организационной стороне, а расследование ИТ-инцидентов обходят стороной. Проведя расследование и наказав преступников, Вы обезопасите свой бизнес в будущем. Преступники будут знать, что остаться безнаказанным им уже не удастся и подобные действия будут преследоваться по всей строгости закона. Важно отметить, что судебные методы на практике убедительнее внесудебных и к тому же безопасны для компании – иначе можно стать новым «Чичваркиным».

Если говорить о рынках, то рынок информационной безопасности в кризис увеличился, рынок оборудования сократился в объемах в 3 раза, а сам ИТ-рынок откатился к уровню 2005 года. Однако, бюджеты компаний на информационную безопасность продолжают расти в геометрической прогрессии, но количество инцидентов становится только больше. Это означает, что стандартный подход к информационной безопасности «защита, защита, новая защита» устарел. Необходимо развивать информационную безопасность в ключе ответственности, закона и права.

Проведение расследования инцидента позволит:
– Установить обстоятельства инцидента;
– Найти лиц, причастных к этим событиям;
– Выработать действенную систему мер, направленных на предотвращение инцидентов в будущем;
– Повысить рейтинг и доверие к Вашему бизнесу;
– Повысить ответственность сотрудников;
– Снизить расходы на информационную безопасность.

Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений будет осознание компаниями того факта, что только сама компания может обеспечить должную защиту. Для этого необходимо ввести в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создать специальную службу и взять на себя защиту информации по 2-м направлениям:
1. Организационно-правовые меры;
2. Программно-технические меры.

Действия по минимизации ущерба в области защиты информации в обязательном порядке должны состоять из мер предупреждения инцидентов, мер реагирования на инциденты и мер возмездия злоумышленника.

В проводимом исследовании была выдвинута гипотеза: «компании малого и среднего бизнеса пока необходимо самостоятельно обеспечивать защиту от инцидентов в области информационной безопасности. Защиту следует строить по двум направлениям: бороться с предупреждением инцидентов и обеспечивать возмездие злоумышленнику». В результате анализа законодательной базы, рассмотрения тенденций, разработки методических рекомендаций по обеспечению защиты компании и руководства от злоумышленников, она была в полном объеме подтверждена.

Ответственность за преступления

В 1996 г. в уголовном кодексе РФ была установлена уголовная ответственность за преступления в сфере компьютерной информации (статьи 272-274). С этого момента общественно опасное деяние, в котором компьютерная информация является объектом преступного посягательства, а предметом или орудием преступления являются ЭВМ, система или сеть ЭВМ, карается предусмотренным уголовным законом наказанием.
Однако, фактически закон был принят с опозданием на целое десятилетие, к данному времени практика его применения еще только начинает складываться и существуют проблемы, затрудняющие предупреждение и расследование компьютерных преступлений:
– Сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;
– Отсутствие методики расследования компьютерных преступлений у правоохранительных органов;
– Несовершенство УК по составу преступлений – статьи 272, 274 (требуется наличие перечисленных в законе общественно опасных последствий);
– Особенность специфики российского законодательства, когда именно подзаконные акты определяют применимость закона, а в области расследования компьютерных преступлений отсутствуют наработки (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т. п.);
– Недоработанность УПК (в частности, неясно, как принимать в качестве доказательства электронный документ).

По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением. Однако, компьютерная преступность неразрывно связана со злоумышленником. Одно без другого невозможно. Поэтому, рассматривая компьютерные преступления и меры борьбы с ними, следует, конечно же, определить, кто является типичным злоумышленником: его мотивы, типичные методы «работы».

Итак, введем термин киберпреступник. Это лицо, обладающее специальными познаниями в области информационных технологий, совершающее виновное противоправное деяние, направленное на несанкционированное получение доступа к определенной информации в целях ее использования.

Авторы книги «Форензика – компьютерная криминалистика» [2] определяют компьютерные расследования как «сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины».

В проведенном исследовании рассмотрен механизм совершения правонарушений на примере компьютерной сети, использующей операционные системы Windows, и определена типичная схема взлома компьютерной сети, которая представлена ниже на рисунке 1.

Рис.1. Механизм взлома компьютерной сети

Суть схемы сводится к сокрытию факта присутствия и установка потайного хода. Стоит обратить отдельное внимание на этап «предварительного сбора информации».

Оперативность и приоритетность расследования преступлений

Рассмотрим критерии, которые являются важнейшими для принятия положительного решения об уголовном преследовании злоумышленника или отрицательного решения в связи с экономической нецелесообразностью.

Компании сталкиваются с большим количеством компьютерных преступлений и расследовать их все экономически неэффективно. Следует учитывать также, что правоохранительные органы берутся не за любые компьютерные преступления или проявляют разную степень энтузиазма.

Нами исследовался достаточно объемный материал и предлагается 5 стадийный подход – «звезду приоритетности расследования», согласно которому по часовой стрелке располагаются 5 основных факторов – от материальных до нематериальных. Она отражена ниже на рисунке 2.

Рис.2. Звезда приоритетности расследования


А теперь введем термин компьютерного расследования. Это – «сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины». Компьютерная модель расследования показывает логическую модель проведения расследования. Она представлена ниже на рисунке 3.

Рис.3. Компьютерная модель расследования

При работе с цифровыми доказательствами специалистами применяются пять стадий расследования – от процесса инициирования до подготовки отчета о проведенном расследовании. Остановимся на 2-м шаге методики «оценке ситуации», как одном из наиболее важных.

Он состоит из:
– процедуры проведения опросов;
– самостоятельных действий.

Опрос сотрудников позволит получить дополнительную информацию о предполагаемом инциденте, причем собранные сведения могут влиять на выбор стратегии реагирования. Следует опросить системного администратора, менеджера и обычных пользователей, фамилии которых указаны в списке уведомлений.

Полученная в ходе опроса информация может быть очень полезной, однако следует помнить, что среди опрошенных может находиться виновник инцидента. Наилучшая тактика опроса уже выработана секретными службами: больше вопросов и меньше ответов.

Самостоятельные действия необходимы на этапе начального исследования, но следует помнить, что в сравнении с полным расследованием допускаются не все операции. Обычно на начальном этапе проводится анализ файлов регистрации в системе и сетевых устройствах, который дополняется пассивным сетевым мониторингом для выявления сопутствующих незаконных процессов. Самостоятельные действия полезны и необходимы, но должны проводиться с осторожностью.

Необходимо помнить о принципе «не навреди». Любые действия в поврежденной системе могут привести к изменению или потере фактов инцидента.

Очень важным при проведении расследования является оценка степени риска различных категорий пользователей. Типичные усредненные данные, полученные автором, представлены ниже в Таблице 1.

Таблица 1. Степень риска различных категорий пользователей относительно компонентов компьютерной системы

Обозначения, используемые в таблице:
I – внутренние данные,
II – внутренние прикладные программы,
III – внутренние системные модули,
IV – внешние данные,
V – внешние системные модули,
VI – элементы компьютерных систем и периферийное оборудование.

Расшифровка видов ущерба:
А – модификация;
В – разрушение;
С – компрометация (раскрытие) информации.

Степень угрозы:
пробел — нет воздействия;
1 – до 20%;
2 – до 40%;
3 – до 60%;
4 – до 80%;
5 – до 100%

Проект внедрения системы информационной безопасности

Учитывая особенности действий компьютерного преступника, взлома и защиты информационных систем, был реализован проект внедрения системы информационной безопасности на предприятии среднего бизнеса. В данном проекте автор участвовал в качестве менеджера проекта.
Проект был реализован на фирме, работающей в области поставки/установки/обслуживания холодильного оборудования с годовым оборотом от 100 до 500 млн. рублей.

Команда проекта состояла из Эксперта по безопасности, Системного администратора, Технического писателя, Тренера. Заказчиками проекта являлись Руководство и Договорной департамент. Бюджет проекта около 50 тысяч $.

Проект выполнялся в рамках следования стратегическим целям компании:
– стремление к лидерству в своей отрасли по размеру портфеля сделок, географическому охвату рынка и качеству оказываемых услуг;
– установление тесных и взаимовыгодных отношений с клиентами вне зависимости от масштаба их бизнеса.

Основной упор в проекте был сделан на защите данных административными методами, повышающих степень защиты корпоративной сети без больших финансовых вливаний.

Для обработки экстренных случаев нарушения информационной безопасности был разработан аварийный план. Он содержит действия персонала и сотрудников ИТ для максимального сокращения времени простоя системы.

Основными сложностями при реализации проекта были:
– Лоббирование своих интересов всеми сотрудниками компании;
– Сопротивление проекту со стороны топ-менеджмента;
– Необразованность персонала в области ИБ.

В их разрешении принимал непосредственное участие собственник бизнеса.
Отклонение от первоначального бюджета составило не более 20%.
По мнению собственника бизнеса, планируемый результат проекта достигнут! Однако, нелегкими усилиями – уволен один из топ-менеджеров, причастный к утечкам коммерческой информации.

Защищенная работа руководителя

Еще одним важным результатом проводимого автором исследования стала разработка и апробирование на менеджменте одной из лизинговых компаний практических рекомендаций по защищенной работе руководителя.

Комплекс разработанных мною мер включает конкретное программное обеспечение для обеспечения сохранности, целостности и защиты конфиденциальной информации, передаваемой по открытым каналам связи, или циркулирующей в корпоративной ЛВС, имеющей доступ в Internet.

При разработке инструментов личной информационной безопасности руководителя за основу взяты идеи, которые активно продвигает разработчик PGP Филипп Циммерманн [3]. Они представлены ниже в Таблице 2.

Таблица 2. Практические рекомендации по защищенной работе руководителя

В завершении можно сделать следующие выводы:
– Расследование ИТ инцидентов повышает рейтинг доверия к бизнесу;
– О защите от киберпреступников пока должна думать сама компания;
– Используйте «звезду приоритетности расследования» при рассмотрении инцидента;
– При расследовании помните, что можно потерять или изменить факты инцидента;
– Административные методы повышают защиту без больших финансовых вливаний.

Хочется надеяться на то, что представленные в статье рекомендации и инструменты помогут компаниям малого и среднего бизнеса организовать эффективную защиту от компьютерных правонарушений.

Управление безопасностью в малом и среднем бизнесе

В экономической литературе при определении понятия «экономическая безопасность малого бизнеса» можно выделить три основных направления. Согласно первому, она определяется исходя из одного, отдельно взятого аспекта деятельности субъектов малых форм хозяйствования (например, бизнес-структуры) [11, 12]. Другое направление состоит в том, что экономическая безопасность бизнеса «второго эшелона» трактуется как такое состояние малой бизнес-структуры, при котором обеспечивается ее способность противостоять неблагоприятным внешним воздействиям. В рамках третьего направления экономическая безопасность рассматривается как обеспечение наиболее эффективного использования ресурсов малого предприятия для упреждения угроз, обнаружения уязвимостей и возможности стабильного ее функционирования (ресурсно-функциональное направление).

Несмотря на имеющиеся различия, общим и ключевым для всех направлений является выделение двух главных компонентов экономической безопасности – развития и устойчивости. Очевидно, что если малая бизнес-структура не развивается, то у нее резко снижается возможность выживания, сопротивляемость угрозам, приспособление к изменениям внешней и внутренней бизнес-среды. Устойчивость же отражает прочность и надежность элементов внутри нее самой, а также ее способность к риску.

При всей своей значимости указанные компоненты экономической безопасности бизнеса «второго эшелона» не дают полного, системного представления о последней. Для этого необходимо показать роль и место понятия «экономическая безопасность малого бизнеса» в системе социально-экономических категорий.

Общеизвестно, что деятельность любого хозяйствующего субъекта представляет собой развитие, динамичный процесс, последовательность действий, направленную на реализацию собственных экономических интересов [5, 7, 8]. Причем, чем устойчивее, прочнее и надежнее такое развитие, тем выше объемы и меньше сроки достижения желаемого результата хозяйственной деятельности. В этом смысле слова экономическая безопасность субъекта малых форм хозяйствования есть динамически устойчивое состояние, при котором ему в данный момент опасность не угрожает. Такое состояние не означает покой, это скорее динамическое равновесие хозяйственной деятельности как системы, при котором имеют место нижний уровень экономической безопасности («критический уровень» или «порог экономической безопасности») и ее верхний уровень («потенциально возможная экономическая безопасность»).

Методология понимания обоих уровней экономической безопасности субъектов малых форм хозяйствования тесно связана с категориями «угроза», «уязвимость», «системное обновление», «внутрикорпоративная сбалансированность», «риск», «защита», «защищенность», «опасность», «ущерб».

