Защита финансовой информации

29 мая 2012 1054
«... Безопасность — это категория неизмеримо более высокая, чем величие». (Кардинал Франции Ришелье)

Что такое информационная безопасность? Как и безопасность дорожного движения или безопасность жизнедеятельности, IT безопасность — набор правил, которые писались в течении долгих лет развития информационных технологий. Эти правила основаны на глубоком опыте подобно тому, как каждая строчка воинского устава вписана в него кровью. Как сказал известный американский криптограф и специалист по компьютерной безопасности Брюс Шнайер: «Безопасность — это процесс, а не результат». Действительно, информационная безопасность — это постоянно прогрессирующий комплекс мер, направленных на выявление и устранение уязвимых мест, повышение отказоустойчивости компьютерной инфраструктуры организации. И лишь тот, кто держит руку на пульсе развития технологий защиты информации, может себя чувствовать в относительной безопасности.

Теперь, следуя законам жанра, необходимо пояснить и подтвердить вышесказанное примерами из практики. Не секрет, что с наидавнейших времен деловые люди и политики охотятся за чужими тайнами, и, чем изощреннее становятся средства защиты информации, тем изощреннее  методы ее хищения.

Так, на заре развития краж в сфере компьютерных технологий, появилась фраза, которая актуальна и на сегодняшний день: «Взлом системы организации начинается с мусорного бака возле офиса». И не суть, что изначально говорилось о том, как много информации, полезной для предстоящего взлома, там можно было найти: счета от провайдеров услуг связи, дискеты с конфиденциальными данными, записные стикеры с именами пользователей и паролями, и даже финансовые документы. Злоумышленникам лишь оставалось проанализировать полученные сведения и сделать правильные выводы.

Как же сегодня обстоят дела с документацией под грифом «для служебного пользования»? Множество пользователей теперь хранят важные файлы на переносных флеш-накопителях, а переписку ведут через электронную почту. При этом следует отметить, что операционные системы, в частности Windows, создают временные файлы при работе с документами. Да и почтовые клиенты сохраняют сообщения на локальном компьютере в открытом виде. Вот Вам и мусорный бак возле офиса: временные файлы, базы почтовых сообщений, нешифрованные резервные копии данных на  ПК пользователей.

Что же в этом случае предлагается ведущими ИТ-компаниями? Глобальный переход на так называемые «облачные» технологии. Это аренда ресурсов промышленных серверов огромных мощностей, расположенных на закрытых и защищенных площадках — дата-центрах, которые имеют надежное подключение к всемирной сети интернет, и обслуживаются ИТ-специалистами круглосуточно. Облачными они называются благодаря тому, что стало общепринятым рисовать сеть интернет на диаграммах и схемах в виде облака. Конечный потребитель данного продукта получает защищенную единую рабочую среду для всей организации, доступную из любой точки мира через интернет. Казалось бы, что это идеальное решение проблемы защищенности данных.

На самом же деле это далеко не панацея. Не обманывайтесь — этого совершенно недостаточно. Ведь, по сути, защищено информационное пространство самого сервера, но остается еще множество путей утечки данных между сервером и пользователем. И просто необходимо провести как минимум следующий перечень мер, для усиления безопасности.

1. Создание надежного шифрованного канала между сервером и каждым «удаленным офисом» организации, чтобы исключить возможность перехвата информации.

2. Настроить таким образом схему работы с  «облачным» сервером, чтобы у пользователя физически не было возможности копировать конфиденциальные данные на локальный компьютер. В противном случае они там рано или поздно появятся — один из тех печальных опытов, проверенных жизнью.

3. Установить постоянный и тщательный контроль за программами-шпионами: перекрыть пути их появления, организовать мониторинг активности подобного ПО с функцией уведомлений об угрозах.

4. Ввести систему мониторинга и сбора данных о событиях происходящих в сети и на компьютерах пользователей с обязательной записью их в журнал безопасности.

5. С целью устранить угрозу несанкционированного доступа с удаленного рабочего места необходимо настраивать соединение с сервером при помощи аппаратных ключей авторизации, по-аналогии с системой «клиент-банк».

6. Создать и внедрить регламент работы с информацией внутри компании, назначив ответственных за его выполнение и санкции за нарушение.

7. На регулярной основе проводить экспертный аудит информационной безопасности для выявления нарушений режима работы и новых угроз.

Группа компаний «Эффективные решения» проводит как аудит безопасности отдельных сегментов, так и ИТ-инфраструктуры вцелом.  По результатам анализа заказчику предоставляется развернутый отчет о текущем состоянии его ИТ-инфраструктуры с выводами, комментариями и перечнем мер по устранению утечки информации и усилению уровня безопасности.

Закажите аудит информационной безопасности сейчас!

 



Подписка на новости

Чтобы не пропустить ни одной важной или интересной новости, подпишитесь на рассылку. Это бесплатно. Мы будем держать вас в курсе всех новостей и событий.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Опрос

Вы планируете менять работу в новом году?

  • Да, планирую 36%
  • Подумываю об этом 26.4%
  • Нет, пока никаких перемен 28%
  • Это секрет! 9.6%
Другие опросы

Рассылка



© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях