`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Если защита, то комплексная

+44
голоса

Информация давно стала одной из движущих сил развития любой компании, а ее охрана — «ахиллесовой пятой». В последнее время учащаются различные сетевые атаки, множатся утечки данных, создается все большее количество «троянцев»... Существуют различные способы оценивания информации и адекватности или даже оправданности мер по ее защите. Но уж если вам действительно есть что защищать, то стоит отнестись к этому вопросу со всей серьезностью.

Выход важной информации за пределы компании нередко грозит большим ущербом — финансовым или репутационным. Достаточно вспомнить едва ли не хрестоматийный пример, когда бывший сотрудник Apple «сливал» конфиденциальную информацию партнерам в Сингапуре, в результате чего убыток составил 2,3 млн долл. Это инсайдерский пример, но угрозы также могут быть следствием взлома корпоративной сети, заражения вирусами, перехвата данных. Причем, подобные неприятности случаются даже с теми, кто профессионально занимается безопасностью — только за пару последних лет мы слышали об утечке исходного кода антивирусов, незаконном выпуске SSL-сертификатов и пр.

По-видимому, стоит принять за аксиому, что благополучие любой компании, обладающей нетривиальной интеллектуальной собственностью, во многом определяется именно степенью ее защищенности от внешнего вмешательства, надлежащий уровень которой поможет обеспечить комплексная система защиты информации (КСЗИ).

Что же такое КСЗИ?

Комплексная система защиты информации — название внушительное и серьезное, суть такой системы заключается в том, что она является своеобразным «щитом» для компании и сможет предохранить от несанкционированного доступа к информации, от внедрения специальных электронных устройств и вирусных программ, от утечки данных по техническим каналам, а также от многих других рисков и угроз.

КСЗИ разрабатывается для каждого конкретного случая, с учетом особенностей и финансовых возможностей заказчика, а перед ее внедрением проводится точнейший анализ того, какие подразделения нуждаются в усиленной защите. Не зря система называется комплексной — ведь она должна охватить целый ряд задач и учесть все особенности конкретного предприятия. В последнее время компании все больше интересуются КСЗИ, причем этот спрос рождается вовсе не предложением, а реальными угрозами и участившимися атаками. Но, к сожалению, многие задумываются об установке КСЗИ слишком поздно.

Для чего нужны комплексные системы защиты информации?

«Секрет фирмы» — выражение, которое уже стало крылатым. Согласитесь, в каждой компании действительно существует своя ценная информация. В эпоху высоких технологий за свой «секрет фирмы», к сожалению, в буквальном смысле приходится бороться. Особенно, если компания занимается предоставлением информационных услуг или разработкой программного обеспечения. Поэтому, крупные предприятия должны быть оборудованы максимальной системой безопасности. И лучше подходить к решению этого вопроса комплексно, в точности изучив и проанализировав слабые места и возможные риски. Зачастую собственные отделы безопасности компании не могут обеспечить стопроцентную защиту. Тогда лучше доверить эти вопросы профессионалам, ведь даже самая лучшая техника в руках дилетанта превращается в бесполезную груду металла.

Однако защиту информации нужно еще и правильно организовать — выработать индивидуальную концепцию, чтобы потраченные усилия и финансовые затраты не пропали зря. Ведь каждый случай уникален.

КСЗИ сгодятся всюду

Некоторые компании вообще не уделяют должного внимания информационной безопасности. Стоит ли потом удивляться, откуда конкурент узнал цену, предназначенную для тендера, и предложил более выгодные условия, а контракт буквально ушел из под носа; как «утекла» технология производства, и почему массово переманивают ваших клиентов. Неприятным сюрпризом может стать потеря данных на внезапно отформатированных жестких дисках и неработающий сайт, подвергшийся DoS-атакe. В борьбе с вами соперники в бизнесе или недоброжелатели могут использовать самое высокотехнологичное специальное оборудование — всевозможные бинокли, прослушивающие устройства и маяки, инфракрасные системы и приборы ночного видения, а также — проводить информационно-психологическое воздействие и дезинформацию. Это все напоминает фильм про агента «007». Но, увы, это не выдумки, а реальность борьбы за секретные данные. Когда на чаше весов находится важная информация, от которой зависит успех компании, не стоит дожидаться, пока грянет гром. Потому что в какой-то момент даже служба безопасности может оказаться бессильной, а владельцам придется долго искать виновных и ломать голову, откуда же произошла утечка?

Можно подумать, что КСЗИ нужны только для ИТ-компаний и крупных предприятий. Но это не совсем верно. Например, шеф-повару ресторана вполне может пригодиться система защиты информации — оригинальные рецепты, поставщики продукции, расчеты стоимости блюд также представляют немалую ценность. Это говорит о том, что на каждую профессиональную тайну, если она способна принести прибыль, всегда найдутся желающие ее раскрыть. Не стоит также сбрасывать со счетов и шантаж.