Угрозы и уязвимости рассматриваются как факторы внешней и внутренней предпринимательской среды, которые способны повлиять на равновесие экономической деятельности или даже нарушить его. Последнее означает потерю хозяйствующим субъектом безопасности и наступление опасности, что на практике находит свое выражение в утечке большей части активов, уходе с рынка, банкротстве, разорении и т.п.

В число факторов внешней бизнес-среды (угроз), возникающих за пределами малых форм хозяйствования, вошли: неожиданные изменения рыночной конъюнктуры; уровень социальной напряженности в регионе и республике в целом; взаимоотношения с местными органами государственной власти (областным, городским и сельскими акиматами); непредвиденные действия правительства страны в области антимонопольной, налоговой, денежно-кредитной и внешнеторговой политики; взаимодействия субъектов бизнеса «второго эшелона» с региональным социумом; недобросовестная конкуренция на региональных рынках; динамика удельных весов экономически активного, незанятого (безработного) и социально незащищенного населения в регионе; взаимоотношения со смежниками, поставщиками сырья и торговыми посредниками. Их действие требует от хозяйствующего субъекта выделения определенных средств на защиту, что, хотя и наносит ущерб, но не позволяет перешагнуть «порог экономической безопасности». С этих позиций экономическую безопасность бизнеса «второго эшелона» можно рассматривать как состояние его защищенности.

Среди внутренних факторов, влияющих на уровень экономической безопасности субъектов малых форм хозяйствования (уязвимостей), следует отметить: финансовое «здоровье» малой бизнес-структуры; текучесть кадров; качество наемной рабочей силы (профессионально-квалификационный состав); наличие и степень родственных связей внутри бизнес-ячейки; психологический климат в коллективе; уровень трудовой и исполнительской дисциплины; наличие кадрового резерва; состояние организации производства и нормирование труда; физический и моральный износ основного капитала; формы социального партнерства в бизнес-структуре «второго эшелона» (организация профкома, месткома и прочих форм социальной взаимопомощи). В этом случае даже при наличии благоприятной внешней среды и отсутствии серьезных угроз уровень экономической безопасности деятельности малых форм хозяйствования будет неуклонно снижаться, и от их руководства потребуется системное обновление бизнес-структуры в целом посредством разработки и реализации комплекса мероприятий по стабилизации ситуации [1, 2, 10]. Это обеспечивает внутрикорпоративную сбалансированность материальных, трудовых, финансовых и информационных ресурсов как форму проявления экономической безопасности.

Следует отметить, что возникновение и реализация угроз и уязвимостей и несение в связи с этим ущерба неизбежны в ходе бизнес-деятельности. Однако с точки зрения экономической безопасности важны их масштабы и размеры. Поэтому угрозы и уязвимости надо ранжировать по их масштабности и значимости. Экономически целесообразно упреждать те угрозы, которые приводят к большому ущербу, сдвигая малую бизнес-структуру к «порогу экономической безопасности». Разумеется, может случиться так, что со временем мелкая угроза перерастет в широкомасштабную с большими потерями для субъектов малых форм хозяйствования. Поэтому, бывает выгодно ускорить ее неизбежную реализацию, понеся меньший ущерб и сохраняя экономическую безопасность.

Наряду с делением угроз бизнес-деятельности на мелкие и большие, в экономической литературе имеются и другие их классификации: на предсказуемые и непредсказуемые, потенциальные и реальные, угрозы на стадии создания фирмы и угрозы на стадии функционирования фирмы и др. Заслуживает внимания также деление угроз по природе явления на природно-климатические (природная среда), техногенные и антропогенные (человеческий фактор). Достоинством этой классификации можно считать стремление понять первопричину появления угроз и, следовательно, целенаправленно приложить усилия по обеспечению защиты от них [3].


Проведенный анализ предлагаемых в современной литературе трактовок экономической безопасности малого бизнеса позволяет заключить, что общий их смысл сводится к определению такого состояния, при котором опасность возникновения неблагоприятных событий не превышает допустимой величины. Однако такое определение не может быть признано удовлетворительным, поскольку предполагает наличие числовой оценки опасности и допустимое ее значение. Ведь состояние экономической безопасности не может быть просто задано некой числовой величиной. В связи с этим представляется целесообразным введение иного понятия опасности, которое включало бы в себя определение неблагоприятных событий, а также определение ситуации, в которой состояние экономической безопасности переходит в состояние опасности. Необходимость таких определений объясняется тем, что состояние экономической безопасности достигается в процессе управления ею и хозяйственной деятельностью в целом.

Управление хозяйственной деятельностью в секторе бизнеса «второго эшелона» проводится в соответствии с выработанной стратегией, что означает наличие количественных и качественных характеристик, отражающих стратегические цели субъекта малых форм хозяйствования. В этом случае справедливым будет определять экономическую безопасность малой бизнес-структуры как такое состояние, при котором важнейшие оценочные показатели ее деятельности максимально приближены к показателям, заданным бизнес-стратегией [4].

Для поддержания состояния экономической безопасности субъектов малых форм хозяйствования следует придерживаться стратегии, обеспечивающей достаточный уровень и наращивание социально-экономического потенциала, устойчивое развитие и подготовленность к возможным нежелательным изменениям в секторе бизнеса «второго эшелона». Оценка уровня экономической безопасности, то есть допустимости отклонения значений стратегических параметров, зависит от знаний, представлений бизнесмена о возможном развитии ситуации в случае, когда такое отклонение происходит.

Вероятность осуществления угрозы (уязвимости) бизнес-деятельности, перехода ее из потенциальной в реальную характеризует понятие «предпринимательские риски». Применительно к бизнесу «второго эшелона» их можно разделить на хозяйственные и социальные. Риски имманентны малому бизнесу, поскольку природа последних всецело основана на рыночных законах с присущими им стихийностью, непредсказуемостью и неопределенностью. Поэтому, каким бы ни было экономическое поведение хозяйствующего субъекта, они всегда существуют. Поэтому, невозможно достичь полной экономической безопасности бизнес-деятельности. Задача хозяйствующего субъекта – минимизировать предпринимательские риски, обеспечивая тем самым устойчивую динамику развития малых бизнес-структур и фактически исключая возможность экономических потрясений [9].

Следует отметить, что крупным бизнес-структурам с большой численностью персонала склонность к риску присуща в гораздо меньшей степени, чем малым формам хозяйствования, экономическая активность которых связана именно с использованием ситуаций повышенного риска. Для бизнеса «второго эшелона» характерными являются решения и действия, ориентированные на уменьшение риска. При этом риск, имеющий место в деятельности малых бизнес-структур, способен породить убытки, вызванные неспособностью их партнера или работодателя к выполнению своих обязательств. Отсюда и сама проблема обеспечения экономической безопасности и управления ею в большей степени касается не крупного бизнеса, а бизнеса «второго эшелона».

Стратегические планы субъекта малых форм хозяйствования, связанного с массой других участников предпринимательской деятельности, разрабатываются в расчете на некоторые фиксированные условия или, по крайней мере, на их более или менее предсказуемое развитие. Выражением этого решения и является запланированное значение стратегических показателей развития и допустимого отклонения от них. Превышение допустимого значения отклонений может означать повышение прогнозируемой прибыли, но при этом рассматриваться лицом, принимающим решение, как связанное с неприемлемым риском. Рациональное осмысление ситуации принятия рискованного решения, прогнозирование возможных последствий, выявление скрытых препятствий на пути достижения поставленной цели и, наконец, выяснение возможностей «подстраховаться» на случай неудачного или нежелательного развития событий является задачей разработки рисковой стратегии малой бизнес-структуры.

Учет затрат на разработку и проведение страховочных мероприятий, с одной стороны, и оценки возможного ущерба в случае неудачи, с другой, может привести к существенному изменению отношения хозяйствующего субъекта к «степени рискованности» рассматриваемого решения. В этом суть концепции допустимого риска, которая основывается на двух подтвержденных практикой постулатах: во-первых, невозможно полностью устранить риск, во-вторых, всегда существует возможность найти такие меры по снижению последствий наступления риска, которые обеспечили бы приемлемый для данной бизнес-структуры его уровень.

Концепция допустимого риска ориентирует субъектов малых форм хозяйствования на рациональное отношение к риску, предполагает разработку важных для деловой активности методических рекомендаций. Обоснованность таких рекомендаций предопределяется тем, что:

– предпринимательский риск – это не статическая характеристика, а управляемый параметр, на его уровень можно и, самое главное, необходимо оказывать воздействие;

– такое воздействие можно оказать только на «познанный» предпринимательский риск, то есть важно собирать и анализировать связанную с его проявлениями информацию, выявлять и идентифицировать факторы риска, оценивать последствия их проявления и т.д.;

– необходимо соизмерить стоимость проведенных мероприятий по снижению отклонения заданных критериев бизнес-деятельности с убытком, который мог нанести риск реализации угроз и уязвимостей [13].

Таким образом, разработка субъектами малых форм хозяйствования комплексной стратегии направлена, в частности, именно на обеспечение экономической безопасности. При этом риск, обусловленный принятием стратегических решений, возникает тогда, когда решения выбираются из нескольких альтернатив (путем развития в бизнесе). Отсюда можно заключить, что риском стратегического решения является реализация нежелательной альтернативы.

Причины риска (реализации или наступления рисковых событий) – это объективные и субъективные действия или решения, влекущие за собой нежелательное развитие, неблагоприятное для реализации некоторой бизнес-стратегии. Своеобразными импульсами риска стратегического решения хозяйствующего субъекта являются предпосылки, увеличивающие вероятность или реальность наступления событий, которые, в случае своего возможного осуществления, могут оказать отрицательное воздействие на бизнес-деятельность.

Мастер Йода рекомендует:  Создание шорткода для отзывчивого видео

Чтобы судить о существенности того или иного «рискового» импульса, риск должен быть выражен в сопоставимых показателях. Если предпринимательские риски подчиняются исчислению, как с точки зрения их вероятности, так и размера возможных убытков, то управление такими рисками эффективно осуществляется с использованием страхования. В теории и практике бизнеса «второго эшелона» известны три основных способа управления предпринимательскими рисками: поглощение риска, применяемое для слабых рисков или при невозможности использования иных способов; уклонение от риска, которое используется в мобильных системах; разделение и передача риска [13].

Заметим, что ни один из этих способов не обеспечивает полного исключения риска, некоторая его часть остается на собственном удержании хозяйствующего субъекта. В практике бизнеса «второго эшелона» обычно применяют различное сочетание всех трех способов в зависимости от вида деятельности и ожидаемых опасностей.

АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ МАЛОГО И СРЕДНЕГО БИЗНЕСА

Цель практической работы, изучение методик анализа и оценки рисков информационной безопасности с учетом особенностей и потребностей малого и среднего бизнеса.

Особенности подхода к анализу рисков информационной безопасности в малом и среднем бизнесе

В общем случае под риском понимают возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери. Поскольку информация перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности, а приобрела ощутимый стоимостной вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации в случае ее искажения или утраты, проблема обеспечения информационной безопасности (ИБ) приобрела в настоящее время исключительное значение.

В России в последние годы принят ряд стандартов, регламентирующих деятельность в области информационной безопасности, — это семейство ГОСТ Р ИСО/МЭК 27000, основанное и соответствующее семейству международных стандартов на системы управления информационной безопасностью 150/1ЕС 27000. Эти стандарты определяют требования к системам управления информационной безопасностью, управлению рисками, метрики и измерения, а также руководство по внедрению. Это указывает на особое внимание государства к проблемам обеспечения информационной безопасности и подготовки специалистов в этой области. Однако темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории Российской

Федерации. Отсюда возникает необходимость в решении следующих вопросов: в соответствии с какими критериями и показателями производить оценку эффективности системы защиты информации, как обеспечить оценку и мониторинг информационных рисков в организациях, особенно малого и среднего бизнеса, поскольку на практике таким организациям необходимо получать не только результаты первоначальной оценки рисков И Б, рекомендации по их снижению, но и простой в использовании и недорогой инструмент такой оценки.

DLP для малого бизнеса

ИБ-аутсорсинг
на базе DLP-системы

М ногофункциональные DLP-системы призваны решить задачу защиты информации, полностью исключив ее утечку за пределы компании. Сложность установки и внедрения, высокая цена некоторых программных продуктов может отпугнуть небольшой частный бизнес. Однако на российском рынке представлены DLP-решения, которые вполне способны заинтересовать эту категорию покупателей.

