Юрист информационной безопасности

Специалист по информационной безопасности

Специалисты по информационной безопасности принимают непосредственное участие в создании системы защиты информации, ее аудите и мониторинге, анализируют информационные риски, разрабатывают и внедряют мероприятия по их предотвращению.

В их компетенцию также входит установка, настройка и сопровождение технических средств защиты информации. Специалисты по безопасности обучают и консультируют сотрудников по вопросам обеспечения информационной защиты, разрабатывают нормативно-техническую документацию. Эта должность возникла на стыке двух направлений информационных технологий и технологий обеспечения безопасности. Без сотрудников по информационной безопасности сегодня не могут обойтись ни коммерческие структуры, ни ведомственные организации, такие как ФСБ

Особенности профессии

Эта профессия возникла на стыке двух направлений: информационных технологий и технологий обеспечения безопасности. Без сотрудников по информационной безопасности сегодня не могут обойтись ни коммерческие структуры, ни ведомственные организации. Специалисты создают системы защиты для конкретных предприятий, защищают локальные компьютерные сети от вирусных атак или взлома хакеров. Они предотвращают утечку важной информации, подлог данных и некомпетентность (злой умысел) собственных сотрудников. В государственном масштабе специалисты по информационной безопасности создают системы защиты стратегической информации по обороноспособности страны, формируют секретные базы данных, сохраняют тайну ядерного чемоданчика.

Плюсы и минусы профессии

К плюсам профессии можно отнести:

  • востребованность на рынке труда, так как сфера информационной безопасности стремительно развивается, а значит, спрос на специалистов в этой области будет постоянно расти;
  • высокая оплата труда;
  • возможность освоения самых передовых технологий защиты информации;
  • возможность посещать конференции и семинары;
  • общение с разнообразными специалистами, возможность завязать полезные связи.
  • высокая ответственность, так как приходится отвечать за сохранность всей информации компании;
  • возможны частые командировки.

Место работы

В организациях различных форм собственности, имеющих собственные компьютерные сети и нуждающихся в сохранении корпоративных сведений и важной коммерческой информации.

Важные качества

Коммуникабельность и умение работать в команде. Создание и наладка систем защиты — это коллективная работа нескольких специалистов: руководителя защищаемой компании, аналитика, проектировщиков систем, программистов. Ко всем нужно найти подход и суметь поставить задачу понятным для них языком.

Где учиться на Специалиста по информационной безопасности

Высшее образование:

Предлагаем вам ознакомиться с нашим перечнем ВУЗов информационных технологий (IT).

Специалист по информационной безопасности должен знать все технологии среды WEB, а также понимать способы взламывания доступов и повреждения сетей и проектов.

Оплата труда

Диапазон зарплат на 14.08.2018

Уровень оплаты труда специалиста определяется благосостоянием компании, перечнем должностных обязанностей, опытом работы по специальности, уровнем развития профессиональных навыков.

Ступеньки карьеры и перспективы

Сама по себе эта позиция уже является одной из высших ступеней карьерного роста в сфере IT, выше только должности начальника отдела или департамента информационной безопасности. Начать карьеру в данной сфере могут IT-специалисты с неполным или законченным высшим образованием, опытом администрирования средств защиты информации и операционных систем Windows или Unix. Требования работодателей к профессиональным навыкам и умениям начинающих специалистов достаточно серьезные: даже претенденты на сравнительно невысокий доход должны знать законодательство РФ по информационной безопасности, принципы работы сетей и средства криптозащиты, современные программные и аппаратные средства защиты информации, а также технологии обеспечения информационной безопасности. Зарплата, на которую могут рассчитывать молодые специалисты в столице, от 40 тыс.руб.

Следующий уровень – специалист с высшим образованием в сфере информационных технологий или защиты информации, имеющий опыт работы в сфере обеспечения информационной безопасности не менее 2 лет. Помимо этого претенденты должны иметь опыт проведения аудита и оценки рисков системы информационной безопасности, навыки разработки нормативно-технической документации по информационной безопасности, знать международные стандарты защиты информации и владеть английским языком на уровне, достаточном для чтения технической литературы. Специалисты, соответствующие вышеуказанным требованиям, зарабатывают в Москве до 80 тыс. руб.

Юрист информационной безопасности

В рамках спецпроекта «Женщины в ИБ» на вопросы редакции ответила Екатерина Старостина, руководитель образовательной программы «Кибербезопасность в новой информационной среде» в Московском политехническом университете; куратор образовательной программы «ИТ-коммерция» в ИТ-колледже МИРБИС; партнер по развитию детской школы программирования Coddy School.

