Оригинал: InfoWatch - Контроль и защита информации от внутренних угроз   (PDF - 1,87 Мб)
Назад в библиотеку

Контроль и защита информации от внутренних угроз

          

Защита конфиденциальности

          Для человека умение хранить секреты — одно из самых ценных качеств. Для компании в той же мере критична способность охранять корпоративные тайны. А в масштабе общества сохранность данных равноценна глобальной безопасности. Информация имеет неограниченную ценность — именно поэтому каждый этап ее использования требует самой тщательной защиты.

          Опасности информационных систем сродни айсбергу. Его вершина — внешние угрозы: вирусы, хакерские атаки и спам, защита от которых реализована почти на каждом предприятии. Однако под водой остается невидимая часть — внутренние угрозы: саботаж, хищение данных, неосторожные действия сотрудников.

          Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации, допущенной внутри компании.

          

Информация и риск

          От 70 до 80% потерь от преступлений в сфере ИТ приходится на атаки изнутри. При этом топ-менеджеры компаний очень часто недооценивают ущерб, который может быть нанесен бизнесу их собственными сотрудниками.

          Для того, чтобы построить эффективную систему информационной безопасности, необходимы три вещи: четкое представление о том, что нуждается в защите, осведомленность о соответствующих угрозах и способность их предотвратить.

          Если ранее злоумышленники атаковали в большей степени малые и средние плохо защищенные компании, то теперь в поле их внимания крупные организации, владеющие огромными информационными базами. Мелких грабителей сменили профессионалы, чья цель — информация. Они используют уязвимости иного рода — не бреши в технологиях, а слабые места в бизнес-процессах.

          До сих пор системы ИТ-безопасности были похожи на глухие крепостные стены с пристально охраняемыми входами. Но в нынешних условиях такая защита недостаточна — враг сменил тактику. Для того, чтобы оставаться защищенной, компания должна быть прозрачной — так, чтобы ни один процесс не оставался за рамками мониторинга и контроля.

          Корпоративные скандалы и массовые утечки информации приводят к внедрению новых законодательных норм и правил, и руководство компаний вынуждено следить за соответствием многочисленным национальным и международным правовым актам. (Стандарт Банка России по IT-безопасности, Соглашение Basel II, ФЗ «О персональных данных», Базовый уровень безопасности операторов связи, закон SOX (Sarbanes-Oxley Act of 2002) и др.) Тенденция прослеживается очень четко — если компания не предпринимает необходимых действий для обеспечения безопасности информации своих заказчиков, то результатом может стать потеря доверия, подрыв репутации, снижение стоимости акций, штрафы, и, возможно, уголовная ответственность для ответственных руководящих лиц.

          Организации, выполняющие все действия для того, чтобы соответствовать нормам, имеют весомое преимущество перед инвесторами. Информационная безопасность вышла за рамки процесса управления рисками, теперь она имеет статус фундаментального элемента ведения бизнеса.

          Количество внутренних атак в компаниях различных сфер бизнеса на сегодняшний день превышает количество внешних. Причем рост количества внутренних атак за последний год более чем двукратный: с 14% от общего количества нарушений информационной безопасности в прошлом году до 35% в нынешнем.

          Количество внутренних атак в компаниях различных сфер бизнеса на сегодняшний день превышает количество внешних. Причем рост количества внутренних атак за последний год более чем двукратный: с 14% от общего количества нарушений информационной безопасности в прошлом году до 35% в нынешнем.

          Внутренние атаки на информационные системы приносят огромный ущерб, и не только финансовый — утечка конфиденциальных данных это серьезный удар по репутации компании. Технически утечка может произойти по нескольким каналам: через почтовый сервер — с помощью электронной почты, через прокси-сервер — при использовании открытых почтовых систем, через принтер  — при физической печати документов, и через мобильные накопители различного рода — дискеты, CD-диски, переносные устройства с флэш-памятью и встроенным жестким диском.

          Угрозы со стороны собственного персонала нельзя предотвратить полностью, но ими можно управлять и свести к минимуму. При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным.

          Защита каждой отдельно взятой рабочей станции и информационной системы в целом должна строиться на двух принципах: первый — отключение сервисов, избыточных для пользователя, и второй — постоянный мониторинг ситуации в активных сервисах. Соблюдение баланса между этими принципами — постоянный компромисс, но только так можно создать прозрачную и гибкую систему безопасности, одинаково эффективно защищающую от внешних и внутренних угроз.



Оригинал: InfoWatch - Контроль и защита информации от внутренних угроз   (PDF - 1,87 Мб)
Назад в библиотеку