01.07.2012

Информационная безопасность: угрозы и инструменты защиты

Для сохранности данных в компании важно иметь систему информационной безопасности. Мы рассмотрим некоторые способы ее обеспечения.

Систему информационной безопасности нужно иметь в любой компании: будь то крупная корпорация или представители среднего и малого бизнеса. Если не уделять должного внимания обеспечению информационной безопасности в компании, можно как минимум потерять важные данные или «подарить» их конкурентам из-за собственной беспечности. Если речь идет о бухгалтерской и финансовой информации, которая может относиться к коммерческой тайне или персональным данным, ответственность за такую утечку будет уже юридической.

Угрозы сохранности корпоративной информации исходят не только от конкурентов или беспечных сотрудников. Практически никакой бизнес не обходится без использования корпоративной почты и доступа в Интернет, где существует множество возможностей заразить рабочий компьютер вирусами. Вред для компании тут может быть не только в утечке информации. Вирус может временно вывести из строя оборудование (компьютер одного сотрудника или всю сеть), что будет означать простой и потерю денег.

В связи с вступлением в силу Федерального закона от 26 июля 2006 года N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) создание системы информационной безопасности стало насущным вопросом для всех отраслей и видов бизнеса: в любой компании работают люди, персональные данные которых необходимо защищать. Большая часть бухгалтерской и финансовой информации содержит данные о сотрудниках, представителях клиентов и поставщиков компании, которые надо защищать как персональные (и как коммерческую тайну). Один из документов для подготовки к сертификации на соответствие Закону N 152-ФЗ - разработанная модель угроз. В ней рассматриваются все возможные виды нарушений, ведущих к утечке персональных данных. На основе этой модели строится защита информации в компании.

Наиболее эффективен комплексный подход к безопасности информации с одновременным использованием нескольких инструментов защиты. В любой компании должны быть разработаны документы, регламентирующие работу с информацией. Важно информировать персонал о возможных угрозах и необходимых мерах безопасности. Ведь технические средства защиты не всегда могут спасти от человеческого фактора. Например, особое внимание стоит уделить вопросу использования различных интернет-ресурсов, скачиванию файлов, следованию по ссылкам в получаемых письмах, использованию цифровых носителей информации (флешек, дисков, плееров, карт памяти и т.д.). Все это может быть источником компьютерных вирусов и вредоносных программ.

Полезный инструмент — разграничение доступа пользователей к программам и базам данных. Средства защиты позволяют осуществлять доступ к информации только после прохождения идентификации (пароли для входа в операционную систему, входа в программу или доступа к базе данных, редактирования данных и т.д.). Пользователей делят на группы, каждой из которых присваиваются свои права для работы в системе (программе): только чтение данных, редактирование данных, удаление, копирование, обработка и т.д.

 Ограниченным можно сделать доступ в Интернет: для отдельных групп закрыты некоторые сайты, запрещены переходы по подозрительным ссылкам или скачивание файлов, установка программ (дополнительных браузеров, сервисов быстрого обмена сообщениями, вроде ICQ, Skype).

Важный источник угроз информационной безопасности — файлы на цифровых носителях данных. Технологии позволяют ограничить использование таких устройств. Например, на компьютерах пользователей ставят запрет на обращение к картам памяти и съемным носителям информации, кроме корпоративных запоминающих устройств. Систему настраивают так, что любое копирование данных с рабочего компьютера фиксируется. Тогда в будущем при утечке информации легко установить, кто и когда ее скопировал. Возможна защита файлов от копирования или отправки по почте.

Антивирусы и периодическое сканирование компьютеров также обезопасит информацию фирмы. Во многих офисах есть магнитные ключи (карточки) для входа и выхода в помещения компании. Эти же устройства можно запрограммировать для печатного и другого цифрового оборудования. Это полезно в ситуации, когда при отправке информации с компьютера пользователя на общий принтер сотруднику необходимо время, чтобы дойти до оборудования, на котором распечатывают его документы. Пока пользователь идет к принтеру, его бумаги могут по ошибке (или злому умыслу) забрать другие сотрудники. При использовании магнитного ключа файл пользователя не будет распечатан, пока он не поднесет к считывателю на принтере специально запрограммированную карточку – так исключается утечка распечатанной информации. А сведения обо всех распечатанных конкретным пользователем документах могут быть полезны службе безопасности при подобной утечке. Такие ключи могут использоваться для двухфакторной идентификации пользователей: когда для доступа к данным пользователю недостаточно ввести пароль на компьютере, но необходимо еще и вставить «ключ» (например, в виде специальной флешки или устройства для генерации одноразового пароля).

На случай ошибочного удаления или повреждения важной информации в любой компании должна быть установлена система резервного копирования. Так удастся восстановить потерянные данные, «отмотать» базы данных на несколько операций назад. А правильная схема управления позволит понять, на каком этапе работы с информацией произошла ошибка и кто из пользователей ее совершил.

Перечисленные инструменты информационной безопасности могут использоваться в любых отделах компании. Но особенно важно их внедрение в финансовом и бухгалтерском отделах, потому что сотрудники этих отделов работают в основном с коммерческой или персональной информацией, защита которой для компании должна быть важнее всего. Это можно внедрить на базе программных и аппаратных решений производителей антивирусного и защитного ПО и оборудования: диапазон цен и степени защиты на рынке огромен. Поэтому специалистам по безопасности нужно четко понимать, какие данные они хотят защищать, и исходя из этого выбирать правильные инструменты защиты.

Автор: Владимир  Левашов, руководитель отдела информационных технологий BDO Unicon Outsourcing

Полную версию статьи вы можете прочитать в журнале "Актуальная бухгалтерия", N 7, июль 2012 г.
  1. Информационная безопасность: угрозы и инструменты защиты