Компании встают на защиту информации
эксперты Антон Гончаров директор ООО «Лаборатория программных продуктов» Алексей Дмитриев технический директор дизайн-студии «Отражение» Полина Дуйкова руководитель направления ECM по УрФО компани
Рынок информационной безопасности имеет огромный потенциал для развития. Спрос на корпоративные системы безопасности начал набирать обороты совсем недавно. Бюджеты предприятий на защиту информации растут с каждым годом. А ИТ-компании создают оптимальные решения для малого бизнеса.
Что угрожает ИТ-системам предприятий?
Почему компании начали внедрять комплексные системы для информационной безопасности? Как выстроить защиту данных наиболее эффективно?
Назаре деятельности челябинского рекламного агентства «ИКС ПРО» произошел такой случай: один из менеджеров по рекламе уволился, и вместе с его уходом пропала клиентская база. На основе этой информации бывший сотрудник создал агентство-однодневку, которое закрылось спустя несколько месяцев. Этот случай заставил генерального директора «ИКС ПРО» ЕВГЕНИЮ СОЛОВЬЁВУ всерьез задуматься над информационной безопасностью (ИБ) ее компании: «Мы установили сетевую базу, поставили пароли, чтобы исключить несанкционированное вмешательство в отлаженную работу агентства».
Все эксперты сходятся в том, что 75-80% случаев потери конфиденциальной информации происходят вследствие инсайдерских действий. От этого не застраховано ни одно предприятие. Даже при комплексном подходе к системе защиты остается небольшая доля риска, что свои же сотрудники «уведут» из компании важные данные. А вот внешнюю угрозу относительно просто устранить: не так страшны вирусы и хакеры, как их малюют. Современные технологии позволяют свести вероятность их проникновения на сервер компании практически к нулю.
Компании увеличивают бюджеты на безопасность
Некоторые руководители челябинских компаний уже взяли в привычку интересоваться, как обстоит дело с защитой информации у партнера. Высокая степень защиты преподносится как конкурентное преимущество компании. «Защита информации приобретает очертание планомерного процесса. Люди начинают понимать, что информация это те же деньги, которые нужно хранить», рассказывает ДАНИЛА ШМАКОВ, директор «ИТ Энигма». В минимальный комплекс по информационной безопасности эта компания включает защиту от внешнего воздействия, контроль за сотрудниками, настройка компьютеров с использованием возможностей операционной системы, организацию единого хранилища информации. По оценке г-на Шмакова, компании с 20 компьютерами это обойдется минимум в 4,5 тыс. руб. за одно рабочее место.
Бывает, что осознание необходимости защищать информацию приходит лишь после ее потери. «Пока гром не грянет, мужик не перекрестится» это вполне подходящая характеристика для ситуации на рынке ИБ. «К нам обращался клиент, у которого компьютеры просто затопило. Резервное копирование не было выполнено, и данные были утрачены. Простой в работе и усилия по восстановлению данных обошлись организации в круглую сумму. Сюда же можно добавить сорвавшиеся сделки, вспоминает Данила Шмаков. А в конце прошлого года к нам пошел поток клиентов. У 95% пользователей на тот момент стояла нелицензионная версия «Антивируса Касперского». И в декабре, когда «Лаборатория Касперского» стала следить за появлением пиратских ключей, у всех начались проблемы с вирусами».