В 2013 году Екатерина получила премию Security Awards-2013 «Женщина в Информационной безопасности». Учредители премии – оргкомитет INFOBEZ-EXPO.

– Как вы пришли в профессию?

– Наверное, профессия сама меня выбрала, но это не точно (смеется). А если серьезно, то я закончила МИФИ. В 2000–2005 годах еще было направление «БЮ», которое негласно звучало как «юрист по информационной безопасности». А по сути, выпускали юристов государственно-правовой специализации с уклоном на защиту всех видов охраняемой законом информации. В то время мне было интересно заниматься правовыми вопросами в части, касающейся компьютерной преступности. Я активно писала на различные темы статьи, такие как «Понятие и российская политика регулирования информационных войн в системе Интернет», «Новая система страха – кибертерроризм», «Право как спасение от спама», «Безопасность информационных технологий», «Пути совершенствования законодательной системы в борьбе с кибертерроризмом в России и за рубежом» и другие. Как несложно догадаться, тема кибертерроризма увлекла меня, когда я была еще студенткой. Поэтому на защиту диплома я шла не только с выпускной работой, но и со своей первой книгой «Защита от компьютерных преступлений и кибертерроризма: вопросы и ответы» издательства «Эксмо». Тогда мне казалось, что это очень круто. Защитилась на отлично и поступила в аспирантуру МИФИ, соискателем.

– Несмотря на то что женщины активно занимаются «мужской» работой, гендерное разделение в бизнес-среде очень сильное. И среди экспертов по информационной безопасности редко можно встретить женщину. Как воспринимают окружающие, когда вы говорите, кто вы и чем занимаетесь?

– Если человек не из профессионального круга, то обычно удивляется. Потом задает вопрос: «Это про компьютеры, да? Антивирусы и вот это вот все?» Я улыбаюсь, говорю: «Ну и это тоже». Коллеги же из безопасности сейчас не удивляются ничему: женщин на поприще ИТ и ИБ достаточно много. Этот стереотип, скорее, еще существует для людей из других профессий, за рамками ИБ-среды.

– Как вы думаете, сфера ИБ больше мужская, чем женская?

– Все зависит от направления. Как мы знаем, при желании женщине можно быть и космонавтом, только мужчин там больше почему-то, и в разы. Среди машинистов электропоездов женщин тоже нет, вальщик леса, боцман – все не женские профессии. А специалист в сфере информационной безопасности уже давно не мужская сфера. Конечно, тут тоже есть риск. Риска для здоровья и жизни самого специалиста, может, и нет, а вот для компании – море. Минимизация же рисков ложится на плечи команды в сфере ИБ. Насколько грамотно подобрана такая команда и есть ли там женщины – все индивидуально и на усмотрение руководителя этой команды. Хотя все чаще на месте руководителя оказывается женщина! Знаю, что далеко не всем мужчинам нравится работать под управлением противоположного пола, но что делать. As Is. (англ.).

Мы приглашаем рекламодателей принять участие в спецпроекте второго номера журнала «Современные ЦОД и их защита». Материалы в номер принимаются до 9 апреля.

Информационная безопасность

Информационная безопасность

Современный бизнес завязан на информацию. Она протекает через все этапы бизнес-процессов: создаётся, накапливается, обрабатывается, передаётся.

Компьютерная техника и сети дали нам удобный инструмент для работы с информацией, повысив эффективность обработки до немыслимых раннее значений. Однако вместе с переносом информации с физических носителей в сети появились и новые угрозы безопасности, если ранее достаточно было обеспечить сохранность носителей и средств их обработки, то в эпоху терабайтных хранилищ, гигабитных сетей и электронных денег преступники могут находится на другом континенте и успешно нападать на иностранные компании, вызывая сбои в работе и шантажируя руководство бесконтрольным распространением конфиденциальной информации.

Быстрее всего информатизация происходит в областях, где обрабатывается критически важная информация — финансовый сектор, менеджмент, юридический сектор, делопроизводство, архивное дело. С каждым годом растёт доля атак, проводимых легальными пользователями информации внутри компании. В первую очередь это связано с низким порогом входа для таких действий. За 3000 рублей сотрудник может купить внешний жёсткий диск и после нескольких часов чтения статей в интернете скопирует из незащищённой сети всю ценную информацию. Что даст такому нарушителю возможность шантажировать руководство, а то и просто выложить конфиденциальные данные в открытый доступ. Доказать вину в таком случае практически невозможно. Нередки случаи распространения информации по неосторожности или в результате недостатка знаний и опыта.

Особенно опасен саботаж, когда в середине производственного цикла нарушитель вносит изменения в данные, результатом этого становится срыв заказов или неверные управленческие решения.

К сожалению нередки случаи когда область информационной безопасности существенно отстаёт от информатизации процессов, ставя под угрозу стабильность, репутацию, активы компании. Особенно это актуально во время бурного роста, когда инфраструктура обработки данных растёт хаотично, принимаются новые сотрудники, осваиваются новые направления деятельности. При этом собственной службы безопасности нет, а программные продукты используются с настройками по умолчанию, слабыми паролями, без разграничения ролей пользователей и аудита безопасности.

Компания «БИЗНЕС-ЛАЙН» предоставляет услуги в области обеспечения информационной безопасности.

Мы можем предложить Вам как простые, базовые элементы, инструменты информационной безопасности, которые позволят закрыть конкретные каналы утечки, обеспечить прозрачность операций, надёжное резервирование данных, каналов связи или обучить сотрудников противодействию нарушителям. Так и комплексные услуги, включающие в себя тщательный анализ, разработку документации, закупку, монтаж, настройку, внедрение средств безопасности, обучение персонала, дальнейшее обслуживание и модернизацию системы.

Более подробно направления работы описаны в подразделах. Если Вы не нашли информации, которую искали или у Вас есть дополнительные вопросы, просим связаться с нами через форму обратной связи. Мы обязательно Вам перезвоним.

Информационная безопасность,комплексная защита информации — насколько актуальны сегодня эти вопросы?

Автор: К. Засецкая

Информационная безопасность, комплексная защита информации — насколько актуальны сегодня эти вопросы?

Принятый в июле 2006 года Федеральный закон «О персональных данных» № 152 ФЗ (далее — закон № 152 ФЗ) по прежнему вызывает множество споров и вопросов у юристов, сотрудников служб безопасности, сотрудников ИТ-подразделений и особенно у руководства компаний. Главный вопрос: надо ли что-то делать нашей компании? И если делать, то что?

Закон № 152 ФЗ определил, что оператором персональных данных является, по сути, ЛЮБАЯ компания, так как в каждой компании есть как минимум персональные данные ее учредителей и руководства. Помимо этого, как правило, всегда есть штат сотрудников, которые при оформлении на работу также предоставляют свои персональные данные. Впоследствии постоянно ведется их обработка, эти данные используются при передаче информации в налоговые органы, фонды медицинского и пенсионного страхования, при расчете заработной платы и т. д. Таким образом, каждая компания на территории Российской Федерации обязана выполнить ряд мер по обеспечению защиты обрабатываемых персональных данных.

С чего же начать? В соответствии с требованиями закона № 152-ФЗ все информационные системы персональных данных, введенные в эксплуатацию до 1 января 2010 года, должны быть приведены в соответствие с действующими требованиями по обеспечению безопасности к 1 января 2011 года. На сегодняшний день требования по обеспечению безопасности персональных данных устанавливаются следующими основными документами: Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями);

Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности Российской Федерации (ФСБ), Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 05 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

Трудовой кодекс Российской Федерации. «Глава 14. Защита персональных данных работника». Также ведутся разработки отраслевых требований (например, банковская, медицинская, страховая сферы), и пока что не принято решение, смогут ли коммерческие структуры руководствоваться именно отраслевыми требованиями, а устанавливаемые государством останутся обязательными только для госструктур, для остальных организаций будут носить рекомендательный характер. Тем не менее этот вопрос касается в основном детальных технических требований, обязанность же по обеспечению защиты персональных данных не снимается, и выполнять ее необходимо уже сегодня.

