Обеспечение сохранности корпоративной информации – одно из важнейших направлений работы компании. Как защитить информационные активы предприятия от внешних воздействий, «Делу» рассказал руководитель направления информационной безопасности компании Softline Дмитрий Таран.
«Безусловно, у каждой компании - свои ценные активы. Так, например, в небольшой коммерческой организации, где все держится на руководителе - сделки, клиенты, организация работы, переговоры, главным активом является сам топ-менеджер. В случае переманивания его в другую компанию, организация, скорее всего, прекратит существование. В данном случае лучшая мера безопасности - всячески мотивировать управленца: социальный пакет, дополнительные премии, путевки, медицинское страхование и т.д. Или же для компании, занимающейся оптовой продажей бытовой химии, наибольшей ценностью будет информация по клиентам и проводимым с ними сделкам: именно эти данные необходимо максимально защищать. Например, установить антивирус, регулярно проводить резервное копирование данных, строго ограничить доступ к информации минимальному кругу сотрудников.
Итак, как же компании обеспечить сохранность корпоративной информации?
Во-первых, необходимо провести инвентаризацию активов компании: информации, информационных систем, оборудования, зданий т.д.
Во-вторых, следует проклассифицировать активы, то есть оценить, какие из них важны для компании в большей и меньшей степени.
В-третьих, оценить риски от угроз потери каждого из активов.
В-четвертых, внедрить технические и нормативно-организационные меры по защите активов, а также провести обучение сотрудников требованиям информационной безопасности.
И, наконец, в-пятых, очень важно регулярно пересматривать активы компании, риски и угрозы, связанные с ними, а также эффективность внедренных мер защиты.
С точки зрения безопасности информационных ресурсов, наиболее уязвимы компании, живущие по принципу: «пока ничего не случилось, ничего внедрять не будем». Ведь если инцидент произойдет, компания понесет финансовые, репутационные, материальные и другие потери, которые могут привести даже к прекращению работы предприятия. Конечно, руководство может наказать виновных в ЧП, но, в любом случае компания понесет дополнительные затраты на ликвидацию последствий инцидента или на внедрение мер по недопущению подобного в будущем.
Конечно, чем более защищенным ощущает себя бизнес, тем лучше, однако ресурсы компаний чаще всего ограничены. Для того чтобы найти компромисс между количеством и мощностью средств защиты и экономичностью решения, руководству компании следует заранее оценить потенциальный ущерб от инцидента, затем подсчитать затраты на внедрение мер по защите от такого инцидента и, если затраты не превышают потерь, внедряет соответствующие меры. Баланс должен соблюдаться, и не оправданно тратить ограниченный бюджет на внедрение мер безопасности для защиты некритичных активов организации».