08.02.2016
Кибербезопасность так же важна, как замок на входной двери или хранение наличных в безопасном месте. По мере того, как клиенты требуют от поставщиков безопасных подходов к хранению данных, практика соответствия международным стандартам информационной безопасности становится насущной необходимостью для бизнеса.
Однако, не обязательно быть ИТ-экспертом, чтобы улучшить защиту информации. Помочь в этом может квалификация СертИБ (http://www.cpa-rus.com/sec ), разработчики которой дают 10 простых советов:

1. Обдумайте возможные риски
Вот основа для размышления:
Кто может быть заинтересован в утечке ваших бизнес данных?
•    Ваши сотрудники (бывшие и настоящие), киберпреступники или конкуренты.
Чем вы рискуете?
•    Деньгами, оборудованием, ИТ-услугами и данными от списка клиентов до прайс-листов.
В чем риск?
•    Обычная кража (распечатали данные на принтере и вынесли), атака с удаленного сервера, атака через доступ персонала к бизнес приложениям и системам, например, к платежной банковской системе, персональным данным клиентов.
Почему к этому нужно относиться серьезно?
4 основных риск-фактора для бизнеса:
•    юридический – риск возникает при нарушении законодательных и регуляторных требований.
•    финансовый – низкий уровень управления ИБ может перерасти в риск финансовой стабильности в целом.
•    репутационный – будут ли клиенты вести с вами бизнес, если узнают что у вас крадут данные?
•    риск производительности – низкий уровень контроля и процедур обработки данных может привести к операционным издержкам и плохому качеству клиентского обслуживания.

2. Проверить соответствие законодательному регулированию
Защита коммерческой тайны регулируется ФЗ № 98 «О коммерческой тайне», который регулирует правила установления режима КТ и методическую часть организации защиты КТ на предприятии. В регулирующие коммерческую тайну издания российской законодательной системы входит также Трудовой кодекс, который регулирует отношения между работником и работодателем в контексте работы с КТ; а также Гражданский кодекс (ч.4, глава 75: регулирует взаимоотношения владельца и контрагента, право на секрет производства и меру ответственности сторон).

3. Определите ценные информационные активы
Сама по себе защита КТ на предприятии, вполне может являться (и часто является) центральным звеном в ИБ. Если чётких обоснований и доказательств финансовой ценности информации, находящейся под грифом КТ нет, то все попытки доказательства чего-либо в суде – можно смело утверждать – потерпят неудачу, потому первым и важным шагом защиты КТ должен стать полноценный анализ рисков разглашения и финансовой ценности информации / возможных убытков в случае её разглашения, а также того, кто и как ей управляет, хранит или имеет к ней доступ.

4. Главное - люди
Убедитесь, что все на предприятии понимают свою роль в поддержании информационной безопасности. Проведите инструктаж, обучение и оцените степень защиты данных и систем предприятия для сотрудников, клиентов и третьих лиц.
5. Обращайтесь к специалистам, если нужно
Решить сколько инвестировать в ИТ-решения в области ИБ поможет, если вы обратитесь к квалифицированного консультанта по ИБ. Также важно составить план, что вы будете делать, куда вы будете обращаться в случае инцидента ИБ или кибератаки.

6. Проверьте защиту
Проверьте установлены или обновляются ли антивирусы и другие решения для защиты корпоративных сетей. Проведите тестирование уязвимостей и тестирование на проникновение с помощью квалифицированных внешних экспертов.

7. Проведите инвентаризацию
Проведите инвентаризацию ИТ-оборудования и ПО, определите стандартную безопасную конфигурацию для существующего и закупаемого в будущем оборудования. Определите правила и частоту смены паролей.

8. Управляйте привилегиями
Проверьте привилегии и их обоснованность как пользователей, так и системных администраторов. Ограничивайте использование съемных носителей, определите правила использования мобильных устройств, облачных сервисов, социальных сетей. Используйте сертифицированное в соответствии с национальным законодательством криптографическое оборудование.

9. Соблюдайте бдительность
Мониторьте использование оборудования и ИТ-систем, храните логи активности. Обеспечьте возможность идентифицировать неавторизованный доступ к системам и вредоносную деятельность.

10. Перепроверяйте и учитесь на чужих ошибках
После того, как политики и системы ИБ установлены, важно их поддерживать и обновлять. Это означает тестирование, мониторинг на регулярной основе, контроль доступа пользователей, своевременное удаление из системы как уволившихся сотрудников так и устаревшего оборудования. А также анализ и переосмысление ИБ предприятия в свете новых угроз и меняющихся бизнес императивов.
Начните Новый Год с защиты своего бизнеса и ваших клиентов!

Все статьи