В первую очередь в компании должен быть выполнен ряд организационных мер, направленных на защиту персональных данных. Обязательно должно быть введено в действие положение, регламентирующее основные вопросы обработки и защиты персональных данных, а также устанавливающее ответственность сотрудников за несоблюдение требований. Помимо этого, необходимо определить перечень обрабатываемых персональных данных и цели их обработки, а также персонал, допущенный согласно своим должностным обязанностям к этой обработке. При этом целесообразно определить, всем ли сотрудникам, на данный момент допущенным к персональным данным, действительно для выполнения работы необходим такой доступ, или же можно сузить этот круг лиц. Для документов, содержащих персональные данные на бумажных носителях, также необходимо выполнить ряд мер, направленных на обеспечение безопасной обработки и хранения персональных данных. В целом для персональных данных, обрабатываемых в компании, обязательно должна быть разработана модель угроз, оценивающая, какие из существующих угроз актуальны для каждой отдельной компании и как эти угрозы могут быть реализованы. Также должны быть определены цели, средства и методы по созданию системы защиты персональных данных, охватывающие как организационные, так и технические требования.

Выполнение организационных мер по защите персональных данных не влечет за собой чрезмерно высоких затрат, однако позволяет организации проконтролировать и несколько упорядочить бизнес-процессы, регламентировать работу сотрудников, выполнить требования законодательства и улучшить свою производительность. Но хочется отметить, что даже для выполнения только организационных мер компаниям желательно обращаться в организации, специализирующиеся на предоставлении услуг в области информационной безопасности, в частности на защите персональных данных. Это гарантирует руководителям компаний, что работа будет выполнена профессионалами, в срок, с надлежащим качеством, более того, немаловажно, что работы будут выполняться сторонними людьми, что позволит получить непредвзятую оценку текущего состояния дел в компании.

Одним из основных вопросов для руководителей компании всегда было, как обеспечить защиту стратегически важной информации от своих же сотрудников, как не допустить утечки информации к конкурентам. Ответ на вопрос на самом деле очевиден: необходимо обеспечить сотрудникам условия, исключающие желание ненадлежащего использования информации. На этапе приема человека к себе в команду желательно удостовериться в его надежности, запросить рекомендации с прежних мест работы, оценить причины предыдущих увольнений, а также целеустремленность человека и его потенциальную пользу для компании. В дальнейшем же для минимизации угрозы инсайда необходим постоянный контроль за настроением и качеством работы персонала, необходимо проводить корпоративные тренинги и беседы, позволяющие лучше оценить отношение сотрудников к своим задачам, выявить возможные факторы, вызывающие недовольство сотрудников, и устранить конфликты еще до момента их возникновения. Также для решения описанных задач и повышения безопасности информации, обрабатываемой в компании, необходимо использование соответствующего программного обеспечения, позволяющего вести контроль за деятельностью сотрудников. В данном случае рекомендуется использовать системы мониторинга, позволяющие проконтролировать использование информационных ресурсов сотрудниками компании, а также желательно внедрение систем, позволяющих исключить (либо сильно усложнить) несанкционированное хищение информации, передачу информации за пределы компании, использование информационных ресурсов
не по назначению. В данном случае желательно применение в совокупности организационных и технических мер по защите информации.

Никогда нельзя забывать о необходимости обеспечения надежной защиты информации, утрата которой может нанести вред компании как финансовый, так и репутационный. Как уже было сказано ранее, необходимо минимизировать угрозы инсайда, но также нельзя забывать и о возможных угрозах с внешней стороны (конкуренты, партнеры и т. д.). Особенно этот вопрос актуален сегодня, когда все больше информации для повышения работы передается в публичные сети, все более распространенной становится работа посредством публичных ресурсов. Согласно проводимым исследованиям, ежегодно растет количество DDoS-атак (Denial of Service, отказ в обслуживании), совершаемых на различные сайты в сети, атак, направленных на выведение из строя вычислительной системы, когда пользователи системы не смогут получить доступ к ресурсам системы. При этом растет не только частота атак, но и увеличивается их мощность.

Для обеспечения защиты информации возможно использова ние средств обнаружения и блокировки атак, построение многоуровневой защиты. В компании для обеспечения надежной защиты информации должна быть разработана и внедрена определенная политика информационной безопасности, регламентирующая основные вопросы использования информации, мер по защите, а также ответственности персонала за ненадлежащее использование данных. Для выполнения устанавливаемых политикой требований необходимо также применение технических мер защиты, о которых говорилось ранее. Одним из вариантов обеспечения безопасности информации возможно применение решений компании Arbor, которые позволят:

  • обеспечить доступность бизнес-приложений;
  • повысить эффективность функционирования сети путем моделирования и оптимизации транспортных потоков, мониторинга состояния и загрузки сетевых узлов и интерфейсов.

