По мнению руководителя российского офиса CA, система управления безопасностью должна строиться в соответствии с набором рисков, уникальных для каждого конкретного предприятия
Накопленная предприятиями информация приобретает все большую ценность, но сохранить ее значительно сложнее, чем материальные ресурсы. О том, как это сделать, обозреватель Computerworld Россия Валерий Коржов беседовал с Василем Барзаковым, главой представительства CA в России и СНГ.
Могут ли информационные технологии минимизировать влияние персонала на сохранность конфиденциальных данных?
Первоочередная задача — обеспечить правильных людей правильной информацией. Средства управления идентификацией и доступом автоматизируют защиту от «любознательных» пользователей, которые пытаются получить доступ к той информации, которая им не нужна для работы. Такие пользователи — проблема любой большой компании. Особенно с учетом того, что в некоторых организациях, например, один пароль администратора дается сразу нескольким пользователям. Это очень странно, но 80% компаний предоставляют административные пароли от всех информационных систем всем системным администраторам, и любой из них может по незнанию, случайно или даже намеренно полностью изменить всю систему. В таких условиях нельзя говорить ни о безопасности организации, ни о защите частной жизни самих сотрудников. CA совместно с партнерами помогает построить такую систему управления правами доступа, в которой не нужны будут «общие административные пароли». Наши решения позволяют автоматизировать процесс наделения полномочиями и их отзыв, управляя доступом к конфиденциальной информации и автоматически уменьшая риск ее разглашения. Поэтому пользователи получают доступ только к тем данным, которые необходимы им для работы.
Кроме того, одним из важных инструментов обеспечения безопасности является постоянный контроль администратора за правами доступа пользователей, а также ведение журнала операций, в котором отражены сведения об изменениях в базе данных и о сотруднике, который эти изменения внес.
Что предоставляет клиентам CA — только технологии?
В компании понимают безопасность как процесс, позволяющий управлять рисками, сводя их к минимуму. Причем данный процесс тесно связан с бизнесом заказчика. В каждой организации есть свой характерный набор рисков, и, следовательно, система управления безопасностью должна быть уникальной. Мы помогаем нашим клиентам оценить эти риски и создать среду для их минимизации. Однако для начала заказчик должен определить, какая информация является для него критически важной и в чем заключается его интеллектуальная собственность. На основании этих сведений мы предлагаем различные методы защиты данных, которые позволяют исключить возможность передачи конфиденциальной информации конкурентам собственными сотрудниками. Сегодня компаниям необходимо использовать проактивные технологии и проводить постоянную внешнюю проверку состояния системы защиты. Эти задачи решаются путем применения комплексного подхода к обеспечению безопасности.
Как построить эффективную систему контроля сообщений, чтобы она не противоречила законодательным нормам и стандартам?
Законодательные нормы и стандарты в каждой стране свои. По собственному опыту работы в Европе я знаю случаи, когда сотрудники через корпоративную почту пересылали информацию конкурентам, и их компаниям удавалось получить полную компенсацию ущерба от такой утечки. Компании, которые столкнулись с данной проблемой, понимают необходимость мониторинга почтовых сообщений. Однако в некоторых странах, скажем, в Австрии, сотрудник в значительной степени защищен от такого мониторинга, и компании ничего не остается, как максимально закрывать информацию от своих служащих.
Васил Барзаков: «Важно, чтобы сотрудник четко осознавал степень своей ответственности за сохранение интеллектуальной собственности компании и за работоспособность ее информационной системы» |
В России государственное регулирование в области информационной безопасности только зарождается, а российская версия международного стандарта ISO 17799 находится в стадии разработки. Действующие законодательные нормы относятся в основном к области обеспечения защиты от утечки клиентских данных, а требования по большей части касаются того, как эти данные контролировать.
Впрочем, вне зависимости от того, насколько широко эти требования распространены, главное, чтобы их соблюдение способствовало обеспечению защиты информации и сохранности тайны личной жизни. В этом вопросе компаниям приходится искать баланс между требованиями стандартов и собственными потребностями.
Многие годы под влиянием Internet формировалась система распространения информации copy-paste, и теперь компаниям приходится думать, как защитить свою интеллектуальную собственность в целом и данные каждого сотрудника в отдельности. Я считаю, в СМИ должны вестись дискуссии на тему информационной безопасности, что позволит сформировать у сотрудников более четкое понимание законодательного регулирования в этой сфере и предъявляемых к ним требований по контролю за распространением информации. Важно, чтобы сотрудник четко осознавал степень своей ответственности за сохранение интеллектуальной собственности компании и за работоспособность ее информационной системы. Сотрудник должен чувствовать себя частью коллектива, понимать, что хорошо и что плохо для бизнеса компании, и нести персональную ответственность за соблюдение стандартов безопасности.
Как определить, какую информацию нужно защищать от утечек?
Это многоступенчатый процесс. Прежде всего, компания должна создать службу информационной безопасности или нанять сотрудника, который бы отвечал за этот аспект. Следующий шаг — разработка политики безопасности, которая фиксируется в соответствующем документе и доводится до сведения всех сотрудников, например, с помощью внутреннего сайта. Однако практика показывает, что документ, зачастую занимающий сотни страниц, скорее всего, вряд ли кто-нибудь из сотрудников прочтет до конца и будет соблюдать.
Чтобы политика безопасности действительно соблюдалась, она должна быть интегрирована в бизнес-процессы компании. После этого, основываясь на конкурентных преимуществах организации, можно определить, какая информация действительно является интеллектуальной собственностью. Затем устанавливаются уровни конфиденциальности информации и создается система доступа, наделяющая сотрудников правами в соответствии с этими уровнями.
Например, если какая-то бухгалтерская информация классифицирована как конфиденциальная, то доступ к ней для обеспечения контроля может получить только главный бухгалтер. Существующая же сегодня практика, когда любой бухгалтер, внесенный в базу Active Directory, имеет полный доступ ко всем финансовым данным, не гарантирует вам полной безопасности.
Итак, для сохранения важных для компании данных требуется: технологическая основа, поддержка с точки зрения бизнес-процессов, политика в области информационной безопасности и персонал, который следил бы за ее выполнением.
Какие компании в России готовы к внедрению системы управления конфиденциальной информацией?
По своему опыту скажу, что к внедрению такой системы потенциально готовы все компании. Просто этот процесс нужно проводить постепенно, в несколько этапов. Кроме того, готовность организации зависит от ее размеров и типа бизнеса. Так, инженерная компания, которая занимается разработкой новых продуктов и получает на это инвестиции, должна позаботиться о защите своей интеллектуальной собственности, чтобы в дальнейшем ее продукты не потеряли ценность. Различные типы бизнеса по-разному зависят от информации, и поэтому защита каждый раз должна строиться индивидуально. Тем не менее сегодня большинство мировых компаний уже накопило массивы данных в электронной форме, которые требуются защищать от разглашения. Таких компаний становится все больше и в России.