Поэтому, к примеру, банковские структуры никогда не экономят на безопасности. Ведь речь идет об огромных денежных операциях и, в случае взлома или утечки данных, потери могут быть слишком высоки. Если же вернуться к компаниям, занимающимся программным обеспечением, то угрозы могут исходить из самых неожиданных мест. Информация буквально идет по проводам, а за территорией предприятия они превращаются в легкодоступный источник утечки. В этом случае лучше изолировать физические выходы, что и будет учтено при проектировании системы безопасности.

Внедряем КСЗИ

Многих интересует, как проходит построение комплексной защиты информации? Для начала стоит понять, для чего будет предназначена будущая КСЗИ, ведь какие-то стандартные функции могут оказаться лишними и бесполезными в каждом конкретном случае. Для этого проводится точный анализ состояния безопасности на текущий момент и выявляются возможные виды угроз, далее разрабатывается техническая документация и уже потом следует проектирование индивидуальной системы. И лишь когда КСЗИ будет запущена и успешно протестирована, компания сможет не беспокоиться — ее «секрет фирмы» будет под надежной защитой.

Конечно, какие-то риски остаются всегда — к примеру невозможно полностью исключить человеческий фактор, ошибку или намеренное действие. Всего не предугадаешь, хотя с чисто технической стороны противодействовать можно любой угрозе. Поэтому комплексная система защиты информации старается взять на вооружение все сколько-нибудь полезные средства.

Скупой платит дважды

Руководствуясь этой поговоркой, лучше заранее позаботиться об обеспечении безопасности своего бизнеса от возможных неприятностей. КСЗИ не дешевы, но, напомним, речь идет о целом комплексе организационно-технических средств. В качестве отправной точки в таблице приведены цены от компании Uh.ua, которая, среди прочего, специализируется на построении КСЗИ в соответствии с нормативной базой Украины в области защиты информации.

Автоматизированные системы (АС), которые предлагает Uh.ua, бывают трех видов.

АС класса 1 представляет собой однокомпьютерный многопользовательский комплекс, не имеющий подключения к локальной сети предприятия и Интернету. Он, как правило, используется для обработки информации с грифами «Для служебного пользования» и «Секретно».

АС класса 2 — это уже многокомпьютерный многопользовательский комплекс, объединенный в локальную сеть, но также с отсутствием выхода в Интернет. Такая АС используется обычно для обработки конфиденциальной, служебной, тайной информации.

АС класса 3 отличается от предыдущей только наличием доступа к Интернету. В ней, как правило, работают как с закрытой, так и с общедоступной информацией.

Сравнительная характеристика систем этих трех типов представлена в следующей таблице:

Система

Что входит

Стоимость

Срок выполнения работ

АС-1

ПК в защищенном исполнении с комплектом дополнительного ПО: антивирус, средства разграничения доступа и т. д., который находится в специальной, оборудованной для этого комнате

- разработка документации — 24 000 грн;

- защищенный компьютер — 16 000 грн;

- ПО (включая установку и настройку) — 16 000 грн;

- стоимость выполнения инженерно-технических работ

2-4 мес. + 2-3 мес. — государственная экспертиза

АС-2

Сеть ПК не в защищенном исполнении и серверов, управляемый коммутатор, аппаратный (либо программный) брандмауэр, комплект дополнительного ПО (антивирус, средства разграничения доступа и т. д.), комплекс средств технической и/или криптографической защиты информации (если необходимо)

 

- аудит — от 16 000 грн;

- разработка документации — от 40 000 грн);

- ПО (включая установку и настройку) — 16 000 грн;

- обучение пользователей системы (если необходимо) — от 3 200 грн/чел.;

- стоимость выполнения инженерно-технических работ

3-5 мес. + 3-6 мес. — государственная экспертиза

АС-3

Ряд управляемых коммутаторов, маршрутизаторов, система обнаружения атак, аппаратный (либо программный) брандмауэр, комплект дополнительного ПО (антивирус, средства разграничения доступа и т. д.), комплекс средств технической и/или криптографической защиты информации (если необходимо)

 

- аудит — от 16 000 грн;

- разработка документации —от 64 000 грн;

- приведение информационной инфраструктуры заказчика в соответствие с «Техническим проектом на построение КСЗИ» (стоимость варьируется; ввиду возможного большого спектра выполнения работ существует большая вероятность подключения к его выполнению подрядчиков);

- стоимость выполнения инженерно-технических работ (зависит от «Технического проекта на построение КСЗИ»);

- ПО (включая установку и настройку) — от 32 000 грн;

- обучение пользователей системы (если необходимо) — от 3 200 грн/чел.

4-8 мес. + 4-6 мес. — государственная экспертиза

 

+44
голоса

Напечатать Отправить другу

Читайте также

Как обзорная о КСЗИ - вполне)
А вот цены (АС-3), боюсь, не учитывают многих нюансов и масштабов. Понятно, что в каждом конкретном случаи цены будут, по идее, не ниже? :)

Тут еще важно отметить, что перед тем как защищать надо провести оценку стоимости информации, что не произошло так, что защита стоит больше защищаемого объекта...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT