Главная / Сергей Львов предлагает Бизнесмену / Задачи обеспечения безопасности бизнеса / Безопасность информации, устранение утечек информации, обеспечение защиты информации

Безопасность информации, устранение утечек информации, обеспечение защиты информации

Тут всё понятно – существует масса способов выкрасть у компании маркетинговую информацию, ноу-хау, разработки и так далее.

Распространён среди специалистов подход, что для обеспечения защиты информации следует вовсе не держать этой информации на фирме, но я считаю этот подход иррациональным и утопическим. Ведь пока есть бизнес – люди работают с информацией. В современном мире именно работа с информацией приносит прибыль – всё остальное лишь инфраструктура, вспомогательный цех. А если люди работают с информацией – они всегда могут ее спионерить – в крайнем случае, запомнить или записать на бумаге и вынести. В особо тяжёлых случаях – прокачать из базы данных. Способов тут бесконечное множество.

Итак, моё мнение простое - 100 % защиты не существует, а вот усложнить жизнь злоумышленнику очень даже можно – и нужно.

У нас есть следующие инструменты: ограничение прав доступа на всех уровнях внутри программы, регламентация доступов на организационном уровне, запрет копирования в другие программы, запрет выгрузки копий базы или документов, ограничение возможностей сохранения информации на внешние носители, аудит доступа к данным, перманентное проведение допросов персонала с применением специальных технических средств (полиграфа), использование защитных серверов и экранов, систем криптографической защиты и прочих инструментов.

Ограничения сказываются на производительности и на обслуживании системы, возникают операционные издержки. Мероприятия по поддержке безопасности информации зачастую оказывают гнетущее психологическое воздействие на персонал, порождают недовольство ключевых специалистов и как следствие – текучку высокопрофессиональных кадров.

В любом случае, обеспечение безопасности информации – удовольствие дорогостоящее, и тут важно найти компромиссный вариант выстраивания системы безопасности между суммами потенциальных убытков и стоимостью защиты. Самым дешёвым и довольно эффективным подходом является обеспечение безопасности на уровне операционных систем и доменов, что выполняется в большинстве фирм средствами штатных специалистов или аутсорсеров – системных администраторов.

Я считаю одним из самых эффективных способов ограничения прав разработку специальных интерфейсов, скрывающих под собой все данные и предоставляющих доступ только к необходимой в работе информации. Тут главным условием является индивидуальный подход к каждому конкретному рабочему месту, к каждому бизнес-процессу. Мне неоднократно приходилось внедрять подобные решения – и это всегда хорошо работает.

Следующим важным моментом является правильное с точки зрения безопасности построение архитектуры учётной системы. Тут есть разные подходы: это и разделение информационных баз, это и построение многоуровневых распределённых систем. В любом случае – решение архитектурных вопросов требует глубокого обследования высококвалифицированным специалистом всей корпоративной информационной среды в целях нахождения компромиссного варианта – «наименьшего зла». В частности, консультацию по вопросу архитектуры можно получить у меня.