Cum de a proteja sistemul de informații
- Cum să vă protejați compania de scurgeri de informații din bazele de date;
- Este posibil pentru a proteja sistemul de eșecuri;
- Cum de a testa sistemul de securitate a informațiilor companiei.
- Ca o asigurare „Avesta“ de grup pentru a proteja baza, are mai mult de 100 de mii de clienți;
- De ce în „Intalev“ sunt jurnalele de activitate utilizator;
- Un exemplu care vă va permite de calcul pentru a determina dacă pentru a pune echipamentul de rezervă pentru a proteja informațiile de care aveți nevoie;
- Ce probleme se pot confrunta cu directorul general.
- pierderea de date;
- divulgarea informațiilor confidențiale;
- defectarea sistemelor de informații, ceea ce elimină posibilitatea de a lucra cu clientii;
- crește deasupra capului.
Această problemă apare, în primul rând, din cauza mass-media deteriorate (hard disk-uri, CD-uri și așa mai departe. P.), și al doilea, din cauza virușilor care aparțin unui computer sau o rețea. O altă pierdere de date motiv - hackeri.
Cum de a preveni. Pentru a face acest lucru:
Cum de a apăra întreprindere mare
Informațiile nu mai sunt relevante, este arhivarea adecvată. Conservarea de materiale de arhivă, de asemenea, ar trebui să fie verificate periodic.
Tehnologia de conectare la Internet prin Wi-Fi (de obicei, funcționează în restaurante și baruri), - amenințare potențială pentru compania noastră. Orice astfel de conexiune poate provoca un atac de hacker, cu pierderea consecutivă a datelor sau a scurgerilor de informatii. Pentru a evita acest lucru, este necesar să se dezvolte regulile companiei pentru utilizarea tehnologiei Wi-Fi.
Dezvăluirea de informații confidențiale
Abordări de securitate în România și în Occident
În România, preferă să investească în securitate, în Occident - pentru a asigura riscurile. Cu alte cuvinte, în România, au tendința de a cumpăra un server pentru backup, și SUA - pentru a asigura serverul de lucru de la pierderi de date. Cu toate acestea, soluția optimă se află undeva la mijloc. Dacă nu vă poate furniza informații de securitate sută la sută, este logic să investească în dezvoltarea infrastructurii de securitate, ca parte a riscului - pentru a asigura.
Se întâmplă că angajații transferate către terți (de obicei concurenți) disponibile la întreprindere informațiile critice: .. Informații privind volumele de vânzări, baza de clienți etc. Dezvăluirea de informații confidențiale este posibilă și în cadrul companiei (de exemplu, remunerarea, salariile, planurile de restructurare și r. n.) (*).
Cum de a preveni. Cel mai bine este de a restricționa accesul la informații. Personalul va fi disponibil doar la datele necesare pentru locul de muncă. De exemplu, un manager de vânzări poate lucra cu informații numai despre clienții lor. O astfel de organizare a activității personalului în cazul în care divulgarea informațiilor vă permite să determine rapid sursa de scurgere și pentru a minimiza pierderile.
Pentru a proteja cele mai importante informații puteți folosi o metodă cum ar fi criptarea datelor. În acest caz, din afară, chiar și obținerea accesului la informații confidențiale, nu vor putea să-l vadă.
CEO-ul spune
Problema protecției împotriva costurilor de scurgere de informații în compania noastră, în primul rând. Faptul că baza noastră de date conține informații despre mai mult de 100 de mii de persoane asigurate. Desigur, pierderea acestor date nu va duce la prăbușirea afacerii, dar de dezvoltare a companiei se va opri.
Evgeniy Grihanov | CIO al companiei Relogix, București
Folosirea mediilor externe de stocare (dischete, CD inscriptibil, memorii flash USB) de multe ori duce la divulgarea de informații sensibile.
La începutul carierei sale profesionale, care lucrează ca inginer la datorie în editura „Kommersant“, de multe ori m-am confruntat cu faptul că lipsa de unități floppy pe computere și scriitori CD forțat jurnaliști să aplice în IT-Service, cu o cerere de a trimite unul sau celălalt material. Nu putem spune că a fost o protecție ideală și garantată împotriva scurgerilor de informații, dar, ca orice acțiune de inginer său datoria este conectat, puteți găsi întotdeauna cine și când informațiile copiate.
Cum de a proteja datele CFO
Notebook-ul a fost criptat zona de CFO, pe care a deschis cu o parolă. Când a folosit laptop-ul într-o cafenea sau restaurant (în zona de acoperire Wi-Fi), el a citit e-mail, transferat fișierele din zona criptat, și apoi deconectat de la rețea. Chiar dacă directorul financiar furat laptop-ul, apoi citiți hoții de informații sunt puțin probabile. În acest sistem există doar un singur dezavantaj - parola. Dacă vii cu o simplă combinație sau nu să-l schimbe, putem nega astfel de metode de protecție. Cale de ieșire - pentru a utiliza împreună cu o parolă de chei electronice.
