Поделиться
Эффективность ИБ: смогут ли бизнес и власть договориться?
Одновременно с ростом рынка информационной безопасности увеличиваются затраты компаний на ИБ. В этой связи обозначилась тенденция соединения усилий государства и бизнеса в вопросе эффективного и экономичного управления ИБ. Именно в этом эксперты видят резервы успешного противостояния киберкриминалу, особенно тогда, когда ИБ встроена в систему комплексной безопасности инфраструктурных отраслей экономики. Данная проблема обсуждалась на круглом столе "ИБ на страже бизнеса и госструктур", организованном CNews Analytics и CNews Conferences.Елена Шелястина: Одна из задач СЭД - сохранение информации внутри компании
На вопросы CNews ответила Елена Шелястина, директор по консалтингу компании "Летограф".
CNews: Что вы понимаете под термином "информационная безопасность?"
Елена Шелястина: Основная задача системы безопасности – обеспечить безопасность той информации, с которой вы работаете. Это задача, которая требует комплексного подхода. Решение должно содержать комплекс как технических (программные и аппаратные средства, безопасность самих информационных систем), так и организационных мер (регламенты и процедуры). Важно помнить, что подход к обеспечению безопасности должен быть всесторонним, поскольку, например, даже при хорошем уровне защиты информационной системы установленный в общем доступе принтер может быть источником потери конфиденциальной информации.
В основе любой сложной комплексной системы обеспечения ИТ-безопасности лежат простые принципы, а именно, использование ролевой модели доступа, отечественных и международных стандартов при организации систем информационной безопасности, максимальное использование встроенных механизмов безопасности, например, таких компонентов информационной системы как электронная цифровая подпись (ЭЦП), ведение системных журналов, их интеграция в рамках единой архитектуры, обеспечение надежного хранения и резервного копирования данных и анализ надежности системы, оценка возможных рисков, и комплекс мер по их предотвращению.
CNews: Как в современных условиях обеспечить защиту персональных данных?
Елена Шелястина: Эксперты отмечают, что риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. В последние два года стремительно растет интерес компаний к вопросам ИТ-безопасности. Растет круг задач, связанных как с защитой от внешних угроз, так и с защитой информации внутри компании.
Существуют хорошо разработанные государственные стандарты – требования к защищенности, которые включают в себя такие составляющие, как идентификация, проверка подлинности и контроль доступа пользователей в систему, управление потоками информации, доступ пользователей в терминалам, к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи, шифрование конфиденциальной информации, использование аттестованных (сертифицированных) криптографических средств (ЭЦП), обеспечение целостности программных средств и обрабатываемой информации, использование сертифицированных средств защиты и другие. Опираясь на эти стандарты, можно построить комплексную и надежную систему ИТ-безопасности компании.
CNews: Готовы ли современные СЭД к обеспечению защиты персональных данных? К комплексной ИБ-защите?
Елена Шелястина: Одна из задач систем электронного документооборота заключается в сохранении информации внутри компании. Современные системы электронного документооборота, и в том числе "Летограф", используют такие технологии защиты данных, как разграничение прав доступа, ЭЦП, протоколы безопасности, шифрование, резервное копирование. Предлагаемый "Летограф" подход к построению эффективной системы документационного обеспечения управления, основанный на накопленном опыте, современных стандартах управления информацией и информационных технологиях, обеспечивает автоматизацию бизнес-процессов организации в рамках единой концепции и единого информационного пространства. Система обладает многочисленными настройками, в частности гибким инструментом управления правами доступа, который позволяет пользователю видеть на рабочем столе только документы, предназначенные лично ему. При построении отчетов документы, на просмотр которых пользователь не имеет прав доступа, не попадут в отчет, даже если эти документы удовлетворяют фильтру отчетов.
В системе "Летограф" реализованы различные механизмы обеспечения безопасности информации, включающие ролевую модель доступа, возможности ограничения доступа к любому объекту системы, разграничения доступа как к объекту в целом, так и к атрибуту объекта, разграничения доступа в зависимости от этапов маршрута движения документа, грифы доступа; обеспечена поддержка ЭЦП и шифрования. "Летограф" обеспечивает контроль изменений в системе, ведение защищенного журнала всех осуществляемых действий пользователей, выбор перечня событий, необходимых для аудита, а также ведение истории изменений документа. Помимо этого, "Летограф" содержит мощную платформу, позволяющую интегрировать существующую систему безопасности с "Летограф".
Короткая ссылка