Однако независимо от выбора тех или иных мер защиты информации, от затрат на организационные и технические меры необходимо помнить, что обязателен контроль за выполнением установленных в компании требований, а также регулярная оценка актуальности используемых средств и методов по защите информации, представляющей для компании ценность.

*Ксения Засецкая, инженер направления информационной безопасности департамента системной интеграции

Информационная безопасность в организации: реализация на практике

Информационная безопасность в организации: реализация на практике

Люди, выстроившие свой бизнес, обычно прекрасно умеют считать деньги. Они точно знают стоимость материальных ресурсов, будь то оборудование, недвижимость или сотрудники. И им понятно, что они могут потерять в случае, если один из ресурсов будет недоступен или некорректно использован. Однако зачастую упускается из виду такой обыденный в сегодняшнем мире ресурс, как информация. Этот ресурс обладает стоимостью, как и любой другой, но редко какой руководитель считает ее в рублях, долларах или иной денежной единице. Мы понимаем, сколько стоит потерять классного специалиста, участок под застройку, уникальное оборудование. А сколько стоит потерять хорошую бизнес-идею?

Наверняка многие руководители сталкивались с ситуацией, когда ваши конкуренты выпускают похожий продукт чуть раньше намеченного вами срока выхода на рынок, когда неинтересный никому, кроме вашей компании, участок земли неожиданно покупает другая компания, когда увиденная нами возможность уходит буквально из-под носа. Такие «неслучайные случайности» найдутся в чулане у каждого руководителя. Действительно, зачастую это может произойти случайно. История развития науки, техники, технологий знает много примеров, когда похожие гениальные идеи приходили в умы совершенно разных, порою даже незнакомых друг другу людей. Сегодня повсеместно такое встречается и в бизнесе. Согласно данным исследований некоторых агентств, в 2015 году количество инцидентов только кибератак в России увеличилось на 38% относительно предыдущего года! Как следствие, инциденты повлекли за собой двукратное увеличение финансовых убытков потерпевших компаний.

В настоящее время актуальность вопроса защиты информации уже не составляет сомнений: информацию защищать нужно, но порой возникают трудности в понимании: для чего и от кого?

Жизненный опыт показывает, что чаще всего основным фактором, порождающим подобные ситуации, является банальная утечка информации из компании. Источниками утечки могут быть:

во-первых: наши же сотрудники, которых мы считаем лояльными и преданными делу

во-вторых: неправильное построение бизнес-процессов обработки и передачи конфиденциальной информации

в-третьих: важная информация может быть вообще не определена в компании как закрытая или конфиденциальная

и в-четвертых: отсутствие системы защиты информации или неэффективность имеющейся.

Что нам дает определение источника утечки? Возможность решить эти проблемы. Раз это не «перст судьбы» или «его величество случай», значит с этим можно и нужно работать.

После того, как руководитель компании принял решение об усилении защиты информации в компании, встает вопрос о содержании в своем штате специалиста по информационной безопасности. Но зачастую руководство компании решает доверить решение таких проблем системному администратору. Тут же возникает конфликт интересов, поскольку компетенции специалиста по информационной защите иные и он в том числе должен контролировать деятельность сотрудника, занимающегося ИТ-обеспечением. Представьте, если замкнуть обе функции на одном человеке, то получится что он сам занимается информатикой, сам себя оценивает и проверяет.

Но с поиском высококвалифицированных специалистов могут возникнут сложности – ситуация на рынке труда сейчас такова, что профессионалов в области информационной безопасности – единицы, и поэтому они – драгоценные кадры.

В таком случае одним из вариантов качественной оптимизации расходов на защиту информации в компании можно считать аутсорсинг информационной безопасности.

Аутсорсинг – всем известное понятие, когда компания передает часть бизнес-процессов на исполнение третьему лицу по договору или иному соглашению. Это позволяет снизить затраты на содержание персонала, занимающегося вопросами обеспечения безопасности, на их обучение и постоянное повышение квалификации, на необходимость закупки специфичного оборудования, его монтажа и дальнейшего технического сопровождения, на решение вопросов с контролирующими органами данной сферы и т.д.