Este important să se acorde o atenție la parolele: acestea ar trebui să fie schimbate la intervale regulate. Foarte des, utilizatorii scris parolele pe hârtie, care este stocată în tabelul sau folosind combinația cea mai simplă. Astfel, un străin care dorește să obțină acces în scopul copierii informațiilor, aproape nici un obstacol (a se vedea studiul de caz :. Cum de a proteja CFO datelor).
Dmitry Burlakov | Șef al Departamentului de dezvoltare software de consultanță și firma de promovare „Intalev“, București
Pentru a reduce riscul apariției unor informații deținute periodic curățarea hard disk-uri și căsuța poștală.
Defectarea sistemelor informatice
Perturbarea sistemelor de informații pot fi cauzate de:- defectarea echipamentelor sau a software-ului;
- defectarea rețelei de transmitere a datelor;
- sisteme de informații virus software-ul înfrângerea.
Evgeniy Grihanov | CIO al companiei Relogix, București
Este necesar să se înțeleagă ceea ce ar trebui să fie disponibil sistemul tot timpul, ceea ce este acceptabil pentru o anumită perioadă de recuperare (de două până la șase ore, a doua zi, și așa mai departe. D.). Pe baza acestor informații este necesară pentru a determina necesitatea unor echipamente de rezervă. Este important ca procedurile testate in mod curent in practica cu personalul IT. Acest lucru ar trebui să fie făcut în timpul companie off-ore. Aceste măsuri vor ajuta fără a cheltui bani în plus pentru a restabili performanțele cu precizie și rapid și pentru a minimiza timpii morți.
Dmitry Burlakov | Șef al Departamentului de dezvoltare software de consultanță și firma de promovare „Intalev“, București
Din moment ce compania noastra nu este foarte mare, blocarea sistemului nu implică în mod normal, pierderea a milioane de oameni. Cu toate acestea, noi deținem următoarele activități:
- copia date de zi cu zi;
- Noi facem backup complet pe săptămână, care este stocat în afara amplasamentului;
- actualizarea în mod constant sistemul nostru de informații de presă.
Nu este utilizarea mai puțin frecventă a accesului personalului la internet în scopuri personale, de exemplu, pentru a descărca volume mari de informații. Acest lucru poate afecta negativ bugetul companiei.
acţiunile necesare
Pentru a vă proteja informațiile, care este deținută de taxa compania dvs. CIO determina gama de măsuri necesare. Acestea pot fi împărțite în o singură dată și recurente. Nu este cel mai mic rol în asigurarea securității informațiilor joacă resurse.
activități One-time includ achiziționarea și instalarea de software anti-virus, de backup hardware, criptarea datelor înseamnă pentru directorii executivi, programe pentru asigurarea accesului la informație. În plus, este necesar să se evidențieze în IT angajat-departament sau departamentul care va fi responsabil pentru performanța sistemelor și a garantat eliminarea eșecurilor în timp pentru a minimiza pierderea de afaceri. Pentru diferitele sisteme de importanța termenelor și a priorităților diferă de depanare.
Audit de securitate informatională al Companiei. Această verificare este mai bine să facă cel puțin o dată pe an.
Verificarea de recuperare de backup și a sistemului în caz de abilități eșecuri. Ar trebui să dezactivați serverele de întreprindere și evaluarea de bază dacă angajații să lucreze eficient, folosind echipamente de rezervă și sisteme informatice. Conform rezultatelor aveți nevoie pentru a face o listă de probleme care trebuie rezolvate înainte de următoarea inspecție. Evenimentul ar trebui să se facă cel puțin o dată pe trimestru.
Activitățile de instruire cu participarea angajaților IT-departament, precum și alți angajați cu acces la informație.
Evgeniy Grihanov | CIO al companiei Relogix, București
În cazul în care societatea este mare, de securitate este de dorit să se facă domeniul de aplicare al serviciilor IT. Astfel, IT-serviciu nu este un partener strategic pentru afaceri de securitate, și interpret. La rândul său, serviciul care se ocupă cu securitatea în cadrul companiei, va deveni un partener strategic și de control.
În companiile mici, este rezonabil să se utilizeze serviciile organizațiilor terțe părți care sunt independente de interese interne și pot construi profesional o întreprindere de securitate a informațiilor eficiente. Cel mai bine este să împartă responsabilitatea între societățile de punere în aplicare de securitate a informațiilor, și acele audituri.