Необходимость защиты информации в небольших компаниях

Небольшие компании частного бизнеса далеко не всегда работают в сфере торговли. В этом формате создается большинство инновационных, внедренческих, научных предприятий, занимающихся актуальными разработками. И интерес конкурентов к их решениям способен привести к организации намеренных утечек. Кроме патентов и результатов исследований ценность для конкурентов могут иметь следующие категории данных:

  • стратегические планы развития компании;
  • уникальные бизнес-процессы;
  • информация о ключевых сотрудниках;
  • персональные данные клиентов (например, для фирм, работающих в сфере медицины).

Внедрение актуального DLP-решения (аббревиатура расшифровывается как Data Leak Prevention – предотвращение утечек данных) для малого и среднего бизнеса способно обезопасить эти сведения и от инсайдерских, и от внешних угроз. Помимо использования DLP, задача обеспечения информационной безопасности решается следующими мерами:

  • разработка внутренних регламентов по работе с информационными системами;
  • установка программ для антивирусной защиты;
  • использование средств криптографической защиты для шифрования важных сведений;
  • инструктаж персонала по работе с конфиденциальной информацией и персональными данными.

Если небольшая компания, работающая с персональными данными, например, туристическое агентство, не готова тратить средства на внедрение DLP-системы, она, скорее, приобретет одно из программных решений, которые позволяют отслеживать использование сотрудниками рабочего времени. Эти программы частично воспроизводят функционал DLP, хотя и не могут заменить их полностью. В ряде случаев есть возможность рассмотреть установку системы защиты от утечек конфиденциальной информации как сервисное решение, которое поставляется вендорами на условиях аутсорсинга.

В случае принятия решения о внедрении расходы на установку DLP будут состоять из трех категорий:

  • стоимость самого программного обеспечения и его внедрения;
  • доработка аппаратной части (при необходимости);
  • обучение сотрудников или прием на работу новых.

Эти расходы будут оправданны, если информация, подлежащая защите, имеет высокую ценность. Серьезной сложностью для малого бизнеса станет настройка системы – ее необходимо наполнить информацией, которая сможет идентифицировать утечки именно конфиденциального контента. Эта задача часто оказывается не по силам простому системному администратору. Также в небольших фирмах часто доступ к наиболее важным файлам изначально имеет только руководство, что снижает необходимость контроля за действиями рядовых пользователей.

Установка DLP при всех ее преимуществах будет оправданна только в том случае, когда ценность обрабатываемой информации существенно выше стоимости внедрения – если данные доступны многим пользователям, и к ним может возникнуть интерес конкурентов. Примером такой информации могут стать научные разработки, выполняемые в рамках государственного контракта.

Выбор DLP-решения для малого и среднего бизнеса

Если решение о приобретении и внедрении продукта принято, определенное время придется потратить на изучение рынка и выбор варианта, адаптированного для русскоязычной аудитории. При выборе DLP руководители компаний и ИБ-специалисты обращают внимание на следующие параметры:


  • количество контролируемых каналов, на которых осуществляется защита от утечек. Среди них обязательно должны быть электронная почта, съемные носители, в том числе флеш-карты, а также запросы по протоколу HTTP, мессенджеры и вывод на печать. Некоторые компании могут заинтересоваться возможностью контроля выполнения скринов с экрана;
  • наличие в системе локальных агентов;
  • качество аналитического аппарата;
  • многофункциональность, способность решать несколько задач одновременно;
  • простота администрирования, возможность осуществления техподдержки силами штатных или приглашенных ИБ-специалистов;
  • доступность по цене;
  • возможность интеграции с такими часто используемыми программами, как SIEM-системы и «ГосСОПКА»;
  • наличие решения в реестре рекомендуемых программ для ЭВМ и БД, наличие у вендора требуемых законодательством сертификатов;
  • способность работать с русскоязычным контентом.

Небольшой бизнес редко может позволить себе проводить длительное, многомесячное внедрение продукта, настройку его аналитики под свои запросы. Поэтому он нуждается в готовом, фактически «коробочном», решении. При его внедрении компания будет заинтересована в том, чтобы применение системы полностью соответствовало требованиям российского законодательства, не было классифицировано как слежка и нарушение прав человека.

Открытые решения

Современный рынок программных продуктов готов предложить малому и среднему бизнесу открытые решения, установка которых является бесплатной. Это такие продукты, как OpenDLP и MyDLP. По сравнению с системными вариантами, стоимость которых начинается от миллиона рублей, такие способы решения задач информационной безопасности кажутся оптимальными. MyDLP эксперты рекомендуют чаще, поскольку его функционал наиболее адекватно отвечает поставленным задачам. Разработчики предлагают два вида лицензий на продукт. Испробовав бесплатную Community, компания может перейти на недорогую и уже знакомую лицензию Enterprise. В любом случае это окажется дешевле приобретения иной системы. Существенной разницей в их использовании будет то, что, зафиксировав инцидент информационной безопасности, версия Community выдаст окно с уведомлением о тревоге, а Enterprise сохранит копию файла.

Установка программы, которую можно скачать на сайте разработчика, займет не более получаса. Инструкция по установке и подробная техническая документация также находятся на сайте. Для контроля электронной почты требуется настроить сервер, создав шлюз к proxy- и smtp-серверам. Правила контроля данных настраиваются самостоятельно, для этого нужно воспользоваться вкладкой Policy.

Приобретение системы

Если компания все же решит выбирать из решений, имеющихся на рынке, необходимо обращать внимание на отечественные продукты. Они имеют русскоязычный интерфейс, понятную документацию. Считается, что система поиска по архиву и аналитика у отечественных продуктов лучше, чем у зарубежных. При этом в архиве сохраняется весь трафик, а не только сведения об инцидентах информационной безопасности. Российская политика импортозамещения, направленная на обеспечение информационной безопасности страны, делает приобретение отечественных продуктов более экономически обусловленным.

Так, при закупке программного обеспечения на торгах, проводимых государственными органами или компаниями с госучастием, предложения российских компаний окажутся приоритетными. Коэффициент оценки их стоимости при общей оценке заявки снизится на 15%. Условно говоря, если иностранная и российская компания предложат выполнить заказ за 100 рублей, в целях определения победителя цена в заявке отечественного разработчика будет принята за 85 рублей.

Такая политика стимулирует активное наращивание потенциала разработок российских компаний, их надежности и удобства. Кроме того, иностранное решение может оказаться неактуальным после того, как будет принят разрабатываемый правительством законопроект о суверенном Рунете, который может создать конфликт между установленными российскими провайдерами средствами борьбы с информационными угрозами и западным программным обеспечением.

DLP для малого бизнеса окажется оптимальным решением в том случае, если расходы на его установку оправдываются ценностью охраняемых данных, а руководство и персонал хорошо понимают, какой продукт и в каких целях они приобретают.

Безопасность малого бизнеса

Это только теоретически малый и крупный бизнесы различаются численностью персонала и оборотами. На самом деле отличий гораздо больше, в том числе в сфере информационной безопасности.

Это только теоретически малый и крупный бизнесы различаются численностью персонала и оборотами. На самом деле отличий гораздо больше, в том числе в сфере информационной безопасности.

Цели крупного и мелкого бизнеса одинаковые — получение прибыли. Возможности, средства и методы их достижения у предприятий разного размера различные. В любом случае им приходится платить за то, чтобы бизнес был безопасным и минимально рискованным.

«Платой за безопасность являются накладные расходы. Они уменьшают прибыль бизнеса, — считает заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Андрей Курило. — Малый и больший бизнес по-разному реагируют на необходимость нести накладные расходы».

Игра по-крупному

В крупном бизнесе свои правила игры. Эти предприятия заинтересует не столько аудит информационной безопасности, сколько подтверждение соответствия определенному набору требований со стороны акционеров или регулирующих органов (например, в случае, если компания собирается выходить на IPO).

«Однажды представитель крупной телекоммуникационной компании посетовал в доверительной беседе, что его удивляет подход крупных консалтинговых компаний: им все равно, аудит какой компании проводить, телекоммуникационного оператора, пищекомбината или горно-обогатительного предприятия, — рассказывает Алексей Волчков, президент ассоциации «РусКрипто». — Их методики аудита не учитывают особенностей того или иного бизнеса».

Более правильный подход к задаче обеспечения информационной безопасности предполагает, что ее создание и развитие осуществляется исходя из бизнес-логики работы компании, особенностей ее бизнес-процессов, информации, которая в них циркулирует. Следует понять, какая информация представляет собой логически связанные блоки или единицы, и затем решить, какие блоки следует защищать.

«Универсальную методику придумать нельзя. В каждой компании бизнес-процессы специфичны. В зависимости от того, как и какая информация проходит по ним, следует решать, какими методами и средствами обеспечивать ее безопасность. Например, у оператора сотовой связи можно выделить порядка пятнадцати важных бизнес-процессов, которые следует защищать. В компании, которая занимается сетевой дистрибуцией, логика прохождения информации будет совсем другой, поэтому защищать нужно иные бизнес-процессы», — пояснил Волчков.

Малые радости

Особенностью компаний малого и среднего бизнеса является то, что им, как правило, не нужны формальные процедуры проверки и сертификаты на соответствие стандартам и требованиям, которые исходят от внешнего потребителя, инвестора или аудитора. Они могут позволить себе работать, следуя логике развития собственного бизнеса.

В ведении ИТ-директора компании «МАГ Консалтинг» Дмитрия Никулина находится более 50 пользователей и восемь серверов. По его мнению, структура компаний малого и среднего бизнеса достаточно динамична. «Излишняя формализация, введение завышенных требований стандартов, в том числе и в сфере информационной безопасности, не отвечающих нуждам компании, не только не принесут пользы, но и лишат компанию такого преимущества, как возможность быстро перестраиваться в соответствии с требованиями изменяющегося рынка, — убежден Никулин. — Введение внутренних стандартов, уровень и количество которых определяет сама компания, позволит ей играть по своим правилам, не допуская в то же время анархии и бесконтрольности. Главное, чтобы стандарты соответствовали уровню развития бизнеса. Не нужно забывать и о том, что в компаниях малого бизнеса коллектив сотрудников, как правило, более управляем и восприимчив в плане выполнения различных требований и стандартов».

Процедуры сертификации на получение международного стандарта — достаточно дорогостоящие мероприятия, и малому и среднему бизнесу это может оказаться не под силу. Справедливости ради стоит заметить, что, как правило, этого и не надо. В первую очередь не очень крупные предприятия хотят понять, что именно с ними происходит, тратя при этом разумные деньги.

«Немаловажно для малого бизнеса выстроить взаимоотношения с подрядчиком так, чтобы всю работу по обеспечению информационной безопасности в компании можно было разбить на логические этапы, — считает Волчков. — После каждого из них следует решить, стоит ли продолжать работы и платить за них деньги. По нашему опыту, на каждом из этапов необходимо провести четыре-пять итераций, чтобы обрести общее понимание, подготовить описание, сформировать отчет, осуществить проектирование и затем уже внедрение системы информационной безопасности».

В этом случае каждый законченный этап позволяет поменять поставщика услуг, если он почему-то не устраивает предприятие. Кроме того, на каждом этапе создается логически завершенная картина. Наконец, такой подход дает возможность поэтапно оценивать и планировать расходы компании. При осуществлении процедуры сертификации этих этапов, как таковых, нет.

Мотивы и судьи

По оценкам экспертов, примерно половина из тех, кто приступает к решению проблемы информационной безопасности, уже испытали на себе какие-то неприятные последствия. Простейший пример. Компания построила корпоративную локальную сеть, но по каким-то причинам сэкономила на защите сервера. Через некоторое время выяснилось, что машина была «зомбирована» вредоносными программами и через нее стали гнать спам, это породило огромный трафик. В итоге компании пришлось оплачивать непомерно возросшие счета на его оплату.

Как правило, инициатива проведения аудита в малых и средних компаниях исходит от главного управляющего или владельца бизнеса — от тех, кто понимает и оценивает риски от угрозы информационной безопасности компании.

Вторая категория представителей малого и среднего бизнеса — это те, кто уже знают о том, что неприятные события, связанные с информационной безопасностью, случались с другими, и решили обезопасить себя. В практике Волчкова бывало, когда мотивом мог послужить случай, происшедший у кого-то из знакомых. «Дешевле защититься, нежели потом пытаться устранить последствия», — отметил он.

В таких ситуациях часто возникают затруднения, связанные с оценкой рисков. Дело в том, что методик их оценки, которые могли бы быть применены для разных компаний, в российских условиях просто нет! Существует около десятка известных методик по расчету рисков компаний. Часть их может быть применена к оценке рисков, связанных с нарушением информационной безопасности (оценка информационных ресурсов, выстраивание таблицы рисков, затем их оптимизация, учет остаточного риска и пр.). «Проблема в том, что эти методики западные и они работают исключительно в условиях стабильной экономики и общества, предсказуемости выполнения законов. В этом случае наличие хорошей статистической базы позволяет строить прогнозы на будущее. За этими методиками стоит 30—40-летний опыт использования ИТ для бизнеса», — считает Волчков.