Мы часто сталкивается с таким мнением, что выстроить в компании эффективно работающую систему защиты информации и управлять ею в дальнейшем, это очень долго и дорого. Соглашусь, что этим мнением пользуются некоторые игроки рынка информационной безопасности, однако при комплексном грамотном подходе мы всегда удивляем наших клиентов и партнеров высоким качеством и приемлемой стоимостью. Такснет представляет полный комплекс услуг, начиная с размещения информации на защищенных серверах, хранилищах (например, для электронной подписи), заканчивая консультативной и технической помощью. Этим снижаются затраты на:

постоянное повышение его квалификации

закупку специального оборудования и прочее

Наша компания, как интегратор систем информационной безопасности, внедряет комплекс решений в этой области:

Безопасность веб-приложений. Помогаем компаниям контролировать уровень защищенности веб-приложений. Будь то оценка приложений до ввода в эксплуатацию, либо тестирование работающих приложений.

Контроль защищенности сети. Тестируем сетевую инфраструктуру компании на возможность проникновения, устраняем слабые места с целью предотвращения хищения информации.

Безопасный доступ в интернет обеспечивается установкой специальногошлюза для защиты организаций, активно работающих с интернетом от вредоносных программ и ПО.

Безопасность электронной почты. Внедряем комплекс мер по защите электронной почты от спам-атак и вирусов, а также от взлома почтового аккаунта.

Безопасность баз данных. Внедряем комплекс мер по защите баз данных от несанкционированного доступа.

Подготовка к получению лицензии ФСБ и ФСТЭК. Оказываем консалтинговые услуги для юридических лиц, желающих получить лицензию ФСБ на работу с криптографическими средствами защиты информации или с целью их распространения конечным потребителям.

Выполнение требований ФЗ-152 о персональных данных. Выполняем полный комплекс организационных и технических мероприятий на стороне заказчика по приведению его информационной системы, обрабатывающей персональные данные в соответствии с требованиями российского законодательства.

Поставка СЗИ и СКЗИ. Поставляем программные и программно-аппаратные средства защиты информации, в том числе криптографические, для построения проектируемых или масштабирования уже эксплуатируемых систем защиты информации. Поставляемые средства защиты информации могут быть сертифицированы по требованиям регуляторов в лице ФСТЭК и ФСБ России.

Каждое решение мы разрабатываем индивидуально для каждой компании. К примеру, для небольших предприятий иногда достаточно обеспечить безопасность персональных данных в соответствии с Федеральным законом №152-ФЗ и провести разъяснительную работу среди сотрудников. Что, в принципе, может сделать каждый руководитель компании.

Но зачастую не все руководители компании имеют должное представление о том, какая именно информация должны быть защищена. Разработать комплексное решение позволяет аудит, который включает в себя следующие этапы:

совместно мы определяем, какие данные могут составлять коммерческую тайну;

формируем команду для работы – определяем ключевых сотрудников проекта (в команду могут входить: юрист, технический специалист, руководители подразделений, специалист по безопасности (высокой квалификации);

выясняем, где информация циркулирует, кто ее использует, в каких процессах, куда передается;

формируем систему защиты с учетом угроз и рисков (разрабатываем проект), рассчитываем предварительную стоимость;

определяем угрозы и выясняем риски, которые может понести организация (как правило, специалист по безопасности выявляет угрозы, определяет их актуальность, юрист и финансист определяют возможные риски);

настраиваем процесс по закупке СЗИ, определяем, какие подсистемы необходимо установить, разработать (доработать) и выявляем необходимость в переработке бизнес-процессов компании в целом;

выявляем «тонкие» места документооборота компании;

выявляем и анализируем уязвимости web-приложений, которые ежедневно используются в компании (сайт организации, электронная почта и прочее);

определяем, декларировать соответствие или аттестовать (за декларацию ответственность несет руководитель организации, за аттестат – ответственность несет орган по аттестации).

Стоит отметить, что перед началом любых подобных действий мы в обязательном порядке заключаем с клиентом договор о неразглашении конфиденциальных данных на весь срок хранения информации.

Таким образом, на основании аудита мы готовим технический проект, задание и только после этого создаем систему обеспечения информационной безопасности.

Как правило, система включает в себя мероприятия на нескольких уровнях:

Организационно-распорядительное мероприятие – выстраивание бизнес-процессов с учетом требований информационной безопасности, определение конфиденциальной информации, обучение сотрудников ее правильной обработке и передаче.

Программный и программно-аппаратный подбор и внедрение ИТ-продуктов, установка фаерволов и антивирусных программ, аппаратных комплексов для защиты USB-портов и компьютеров в целом, сетей, серверов и т.д.

Физическая защита – видеонаблюдение, пожарная сигнализация, охрана.

