Информационная безопасность: угрозы и инструменты защиты (В. Левашов, "Актуальная бухгалтерия", N 7, июль 2012 г.)

Информационная безопасность: угрозы и инструменты защиты

Для сохранности данных в компании важно иметь систему информационной безопасности. Мы рассмотрим некоторые способы ее обеспечения.

Систему информационной безопасности сегодня важно иметь в любой компании: будь то крупная корпорация или представители среднего и малого бизнеса. Если не уделять должного внимания обеспечению информационной безопасности в компании, можно как минимум потерять важные данные или "подарить" их конкурентам из-за собственной беспечности. Если речь идет о бухгалтерской и финансовой информации, которая может относиться к коммерческой тайне или персональным данным, ответственность за такую утечку будет уже юридической.

Угрозы сохранности корпоративной информации исходят не только от конкурентов или беспечных сотрудников. На сегодняшний день практически никакой бизнес не обходится без использования корпоративной почты и доступа в Интернет, где существует множество возможностей заразить рабочий компьютер вирусами. Вред для компании тут может быть не только в утечке информации. Вирус может временно вывести из строя оборудование (компьютер одного сотрудника или всю сеть), что будет означать простой и потерю денег.

В связи с вступлением в силу Федерального закона от 26 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) создание системы информационной безопасности стало насущным вопросом для всех отраслей и видов бизнеса: в любой компании работают люди, персональные данные которых необходимо защищать. Большая часть бухгалтерской и финансовой информации содержит данные о сотрудниках, представителях клиентов и поставщиков компании, которые надо защищать как персональные (и, кроме того, как коммерческую тайну). Одним из документов, созданных для подготовки к сертификации на соответствие Закону N 152-ФЗ, является разработанная модель угроз. В ней рассматриваются все возможные варианты нарушений, ведущих к утечке персональных данных. Именно на основе этой модели строится защита информации в компании.

Рассмотрим различные возможности обеспечения информационной безопасности в компании. Важно понимать, что наиболее эффективен комплексный подход к безопасности информации и одновременное использование различных инструментов защиты. Прежде всего в любой компании должны быть разработаны документы, регламентирующие работу с информацией. Важно информировать персонал о возможных угрозах и необходимых мерах безопасности. Ведь технические средства защиты не всегда могут спасти от человеческого фактора. Например, особое внимание стоит уделить вопросу использования различных интернет-ресурсов, скачиванию файлов, следованию по ссылкам в получаемых письмах, использованию цифровых носителей информации (флешек, дисков, плееров, карт памяти и т.д.). Все это может быть источником компьютерных вирусов и вредоносных программ.

Еще одним полезным инструментом может стать возможность разграничения доступа пользователей к различным программам и базам данных. Современные средства защиты позволяют осуществлять доступ к информации только после прохождения идентификации (пароли для входа в операционную систему, входа в программу или доступа к базе данных, редактирования данных и т.д.). Кроме того, пользователей можно разделить на категории, каждой из которых присваиваются различные права для работы в системе (программе): только чтение данных, редактирование данных, удаление, копирование, обработка и т.д.

Ограниченным можно сделать доступ в Интернет: для различных пользователей могут быть закрыты некоторые сайты, запрещены переход по подозрительным ссылкам или скачивание файлов, а также установка определенных программ (дополнительных браузеров, сервисов быстрого обмена сообщениями, таких как ICQ, Skype).

Важным источником угроз информационной безопасности являются файлы на цифровых носителях данных. Современные технологии позволяют ограничить возможность использования таких устройств. Например, на компьютерах пользователей может стоять запрет на использование любых карт памяти и съемных носителей информации, кроме специальных корпоративных запоминающих устройств. При этом можно настроить систему так, что любое копирование данных с рабочего компьютера на такое устройство фиксируется. Тогда в будущем при утечке информации можно будет установить, кто и когда ее скопировал. Кроме того, возможна защита определенных файлов от копирования или отправки по почте.

Использование антивирусов и периодическое сканирование компьютеров также поможет обезопасить информацию фирмы. Во многих офисах используются магнитные ключи (карточки) для входа и выхода в помещения компании. Эти же устройства можно запрограммировать для использования на печатном и другом цифровом оборудовании. Это полезно в ситуации, когда при отправке информации с компьютера пользователя на общий принтер сотруднику необходимо время, чтобы дойти до оборудования, на котором происходит распечатка его документов. Пока пользователь идет к принтеру, его бумаги могут по ошибке (или злому умыслу) забрать другие сотрудники. При использовании магнитного ключа файл пользователя не будет распечатан, пока он не поднесет к считывающему устройству на принтере специально запрограммированную карточку. Так исключается утечка распечатанной информации. А сведения обо всех распечатанных конкретным пользователем документах могут быть полезны службе безопасности при подобной утечке. Такие ключи могут использоваться для двухфакторной идентификации пользователей: когда для доступа к данным пользователю недостаточно ввести пароль на компьютере, но необходимо еще и вставить "ключ" (например, в виде специальной флешки или устройства для генерации одноразового пароля).

На случай ошибочного удаления или повреждения важной информации в любой компании должна быть установлена система резервного копирования. Она позволит восстановить потерянные данные, "отмотать" базы данных на несколько операций назад. А правильная внутренняя система управления позволит понять, на каком этапе работы с информацией произошла ошибка и кто из пользователей ее совершил.

Перечисленные инструменты информационной безопасности могут использоваться в любых отделах компании. Но особенно важно их применение в финансовом и бухгалтерском отделах, потому что, как уже было сказано выше, сотрудники этих отделов работают в основном с коммерческой или персональной информацией, защита которой для компании должна быть важнее всего. Все это можно реализовать на базе программных и аппаратных решений различных производителей антивирусного и защитного ПО и оборудования: диапазон цен и степени защиты на рынке на сегодняшний день огромен. Поэтому специалистам по безопасности нужно четко понимать, какие данные они хотят защищать, и исходя из этого выбирать правильные инструменты защиты.

Способы обеспечения информационной безопасности компании

Ограничение доступа пользователей           Введение магнитных ключей

к некоторым интернет-ресурсам (ICQ,         для доступа в помещение

Skype и др.)                                     компании

                            |     Способы     |

                            |   обеспечения   |

                          /--------------------\

                          |         ИБ         |

                          \--------------------/

            /---------------/        |       \------------\

                                    |                    

Ограничение использования            |           Установка системы

цифровых носителей данных            |           резервного копирования

                         Использование антивирусов

В. Левашов,

руководитель отдела информационных технологий аутсорсингового

подразделения компании BDO

"Актуальная бухгалтерия", N 7, июль 2012 г.