На вопросы нашей редакции продолжает отвечать директор компании «Эффективные технологии» Георгий Белицкий, тема интервью «Защита информации в офисе».
Насколько ответственно, на ваш взгляд, относятся руководители фирм к защите информации?
По степени готовности организации к внедрению технологий информационной безопасности возможно разделить на четыре фазы (согласно оценкам Gartner Group). Каждой фазе соответствует набор технологий и продуктов для построения системы информационной безопасности, которые могут быть эффективно внедрены. Причем «эффективно внедрены» это когда: руководитель отдела ИТ (и/или ИБ) может обосновать выделение средств на их приобретение, технологии будут реально использоваться, можно просчитать эффект от внедрения.
Охота и собирательство:
- Нет выделенного бюджета на ИБ
- Для защиты информации используются только встроенные в ОС и приложения средства безопасности
Феодальная:
- ИБ = чисто техническая проблема
- Финансирование в рамках ИТ-бюджета (нет целевого финансирования)
- Используются: встроенные средства ОC, антивирусы, межсетевые экраны, VPN, SSL, средства резервного копирования и шифрования данных
На этой фазе находятся – 55% организаций
Характеристики:
- Защищаем информацию, которая хранится и передаётся, но не обрабатывается
- Наличие «островков безопасности», никак не связанных между собой, но система остаётся не защищённой
- Пользователи и руководители подразделений обнаруживают проблемы с безопасностью и пытаются их решать самостоятельно
Возрождение:
- Безопасность = организационный+ технический уровни, есть понимание на уровне руководства важности ИБ для бизнеса организации
- Выделенный бюджет на ИБ
- Политика безопасности: регламент, инструкции, CIRT
- Используются PKI, IDS, SSO
На этой фазе находятся – 10% организаций
Характеристики:
- Начинаем защищать информацию, которая обрабатывается
- Акцент защиты переносится с платформы на транзакции
- Проактивное управление безопасностью, управление рисками, предотвращение возникновения инцидентов
- Внутренний и внешний аудит ИБ
Индустриальная:
- Безопасность = часть корпоративной культуры
- Есть выделенный человек, отвечающий за ИБ (CSO)
- Выделенный бюджет
- Средства управления безопасностью, проводится анализ защищённости, отчётность
На этой фазе находится – 5% организаций
Характеристики:
- Защищаем информацию, которая обрабатывается
- Улучшение ИБ – часть бизнес-процесса организации
- Мерой эффективности ИБ является не только число предотвращённых инцидентов, но и продуктивность основных бизнес-приложений организации
- Становится возможным вычислить ROSI (коэфф.возврата инвестиций) для ИБ
В бизнес-сообществе Самары, в целом, аналогичная ситуация. Чем больше развивается компания, чем больше оперирует коммерческой или конфиденциальной информацией, тем большую потребность начинает испытывать во внедрении систем информационной безопасности.
Но, надо понимать, что информационная безопасность – это постоянный процесс и банальным приобретением какой-либо программы или средства аппаратной защиты здесь не обойтись. И здесь важны не только финансовые вливания и пожелания руководства компании, а также разработка политик, нормативных документов и безусловное выполнения их сотрудниками. Неоценимую помощь здесь окажут специально обученные специалисты и т.н. best practice – методики применения, составленные на реальных внедрениях в компаниях различной величины .
Какие системы защиты информации наиболее востребованы у самарских пользователей?
Начальный этап внедрения системы информационной безопасности обычно решает следующие проблемы: «слабые» пароли для аутентификации пользователя при входе на рабочую станцию и доступе к сети, надёжная защита от несанкционированного доступа конфиденциальной информации, хранящейся и обрабатываемой на компьютерах или ноутбуках пользователей.
Для этого на всех рабочих местах устанавливается: программное обеспечение eToken Windows Logon и USB-ключи eToken PRO для двухфакторной аутентификации пользователей при входе накомпьютер и в сеть.
На рабочих местах, где производится обработка конфиденциальной информации: программное обеспечение Secret Disk (персональная редакция).
Для усиления защищённости при работе с приложениями, требующими парольной аутентификации пользователей, используется программное обеспечение eToken Simple Sign-On.
Для усиления защищённости при работе пользователей с Web-ресурсами (например, доступе к внешнему почтовому серверу), используется программное обеспечение eToken Web Sign-On.
На следующем этапе для коллективной работы с конфиденциальной информацией, хранящейся на сервере (файловые архивы, общие папки с документами и пр.) на сервере устанавливается программное обеспечение Secret Disk Server NG с лицензией для файл-сервера. А для защиты данных бизнес-приложений (например, бухгалтерскому приложению) на сервере устанавливается программное обеспечение Secret Disk Server NG с лицензией для сервера приложений, при этом данные на зашифрованном диске (дисках) сервера могут быть сделаны недоступными по сети.
В дальнейшем возможна интеграция с используемой системой контроля и управления доступом в помещения (СКУД). В смарт-карты и USB-ключи eToken могут быть интегрированы радио-метки, а на поверхность смарт-карт могут быть нанесены логотип компании, фотография сотрудника и другая информация, позволяющая использовать смарт-карты eToken как единую карту для контроля физического и логического доступа.
Как формируется ценовая политика в данном сегменте рынка (предоставление услуг по защите информации)?
Само по себе предоставление услуг по защите информации и аудиту подобных систем является лицензируемым видом деятельности, требующим наличия как высококлассных специалистов, так и других затратных мероприятий. Поэтому подобные услуги востребованы в узком кругу бизнес-сообщества и выполняются обычно несколькими московскими системными интеграторами (например, Диалог-Наука и Информзащита), которые на местном уровне представлены партнерами, выполняющих роль агента и субподрядчика на некоторых операциях.
А вот поставка и внедрение средств информационной защиты никаких специальных лицензий обычно не требует, кроме как подготовленных специалистов и опыта работы в данном направлении. В компании «Эффективные технологии» инженерный состав постоянно проходит обучение по предлагаемым продуктам и решениям, что подтверждается наличием сертификатов о сдаче тех или иных экзаменов.
Наши клиенты должны быть уверены в том, что выбранное ими решение будет эффективно внедрено.
Примерная стоимость продуктов для информационной безопасности:
- Электронный ключ eToken PRO/32K – 1390 руб.
- Смарт-карта eToken PRO/SC – 650 руб.
- Смарт-карта eToken PRO/SC с RFID-меткой HID – 870 руб.
- eToken Windows Logon. Стартовый комплект – 3455 руб.
- eToken для Microsoft Windows 2000/XP/2003. Стартовый комплект – 5075 руб.
- Secret Disk 4. Базовый комплект – 4720 руб.
- Secret Disk Server NG для файлового сервера на 5 пользователей (одновременных подключений). Базовый комплект – 18000 руб.
- Secret Disk Server NG для сервера приложений. Базовый комплект – 38000 руб.
- eToken Web Sign-On – 1862 руб.
- Single-лицензия на DeviceLock® – 1300 руб.
