ЗАЩИТА ДАННЫХ НА ПРЕДПРИЯТИИ: КАК ПРАВИЛЬНО ОБЕЗОПАСИТЬ СЭД?
Целью любого предприятия, будь то молодая компания или гигант своего сегмента, является получение прибыли. Достичь ее невозможно, если не оградить себя от возможных воздействий злоумышленников. Раньше ключевые риски были связаны с кражей материальных ценностей, но сегодня ситуация изменилась. Все чаще предметом хищения становится ценная информация. Особенно актуальны эти риски для банковских учреждений, управленческих организаций, страховых фирм. Стремительное развитие информационной среды предприятия лишь усугубляет положение, то есть «переводит» риски из разряда возможных, к вполне реальным. Именно поэтому при работе с электронными документами требуется уделить особое внимание не только качеству их обработки, хранения, но и эффективной защиты. В противном случае проблемы, в том числе финансового и репутационного характера, неминуемы.
О КАКИХ РИСКАХ СЛЕДУЕТ ПОДУМАТЬ В ПЕРВУЮ ОЧЕРЕДЬ?
Защита данных на предприятии – комплекс мер, которые направлены на обеспечение безопасности информации, то есть:
- Баз данных партнеров, клиентов.
- Технических разработок, коммерческих предложений.
- Электронного документооборота: финансового, налогового.
- Коммерческих тайн.
На первый взгляд может показаться, что такого рода информация, касающаяся деятельности организации, важна лишь для самого предприятия. На практике ситуация складывается иным образом: компании, работающие в той же сфере, стремятся всевозможными способами получить сведения о своих конкурентах. Это необходимо для того, чтобы определить их положение на рынке, выявить используемые способы продвижения, «сыграть на опережение», добыв информацию о планах на развитие, способах привлечения новых клиентов. Иногда конкуренты стремятся получить такие документы для того, чтобы «потопить» конкурирующую организацию, представив во всеобщий доступ закрытую информацию или материалы, которые могут стать причиной для налоговой проверки, привлечения руководителя к административной или уголовной ответственности.
Становится очевидным, что для успешного управления огромными потоками документов, их эффективной защиты требуется внедрение системы информационной безопасности. При этом она должна работать непрерывно, решать поставленные задачи, характеризоваться «невосприимчивостью» ко внешним угрозам и атакам. А то, какой именно ее реализовать, напрямую зависит от существующих рисков.
КЛЮЧЕВЫЕ РИСКИ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Чаще всего потери и сложности, связанные с утечкой информации, возникают из-за:
- Попыток получения доступа к файлам. Любое современное предприятие оснащено компьютерной техникой, соответственно, осуществляется электронный документооборот. Злоумышленники, используя вирусы, вредоносное программное обеспечение, могут подключиться к эксплуатируемому оборудованию, соответственно, получить доступ к сведениям.
- Несанкционированного изменения сведений или подмены информации. Вследствие этого фирма теряет свою репутацию, положительный имидж. Как результат – финансовые убытки.
- Кражи или получение доступа к конфиденциальным материалам, секретным разработкам или техническим материалам. Злоумышленники могут не только исказить, полностью уничтожить ценную информацию, а также использовать ее личных целях. В некоторых случаях данные похищаются для последующей «перепродажи» конкурирующим организациям.
ОСНОВНЫЕ ИСТОЧНИКИ УГРОЗЫ
Практика показывает, что в условиях жесткой рыночной конкуренции не стоит доверять никому. Этот факт следует учитывать при разработке систем защиты данных на предприятии. Следовательно, при выборе комплекса мер нужно помнить, что угроза может исходить не только «снаружи», но и «изнутри». К внешним принято относить конкурирующие организации, которым требуются определенные данные об организации. Ко внутренним – самих сотрудников компании. Не редки случаи, когда работники за определенное финансовое вознаграждение или по иным причинам передают важные данные о деятельности предприятия «на сторону». При этом:
- Сотрудники, стремящиеся получить, передать информацию третьим лицам, как правило, незаметно копируют необходимые материалы. Некоторые ввиду занимаемой должности имеют свободный доступ к нужным сведениям, другие используют для этого свои полномочия.
- Сторонние лица (то есть непосредственно мошенники или конкуренты) используют для хищения файлов различные программные средства: шпионские плагины, вирусные программы, ПО с измененными функциями.
Учитывая специфику рисков, способы, с помощью которых злоумышленники могут реализовать задуманное, необходимо строить систему защиты данных на предприятии не только на программном, но и аппаратном уровнях. Лишь комплексное решение поможет успешно защитить ценные сведения.
КАК ЭТО РЕАЛИЗУЕТСЯ?
Базовый элемент СЭД – документ. В рамках системы это может быть файл (например, коммерческое предложение или договор с партнером), а также запись в базе данных. Таким образом, требуется защита документов, то есть сведений, которые они в себе несут. Для этого используются программные методы, основанные на шифровании, криптографии и т.д.
Тем не менее, безопасность документов не гарантирует защищенности СЭД в целом. Такая система подобна живому организму: недостаточно защитить лишь содержимое его «клеток», нужно позаботиться о гарантированной сохранности «связи» между ними, стабильной работоспособности. Это приводит к необходимости минимизации угроз, которым подвергаются аппаратные элементы СЭД. Таким образом, требуется эффективная зашита серверам, СХД, компьютерам, активному и пассивному сетевому оборудованию.
Важно обеспечить условия, гарантирующие сохранность «связей» между аппаратными устройствами, логическими элементами и физическими составляющими системы электронного документооборота. Многие не учитывают угрозы, которые могут появиться с этой «стороны». Например, злоумышленник может скопировать или повредить информацию, организовав сбой работы оборудования или операционной системы. Вследствие этого появляется шанс работать с документами СЭД, не проникая в систему «снаружи».
Резюмируя, при разработке комплекса мер по защите данных, нужно учитывать внешние и внутренние угрозы, всесторонне рассматривать возможности искажения, хищения или получения доступа к сведениям компании.