Как обеспечить информационную безопасность в небольшой компании?
Что такое информационная безопасность?
Информационная безопасность подразумевает конфиденциальность корпоративных сведений – когда вы уверены, что данные компании не могут попасть к неуполномоченным лицам. Для небольшого предприятия важен и другой критерий – целостность, это свойство информации не меняться в процессе хранения и передачи. Наконец третий пункт – доступность, он подразумевает, что любое уполномоченное лицо в любой момент времени может получить целевую информацию в рамках своей компетенции.
Угрозы информационной безопасности
Нарушение информационной безопасности идентифицируется в случае, когда корпоративные сведения теряют конфиденциальность, когда нет доступа к данным, данные повреждены или произошел технический сбой.
Основные виды угроз:
Вредоносное ПО. Это самый распространенный тип угрозы, когда на один или несколько компьютеров предприятия попадает вирус, как правило, типа «Троянский конь», который передает корпоративные сведения злоумышленнику.
- Атаки на сервера и сайт компании. Сюда относятся DDoS атаки, фишинг (подделывание источника сообщений), дефейс сайта и другие кибер-опасности. Цель этих атак – получение корпоративной информации и/или нарушение работы компании.
- Прямые сливы корпоративных сведений. В этом случае сотрудник по той или иной причине сам нарушает конфиденциальность внутренней информации предприятия, передавая ее третьим лицам (в том числе – за вознаграждение).
Возможны и другие типы угроз, например – спам, саботаж или программные сбои (больше информации). Но причина почти всегда кроется в халатности сотрудников, например – вместо выполнения должностных обязанностей они посещают непроверенные ресурсы в Интернете, откуда и проникает вредоносное ПО. Прямые инсайдерские сливы возможны через корпоративные мессенджеры, почту, а также через физические носители (флешки).
Принципы и средства обеспечения информационной безопасности
Для сохранения конфиденциальности, целостности и доступности информации необходимо строгое выполнение обязательств каждым сотрудником, реализация подотчетности и идентификации, обеспечение подлинности сведений и достижение достоверности.
Уровни защиты корпоративных сведений:
- физическая безопасность информации;
- обеспечение организационной защиты;
- защита ПО и каналов коммуникации.
Концепция информационной безопасности подразумевает организацию работы предприятия таким образом, чтобы сотрудники не имели возможности совершать действия, могущие привести к утечке или потере корпоративных данных. Для достижения этой цели необходимо использовать современные методы персональной и корпоративной защиты, включая аппаратную защиту и защиту ПО, а также инструменты для контроля сотрудников.
Методы защиты корпоративной информации
- Физические средства защиты. Это ограничение доступа на предприятие для посторонних лиц, а также ограничение доступа сотрудников к отдельным помещениям в рамках их компетенции и должностных обязанностей.
- Базовые средства защиты электронной информации. В первую очередь это антивирусные программы, системы фильтрации для каналов коммуникации, решения для контроля сетевого и интернет трафика.
- Анти-DDoS. Это специализированный тип защиты, который исключает возможность DDoS атаки. Хакерская DDoS атака перегружает вычислительную систему, что приводит к нарушению ее работы или полному отказу.
- Резервное копирование. Архивация данных и составление плана восстановления после сбоя или хакерской атаки жизненно важны, так как позволяют оперативно вернуть компании работоспособность при утере или повреждении корпоративных сведений.
- Шифрование данных. Для этого применяются программные решения, которые передают данные внутри компании по зашифрованным каналам. Шифрование позволяет подтвердить подлинность источника и защитить данные, если они случайно или намеренно оказываются на открытых ресурсах.
- Контроль деятельности сотрудников. Это комплексные решения по мониторингу работы сотрудников (включая удаленных специалистов), которые позволяют в том числе идентифицировать несанкционированные действия.
По статистике, злоумышленники могут получить доступ к каждому десятому рабочему столу и только 17% компаний способны эффективно противостоять кибер-атакам. Также по данным СерчИнформ у 70% компаний нет эффективных инструментов контроля за работой удаленных сотрудников.
При этом, как уже было отмечено, в большинстве случаев угрозы информационной безопасности возникают именно по вине сотрудников, например – в рабочее время они занимаются интернет-серфингом, посещают опасные сайты с вредоносным ПО, передают корпоративные сведения в личной переписке в мессенджерах. Плюс намеренные сливы, которые невозможно отследить, если нет специального программного обеспечения.
Выводы
Создание условий для безопасного использования и передачи корпоративных данных достигается комплексным подходом – это целый перечень мер, от организации контрольно-пропускной системы до мониторинга действий сотрудников (включая мониторинг программ и сайтов, кейлоггеры и другие функции).
Краткий ликбез по информационной безопасности предприятия поможет лучше понять, какие методы защиты актуальны именно для вас, хотя вышеперечисленные принципы и средства обеспечения информационной безопасности для небольших компаний универсальны и могут быть рекомендованы любому предприятию.
Комментарии