• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

А.Прокудин: Защита определяется угрозами

Разные компании находятся на разных уровнях борьбы с утечками конфиденциальной информации. Эксперты «ИКС» выделяют как минимум три таких уровня.

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 3.

? «ИКС»: Какова специфика предотвращения утечек информации для госсектора, крупных коммерческих компаний, SMB? Каков "базовый" и "дополнительный" пакеты средств защиты от утечек и организационных мер для каждого сектора?

Алексей Раевский, генеральный директор, Zecurion: Для госсектора (если речь не идет о защите гостайны, там свои требования) и крупных коммерческих компаний, в принципе, рецепты защиты от утечек схожи. Для предприятий госсектора характерен более формальный подход, для них главное – чтобы их не наказали за несоответствие правилам и стандартам. Случится у них утечка или нет – зачастую никого не беспокоит. Поэтому госсектор делает упор на организационные меры, на принятие внутренних инструкций и политик. Системы предотвращения утечек они практически не используют, даже если и закупают. Предприятия крупного бизнеса имеют выделенную ИБ-службу, которой надо показывать, что они не зря едят свой хлеб. Поэтому для них важно поймать инсайдера, сливающего информацию или раскрыть схему хищения денег внутри компании, и они более охотно рассматривают различные технические средства контроля каналов утечки и более активно их используют. Предприятия среднего и малого бизнеса чаще всего не имеют выделенного бюджета на ИБ и ИБ-службы, вопросами информационной безопасности у них занимается ИТ-подразделение, причем по остаточному принципу. В связи с этим там либо вообще вопрос предотвращения утечек не рассматривается, либо решается какими-то менее специализированными и подходящими для этого средствами.

Сергей Середа, руководитель проектов, «Энергодата»: Предприятия и организации государственного сектора в плане информационной безопасности отличаются от коммерческих тем, что охраняемая в госсекторе информация относится, в основном, к категориям: «персональные данные», «для служебного пользования» и «государственная тайна», а также, для медицинских учреждений, «врачебная тайна». В коммерческих же компаниях объектом защиты являются в основном «персональные данные» и «информация, относящаяся к коммерческой тайне», а также такой правовой суррогат, как «ноу-хау», фактически дублирующий коммерческую тайну. При этом речь идёт лишь о статистическом распределении – в общем случае как в госсекторе, так и в коммерческих компаниях может обрабатываться информация любой категории.

В плане организации предотвращения утечек представляется, что в госсекторе в большей степени применяются меры принуждения, в то время как коммерческие компании обладают в этой области «большим простором для манёвра». Аналогично, в госструктурах выше степень формализма при регулировании процессов обработки информации ограниченного доступа.

В то же время, modus operandi крупных коммерческих компаний в ряде случаев ближе к таковому в госсекторе, чем в секторе SMB. Это, как нам представляется, связано с большой штатной численностью персонала и территориальной распределённостью крупных компаний, а также высокой ценой утечки и высокими рисками, связанными, в том числе, с известностью компании широкой публике. В то же время компаниям, относящимся к SMB, в силу относительно небольшой численности работников, как правило, удаётся (если, конечно, такая цель ставится) придерживаться индивидуального подхода при решении кадровых и организационных вопросов, а также в значительной степени неписанных правил корпоративного поведения. В данном случае при сравнении крупных компаний и SMB кажется уместной аналогия с небольшим городком и мегаполисом.

Исходя из сказанного выше, для госструктур «базовый пакет» средств защиты от утечек будет включать развитое организационное обеспечение (правила, положения, регламенты, приказы и т.п.), систему физического контроля доступа, а также набор средств защиты информации, соответствующий категории защищаемой информации. В случае информации для служебного пользования это может быть уже упоминавшийся набор из средств парольной аутентификации, антивируса и брандмауэра. Для случаев обработки более чувствительной информации, например, относящейся к коммерческой тайне, желательно использовать средства беспарольной аутентификации и средства криптографической защиты информации. А при обработке персональных данных и, тем более, информации, относящейся к государственной тайне, требуется полный набор средств аутентификации, криптографической защиты, мониторинга, аудита и т.п., согласно требованиям соответствующих нормативных документов.

Для крупных коммерческих компаний «базовый пакет» будет схожим с госсектором, за исключением того, что в него должны включаться средства беспарольной аутентификации и шифрования, а в «дополнительный пакет» могут входить такие средства как DLP-системы, IDS/IPS, IRM, ESM/SIEM и т.п.

Что же касается компаний SMB, то для них «базовый пакет» будет включать в большей степени технические меры и средства: парольная (а лучше - беспарольная) аутентификация, динамическая антивирусная защита, брандмауэр, по возможности – средства криптографической защиты информации. «Дополнительный пакет» будет включать проработанное организационное обеспечение защиты информации, а также более развитые технические средства – скорее всего DLP и ESM.

Александр Санин, коммерческий директор, Аванпост: Разные категории компаний, естественно, стоят на разных уровнях развития процесса борьбы с утечками конфиденциальной информации. В реалиях российских компаний я бы выделил условно три уровня.

Низкий/нулевой – в эту категорию попадает почти целиком сегмент SMB, за редкими исключениями, а также практически все компании, в которых не сформирована служба ИБ или не выделены отдельные сотрудники из числа службы ИТ, отвечающие за информационную безопасность. Как правило, в таких компаниях практически не применяются специализированные системы защиты информации, по причине их не малой стоимости.

Средний – к данной категории компаний можно отнести частично компании госсектора (которые по ряду причин, обычно финансового характера, еще не перешли на следующий уровень, но и уже переросли предыдущий), а также компании с количеством сотрудников до 500 человек. Для таких компаний характерно использование базового набора средств и систем защиты конфиденциальной информации – антивирусное ПО, обновления безопасности, системы контроля портов ввода/вывода, работа с черными списками приложений, IDS/IPS. Но говорить о полноценном и комплексном подходе к управлению рисками утечки конфиденциальной информации в данном сегменте не приходится.

Высокий – самый немногочисленный класс компаний, которые внедрили или внедряют комплексные меры по предотвращению утечек конфиденциальной информации как технического, так и организационного характера. У подавляющего числа компаний из данного сегмента в обязательном порядке, помимо базовых систем безопасности, стоят системы класса DLP, в ряде случаев - системы класса IDM, внедряются либо внедрены методы усиленной аутентификации, применяются системы контроля мобильных устройств класса MDM и другие. Кроме того, именно в данном сегменте компаний применяется или планируется к применению комплексный подход, когда к защите подключаются организационные меры, такие как обучение и повышение осведомленности.

Вячеслав Медведев, старший аналитик, DrWeb: В общем и целом специфики нет. Люди везде одинаковы. С ростом компании и прибыли увеличивается возможность выделения адекватных средств на меры защиты и персонал, необходимый для служб ИБ и ИТ. Достаточно часты ситуации, когда компании, состоящие из считанного числа сотрудников, владеют важной для конкурентов информацией – но они не имеют адекватного важности информации количества средств на ее защиту. Достаточно только заглянуть в 17-й и 21-й приказы ФСТЭК, перечисляющие необходимые меры защиты. Только для защиты от вредоносных программ нужны помимо самого антивируса системы контроля целостности системы, контроля доступа, файрвол, система защиты от DdoS-атак, бекап. И это помимо систем защиты от утечек, SIEM и ид. Что из этого не нужно для ИБ?

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: Набор средств защиты определяется исключительно после понимания угроз, которые висят над организацией и ее информацией. Если угроз нет или информация ничего не стоит, средства защиты не нужны.

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Возможности предотвращения утечек информации для госсектора во многом определяется зрелостью компании к восприятию решения, осознанием рисков и бюджетом. Если говорить о SMB, то первоочередным вопросом является уровень системного администратора, которого может позволить себе компания. К базовому уровню смело можно отнести антивирусную защиту, резервное копирование, межсетевое экранирование. Усиленная авторизация, криптозащита каналов связи и данных, анализ уязвимостей и пр. – традиционные составляющие дополнительного пакета. Вместе с тем, в госсекторе нельзя преувеличить требования регуляторов, зачастую выходящие за рамки базового уровня мер безопасности.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Последствия от утечки информации имеют большое значение для компаний различных секторов и масштаба. В государственных структурах они носят скорее репутационный характер в отличие от крупных коммерческих структур, повышенный интерес к которым злоумышленники проявляют из-за возможности вывести значительные суммы. Предприятия малого и среднего бизнеса также попадают в зону риска. Их обороты не столь значительны, но в этом и опасность. Они менее защищены, и попадание информации в руки мошенников может быть фатальным для таких небольших предприятий. Набор базовых и дополнительных средств защиты для контроля над информационной безопасностью зависит даже не от специфики деятельности компании, а от того, насколько правильно руководство проанализирует риски и классифицирует обрабатываемую информацию с точки зрения возможного ущерба. Проще это сделать, конечно же, в серьезных коммерческих структурах, где любая информация традиционно имеет владельца, а для самих данных установлена, скажем так, «цена». Следовательно, проще выстроить работающую систему защиты и выявить каналы утечки, если это все же произойдет.

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Специфики нет – ценная информация есть везде. Угрозы также везде одинаковые. Разница только в финансовых средствах, которые могут быть потрачены на борьбу с утечками информации. У крупного корпоративного заказчика таких средств больше, и возможный выбор защитных мер существенно шире. Компании SMB-сектора обычно ограничивают все свою безопасность одним межсетевым экраном на периметре, антивирусом на рабочих местах, антиспамом на почтовом сервере и средствами контроля действий сотрудников в интернете; зачастую большинство этих средств бесплатны. Говорить о целенаправленной работе по обеспечению своей информационной безопасности в малом бизнесе не приходится – там просто нет адекватных специалистов в этой области.

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Специфика есть у каждой компании, поскольку процессы движения информации в каждой организации уникальны. В зависимости от отрасли могут меняться требования регуляторов, но, в общем, они направлены на наличие каких-то систем контроля, которые бесполезны, если не определено, что нужно контролировать. Базовый, но в целом бесполезный пакет – наличие инструмента контроля передачи данных, блокирующий пересылку определенного типа информации. Однако если компания не понимает бизнес-контекста передачи своих данных, –  такой пакет только навредит из-за ложных срабатываний. Нет никаких простых решений в борьбе с утечками.

Подготовила Лилия Павлова