После постепенной реализации всех этих этапов, мы делаем тестовый прогон системы и вводим в эксплуатацию. В дальнейшем — проводим периодический аудит, вносим изменения в соответствии с обновлениями в законодательстве, учитываем развитие и рост компании-клиента, предлагаем новые актуальные ИТ-решения. Оказываем поддержку и сопровождение в том числе и при проверках органов, контролирующих соблюдение закона, например, в части защиты персональных данных (для этого наша компания имеет все необходимые лицензии Федеральной службы безопасности, Федеральной службы по техническому и экспортному контролю). Регулярно взаимодействуем с органами в рамках профессиональной деятельности.

Не стоит недооценивать стоимость информации, которой мы владеем. Особенно в рамках российских бизнес-реалий.

Информация – прекрасный материальный актив, при грамотном использовании которого можно обеспечить эффективный и высокий рост финансовых показателей и развития компании. Можно создать работоспособную систему обеспечения информационной безопасности, но появление всего одной новой угрозы может свести ее на нет. Можно «закрыть» 99% источников утечки, но оставшийся 1% делает систему открытой.

Современные инструменты защиты, постоянный мониторинг угроз позволяют решить эту проблему. Но залог безопасной работы с информацией – прежде всего в понимании ее ценности как одного из важнейших активов компании.

Поэтому стоит задуматься об обеспечении безопасности этого актива, как минимум о том, чтобы в случае его утери можно было решить вопрос о возмещении каких-то финансовых или иных потерь компании и о пресечении дальнейшей утечки информации.

Раз люди бизнеса умеют считать деньги, пора начать считать и наши информационные активы, которые иногда бывают гораздо ценнее, нежели мы можем предположить.

Эльмира Гатиятуллина, заместитель генерального директора

по информационной безопасности группы компаний «Такснет»

Это интересно:

  • Заявление на выдачу вкладыша трудовой Как правильно оформить вкладыш в трудовой книжке работника К концу трудовой деятельности многие граждане обнаруживают, что трудовая также завершается, то есть страницы в ней заканчиваются. У некоторых лиц, отличающихся особой активностью, последняя страница заполняется, когда до […]
  • Законы на кредиты в 2018 году Изменения в законе о должниках по кредитам в этом году Оформить заявку и получить ответ из банка всего за 30 минут→ Ищете данные о новом законе, который будет распространяться на должников по кредитам в 2018 году? В этой статье мы собрали всю необходимую информацию, которая может […]
  • Бланк заявление по утере птс Восстановление ПТС на авто при утере Процедура восстановления паспорта технического средства необходима при утрате вследствие кражи или собственной неосмотрительности. Во всех остальных случаях выполняется замена ПТС. Порядок восстановления ПТС Процедура по восстановлению утерянного […]
  • Официальный сайт гибдд таблица штрафов Штрафы ГИБДД 2018 года Ниже представлена таблица штрафов за наиболее частые нарушения ПДД, с которыми могут столкнуться водители. Вы можете воспользоваться формой поиска, чтобы быстро найти нужную информацию по ключу. КоАП - расшифровывается как "Кодекс об административных […]
  • Бесплатно пособие по ушу Инфо-портал. Лучший досуг для всех! Поиск по сайту Фильмы и игры скачать бесплатно Электронные книги скачать бесплатно книга "Азбука Ушу" (ушу для детей) (Подробное методическое руководство) 1 2 3 4 5 ( 9 Голоса -ов )Подробности Просмотров: 7293 Название книги: Азбука Ушу […]
  • Возврат платы в детском саду Компенсация за детский сад. Сумма компенсации за первого, второго, третьего и последующих детей в 2018 году Посещение детского сада в наше время – платное удовольствие. Иногда родителям сложно оплачивать посещение ребенком дошкольного образовательного учреждения, однако это необходимая […]
  • Где оплачивать налог на квартиру Как и где можно оплатить налог на имущество по бумажной квитанции и онлайн? Своевременная оплата имущественного налога – обязанность каждого налогоплательщика, единая для всех. Но способ оплаты, наиболее удобный для себя, граждане имеют право выбирать. Тем более сейчас такой выбор […]
  • Заявление на зачисление денег на счету Перечисление зарплаты на карту: образец заявления За свою работу персонал получает заработную плату. В соответствии с трудовым законодательством положенные деньги можно принимать не только наличными, но и на карточку. Такое право есть у любого работника. Но для этого ему необходимо […]

Author: admin