Сергей Иванов, руководитель специализированного    подразделения Первый БИТ:7000 Технологии Защиты  Информации компании «Первый БИТ».

Эксперт в области защиты информационных активов предприятия,  контроля деятельности сотрудников. Стаж в области обеспечения  безопасности бизнеса более 14 лет. Соавтор «Типовой системы  качества для 1С:Франчайзи» в части информационной безопасности.  Автор статей по вопросам информационной безопасности в издании  «Финансовая Газета». Руководитель и редактор-эксперт  информационного портала www.RAZVEDKA.ru., посвященного защите конфиденциальной информации,  правовым аспектам защиты бизнеса, вопросам личной безопасности.
  

«Для России в целом типична ситуация, когда руководители компаний, приходя к необходимости решения вопросов информационной безопасности, имеют о ней довольно общее представление. В восприятии руководителя это либо царство «хакеров», из сюжетов новостных лент, либо космические, оторванные от привычной реальности, суммы убытков в отчетах аудиторов, также почерпнутые из новостных лент. То есть, весьма смутное понимание. Поэтому, первое, что мы делаем при знакомстве с заказчиком – говорим о реальных задачах бизнеса, о роли и ценности информационных активов для бизнеса».

– С чего же тогда начинается информационная безопасность?

– Очевидно, с определения, какая информация имеет ценность для бизнеса, что именно необходимо защищать. Сколько стоит эта информация, чем грозит ее потеря, уничтожение или просто ограничение доступа на какое-либо время. Стоимость, безусловно, определяется в рублях. На этом этапе обсуждаются такие виды финансовых потерь как цена восстановления информации, упущенная прибыль, потеря производительности, репутационные потери и т.п. И только после этого идет рассмотрение кто (собственный сотрудник, тот же хакер) или что (вирусы, изношенное оборудование) представляет для организации актуальную угрозу нарушения безопасности, какие меры противодействия необходимо предпринимать.

– Чего чаще всего опасаются предприниматели?

– Провокаций со стороны конкурентов. Шантажа уходящего сотрудника (или руководителя) требующего «отступные» за отказ от использования важной информацией. Но наибольшую угрозу бизнес видит в недобросовестных представителях власти. И это понятно, когда у людей свободных от моральных принципов есть полномочия, позволяющие влиять на деятельность организации, или просто соответствующий опыт (полномочия – не самое необходимое для шантажа). Это действительно не может не вызывать тревогу.

– Судя по всему, Вам приходится обсуждать достаточно приватную информацию, насколько охотно на это идут заказчики? Не видят ли потенциальную угрозу в Вас?

– Это всегда меня удивляло, но практика показывает, что в компаниях, к защите информационных активов относятся недостаточно внимательно. Я бы даже сказал, несерьезно. Я регулярно общаюсь с владельцами, руководителями компаний, не обладающими элементарной осторожностью. Несмотря на то, что они видят меня впервые, уже через 10 минут разговора они готовы подробно рассказывать о местонахождении данных, сильных сторонах и недостатках мер по защите информации, устройстве своей ИТ-инфраструктуры. В таких случаях, мы призываем к подписанию договора о конфиденциальности, чтобы дать возможность осознать важность передаваемых сведений и урегулировать ответственность.

Естественно, доверие – это не обязательно плод наивности. Большинство руководителей все же доверяют нам благодаря нашей высокой компетенции, длительности присутствия на рынке, рекомендациям знакомых и партнеров.

– Можно ли выделить, кто из собственных сотрудников может представлять угрозу?

– С точки зрения своих возможностей – системный администратор. Этот специалист обычно имеет полный доступ ко всей информации в компании, но, традиционно, практически не несёт ответственности за ее потерю или компрометацию. Если ноутбук руководителя подключен к корпоративной сети, системный администратор может скопировать с него всю информацию. Еще пример – специалисты финансовых служб компании подразделений. Сотрудники бухгалтерии, при некоторой сноровке, могут переводить денежные средства совсем не на те счета, которые предписывают им должностные обязанности. Такие возможности также должны учитываться при построении мер по обеспечению защиты информации. Но иногда широкие возможности по нарушению безопасности имеют и линейные сотрудники.