Все чаще руководителям приходиться признавать, что утечка или пропажа важных данных приводит к непредвиденным убыткам и лишает предприятие потенциального дохода. Основные потребители услуг ИБ компании, для которых важно сохранять клиентскую базу и персональные данные клиентов: участники финансового рынка, разработчики ПО, производители, заводы. В дизайн-студии «Отражение» особое внимание уделяется защите от инсайдерских действий. Если клиентская база попадет к конкурентам, то они смогут перехватить всех клиентов. Если конкуренты узнают о принципе построения ценовой политики, то они могут сделать клиенту более выгодное предложение. Имея на руках программный код проектов студии, человек может найти в нем уязвимость (по мнению специалистов, программных кодов, в которых нет уязвимости, практически не существует) и заняться черным PR или использовать полученную информацию в своих целях. «Потеря информации, которую нам предоставляют клиенты, например, для закрытого раздела сайта, это серьезный ущерб нашему имиджу. При «утечке» программных наработок мы можем потерять конкурентное преимущество, потому что используем технологии, которых нет практически ни у кого в городе. Если утечет клиентская база, которая является ключевым фактором нашего бизнеса, мы легко можем потерять 50-70% дохода», объясняет технический директор дизайн-студии «Отражение» АЛЕКСЕЙ ДМИТРИЕВ. Выстраивая структуру ИБ, компания защищает каждую из этих сфер: «Внутри компании мы разграничиваем области доступа для сотрудников. Идем от противного: сначала запрещаем все, а потом разрешаем, кому нужно. Менеджерам по продаже ни к чему программные разработки, а дизайнерам не нужна клиентская база». Связующим для всех специалистов звеном становится руководитель проекта, который работает с различной документацией. Для того чтобы быть уверенными в сотрудниках, их, по возможности, набирают через личные контакты. С защитой от внешних угроз все обстоит проще: firewall, антивирусные программы, ограничения на входящие запросы и разделение прав доступа в Интернет. На все это в компании выделена определенная часть бюджета, которая растет по мере необходимости приобретения средств защиты. Постоянной остаются затраты на абонентскую оплату по антивирусам и зарплату сотрудников.
ИТ-компании начинают предлагать свои услуги малому и среднему бизнесу
Пока значительную часть потребителей на рынке ИБ составляют крупные компании. «Рынок начинает развиваться с крупного сегмента. Постепенно подтягиваются средние предприятия, а мелким пока приходится решать эти вопросы своими силами. Стоимость услуг для них слишком высока. Она зависит от количества рабочих мест: чем их больше, тем ниже стоимость на одно место. Средние затраты на систему безопасности составляют $400-500 на рабочее место. Можно провести аналогию со страхованием. Достаточно избежать одного случая потери или хищения информации, чтобы все окупилось, причем этот случай может произойти на следующий день», комментирует Антон Гончаров.
АЛЕКСАНДР КРЫЛОВ, руководитель направления отдела развития инфраструктуры дирекции по ИТ ЗАО «Группа ЧТПЗ», рассказывает, что затраты на обеспечение безопасности на заводе увеличились в несколько раз по сравнению с прошлым годом. При помощи одного из российских интеграторов был подготовлен проект внедрения системы ИБ на предприятии. «В настоящее время происходит внедрение. Разработки базируются на международном стандарте ISO 27001 (бывший ISO 1799). В дальнейшем мы надеемся получить международный сертификат по данному стандарту», делится планами г-н Крылов. Он приводит алгоритм расчета убытков от пропажи информации: «Оценивается простой информационной системы в течение суток, а потом анализируются стоимость рисков и возможных действий по их устранению. Снижение имиджа и потеря конкурентоспособности тоже существенный момент, потому что никто не работает с компанией, данные которой становятся всеобщим достоянием». Сейчас на ЧТПЗ для защиты внедрены система защиты от спама, внешний firewall, система блокировки внешних носителей данных (дискет, дисков, флеш-драйвов и др.) на рабочих станциях.
Главный повод уделить внимание ИБ на своем предприятии высокая конкурентная среда на рынке. Так обстоит дело в области сотовой связи. В компании «МТС» система ИБ делится на две части внутреннюю и внешнюю. Во внутренней части уделяется внимание несанкционированному доступу. Каждому сотруднику назначается персональное уникальное имя и пароль. Кроме того, вводятся ограничения физического доступа к системным ресурсам, не связанным с выполнением профессиональных обязанностей. По каждому пользователю ведутся логи доступа, т. е. записываются все его действия в системе. Внешняя часть это комплекс мер по защите внешних серверов, в том числе и почтового. Директор по маркетингу филиала ОАО «МТС» в Челябинске АРТЕМ РАТОШНЮК: «Задачу обеспечения информационной безопасности компании «МТС» мы решаем системно. Различные средства защиты (аппаратные, программные, физические, организационные и т. д.) применяются одновременно и под централизованным управлением. При этом компоненты системы безопасности «знают» о существовании друг друга, взаимодействуют и обеспечивают защиту как от внешних, так и от внутренних угроз».
Компании малого уровня пока не могут позволить себе комплексные системы защиты слишком дорого. Но отдельные решения подойдут и небольшим предприятиям. ПОЛИНА ДУЙКОВА, руководитель направления ECM (Энтерпрайз контент менеджмент) по УрФО компании ST, рассказывает, что системы электронного документооборота, которые содержат функции по защите информации, доступны не только крупным компаниям, но и предприятиям, в которых стоит не больше 20 компьютеров. К примеру, система, разработанная компанией Directum, ограничивает права доступа к документам, к клиентской базе, дает возможность защитить любую информацию предприятия за счет шифрования электронно-цифровой подписью. Вся информация хранится только на сервере компании, работает единая клиентская база, единый электронный архив по службе безопасности и истории работы. В системе полностью сохраняется история согласования документов, за счет чего увеличивается безопасность, минимизируется утечка данных. Скопировать электронный договор гораздо сложнее, чем бумажный. Как говорит Полина Дуйкова, можно отследить, кто и что делал с электронным документом, исключая разве что фотографирование. Группа компаний «Астра СТ» разработала собственное решение для среднего и малого бизнеса систему Mirage. Она позволяет изолировать локальную сеть от внешней угрозы, а внутри сети каждый работает только с необходимыми ему данными. Кроме того, существуют протоколы о распечатках, по которым можно проследить, кто какой документ распечатывал. «Секрет в том, что это терминальная система. Предприятию нужно купить сервер и рабочую станцию, стоимость которой на 30-40% дешевле компьютера. За счет этого затраты на эксплуатацию и безопасность снижаются многократно», разъясняет Игорь Туманов. Эксперты говорят, что по мере дальнейшего снижения стоимости комплексов ИБ они станут доступны даже малому бизнесу.
эксперты
Антон Гончаров
директор ООО «Лаборатория программных продуктов»
Алексей Дмитриев
технический директор дизайн-студии «Отражение»
Полина Дуйкова
руководитель направления ECM по УрФО компании ST
Александр Крылов
руководитель направления отдела развития инфраструктуры дирекции по IT ЗАО «Группа ЧТПЗ»
Дмитрий Кузнецов
начальник отдела автоматизации банковских расчетов уральского филиала ОАО «Тюменьэнергобанк»
Артем Ратошнюк
директор по маркетингу филиала ОАО «МТС» в Челябинске
Евгения Соловьёва
директор РА «ИКС ПРО»
Игорь Туманов
директор ГК «Астра СТ»
Данила Шмаков
директор «ИТ Энигма»
Антон Гончаров
директор ООО «Лаборатория программных продуктов»
Алексей Дмитриев
технический директор дизайн-студии «Отражение»
Полина Дуйкова
руководитель направления ECM по УрФО компании ST
Александр Крылов
руководитель направления отдела развития инфраструктуры дирекции по IT ЗАО «Группа ЧТПЗ»
Дмитрий Кузнецов
начальник отдела автоматизации банковских расчетов уральского филиала ОАО «Тюменьэнергобанк»
Артем Ратошнюк
директор по маркетингу филиала ОАО «МТС» в Челябинске
Евгения Соловьёва
директор РА «ИКС ПРО»
Игорь Туманов
директор ГК «Астра СТ»
Данила Шмаков
директор «ИТ Энигма»
Почему компании начали внедрять комплексные системы для информационной безопасности? Как выстроить защиту данных наиболее эффективно?
Назаре деятельности челябинского рекламного агентства «ИКС ПРО» произошел такой случай: один из менеджеров по рекламе уволился, и вместе с его уходом пропала клиентская база. На основе этой информации бывший сотрудник создал агентство-однодневку, которое закрылось спустя несколько месяцев. Этот случай заставил генерального директора «ИКС ПРО» ЕВГЕНИЮ СОЛОВЬЁВУ всерьез задуматься над информационной безопасностью (ИБ) ее компании: «Мы установили сетевую базу, поставили пароли, чтобы исключить несанкционированное вмешательство в отлаженную работу агентства».
Все эксперты сходятся в том, что 75-80% случаев потери конфиденциальной информации происходят вследствие инсайдерских действий. От этого не застраховано ни одно предприятие. Даже при комплексном подходе к системе защиты остается небольшая доля риска, что свои же сотрудники «уведут» из компании важные данные. А вот внешнюю угрозу относительно просто устранить: не так страшны вирусы и хакеры, как их малюют. Современные технологии позволяют свести вероятность их проникновения на сервер компании практически к нулю.