В России и на всем пространстве стран СНГ в силу объективных причин этого нет. Во-первых, отсутствует стабильность внешней среды (рыночной и политической ситуации). Следовательно, нет и стабильности бизнеса на протяжении достаточно долгого времени, хотя бы 10—15 лет. Без большой репрезентативной выборки эти методики не работают.

По мнению Никулина, для малого и среднего бизнеса в наших условиях было бы правильнее говорить не о расчете, а о некотором «предсказании» рисков: «Компания должна рассмотреть свои возможные риски, оценить их с учетом специфики бизнеса и ИТ-инфраструктуры, соотнести значимость этих рисков с целями бизнеса и уже исходя из результатов такого индивидуального анализа принимать решение о построении системы информационной безопасности, ее структуре и уровнях защиты».

Свободный защитник

Защита информации создает определенный комфорт, давая компании, ее сотрудникам, партнерам и клиентам ощущение безопасности.

В малых и средних компаниях комфорту сотрудников уделяется больше внимания и придается большее значение. Топ-менеджеры понимают, что бизнес сильно зависит от того, насколько правильно сотрудник выполняет все то, что от него требуется, а это, в свою очередь, в значительной степени зависит от того, насколько удобно сотруднику работать в данной компании. Система информационной безопасности по крайней мере не должна вызывать дискомфорта. В противном случае небольшое предприятие от нее, скорее всего, просто откажется.

Сейчас на отечественном рынке имеется довольно много предложений по созданию интегрированных, комплексных систем безопасности «под ключ». Но это вовсе не означает, что решение «под ключ» учитывает специфику малого и среднего предприятия. Задачу можно решить несколько иначе, если сконцентрироваться на продуктах, которые обычно не поставляются только одной компанией.

По мнению начальника департамента программного обеспечения компании «Безопасность» Константина Москаленко, чем более типовое решение предлагается, тем более знакомо оно и тем, от кого оно должно обезопасить информацию фирмы.

Малое или среднее предприятие, как правило, стремится экономно расходовать свои деньги. Система в начале проектируется и только затем выстраивается из отдельных функциональных блоков (как из кирпичиков), составляющие которых интегратор должен взять для того, чтобы создать единое решение. Для реализации подобного подхода интегратору необходимо не только хорошо знать рынок, но и не быть связанным партнерскими обязательствами с вендорами. Хороший защитник должен быть свободным и действовать в интересах своего клиента, а не вендоров. Только в этом случае он будет легко и гибко работать со всеми продуктами, представленными на рынке. В этом случае заказчик может рассчитывать на то, что получит оптимально решение именно для своего бизнеса.


По мнению Никулина, блочная структура позволит компании не только эффективно управлять созданной системой и по мере необходимости вносить в нее изменения, но и осуществлять поэтапное внедрение этой системы: «С учетом стоимости комплексной системы возможность внедрения ее в несколько этапов может стать решающим фактором при выборе поставщика. Использование продуктов различных вендоров тоже может быть оправданно, поскольку специализированные решения часто выполняют свои функции эффективнее, чем компоненты единой комплексной системы».

Но получается явное противоречие. Малый бизнес считает деньги, а индивидуальное решение заметно увеличивает стоимость проекта. Как быть?

Диалог равных

Когда крупный интегратор и крупный заказчик ведут между собой диалог, то в случае конфликтов они могут вступать в разбирательства, выясняя, кто и в чем виноват. Когда крупное предприятие начинает работать с мелким интегратором в области информационной безопасности, то оно вынуждено допускать его до своих секретов. Но при этом предприятие обезопасить и защитить себя сумеет. А вот сможет ли обезопасить себя от давления маленький партнер?

Не очень крупное предприятие, по мнению Волчкова, рассуждает с точностью до наоборот: «Если крупный интегратор предлагает стандартный пакет услуг, то отношение к малым клиентам будет формальное. Так часто бывает, например, в отношениях небольших компаний с крупными игроками телекоммуникационного рынка: если за неуплату отключили телефон, потом придется долго ходить и доказывать свою правоту».

Кроме того, владельцу бизнеса, обеспокоенного его безопасностью, было бы непростительно пренебрегать еще одним аспектом сложностей партнерских отношений. Построение информационной системы связано со значительными внутрикорпоративными работами по выяснению и согласованию технического задания, инсталляции разработанного решения, его настройки, обучению персонала и сопровождению. По мнению Москаленко, чем крупнее предприятие-заказчик и мельче поставщик решения, тем больше шансов мелкому быть целиком поглощенным крупным. Специфика информационной безопасности усугубляет этот процесс, так как степень контроля исполнителей должна быть еще выше и, соответственно, мотив к «охоте за головами» еще более усиливается (поскольку прозрачность работы своих сотрудников существенно выше, чем внешних).

Чтобы бизнес крупного интегратора был прибыльным, штат его специалистов должен постоянно отрабатывать поступающие заказы. При этом проекты, которые подразумевают нестандартные, творческие подходы, как правило, будут неинтересны, так как требуют много времени для поиска оптимального решения и не могут принести большой прибыли. Чтобы состоялся партнерский диалог, услуги должны предлагать компании, равные по «весу» со своими клиентами.

В скором времени следует ожидать появления системных интеграторов, осуществляющих бизнес на основе управляющих компаний, которые могли бы принять на себя обязательства по выполнению заказа, разложить его на составляющие и привлечь для решения конкретных задач необходимых специалистов.

Но ни для кого не секрет, что порог вхождения на рынок интеграторских услуг достаточно высок, причем он определяется не только деньгами, но и компетенцией: компании нужно быть готовой к тому, чтобы подтверждать и доказывать заказчику, что она способна решить поставленную задачу. «В аналогичной ситуации крупный интегратор начнет приводить примеры выполненных им проектов. Управляющая компания может подтвердить свою компетенцию, предоставив резюме специалистов, которые будут работать в данном проекте. Для управляющей компании порог вхождения в этот бизнес измеряется опытом и знаниями специалистов, которых она сумеет привлечь. Если управляющая компания опасается, что заказчик сможет пригласить к себе этих специалистов в обход нее, то она сможет обезопасить себя от подобной ситуации, предоставив так называемые обезличенные резюме», — считает Юрий Ткачев, строящий бизнес компании «СпецЭкоСтрой» как раз по модели управляющей компании.

Впрочем, помимо развития сценария с управляющими компаниями, возможны и другие. В частности Никулин был бы не против использовать в качестве исполнителя компании, занимающиеся ИТ-консалтингом или аудитом систем информационной безопасности, но не предлагающие собственные решения: «Если после проведения обследования такая компания не только представит рекомендации по субподрядчикам, но и выступит в роли некоторого гарантом защиты прав обеих сторон, то использование небольших компаний в качестве непосредственных исполнителей будет вполне возможным и не приведет к неравноправию участников процесса. Справедливость сохранится и при работе небольшого заказчика с крупным интегратором».

Таким образом, при наличии спроса со стороны малого и среднего бизнеса решения непременно найдутся. И хорошо бы, если они всесторонне учитывали специфику этого бизнеса.

Поделитесь материалом с коллегами и друзьями

Типовое решение по ИТ-Безопасности для малого и среднего бизнеса

Нужна помощь консультанта?

Несмотря на многовековую историю развития информационной безопасности, многие руководители все еще воспринимают ее, оперируя опытом первого периода. Тогда, до века, основной задачей ее была защита сведений жизненно важных для определенного человека или круга людей от попадания в посторонние руки.

За последние двести лет, благодаря быстро нарастающему темпу развития технических средств, информационная среда кардинально и стремительно эволюционировала. Это повлекло за собой расширение задач информационной безопасности, которые перечеркнули возможность устаревших подходов. Преобразования и глобализация информационных систем заставили полностью пересмотреть подход к категории информационной безопасности. Одних только классификаций угроз насчитываются десятки: по характеру, по тяжести, по направленности, по объекту, по завершенности, по мотивации, по происхождению и много других. Но, к сожалению, еще очень часто встречаются устаревшие или однонаправленные подходы, безграмотные предрассудки и заблуждения.

Построение информационной системы

В задачи этой статьи совершенно не входит штудирование теории или утомление читателя пространными рассуждениями. Мы предлагаем рассмотреть решения в сфере информационной безопасности на примере организации информационной системы компаний малого и среднего бизнеса.

С одной стороны развитие информационных технологий и глобализация систем передачи, хранения и обработки данных породили множество новых угроз: например, проходя мимо офисного здания и оказавшись в зоне действия сети Wi-Fi, можно подключиться к чьей-нибудь корпоративной сети. Но эта возможность обусловлена лишь непрофессиональным подходом к организации сети и игнорировании ряда характерных угроз. Поэтому, если подходить профессионально к вопросу, вооружиться знаниями в областях информационных технологий и информационной безопасности, то можно (и нужно) создавать производительные, доступные (как в финансовом, так и в информационном смысле), масштабируемые, безопасные системы под потребности любого предприятия.

Вспомним, как наши прапрадеды тратили долгие часы на путешествие по старой протоптанной тропинке от одного села к другому. А когда был изобретен автомобиль, сколько было страхов и противников этого небезопасного новшества? На сегодняшний день в мире широкая инфраструктура автодорог, развитием которой занимаются специализированные институты. Над производством автомобилей, автотоваров, горюче-смазочных материалов, в обслуживании автотранспорта и автодорог трудятся миллионы человек по всему миру. Конечному пользователю, кроме заправленного авто, остается лишь знать, понимать и соблюдать правила безопасности дорожного движения — можно в путь. А затраты на транспорт, тем не менее, окупаются благодаря мобильности, доступности, простоте и удобству решения.

Мастер Йода рекомендует:  Транзакции в PostgreSQL версии 8.0

Так и с построением информационной системы компании: развитая инфраструктура магистралей, скоростные транспортные средства-потоки, возможность прокладки оптимального маршрута. Выбираем центр будущей информационной системы и, основываясь на рекомендациях по информационной безопасности, схеме работы компании, ее потребностях в работе с информацией, строим оптимальную инфраструктуру.

По-настоящему эффективно защищать и контролировать удается только ту информацию, которая собрана в одном месте — централизована ее обработка.

При проектировании информационной системы, как и любой другой, необходимо учитывать каждую мелочь еще до начала проектирования. Иными словами, создание оптимальной модели обработки информации — это уже базовая ее защита, на основе которой мы выстраиваем информационную систему с заложенной в нее безопасностью. Это даст нам возможность гибко и эффективно развивать информационную безопасность на построенной системе, двигаясь в выбранных направлениях защиты. Но обо всем по порядку.

Централизация информационной системы

Основная суть оптимизации информационной системы — это централизация хранения, обработки и обслуживания коммерческой информации. Распределенная модель обработки данных хороша для межконтинентальных корпораций, которые, тем не менее, несут огромные трудовые и финансовые затраты на поддержание централизованного управления распределенной системой. Бесконтрольное распространение информации влечет за собой информационный хаос.

Схема 1 (щелкните для увеличения).

Защита от утечек информации

Итак, основные задачи по обеспечению доступности информации и обеспечению отказоустойчивости данная схема решает (Схема 1). А как эта схема будет работать при необходимости решения задач контроля над информацией и защите от утечек? Как уже говорилось, что наиболее эффективный контроль осуществляется централизовано,— вся информация хранится и обрабатывается в одном месте, а значит отследить и настроить то, к какой ее части имеет доступ сотрудник согласно своим обязанностям, не составит труда.

Защита от утечек, как и любой подход к безопасности должен быть комплексным. Иначе эффективность будет такой же, как, уходя из дома закрыть дверь на три замка, но оставить распахнутыми окна. Первое, на что стоит обратить внимание: более 80% утечек происходят по неосторожности, неумению, ошибке или злому умыслу сотрудников компании (инсайдеров).

В виду высокого риска утечки информации по вине внутренних сотрудников, построение защиты необходимо начинать с разграничения прав доступа.

Защита голосовых каналов передачи информации

Для защиты голосовых каналов связи мы внедряем IP-телефонию. Благодаря цифровой системе передачи голоса, данная технология сильно усложняет и делает практически невозможным процесс перехвата телефонных переговоров. Получается, что защита, создаваемая данным решением, требует гораздо меньше трудозатрат и квалификации специалистов, чем для перехвата разговоров. Ниже приведены наиболее актуальные возможности решения.

  1. IP-телефония снижает расходы на связь с филиалами и сотрудниками вне офиса (передача информации ведется через интернет).
  2. Возможность шифрования убережет от прослушивания телефонных разговоров.
  3. По журналу телефонии легко найти любой звонок и прослушать содержание разговора, что позволит упростить выявления виновника утечки.
  4. Объединение филиалов в единое адресное пространство снизит затраты на связь и повысит производительность сотрудников и качество совместной работы.
  5. Интеграция с различными ERP и CRM системами повысит эффективность работы и управляемость компании.

Не менее востребованной задачей является шифрование разговоров в сетях мобильных операторов. Очевидно, что в наш век мобильных технологий нельзя работать исключительно в офисе. Так, имея в распоряжении два смартфона и специальное программное обеспечение, можно обеспечить защищенную от прослушивания мобильную связь. Для более требовательных к безопасности пользователей существуют криптотелефоны с шифрованием на аппаратном уровне, исключающие возможность «списывания» голоса с микрофона устройства.

Защита клиентской базы

В багаже наших внедрений существует еще одно полезное решение. Возможность установки аналитической системы управления взаимоотношений с клиентами 1C:Предприятие 8. CRM и ее интеграция с IP-телефонией. Это решение, в основе своей, предотвращает утечку клиентов из компании лично недобросовестному менеджеру по продажам! Как это работает: сервер телефонии передает информацию обо всех входящих и исходящих звонках системе CRM, которая соотносит номера телефонов с контрагентами и фиксирует события в их карточке, также записывается содержание разговора. Таким образом, руководитель может проанализировать все поступающие интересы от клиентов и их отработку менеджерами компании (Схема 2).

Схема 2 (щелкните для увеличения).

Защита системы клиент-банк, сетей Wi-Fi, резервных копий


Создавая защищенную, производительную информационную систему, необходимо изначально учитывать наиболее критичные риски. Многие руководители и не подозревают, что их системные администраторы игнорируют многие угрозы. Вот примеры из нашей практики.

Актуальная проблема по защите рабочего места с системой дистанционного банковского обслуживания (клиент-банк). Подробнее об актуальности угроз и защите систем ДБО.

Дополнительное резервное копирование важной информации на сетевую систему хранения данных, которая расположена в удаленном офисе. Это позволит сохранить данные в случае пожара в центральном офисе, затопления или изъятия серверов. Также необходимо регулярно проверять актуальность и целостность резервных копий.

Современные технологии Wi-Fi облегчают жизнь пользователям, использующим переносные компьютеры. Но они же накладывают на администраторов повышенную ответственность по настройке и защите беспроводных сетей. Мы категорически против использования уязвимых систем аутентификации WPA2-PSK и более ранних, которые, к сожалению, встречаются в большинстве компаний. Ознакомиться с решениями для удобной настройки и эффективной защиты Wi-Fi.

Не только технические средства

И в заключение необходимо сказать еще об одном предрассудке. Существует стойкое заблуждение, что информационную безопасность можно обеспечить лишь техническими средствами. Это не так. Как показывает практика, в мире не существует идеальной «защиты от дурака». Это первое. Во-вторых, безопасность – это процесс, который необходимо поддерживать, в противном случае эффективность мер стремится к нулю.

На основании вышесказанного, мы проводим внедрение следующих организационных мер.

  1. На уровне руководства предприятия создаются и утверждаются отдельным приказом регламенты информационной безопасности компании.
  2. Каждый сотрудник подписывается под регламентами, подтверждая то, что ознакомлен и обязуется выполнять правила безопасности.
  3. На кадровом уровне проводится работа по ознакомлению и разъяснению выдвигаемых требований соблюдения безопасности и их выполнению – сотрудники подписывают соглашение о конфиденциальности и коммерческой тайне.
  4. На административном уровне проводятся регулярный аудит информационной безопасности и выполнение сотрудниками требований безопасности.
  5. На техническом уровне проводятся регулярные регламентные работы по поддержанию уровня безопасности: проверка работоспособности и отказоустойчивости узлов информационной системы, проверка резервных копий, отработка на учениях отказов системы, форс-мажоров и нарушений безопасности.

Как видно из статьи, что в обеспечении информационной безопасности нет ничего сложного для специалистов, знакомых с теорией, и имеющих опыт практических внедрений. Знание и соблюдение этих правил не сложнее соблюдения правил безопасности дорожного движения или охраны труда.

Собираем элементы в полноценную систему

Нам осталось лишь собрать воедино все те нюансы, о которых говорили ранее и из этих кубиков знаний построить модель идеальной, по нашему мнению, информационной системы компании. Схема 3 наглядно отображает суть этой модели. Рассмотрим ее по этапам, опираясь на роли, которые исполняют сегменты системы.

Схема 3 (щелкните для увеличения).

Этап I. Построение основы. Сердцем информационной системы компании, основными аппаратными мощностями, является кластер носителей виртуальных серверов. Он обеспечивает работу, дублирование и резервирование любых серверных ролей в зависимости от потребностей предприятия.

Этап II. Создание системы аутентификации. Связка контроллера домена, центра сертификатов и RADIUS-сервера обеспечивает надежную централизованную авторизацию всех пользователей системы и эффективное управление пользовательскими правами доступа и учетными записями.

Этап III. Организация работы пользователей. Кластер серверов терминалов организует работу всех сотрудников непосредственно на серверах компании. Пользовательские компьютеры, ноутбуки или нетбуки используются лишь для доступа к терминальному серверу, а всю нагрузку по работе с офисными программами берут на себя сервера компании. Таким образом, при срочной необходимости, работать можно даже с низкопроизводительных планшетов и бюджетных нетбуков. Использование терминальных серверов позволяет ограничить скачивание информации на локальные устройства, что исключает необходимость следить за работой с документами на последних.

Этап IV. Защита съемных накопителей и переносных устройств. Если в компании все же остается необходимость работы определенных сотрудников с информацией на мобильных устройствах или использования съемных носителей, то внедряется шифрование этого оборудования. Так, при краже или утере устройства, важная корпоративная информация останется недоступной для посторонних.

Этап V. Организация работы с учетными системами. Сервер 1С и сервер системы управления базами данных обеспечивают комфортную работу с учетной программой предприятия. Доступ к сервисам обеспечивается посредством сервера терминалов, но доступность, производительность и надежность такого подхода в десятки раз выше, чем у файловой версии продукта.

Этап VI. Построение корпоративного хранилища информации. Файловый сервер — центр хранения документов компании. Во избежание несанкционированного доступа к информации, ее кражи или утери мы организуем каталогизацию данных, разрабатываем групповые политики безопасности для компании, настраиваем разграничение прав доступа,— хранение и контроль над данными на этом сервере.

Этап VII. Внедрение мониторинга за действиями пользователей. Помимо стандартных журналов систем, дополнительный контроль, аналитику работы сотрудников с информацией, предотвращение утечки данных обеспечивает сервер мониторинга. Это может быть полноценная тяжеловесная система предотвращения утечек информации или ограниченные программы контроля над действиями пользователей. Протоколирование поведения пользователей позволит успешно расследовать инциденты нарушения безопасности, а также контролировать использование рабочего времени сотрудниками. Кроме того, системы предотвращения утечек оповещают ответственного работника о возможностях передачи конфиденциальных данных и, даже, блокировать их.

Этап VIII. Разграничение локальной сети. Коммутатор VLAN, кроме функций обычного коммутатора, отделяет сетевое пространство компании от уязвимого рабочего места с системой «клиент-банк», а гостевой Wi-Fi выводит в демилитаризованную зону.

Этап IX. Защита системы клиент-банк. Для исключения нежелательных манипуляций с системой дистанционного банковского обслуживания мы препятствуем постороннему доступу к рабочему месту с системой, как изнутри, так и извне, а так же проводим комплекс мероприятий по обеспечению безопасности этого рабочего места.

Этап X. Защита Wi-Fi. Использование передовых сетевых технологий позволяет предотвратить взлом корпоративной сети Wi-Fi или доступ к данным компании через гостевую сеть.

Этап XI. Организация бесперебойной связи с центральным офисом. Серверы телефонии, маршрутизации и фильтрации интернет-соединений не особо требовательны к аппаратному обеспечению — их мы размещаем на одном аппаратном сервере. А вот способность роутера поддерживать динамическую маршрутизацию (OSPF) позволяет организовать бесперебойный доступ к информационной системе при «падении» основного канала связи.

Этап XII. Защита голосовых каналов. Использование IP-телефонии и шифрованный протокол TLS предотвратит возможность прослушивания телефонных переговоров компании.

Этап XIII. Организация контроля входящих интересов. Интеграция IP-телефонии с системой CRM позволит отслеживать взаимоотношения с контрагентами, что предотвратит «увод» клиентов недобросовестными менеджерами.

Этап XIV. Административный уровень. Создание регламента информационной безопасности, ознакомление всех подразделений и служб компании с требованиями по защите информации и поддержания ее уровня.

Поручите сады садовнику

EFSOL — системный интегратор, специализируется на комплексной автоматизации предприятий. Специалисты EFSOL обладают многолетним опытом в сфере разработки и внедрения информационных систем. Накопленный опыт тысяч внедрений позволяет нашим специалистам сразу видеть реальную проблематику клиентов и предлагать решения, удовлетворяющие именно их бизнес-модели, а не внедрять безопасность ради самой безопасности.

Оценка финансовой безопасности малых и средних предприятий

Бадаева Ольга Николаевна, аспирантка кафедры финансов и кредита, Ивановский государственный химико-технологический университет, Россия

Цупко Елена Валерьевна, доцент кафедры финансов и кредита, Ивановский государственный химико-технологический университет, Россия

Публикация научных статей по экономике в журналах РИНЦ, ВАК (высокий импакт-фактор). Срок публикации — от 1 месяца.

creativeconomy.ru Москва + 7 495 648 6241

В условиях современной рыночной экономики, характеризующейся высоким уровнем финансовых рисков, изменением факторов внешней и внутренней среды функционирования организаций, нарастанием угроз их финансовым интересам, одним из наиболее актуальных направлений финансового менеджмента становится обеспечение финансовой безопасности предприятия.

Финансовая безопасность предприятия: сущность

По нашему мнению, финансовая безопасность предприятия – это определенное финансовое состояние предприятия, характеризующееся его способностью и возможностью противостоять существующим и возникающим угрозам его финансовых интересов.Так, финансовая безопасность предприятия отражает определенный уровень его финансового состояния на конкретную дату, т.е. носит статичный характер, что сужает рамки использования данного понятия в целях управления финансовой безопасностью, в связи с чем нам представляется целесообразным введение в научный оборот нового понятия «управляемая финансовая безопасность».

Управляемая финансовая безопасность предприятия – это определенное финансовое состояние предприятия, опосредованное отсутствием опасности для его финансовых интересов при условии постоянного мониторинга и диагностики ее уровня, а также формирования ряда превентивных и контрольных мероприятий.

Необходимость введения указанного понятия в научный оборот обусловлена тем, что управляемая финансовая безопасность предприятия является особой формой финансовой безопасности, которая отражает потенциал повышения ее уровня при условии использования мониторинга, диагностики, превентивных и контрольных мероприятий.


Финансовая безопасность предприятия: предпосылки формирования

Важнейшей предпосылкой формирования системы финансовой безопасности предприятия является идентификация угроз их реализации. От того, насколько полно определен состав угроз финансовым интересам, насколько точно оценен уровень интенсивности их проявления и возможного ущерба, зависит эффективность построения всей системы финансовой безопасности предприятия. Применительно к финансовой безопасности предприятия угроза определяется нами как совокупность условий и факторов, под влиянием которых создается намерение и возможность нанесения ущерба финансовым интересам предприятия.

Угрозы финансовым интересам предприятия

Угрозы финансовым интересам предприятия характеризуются многообразием видов и в целях наиболее полной их идентификации при построении системы финансовой безопасности предприятия требуют определенной классификации. В научной литературе имеют место различные классификации угроз финансовой безопасности для разного вида объектов (государства, отрасли, предприятия). Наиболее полная классификация угроз финансовой безопасности на уровне предприятия приведена в труде И.А. Бланка [1]. Большинство исследователей приводят в своих трудах классификации угроз финансовой безопасности применительно к общегосударственному уровню (Сенчагов В.К. [2], Соколов Ю.А. [3]).

Не вдаваясь в подробный анализ уже имеющихся в научной литературе классификаций, мы предлагаем систематизировать угрозы по признаку вида деятельности предприятия на угрозы, присущие операционной, финансовой и инвестиционной деятельности. Сужение горизонта деятельности до определенного ее вида позволит наиболее точно и полно идентифицировать возможные угрозы и выделить наиболее приоритетные из них. Следовательно, в качестве другого критерия классификации нами предлагается приоритетность интересов собственников. Так, по приоритетности интересов собственников угрозы подразделяются на угрозы первостепенным (приоритетным) интересам собственников и угрозы второстепенным интересам.

По масштабу источника воздействия мы предлагаем разделить угрозы на следующие виды: угрозы финансовой безопасности предприятия как имущественного комплекса; угрозы финансовой безопасности структурного подразделения; угрозы финансовой безопасности отдельной хозяйственной операции.

Классификация угроз финансовым интересам предприятия

По уровню влияния на финансовую безопасность предприятия мы предлагаем классифицировать угрозы по следующим видам:

1) факторы (угрозы и опасности) 1 уровня, непосредственно влияющие на финансовую безопасность;

2) факторы (угрозы и опасности) 2 уровня, влияющие на финансовую безопасность через экономическую безопасность;

3) факторы (угрозы и опасности) 3 уровня, влияющие на финансовую безопасность через общую безопасность предприятия.

Рассмотренная классификация угроз финансовым интересам позволит целенаправленно формировать комплекс мероприятий по управлению финансовой безопасностью предприятий, в частности, малых и средних предприятий.

Оценка уровня финансовой безопасности предприятия предполагает выбор критериев оценки, системы индикаторов, которые ее характеризуют, и самих методических подходов к определению уровня финансовой безопасности.

Перечень индикаторов, используемых для оценки уровня финансовой безопасности предприятия

На основе анализа литературных данных нами составлен перечень индикаторов, используемых для оценки уровня финансовой безопасности предприятия (табл. 1). Все приведенные показатели рассчитываются на основе данных бухгалтерской отчетности. Пороговые значения индикаторов обобщены по литературным источникам.

В целях повышения уровня финансовой безопасности малых и средних предприятий по нашему мнению необходимо разработать методику — последовательность действий для проведения оценки, мониторинга и диагностики их финансовой безопасности.

Индикаторы финансовой безопасности предприятия

Безопасность бизнеса

Безопасность бизнеса – это набор мероприятий и мер, направленных на всестороннюю защиту предпринимательской деятельности от различных видов угроз (информационных, юридических, физических, экономических и организационно-кадровых). Все решения, касающиеся всесторонней охраны бизнеса и принимаемых мер, возлагаются на службу безопасности, руководителей соответствующих отделов и директора организации.

Виды проблем в безопасности бизнеса и пути их решения

В любом виде бизнеса всегда есть место для риска. При этом хороший руководитель не будет ждать проблем – он своевременно примет меры для защиты от наиболее вероятных проблем в сфере бизнеса. К таким можно отнести:

— корпоративные неурядицы – споры и конфликтные ситуации между акционерами компании, конфликты между топ менеджерами или сложности взаимоотношений между владельцами компании и руководителями подразделений;

— внешние опасности – угрозы со стороны криминальных структур, конфликты с правоохранительными и государственными структурами, рейдерские налеты и так далее;

— финансовые потери – мошеннические действия персонала (клиентов), кража, недобросовестные посредники или поставщики, нецелесообразное применение ресурсов компании, получение взяток за определенную деятельность против интересов компании;

— информационные опасности – утечка секретной информации компании (ее сокрытие или уничтожение), получение несанкционированного доступа к конфиденциальным данным, разглашение коммерческой тайны и тому подобное;

— охранные «прорехи» — кражи материально-технических ценностей посторонними лицами, несанкционированное проникновение на территорию компании, нарушение трудовой дисциплины;

— проблемы с репутацией – наличие в структуре работников, имеющих плохую репутацию, сотрудничество с людьми (контрагентами), имеющими плохую репутацию.

Для решения всех перечисленных проблем бизнеса, требуются следующие виды защиты:

— физическая – системы безопасности, охрана, камеры наблюдения и так далее;
— экономическая – проверка контрагента, защита банка-клиента, оптимизация налогов;
— организационно-кадровая – проверка поступающего на работу персонала, контроль уже существующих сотрудников;
— информационный – защита от вторжений, защита файлов и документов, оптимизация и защита 1С, единая аутентификация, защит от утечек информации и так далее;
— юридическая – экспертиза совершенных сделок, проверка проектов документов, абонентское обслуживание и так далее.

Информационная безопасность бизнеса

По статистики больше половины всех проблем бизнеса возникают по причине «пробелов» в информационной безопасности. Утечка информации к конкурентам, потеря данных, передача в чужие руки секретной информации компании – все это несет большой риск для бизнеса. В такой ситуации IT-менедежеры компании идут на ряд эффективных мер, обеспечивающих комплексную защиту компании.
На первом месте находится защита финансовых данных, на втором – защита от утечек, а на третьем – защита от DdoS-атак. И если первые два пункта уже давно в тройке лидеров, то проблема с атаками появилась лишь недавно. Причина такого интереса – возросшее число DdoS-атак на компании малого и среднего сегмента.

Среди основных мер, которые компании России принимали в сфере безопасности можно выделить – защиту от вредоносного ПО, управление обновлениями, контроль приложений, сетевую структуру, решения для защиты финансовых переводов, контроль применения внешних устройств, защита мобильных телефонов и так далее.

Основные методы информационной защиты бизнеса следующие:

1. Защита от вторжений – установка программ или оборудования, необходимого для контроля трафика в сети. При появлении первой же опасности (вторжения) система реагирует и блокирует доступ. Одновременно с этим происходит оповещение ответственного сотрудника.

Система защиты реализуется одним из двух способов:

— система IPS. Ее задача – блокировка любой сетевой активности, вызывающей подозрения, эффективное отсеивание «лишнего» трафика. Плюс системы – способность не только обнаруживать, но и предотвращать вторжение. Минус – высокий процент ложных срабатываний, что приводит к постоянному отвлечению сотрудников от дела и простаиванию компьютерной сети на время проверки;

— система IDS – осуществляет отслеживание текущей аномальной активности, при появлении которой дается сигнал администратору. Положительные черты — эффективная борьба с вторжением, передача права принятия решения администратору. Минус в том, что ответственный работник может не успеть принять меры и системе будет нанесен непоправимый вред.

Идеальная система защиты от вторжения выглядит следующим образом:

2. Защита от утечек – набор мер, позволяющих предотвратить попадание конфиденциальной информации в посторонние руки. Утечка может произойти двумя способами:

— путем злонамеренной кражи (шпионаж, рейдеры, инсайдеры);
— по причине оплошности персонала (потеря носителя, отсылка пароля по почте, переход на страничку с вирусом, отсутствие ответственных людей за передачу прав на доступ к данным и так далее).


При злонамеренной краже методы защиты следующие – ограничение режима допуска на предприятие, установка камер наблюдения, монтаж средств уничтожения данных на серверах, шифрование информации, хранение данных на зарубежных серверах.

Для защиты от ошибок персонала эффективными можно назвать следующие методы – минимизация прав доступа к конфиденциальной информации, индивидуальная ответственность сотрудников, использование защищенных каналов, создание регламента работы сотрудников с важными документами, введение ответственности за переданные работникам носители данных.

Кроме этого, для защиты от случайных ошибок важно организовать – запись телефонных разговоров, мониторинг трафика и работы сотрудника за ПК, шифрование USB карт, применение RMS, внедрение DLP систем и так далее.

3. Защита файлов подразумевает сохранность всей наиболее важной информации, которая хранится на компьютерах и серверах внутри компании. Она реализуется следующим образом:

— шифрованием файловых систем (данных) – применение систем EFS, Qnap, CryptoPro и так далее;

— шифрованием ноутбуков (нетбуков), носителей информации, мобильных аппаратов – программные решения (Kasperskiy, SecretDisk, Endpoint Encryption) или модули шифрования от Sony, Asus и прочих компаний;

— защита информации от системного администратора, к примеру, с помощью TrueCrypt;

— регистрация мобильного на трекерах мониторинговых систем (с помощью Касперского или Prey);

— запрет (ограничение) доступа к различным электронным файлам (один из лучших вариантов — Active Directory Rights Management Services).

— единая аутентификация. Можно использовать две схемы – на доменной авторизации (оборудование привязывается к доменной структуре), с помощью электронного ключа E-token или с помощью оповещения СМС.

Технология единой аутентификации реализуется следующим образом:

В случае применения USB-ключа (токена) схема взаимодействия смотрится по-другому:

Взаимодействие пользователей в случае применения смс-оповещений:

4.Оптимизация и защита 1С требует внедрения следующих мер:

— при работе с базой 1С – шифрование дисков, ограничение прав доступа, установка системы защиты процессов обмена данными и фалов;

— при работе с СУБД базы 1С – ограничение прав администратора у пользователей, использование систем шифрования, выполнение мер по ограничению удаленного или физического доступа к серверам и так далее;

— защита конфиденциальных данных.

Кроме перечисленных выше мер, к способам обеспечения информационной безопасности относится:

— защита корпоративных коммуникаций;
— быстрое удаление информации с сервера;
— контроль работы сотрудников;
— обеспечение отказоустойчивости и стабильности всех бизнес процессов.

Экономическая безопасность бизнеса

Для обеспечения экономической безопасности необходимо выполнение следующих мер:

1. Проверка компании-контрагента. В законе РФ нет пункта, который бы обязывал проводить проверку будущего партнера. С другой стороны организация должна проявлять осмотрительность в этом вопросе и не совершать сделок с подозрительными структурами. В противном случае можно получить целый ряд проблем:

— невыполнение контрагентом своих обязательств;
— потерю доверия со стороны инвестора;
— падение деловой активности;
— опасность финансовых потерь;
— проблемы с правоохранительными органами.

Перед началом сотрудничества важно проверить:

— идентификационный номер налогоплательщика;
— выписку из ЕГРЮЛ;
— точное название компании;
— генерального директора;
— устойчивость компании;
— наличие реальной регистрации по указанному адресу;
— наличие бухгалтерского баланса.

2. Оптимизация налогов позволяет снизить затраты предприятия и возможные проблемы с органами налоговой инспекции. Лучшим решением может стать аутсорсинг. С его помощью:

— внедряются более совершенные методы планирования налогов;
— экономятся средства компании за счет привлечения квалифицированных специалистов извне;
— «выплывают» все ошибки в функционировании фирмы;
— повышается надежность, качество и главное – эффективность выполняемых работ;
— появляется шанс забыть о налоговых проблемах и заняться делами бизнеса.

Процесс оптимизации проводится в три этапа – анализ деятельности компании, разработка рабочего проекта и внедрение новой схемы.

3. Защита компьютера с установленной системой «клиент-банка». Недостаточное внимание к этой составляющей бизнеса в последние годы привело к большому количеству преступлений. Мошенники с легкостью получают доступ к компьютеру, через который ведется управление потоками, и проводят необходимые им операции. Банк Сбербанк России уверяет, что в 2014 году лишь за несколько месяцев было пресечено сотни попыток краж дистанционным путем на сумму более миллиарда рублей.

Защитить компьютер с установленной на нем системой «клиент-банка» можно несколькими способами:

— ПК должен применяться исключительно для проведения операций с «клиент-банком»;
— права пользователей должны быть максимально ограничены, что снижает вероятность доступа к системе посторонних лиц;
— операционная система и антивирус должны обновляться своевременно;
— обязательна установка сетевого экрана. При этом любой трафик (кроме сделок с банком) должен быть заблокирован;
— высокий уровень безопасности должен поддерживаться в постоянном режиме, а не время от времени;
— в компьютере или возле него не должно оставаться носителей информации с ключами или правами доступа к системе;
— рабочее место с «клиент-банком» должно быть расположено в отдельном помещении. При этом организация СКУД и видеонаблюдения обязательна.

Организация физической безопасности бизнеса

Одна из наиболее важных задач для любой компании – защита от проникновения посторонних лиц на территорию объекта, контроль всех основных помещений предприятия, защита и обеспечение спокойствия работников организации, обеспечение защиты от пожара. Для этого может применяться следующий комплекс мер:

Мастер Йода рекомендует:  Простой способ изучить что-то сложное

1. Установка систем видеонаблюдения по периметру здания и внутри него. При этом служба безопасности и руководитель предприятия должны видеть, что происходит внутри офиса и за его пределами. Для визуального контроля могут устанавливаться дополнительные опции – система распознавания, автоматический анализ изображения, распознаватель номеров и так далее.

2. Система контроля управления доступом позволяет надежно защитить компанию от проникновения внутрь охраняемого объекта посторонних лиц.

3. Система оповещения об опасности активирует сирену внутри защищаемого здания. В случае необходимости может быть задействовано речевое оповещение, но чаще всего хватает и звукового сигнала.

4. Установка домофона – надежный способ контролировать доступ в помещение. Такие системы позволяют проверить посетителя без контакта с ним. Но в крупных структурах такая система работать не будет – слишком большой поток людей.

5. Монтаж пожарной сигнализации, способной своевременно локализовать возгорание и предупредить персонал об опасности.

Правовая безопасность бизнеса


Обеспечение правовой безопасности – это один из способов защиты компании (фирмы, предприятия) от грубых юридических ошибок, которые могут повлечь за собой серьезные репутационные и финансовые потери. Правовая безопасность бизнеса подразумевает комплексную поддержку в юридических вопросах, своевременное консультирование и экстренную правовую помощь. Обеспечением правовой безопасности могут заниматься как сотрудники организации, так и представители сторонних компаний.

К основным методам обеспечения юридической безопасности можно отнести:

— экспертизу всех документов, а также проверку правильности их составления;
— представление интересов компании в судовых инстанциях;
— обслуживание по всем видам правовых вопросов на всех этапах сделки;
— экспертиза всех будущих сделок, коммерческих и инвестиционных проектов компании;
— своевременное взаимодействие и решение спорных моментов с государственными структурами;
— подготовка к проверкам контролирующих структур;
— обеспечение защиты в случае незаконных попыток изъятия правоохранительными органами документов компании;
— оформление исков, жалоб на действия (бездействие) контролирующих (правоохранительных) структур.

Организационно-кадровая безопасность бизнеса

Обеспечение организационно-кадровой безопасности – это задача любого руководителя. Суть таких мероприятий – защита деятельности от вероятных угроз, вызванных человеческим фактором. Основные задачи – выявление и предупреждение мошеннических действий работников.

К основным мерам организационно-кадровой безопасности можно отнести:

— сбор всех необходимых данных о работниках компании, их анализ, а также принятие решения на их основе о допуске человека к секретной информации;

— своевременное выявление потенциальных угроз, которые могут исходить от сотрудника по причине его прошлой деятельности и личностных качеств – криминальной деятельности, отрицательных морально-нравственных качеств, работе с конкурентами и так далее;

— подробный сбор информации о кандидате в сотрудники компании для последующего анализа потенциального работника и принятии решения о его приеме на работу;

— обеспечение социально-психологического контроля за сотрудниками компании, изучение внутренней обстановки внутри коллектива и выявление проблем на ранней стадии;

— проведение обучение и качественная подготовка персонала в вопросах, касающихся правил обращения с секретными данными, а также касательно необходимых к выполнению мер безопасности;

— расследование всех фактов подозрительного поведения работников, которые привели к ущербу (финансовому, репутационному) компании;

— организация трудовых споров, касающихся выпонения обязательств по договору и вероятных нарушений мер безопасности сотрудниками;

— проведение анализа и подробная оценка всех организационных моментов, которые могут стать угрозой для безопасности бизнеса.

Защита информации в небольших компаниях: приоритет или «дело десятое»?

Мы часто слышим об утечках конфиденциальной информации из крупных корпораций и о мерах, принимаемых ими для минимизации рисков возникновения инцидентов безопасности. Однако в то же время в средствах массовой информации практически не освещается вопрос информационной безопасности на предприятиях малого бизнеса.

Озабочены ли малые компании проблемой информационной безопасности? И если да, то каким образом она обеспечивается? Какова роль DLP-систем в защитных схемах предприятий малого бизнеса? Чтобы ответить на эти вопросы, редакция SecureNews обратилась к экспертам в сфере информационной безопасности и представителям малого бизнеса.

Прежде чем перейти к проблеме использования в малых предприятиях специализированного программного обеспечения для защите данных, следует разобраться, какую информацию стремятся защищать в небольших компаниях. Об этом SecureNews подробно рассказал директор по развитию бизнеса Stack Group Владимир Лебедев:

«Проблематика защиты данных в современном мире информационных технологий актуальна практически для всех без исключения участников информационного обмена. Это, безусловно, касается как крупных и средних компаний, так и компаний малого бизнеса, индивидуальных предпринимателей и просто физических лиц. Краеугольным камнем в защите является корректным образом определенный и классифицированный объект защиты. Это могут быть данные (например, планы развития компании, финансовые показатели, описание технологий, ноу-хау), информационные системы (HR, CRM, ERP, BI, финансовые и производственные системы), бизнес-процессы (технология производства) и даже люди (сотрудники, обладающие уникальными компетенциями, занимающие ключевые позиции). Некоторые объекты защиты выделяются также в соответствии требованиями регуляторов (например, банковская тайна, персональные данные). От понимания того, что именно необходимо защищать, от кого необходимо защищать, где надо защищать и какие последствия могут наступить вследствие ненадлежащей защиты, зависит выбор методов и мер по защите. От полноты и качества моделирования угроз безопасности, а также типов мер, в конечном счете будут зависеть затраты, которые организация должна понести. Работа по защите от угроз безопасности независимо от размера компании должна проводиться планомерно, то есть идти от выстраивания комплекса мер, которые позволяют защищать от выявленных угроз в зависимости от степени негативных последствий, которые могут наступить. Необходимо создать организационные процессы, позволяющие закрепить ответственность за конкретными ролями в компании, а также внедрить средства защиты информации. Безусловно, для компаний малого бизнеса объем таких мер несравним с объемом для крупного и среднего бизнеса, однако подход должен оставаться единый. К примеру, для совсем небольших компаний можно говорить о создании нескольких регламентов по информационной безопасности, установке антивирусных программ, шифровании критичных данных и инструктаже персонала по работе с важной информацией».

Для защиты информации различного характера можно применить такое решение, как DLP-система. Однако является ли использование DLP оправданным в случае малого бизнеса и насколько востребовано подобное ПО небольшими компаниями? Мнения экспертов разделились.

Ведущий аналитик SearchInform Алексей Парфентьев:

«Потребность в DLP-системах в небольших организациях есть: практика показывает, что утечка конфиденциальных данных может произойти в компании любого масштаба. Кроме того, видов этой самой конфиденциальной информации множество. Коммерческая тайна, уникальные разработки, особенности технологического процесса – подобную информацию чаще всего защищают крупные и средние заказчики. Небольшие фирмы чаще имеют дело с персональными данными, их утечку они и стремятся не допустить. В качестве примеров небольших компаний можно назвать турагентства, страховые компании, юридические фирмы – они вынуждены беспокоиться о сохранности имеющейся у них информации. Потому можно утверждать, что в DLP нуждаются не только корпорации – в установке подобного ПО заинтересованы компании разного масштаба, просто у каждой из них своя специфика и особенности. Конечно, DLP-система – софт довольно дорогой. Для небольших компаний это критичный фактор, и они ищут более доступное решение. Именно поэтому рынок переживает взрывную популярность продуктов для контроля рабочего времени сотрудников и их активности за ПК. Подобные системы помогают поддерживать дисциплину сотрудников, находить проблемы в бизнес-процессах и частично решают задачи DLP».

Начальник отдела информационной безопасности профессионального хостинг-провайдера .masterhost Борис Огородников:

«Идеи о том, что информацию надо защищать, востребованы всегда, на любом уровне. Несмотря на то, что грамотное использование DLP-решений в конечном итоге приводит к сокращению издержек, компании малого бизнеса скорее предпочтут организационные меры и будут ограничиваться ими до тех пор, пока они работают и поддаются контролю».

Руководитель группы обеспечения безопасности информации компании ИВК Игорь Корчагин:

«В отличие от классических средств защиты, типа межсетевых экранов, антивирусов, средств криптографической защиты, DLP-решения на отечественном рынке ИБ все еще находятся на этапе продвижения и завоевания потребительского интереса. У такой ситуации имеется несколько причин. Во-первых, большинство решений данного класса требуют значительных финансовых затрат на их приобретение (в том числе на аппаратную составляющую), на их внедрение (адаптацию под условия применения), а также на выделение и подготовку персонала, ответственного за эксплуатацию DLP. Все это приводит в конечном счете к экономической нецелесообразности применения DLP в ИТ-инфраструктуре организации. Во-вторых, это недостаточная осведомленность общества о существовании и возможностях DLP-решений, а также все еще актуальная проблема отсутствия внимания к задачам обеспечения ИБ. В особенности данная проблематика актуальна для малого бизнеса, для которого характерно, зачастую, отсутствие выделенных специалистов по ИБ, активное использование сотрудниками для решения профессиональных задач личных устройств и так далее. В целях реализации механизмов предотвращения утечек конфиденциальной информации решение для малого бизнеса может быть найдено в использовании DLP как сервиса, предоставляемого специализированными организациями».

Финансовый директор ООО «Параллакс» Дмитрий Кузнецов:

«Компании малого и среднего бизнеса нередко интересуются DLP-решениями, но далеко не всегда понимают реальные особенности их использования и необходимые условия для их эффективной работы. Требования, которые предъявляют небольшие компании к подобному ПО, как правило, нереалистичны. Если не брать исключительные случаи, когда руководители готовы лично просматривать чуть ли не всю почтовую переписку и другие пересылаемые данные, малые компании, как правило, хотят, чтобы DLP-системы «сами» обнаруживали факты обмана собственника сотрудниками: договоренности об «откатах», передачу коммерческих данных конкурентам и так далее. Но никакая DLP-система не обладает собственным интеллектом и не может судить о том, какую ценность имеет та или иная информация. Все параметры контроля должны сначала ввести пользователи системы (как правило, служба экономической безопасности предприятия). Это требует хотя бы минимальной технической квалификации, понимания бизнес-процессов предприятия и ценности различной информации, адекватной оценки рисков, определенного понимания психологии потенциальных злоумышленников, постоянного контроля и корректировки (то есть существенных затрат рабочего времени). DLP не «вещь в себе», это лишь инструмент в руках сотрудников службы безопасности. Причем, как любой сложный инструмент, DLP предъявляет определенные требования к уровню квалификации того, кто им пользуется».

Председатель Совета директоров ГК «ИМПУЛЬС-ИВЦ» Евгений Новак:

«Для малого бизнеса мониторинг и предупреждение нарушений в компьютерных системах по-прежнему являются мало востребованными по нескольким причинам. Во-первых, это обусловлено отсутствием всеобщего подключения сотрудников к приложениям, содержащим конфиденциальную информацию, такие данные в малом бизнесе доступны пока, как правило, ограниченному числу лиц. Во-вторых, недостаточным уровнем грамотности в сфере информационной безопасности из-за того, что число публичных случаев утечек и размер причиненного в итоге владельцам информации ущерба еще не достигли критической отметки. Ну, а в-третьих, ситуативно в последние два года на фоне экономического кризиса все компании вынуждены экономить свои бюджеты, поэтому средства на некритичные с точки зрения руководства задачи не выделяются».

Руководитель отдела развития продуктов компании «Системный Софт» Илья Коношевский:

«Малый бизнес не часто использует системы DLP, поскольку такие компании, как правило, не имеют достаточных средств и, как следствие, оснований для внедрения дорогостоящей системы. К тому же в маленьких компаниях все друг друга знают и отношения на работе обычно доверительные. В процессе роста, с увеличением текучки, компании задумываются о системах контроля рабочего времени, производительности и DLP. Как правило, это происходит, когда компания увеличивается до 200-300 ПК. В результате потенциальные покупатели рассматривают в основном весьма упрощенные системы, где DLP является скорее дополнением, чем фундаментом».

Менеджер по маркетингу продуктов компании «Код безопасности» Павел Коростелев:

«Востребованность DLP-систем и других средств информационной безопасности у компаний малого бизнеса достаточно ограничена. Это связано с тем, что внедрение системы защиты от утечек требует от организаций не только инвестиций, но и определенного уровня понимания ИБ-проблематики. Руководство должно отчетливо представлять, какие данные являются конфиденциальными, кто должен иметь к ним доступ, а кто – нет. Эта задача выходит далеко за рамки зоны ответственности и навыков ИТ-администратора, который обычно и занимается в небольших компаниях вопросами ИБ. Для малого бизнеса также характерна гибкость и высокая чувствительность к стоимости решения. Поэтому внедрение полновесных решений класса DLP в таких компаниях почти не встречается. Если компания приобретает многофункциональную систему защиты рабочих станций, в которую встроены некоторые функции DLP (чаще всего это контроль подключения USB-устройств), то они используются».

Руководитель проекта Kickidler Андрей Игнатов:

«Наша компания считает, что контролировать нужно не данные (как это делают классические системы борьбы с утечками), а сотрудников, которые с этими данными работают.