Как показывает практика, в весьма существенном количестве организаций, базу управления взаимоотношений с клиентами сотрудник может незаметно скопировать на личный смартфон и унести. Уйдет на эту операцию порядка полутора минут. Для ее осуществления достаточно для нее минимальных прав доступа.

– А топ-менеджеры требуют особого присмотра?

– Безусловно. Очень часто нарушителями безопасности становятся конфликтующие руководители или владельцы. Противоречия между ними приводят к тому, что кто-то покидает компанию, забирая с собой ценную информацию, к которой имел доступ. При защите от этой угрозы эффективны организационные, в частности, юридические меры. Подписание топ-менеджерами специальным образом подготовленных документов, в которых указывается, какая информация является конфиденциальной, сделает её кражу уголовным преступлением. С технической точки зрения важно оперативно выявить все возможности неправомерного доступа к ресурсам и нейтрализовать их.

– Какие ещё организационные меры используют, чтобы обезопасить данные?

– Видеонаблюдение может снизить риски утечки конфиденциальной информации. Оно создаёт у сотрудников понимание того, что руководство компании считает защиту данных важной задачей и будет искать нарушителей. При этом видеонаблюдение, как правило, не вызывает сильного отторжения у персонала. В open space офисе никто не придаст появлению камеры особого значения.

– Есть ли специфика при защите информации малых предприятий?

– Можно сказать и так. Для малого бизнеса действительно есть специфичная проблема – случайная потеря или уничтожение данных. Проблемы возникают, когда бухгалтер копирует данные на флеш-карту, чтобы работать дома, или сотрудник, прося о помощи по работе, передаёт третьему лицу логин и пароль от облачного хранилища компании. Именно малым бизнесом востребована услуга сохранения конфиденциальности информации при уходе топ-менеджера.

– Всё больше данных предприятий оказывается «в облаках». Каковы особенности их защиты при удалённой работе?

– Да, это экономически обосновано, и малый, и средний бизнес нередко обзаводится «виртуальными офисами». Такой тип организации работы имеет свои преимущества. Для «виртуального офиса» не актуальны угрозы потери информации, связанные с физическим доступом – никто не завладеет вашими данными, проникнув в помещение компании.

Главным вопросом безопасности для пользователей облачных технологий является управление доступом. Если специальные меры не приняты, имея логин и пароль, добраться до данных может кто угодно из любой точки мира.

Один из вариантов усиления защиты доступа – модель его предоставления, основанная на двух факторах. Допуск к информации возможен только при наличии usb-ключа и знание пин-кода. Нет ключа – пин-код бесполезен (если он украден вирусом или считан сканером клавиатуры). Есть ключ, но нет пин-кода – доступ также запрещен – подобрать пин-код невозможно.

– Какие меры безопасности являются сейчас «обязательным минимумом»?

– Для каждого вида конфиденциальных данных «минимум» будет свой.

Защита сведений управленческого учёта требует систем шифрования и резервного копирования, а также систему усиленной защиты доступа (с помощью отпечатков, специальных ключей и т.п.).

Для бухгалтерского учёта компаниям обычно хватает системы резервного копирования данных, потому что эти сведения передаются контролирующим органам в обязательном порядке.

Для тех, кто использует «Клиент-Банк», «минимум» – система шифрования и электронные ключи.

И во всех случаях, конечно, необходима антивирусная защита.

– Есть ли специфика при работе именно с продуктами системы 1С:Предприятие?

– Действительно, очень часто конфиденциальная информация содержится в информационных базах 1С:Предприятие, но с технической точки зрения для нас не важно, каким образом обрабатываются данные. Мы обеспечиваем безопасность в системах, выстроенных на любых платформах. Если же напрямую отвечать на вопрос, то да. Есть специфика. Мы ее хорошо знаем и всегда учитываем при разработке систем защиты информационных активов.