Resurse umane. Factorul uman joacă un rol important în sistemul de măsuri de protecție a informațiilor. Nu trebuie doar pentru a ridica un personal calificat, dar, de asemenea, să creeze stimulente pentru funcționarea efectivă a acestuia. Cel mai corect mod - să elaboreze criterii clare pentru acordarea IT-specialiști, legate de performanța sistemelor de informare și satisfacția angajaților cu activitatea altor unități ale IT-personal.
CEO-ul spune
Sergey Safronov | Directorul general al grupului de asigurări „Avesta“, București
Rolul principal al securității informațiilor nu joacă mașini, ci oameni. Atunci când angajații de angajare trebuie să fie notificat că datele pe care le au la locul de muncă, - dreptul de proprietate a companiilor și de scurgere a acestora va atrage după sine pedepsirea agresorului, inclusiv concedierea. În cazul în care sclavul va demisiona, este important să se facă tot ce este posibil, astfel încât informațiile nu a mers împreună cu ea. Și cel mai bun pentru a contribui la locul de muncă în cadrul companiei, este, de exemplu, partenerul tau de afaceri.
Dmitry Burlakov | Șef al Departamentului de dezvoltare software de consultanță și firma de promovare „Intalev“, București
În plus față de protecția tehnică a informațiilor, folosim măsuri administrative. În special, în plus față de contractele de muncă cu angajații unui acord de confidențialitate. Acest document este semnat de către fiecare angajat.
În concluzie, observăm că procesul de securitate - nu este un eveniment. Numai cu munca sistematică, puteți fi sigur că informații importante, care este deținută de companie, este sigur.
Cum pentru a determina dacă aveți nevoie pentru a proteja informațiile
compania DataArt dezvoltă software personalizat pentru instituțiile financiare, telecomunicații și companii media. Este specializată în aplicații de Internet, baze de date corporative și instrumente de automatizare industriale, inclusiv sistemele de client și de management al conținutului. Sediul companiei este situat în New York, de asemenea, are birouri în București, Jacksonville (Florida), Chapel Hill (Carolina de Nord, Statele Unite ale Americii), Londra. Centrele de dezvoltare a mai mult de 180 de profesioniști care lucrează în București și Voronezh. Printre clientii - banca BNP Paribas, Spirent Communications Corporation, Ernst Young, "Motorola", compania de asigurări "Ergo Russ" Compania de Internet Mail.ru.
Michael Zavileysky | Directorul executiv DataArt, București
Protecția datelor - un caz special de management al riscului. trebuie:
Luați în considerare evenimentele asociate cu pierderea sau furtul de informații.
Rata de pierdere în bani.
Estimarea probabilității de apariție a evenimentelor în timpul perioadei de raportare (de obicei un an sau mai mult).
Prin multiplicarea cifrele de la punctele 2 și 3, vom obține prețul de risc „pentru“ (adică, înainte de evenimentele de protecție a datelor). Măsuri de protecție a informațiilor reduce probabilitatea unui eveniment, și obținem randamentul proiectului. Se calculează cu formula:
(SAR - Vposle) x P = O,
în cazul în care SAR - probabilitatea de „înainte de“ Vposle - probabilitate „după“ P - pierdere, Oh - randamentul proiectului.
În cazul în care costul de întoarcere de proiect mai mare, îți dai seama că nu este necesar (uneori puteți fi pur și simplu asigurate). Efectuarea de calcule, selectați proiecte prioritare - proiecte cu cel mai mare impact. Aici este un exemplu simplu.
exemplu calculat
Probabilitatea unei erori de server de e-mail la un moment dat este de 1%. Performanța generală a companiei noastre, fără e-mail este redusă cu 50%. Cifra de afaceri a companiei - 150 de milioane de ruble. pe an.
Pierderile Denial-mail se ridică la 750 mii. freca. în anul:
150 000 000% x 50% x 1 = 750 000 ruble.
În prezența unui set de backup de probabilitate-mail off pentru o zi de 0,1%. Un al doilea set de servere care rulează în modul de așteptare, ne va costa 100 de mii. Frecați. pe an, iar costurile de exploatare - încă 120 de mii de ruble .. pe an (10 mii. frec. pe lună.).
Astfel, randamentul proiectului va fi:
(1% - 0,1%) x 50% x 150 000 000 rub. = 675 000 ruble.
Costul setului de rezervă (220 000 rub.) Este mai mică decât randamentul proiectului (675 000 rub.). Adică, producția de peste 300% (675 000 220 000 100%). Probabil, un astfel de proiect ar trebui să fie realizat.
Desigur, bazându-se pe calcule financiare, ar trebui să nu piardă bunul simț. Deci, unul dintre managerii filialei românești a unei companii mari din SUA a fost promovat pentru punerea în aplicare a sistemului, care împiedică eliminarea suportului de stocare (dischete, CD-uri, DVD-uri) de la birou. Că orice informații pot fi trimise în mod liber prin e-mail sau alte canale de Internet, nimeni nu a deranjat.