Традиционные системы контроля имеют целый ряд недостатков. Во-первых, они тяжелые, сложные для внедрения и дорогие. А значит, абсолютно неприменимые для малого бизнеса. Во-вторых, классические системы DLP наблюдают за работой с данными. Контроль осуществляется за конкретными файлами (по имени файла) или за данными в информационных системах предприятия по шаблону данных (например, XXXX-XXXX-XXXX-XXXX для номеров кредитных карт). То есть, если изменить формат данных, то DLP-система не сможет их отследить. Например, если изменить номер кредитных карт с XXXX-XXXX-XXXX-XXXX на AXXXX, BXXXX, CXXXX, DXXXX, то DLP-система не посчитает их важными и пропустит.

В-третьих, постоянный контроль за использованием данных сильно загружает ресурсы как ПК сотрудника, так и всей компании. Если DLP-система проверяет все исходящие данные, то при любом сбое организация окажется изолированной».

Часть экспертов отмечает востребованность DLP-систем среди небольших компаний, в то время как другие однозначно называют данные решения невостребованными в этом сегменте. Попробуем разобраться, насколько велик интерес к DLP у малого бизнеса по сравнению с крупными и средними предприятиями.


Президент Московского клуба молодых предпринимателей, генеральный директор компании CloudOffice Дмитрий Порочкин:

«DLP-решения будут полезны как для крупных компаний, так и для малого бизнеса, однако только как одна из превентивных мер по предотвращению утечки информации. Такие программы хорошо использовать для повышения информационной грамотности среди сотрудников, поскольку сама суть их предполагает оценку рисков утечки информации. Для этого анализируется активность в каналах, через которые возможна утечка данных: почта, мессенджеры и непосредственно веб. На основании контента и контекста (протокол, активность, тип приложения и прочее) программа далее формирует политику безопасности, в соответствии с которой блокирует сообщения, сообщает о нарушениях и так далее. То есть важно понимать, что в отличие от межсетевых экранов (так называемых файерволов), DLP-сервисы не блокируют передачу полностью, а пытаются анализировать действия человека в сети, чем оставляют большую вероятность утечки данных».

Борис Огородников:

«Заинтересованность в защите информации у всех компаний примерно одинакова. Подходы к реализации и внедрению DLP-решений могут быть разными, но «потеря информации» в 21 веке практически тождественна «потере денег», поэтому логично предположить, что идея минимизации риска подобных потерь свойственна любой коммерческой организации, вне зависимости от ее масштабов».

Игорь Корчагин:

«Заинтересованность компаний в DLP-системах зависит не только от масштабов их ИТ-инфраструктур и объемов обрабатываемых данных. В первую очередь, она, конечно же, опирается на наличие информации, утечка которой может принести ущерб компании, а также на наличие актуальных угроз утечки данной информации. Таким образом, интерес к DLP может одинаково возникнуть как у крупных, так и малых компаний. Что же касается непосредственно возможности использования DLP-систем, тут пока первенство занимают именно крупные компании».

Individual customer service care, personalization, marketing segmentation and targeting, customer relationship management (CRM) and headhunter human resources concepts. Businessman with magnifying glass focused on one person.

Директор департамента информационной безопасности компании «Сервионика» (ГК «Ай-Теко») Василий Степаненко:

«В первую очередь, в DLP заинтересованы организации с достаточным объемом финансирования – независимо от величины компании. Но нужно учитывать, что DLP – это всего лишь инструмент, и будет ли он действительно использоваться для контроля и предотвращения утечек или останется «проектом на бумаге», зависит от многих факторов: от личных амбиций руководителя, отвечающего за ИБ, до опыта проектной команды и четкости постановки задачи. Качественное внедрение имеет решающее значение для эффективности контроля и предотвращения утечек. Стоит отметить, что сама область применения DLP весьма деликатна, реализация таких проектов во многих компаниях тормозится из-за бюрократических и юридических тонкостей, высоких репутационных рисков».

Коммерческий директор Mindbox Александр Горник:

«DLP-решения использует в основном крупный бизнес. И изначально эти системы создавались именно с учетом требований сложных корпоративных машин. Но необходимость защищать данные одинакова для всех – от стартапов до крупного бизнеса. И тут важно даже не само решение на уровне ПО, которое применяют владельцы бизнеса. Важен подход к безопасности.

DLP-системы изначально возникли из того, что можно назвать параноидальным подходом к безопасности: когда мы пытаемся сделать невозможным или предотвратить какое-то действие. Представьте, чтобы обезопасить, например, торговый центр мы на входе ставим охранника с собакой, турникет, рамку и обыскиваем каждого входящего. DLP как программный продукт – что-то похожее. В цивилизованных же странах люди полагаются на законы, есть полиция и суды. И не нужно строить заборы – можно проходить куда угодно. В случае же, если кто-то решается нарушить закон, срабатывает та самая красная кнопка и привычный механизм защиты – приезжает полиция и правоохранительная система обеспечивает неизбежность наказания.

Никто не мешает вам ограничить доступ конкретных сотрудников к конфиденциальной информации на уровне закона, трудового договора и жестких санкций. Если эти санкции и наказание по ним превышают выгоду от потенциального воровства, то большинство сотрудников откажется от кражи».

Дмитрий Кузнецов:

«По моему мнению, крупные корпорации больше заинтересованы в использовании DLP-решений, лучше понимают, для чего такие системы могут быть полезны и имеют достаточно ресурсов для эффективного использования DLP-систем. В последнее время на рынке появились решения, использующие достижения в области систем искусственного интеллекта, машинного обучения и анализа «больших данных» (big data) для облегчения работы специалистов по безопасности и снижения требований к уровню их квалификации. Насколько эти решения поспособствуют более широкому распространению DLP-систем среди малого и среднего бизнеса и получению такими компаниями реальной отдачи от своих вложений — покажет время».

Илья Коношевский:

«В использовании DLP чаще всего заинтересованы компании средние и крупные (особенно если это финансовый сектор). С увеличением оборотов и сотрудников компании становится все сложнее контролировать сделки и частную жизнь сотрудников. И в этой ситуации можно легко упустить утечку информации или намерения сотрудника, по каким-то причинам потерявшего лояльность и готового нанести вред бизнесу. К сожалению, от направленной атаки на корпоративные данные ни одна система застраховать не сможет, но способна существенно усложнить этот процесс, что сделает утечку менее рентабельной и более рискованной для злоумышленника».

Руководитель направления информационной безопасности компании КРОК Андрей Заикин:

«В использовании DLP заинтересованы все участники рынка (как крупные корпорации, так и SMB-сегмент), ведь риски утечки информации присутствуют для всех компаний. При этом ощутимость утечки данных для представителей SMB-сектора может быть гораздо выше чем для большой корпорации. В первом случае, для малой компании, утечка может гораздо проще обернуться утратой основного конкурентного преимущества и, как следствие, закрытием бизнеса. В случае же крупной корпорации речь чаще всего идет о репутационных и денежных потерях».

Павел Коростелев:

«Заинтересованность в использовании не только DLP систем, но и любых других ИБ-решений зависит не только от размера компании, но и от уровня ее зрелости. Чем лучше организация осознает ценность своих данных (для себя и конкурентов), тем более осознанно она подходит к реализации ИБ-стратегии в части защиты данных. Программа действий в этом случае включает в себя не только и не столько внедрение средств ИБ, сколько перестроение бизнес-процессов в целях снижения риска намеренной утечки или случайной потери данных.

И только в случае, когда определены бизнес-процессы, в которые должна быть встроена DLP-система, на ее внедрение начинает влиять фактор масштаба бизнеса. Очевидно, что крупная компания может потратить на подобный проект больше средств, но и технические требования там будут выше».

Мнения экспертов вновь разделились. С одной стороны, есть мнение об отсутствии связи между размером компании и уровнем ее заинтересованности в использовании DLP, с другой, часть экспертов утверждает, что подобные системы больше всего востребованы в крупных корпорациях. Однако и в первом, и во втором случае эксперты солидарны в том, что в среде малого бизнеса существуют компании, которые воспринимают информационную безопасность в качестве одного из приоритетов своего развития и, таким образом, являются потенциальными пользователями DLP-систем. Какие требования предъявляют малые компании к подобным решениям?

Алексей Парфентьев:

«Крупные заказчики обычно выбирают «умное» и дорогое DLP-решение. Небольшие компании готовы работать с данными системами в «ручном» режиме, без возможности автоматизации, если это решение значительно доступнее по цене. По этой причине расследования инцидентов в малом и среднем бизнесе происходят уже постфактум».

Борис Огородников:

«Если опустить очевидный вопрос стоимости ПО, который в сегменте информационной безопасности является важнейшим, и сфокусироваться на функционале, то на первый план необходимо выдвинуть «всеядность» при выборе защитного ПО. Часто бывает так, что небольшие компании не могут себе позволить унификацию элементов информационной системы и строятся буквально на том, что под рукой. Разумеется, следствием такого подхода станет разнообразность используемого оборудования в составе информационной системы».

Игорь Корчагин:

«Перечень требований, которые предъявляются компаниями к DLP-системам, в первую очередь, опирается на особенности ИТ-инфраструктуры компании с учетом используемых методов передачи информации, а также ее объемы. Это позволяет со стороны потребителя определить требования к составу контролируемых DLP-решением каналов передачи данных, в том числе необходимость наличия локальных агентов системы, а также к аналитическим задачам DLP-системы, в особенности по качеству работы с русскоязычным контентом. Наиболее востребованными функциями в части контроля являются контроль электронной почты, съемных носителей, HTTP, мессенджеров и печати. Также для многих компаний зачастую важными являются механизмы формирования отчетов о работе DLP-системы, так как это основной инструмент демонстрации эффективности внедренной DLP-системы перед руководством».

Василий Степаненко:

«Представители крупного бизнеса обычно пытаются решить с помощью DLP конкретные задачи: этот инструмент, скорее всего, будет встраиваться в уже сложившийся ИТ-ландшафт с большим количеством других компонентов и решений для защиты информации. В отличие от них, SMB-сегмент хочет видеть в DLP-решении «комбайн», решающий сразу несколько смежных задач в сфере информационной безопасности. Второе важное требование – простота внедрения и поддержка минимальным количеством специалистов».

Евгений Новак:

«Главное требование, которое предъявляют небольшие компании – это минимальная цена. Однако системы DLP достаточно трудоемки в разработке, требуют постоянного обновления в свете развития операционных систем и приложений, а также в связи со сложной и дорогостоящей процедурой сертификации такого рода продуктов в государственных органах».

Илья Коношевский:

«Небольшие компании стараются приобретать недорогие решения с максимально простым развертыванием, объединяющим в себе функционал нескольких решений. В связи с тем, что в небольших компаниях риски влияния утечки информации на бизнес минимальны, фокус внимания в этих вопросах стараются переносить на антивирусные решения, системы контроля трафика и производительности сотрудников, которые нередко содержат функционал упрощенного DLP. В небольших компаниях риски утечки не рассматриваются как «косты», а вот сокращение затрат на основные роли бизнеса – задача, которой занимаются в первую очередь».

Андрей Заикин:

«В числе основных требований, которые предъявляет малый бизнес к DLP-решениям, – доступность по цене, простота во внедрении и поддержке, а также соответствие требованиям законодательства. С позиции функционала малый бизнес ждет от DLP-систем возможностей контроля печати и почтовой переписки пользователей (как в пределах сети компании, так и с использованием интернет-почтовиков типа gmail.com или mail.ru), блокировки передачи файлов на внешние носители или файлообменники и анализа использования сотрудниками социальных сетей и мессенджеров».

Павел Коростелев:

«Небольшие компании обладают крайне ограниченными ресурсами. Это относится как к ИБ-бюджету, так и к количеству профильных специалистов. Как правило, в небольших компаниях за ИТ отвечают один-два человека, которые решают все задачи, в той или иной степени относящиеся к ИТ и ИБ.

Таким образом, оптимальным продуктом по борьбе с утечками данных для малых компаний могут стать средства, которые стоят недорого, просты в управлении и обеспечивают стабильную работу и входят в состав комплексных ИБ-решений, обеспечивающих защиту информации на всех уровнях».

В данном вопросе эксперты оказались практически единодушны. Основными факторами при выборе небольшими компаниями того или иного программного продукта, призванного обеспечить информационную безопасность, являются его стоимость и простота во внедрении. Это обусловлено тем, что предприятия малого бизнеса, в сравнении с крупными корпорациями, имеют ограниченные финансовые возможности и человеческие ресурсы. Следствием данной ситуации является стремление к приобретению недорогого многофункционального программного обеспечения, которое может быть без особого труда внедрено в корпоративную инфраструктуру одним-двумя сотрудниками ИТ-отдела.

Добавить комментарий