Рынок информационной безопасности начинает формироваться
По мнению экспертов, рынок услуг ИБ в Челябинске напоминает непаханое поле. Хотя отдельные устоявшиеся предложения уже есть: например, антивирусные или антиспамерские решения. Но на просторах комплексной защиты информации все только начинается. По словам АНТОНА ГОНЧАРОВА, генерального директора ООО «Лаборатория программных продуктов», рост спроса на комплексные меры защиты стал заметным в прошлом году. Эксперт прогнозирует, что скоро серверное оборудование начнут продавать торговые сети бытовой техники, спровоцируя новый виток спроса. Уже сегодня даже небольшие компании (до 20 человек в штате) четко осознают необходимость сервера, хранение информации на котором позволяет лучше организовать ее защиту. ИГОРЬ ТУМАНОВ, директор ГК «Астра СТ», полагает, что толчок к развитию рынка дают изменения в законодательстве: появление федеральных законов «Об электронной цифровой подписи» (2001 г.), «О персональных данных» (2006 г.) и некоторых специализированных нормативных актов. Бюджетные организации и компании, деятельность которых связана со сбором персональных данных, обязаны по закону защищать информацию. Г-н Туманов отмечает, что за последний год объем российского рынка ИБ удвоился. «Сейчас любой наш проект, например, по коммуникациям, обязательно содержит раздел по защите информации», делится опытом директор «Астра-СТ».
При организации комплексной защиты ИТ-компании говорят о необходимости обороны сразу по нескольким направлениям. Во-первых, это защита от вирусов (наиболее популярны среди них троянские программы и «черви» ), спама и взломов. Причем растет количество так называемых студенческих взломов. Но они не представляют особой угрозы, отмечает Игорь Туманов, поскольку существуют отработанные технологии защиты: firewall и антивирусные программы. Во-вторых, существует техническая угроза: неисправность оборудования, авария и т.д. Рецепт защиты и тут прост достаточно сделать резервную копию, а лучше несколько. И, наконец, инсайдерские действия. Это по мнению экспертов, наиболее уязвимое место в безопасности любого предприятия. ДМИТРИЙ КУЗНЕЦОВ, начальник отдела автоматизации банковских расчетов уральского филиала ОАО «Тюменьэнергобанк»: «При грамотной политике безопасности внешнюю угрозу можно свести к нулю: для этого существует большой выбор программ и аппаратных средств, которые мы используем. Единственный фактор, который действительно может серьезно угрожать безопасности, нечистоплотность сотрудников. В нашем банке установлены видеокамеры, доступ ограничен, работает многоступенчатая проверка сотрудника при приеме на работу. Но все же определенная доля риска остается».
При организации комплексной защиты ИТ-компании говорят о необходимости обороны сразу по нескольким направлениям. Во-первых, это защита от вирусов (наиболее популярны среди них троянские программы и «черви» ), спама и взломов. Причем растет количество так называемых студенческих взломов. Но они не представляют особой угрозы, отмечает Игорь Туманов, поскольку существуют отработанные технологии защиты: firewall и антивирусные программы. Во-вторых, существует техническая угроза: неисправность оборудования, авария и т.д. Рецепт защиты и тут прост достаточно сделать резервную копию, а лучше несколько. И, наконец, инсайдерские действия. Это по мнению экспертов, наиболее уязвимое место в безопасности любого предприятия. ДМИТРИЙ КУЗНЕЦОВ, начальник отдела автоматизации банковских расчетов уральского филиала ОАО «Тюменьэнергобанк»: «При грамотной политике безопасности внешнюю угрозу можно свести к нулю: для этого существует большой выбор программ и аппаратных средств, которые мы используем. Единственный фактор, который действительно может серьезно угрожать безопасности, нечистоплотность сотрудников. В нашем банке установлены видеокамеры, доступ ограничен, работает многоступенчатая проверка сотрудника при приеме на работу. Но все же определенная доля риска остается».
Компании увеличивают бюджеты на безопасность
Некоторые руководители челябинских компаний уже взяли в привычку интересоваться, как обстоит дело с защитой информации у партнера. Высокая степень защиты преподносится как конкурентное преимущество компании. «Защита информации приобретает очертание планомерного процесса. Люди начинают понимать, что информация это те же деньги, которые нужно хранить», рассказывает ДАНИЛА ШМАКОВ, директор «ИТ Энигма». В минимальный комплекс по информационной безопасности эта компания включает защиту от внешнего воздействия, контроль за сотрудниками, настройка компьютеров с использованием возможностей операционной системы, организацию единого хранилища информации. По оценке г-на Шмакова, компании с 20 компьютерами это обойдется минимум в 4,5 тыс. руб. за одно рабочее место.
Бывает, что осознание необходимости защищать информацию приходит лишь после ее потери. «Пока гром не грянет, мужик не перекрестится» это вполне подходящая характеристика для ситуации на рынке ИБ. «К нам обращался клиент, у которого компьютеры просто затопило. Резервное копирование не было выполнено, и данные были утрачены. Простой в работе и усилия по восстановлению данных обошлись организации в круглую сумму. Сюда же можно добавить сорвавшиеся сделки, вспоминает Данила Шмаков. А в конце прошлого года к нам пошел поток клиентов. У 95% пользователей на тот момент стояла нелицензионная версия «Антивируса Касперского». И в декабре, когда «Лаборатория Касперского» стала следить за появлением пиратских ключей, у всех начались проблемы с вирусами».
Все чаще руководителям приходиться признавать, что утечка или пропажа важных данных приводит к непредвиденным убыткам и лишает предприятие потенциального дохода. Основные потребители услуг ИБ компании, для которых важно сохранять клиентскую базу и персональные данные клиентов: участники финансового рынка, разработчики ПО, производители, заводы. В дизайн-студии «Отражение» особое внимание уделяется защите от инсайдерских действий. Если клиентская база попадет к конкурентам, то они смогут перехватить всех клиентов. Если конкуренты узнают о принципе построения ценовой политики, то они могут сделать клиенту более выгодное предложение. Имея на руках программный код проектов студии, человек может найти в нем уязвимость (по мнению специалистов, программных кодов, в которых нет уязвимости, практически не существует) и заняться черным PR или использовать полученную информацию в своих целях. «Потеря информации, которую нам предоставляют клиенты, например, для закрытого раздела сайта, это серьезный ущерб нашему имиджу. При «утечке» программных наработок мы можем потерять конкурентное преимущество, потому что используем технологии, которых нет практически ни у кого в городе. Если утечет клиентская база, которая является ключевым фактором нашего бизнеса, мы легко можем потерять 50-70% дохода», объясняет технический директор дизайн-студии «Отражение» АЛЕКСЕЙ ДМИТРИЕВ. Выстраивая структуру ИБ, компания защищает каждую из этих сфер: «Внутри компании мы разграничиваем области доступа для сотрудников. Идем от противного: сначала запрещаем все, а потом разрешаем, кому нужно. Менеджерам по продаже ни к чему программные разработки, а дизайнерам не нужна клиентская база». Связующим для всех специалистов звеном становится руководитель проекта, который работает с различной документацией. Для того чтобы быть уверенными в сотрудниках, их, по возможности, набирают через личные контакты. С защитой от внешних угроз все обстоит проще: firewall, антивирусные программы, ограничения на входящие запросы и разделение прав доступа в Интернет. На все это в компании выделена определенная часть бюджета, которая растет по мере необходимости приобретения средств защиты. Постоянной остаются затраты на абонентскую оплату по антивирусам и зарплату сотрудников.
ИТ-компании начинают предлагать свои услуги малому и среднему бизнесу
Пока значительную часть потребителей на рынке ИБ составляют крупные компании. «Рынок начинает развиваться с крупного сегмента. Постепенно подтягиваются средние предприятия, а мелким пока приходится решать эти вопросы своими силами. Стоимость услуг для них слишком высока. Она зависит от количества рабочих мест: чем их больше, тем ниже стоимость на одно место. Средние затраты на систему безопасности составляют $400-500 на рабочее место. Можно провести аналогию со страхованием. Достаточно избежать одного случая потери или хищения информации, чтобы все окупилось, причем этот случай может произойти на следующий день», комментирует Антон Гончаров.
АЛЕКСАНДР КРЫЛОВ, руководитель направления отдела развития инфраструктуры дирекции по ИТ ЗАО «Группа ЧТПЗ», рассказывает, что затраты на обеспечение безопасности на заводе увеличились в несколько раз по сравнению с прошлым годом. При помощи одного из российских интеграторов был подготовлен проект внедрения системы ИБ на предприятии. «В настоящее время происходит внедрение. Разработки базируются на международном стандарте ISO 27001 (бывший ISO 1799). В дальнейшем мы надеемся получить международный сертификат по данному стандарту», делится планами г-н Крылов. Он приводит алгоритм расчета убытков от пропажи информации: «Оценивается простой информационной системы в течение суток, а потом анализируются стоимость рисков и возможных действий по их устранению. Снижение имиджа и потеря конкурентоспособности тоже существенный момент, потому что никто не работает с компанией, данные которой становятся всеобщим достоянием». Сейчас на ЧТПЗ для защиты внедрены система защиты от спама, внешний firewall, система блокировки внешних носителей данных (дискет, дисков, флеш-драйвов и др.) на рабочих станциях.
Главный повод уделить внимание ИБ на своем предприятии высокая конкурентная среда на рынке. Так обстоит дело в области сотовой связи. В компании «МТС» система ИБ делится на две части внутреннюю и внешнюю. Во внутренней части уделяется внимание несанкционированному доступу. Каждому сотруднику назначается персональное уникальное имя и пароль. Кроме того, вводятся ограничения физического доступа к системным ресурсам, не связанным с выполнением профессиональных обязанностей. По каждому пользователю ведутся логи доступа, т. е. записываются все его действия в системе. Внешняя часть это комплекс мер по защите внешних серверов, в том числе и почтового. Директор по маркетингу филиала ОАО «МТС» в Челябинске АРТЕМ РАТОШНЮК: «Задачу обеспечения информационной безопасности компании «МТС» мы решаем системно. Различные средства защиты (аппаратные, программные, физические, организационные и т. д.) применяются одновременно и под централизованным управлением. При этом компоненты системы безопасности «знают» о существовании друг друга, взаимодействуют и обеспечивают защиту как от внешних, так и от внутренних угроз».
Компании малого уровня пока не могут позволить себе комплексные системы защиты слишком дорого. Но отдельные решения подойдут и небольшим предприятиям. ПОЛИНА ДУЙКОВА, руководитель направления ECM (Энтерпрайз контент менеджмент) по УрФО компании ST, рассказывает, что системы электронного документооборота, которые содержат функции по защите информации, доступны не только крупным компаниям, но и предприятиям, в которых стоит не больше 20 компьютеров. К примеру, система, разработанная компанией Directum, ограничивает права доступа к документам, к клиентской базе, дает возможность защитить любую информацию предприятия за счет шифрования электронно-цифровой подписью. Вся информация хранится только на сервере компании, работает единая клиентская база, единый электронный архив по службе безопасности и истории работы. В системе полностью сохраняется история согласования документов, за счет чего увеличивается безопасность, минимизируется утечка данных. Скопировать электронный договор гораздо сложнее, чем бумажный. Как говорит Полина Дуйкова, можно отследить, кто и что делал с электронным документом, исключая разве что фотографирование. Группа компаний «Астра СТ» разработала собственное решение для среднего и малого бизнеса систему Mirage. Она позволяет изолировать локальную сеть от внешней угрозы, а внутри сети каждый работает только с необходимыми ему данными. Кроме того, существуют протоколы о распечатках, по которым можно проследить, кто какой документ распечатывал. «Секрет в том, что это терминальная система. Предприятию нужно купить сервер и рабочую станцию, стоимость которой на 30-40% дешевле компьютера. За счет этого затраты на эксплуатацию и безопасность снижаются многократно», разъясняет Игорь Туманов. Эксперты говорят, что по мере дальнейшего снижения стоимости комплексов ИБ они станут доступны даже малому бизнесу.
Качество жизни
| Мнения
| WIKI — биографии персон и справки о компаниях
| ||||||||||||||||||||||||||||||||||||||||||||||||||
Самое читаемое
На Урале построят завод по производству микропроцессоров для использования в космосе 
«Росспиртпром» стал частным. Этой приватизации ждали 20 лет 
Немецкий производитель стройматериалов Knauf отказывается от бизнеса в России 
Рядом с парком Маяковского выставлена на продажу земля под строительство высотки