О компании Услуги и решения Технологии Пресс-центр

 

Безопасность

 

Информационная безопасность, защита информации становится наиболее актуальной проблемой по мере развития общества в целом и бизнес-процессов в частности.

Развитие информационных технологий непосредственно связано с вопросами информационной безопасности и напрямую зависит от прогресса в области защиты информации.

Имеется ряд причин, по которым необходимо принимать соответствующие меры для обеспечения защиты информации:

  • утечка конфиденциальной информации, хищение данных, в т.ч. целых баз данных;
  • ошибки персонала/пользователей (человеческий фактор), т.е. непреднамеренные действия, приводящие к потере данных;
  • вирусные атаки, приводящие к разрушению данных при использовании Интернет-технологий;
  • сбои и отказы оборудования (каналы связи, сетевое оборудование, серверное оборудование и т.д.)

24-25 марта 2008г. в Москве прошел Первый Съезд Директоров по Информационной Безопасности (Russian CSO Summit I. http://www.cso-summit.ru/), на котором всесторонне обсуждались все аспекты темы информационной безопасности.
В частности, Алексей Раевский, генеральный директор SecurIT, говоря о внутренних угрозах, отметил: «В настоящее время вопрос борьбы с внутренними угрозами информационной безопасности (с инсайдерами) является наиболее актуальным.

В ежегодном отчете о проблемах информационной безопасности, опубликованном CSI/FBI по итогам 2007 года, проблема инсайдеров заняла уверенные лидирующие позиции, как по количеству инцидентов, так и по суммам убытков, потеснив такие традиционные виды угроз, как вирусы и хакерские атаки через Интернет. Проблема внутренних угроз важна еще и потому, что инсайдером может оказаться и лояльный, но невнимательный сотрудник, и курьер, который перевозит магнитную ленту с резервной копией в депозитарий».

Когда речь заходит об ИТ-аутсорсинге, т.е. о передаче части функций или большинства функций внешней специализированной компании, заметно сильное нежелание потенциальных заказчиков допускать внешних исполнителей к своим информационным и телекоммуникационным ресурсам — это связано с боязнью утечки конфиденциальной информации. Но при этом руководители предприятий часто забывают, что собственные ИТ-специалисты и системные администраторы имеют такой же доступ к информации и также могут нанести ущерб своей компании.
Самым распространенным мотивом кражи данных являются личные обиды сотрудников на руководство компании. Некоторые аналитики пришли к мнению, что рассерженные сотрудники, а также бывшие сотрудники компаний, сохранившие по каким-то причинам авторизованный доступ к корпоративной информации, гораздо опаснее хакеров.В большинстве случаев отношения ИТ-специалистов с руководителями компании очень слабо формализованы и зачастую ограничиваются общим положением об ИТ-отделе. Как следствие, весьма велик риск ситуации, при которой с провинившегося сотрудника «нечего взять». 
В то же время при заключении соглашения на аутсорсинг все возможные проблемы, включая финансовую ответственность в случае причинения ущерба, получают соответствующее юридическое описание. 
Сегодня все требования по безопасности, включая соблюдение конфиденциальности, обязательно прописываются в договорах и контрактах на оказание ИТ-услуг и, безусловно, соблюдаются всеми компаниями-аутсорсерами. 
Утечка информации, допущенная компанией-аутсорсером, — это большие репутационные потери и прямые убытки для нее. Кто после этого будет с такой компанией работать?         Иногда необходимо также получение форм допуска для специалистов компании-аутсорсера, что увеличивает ответственность поставщика услуг.

Что касается непреднамеренных ошибок персонала компании-аутсорсера, то, как правило, персонал в таких компаниях, в силу их профильности, обладает более высокой квалификацией, нежели персонал заказчиков.  При этом поставщик услуг предоставляет комплексное решение, беря на себя целый ряд рисков (увольнение или болезнь сотрудника) и административных процедур (подбор, переподготовка персонала, прием на работу и т. д.).

Что касается вирусных атак, которые могут возникнуть при взаимодействии с общедоступной сетью Интернет, то платформа мейнфрейм в силу своей архитектуры и структуры невосприимчива к вирусам, легко поражающим персональные компьютеры и локальные сети, включая и серверы открытых систем. Операционная среда Линукс также в свою очередь защищена от воздействия вирусов.

Если говорить в целом о мероприятиях, направленных на организацию безопасности, то необходимо выделить следующие компоненты:

  1. средства собственной внутренней безопасности компании-аутсорсера — внутренние регламенты хранения, передачи и обновления системных паролей высокого уровня, соблюдение полномочий персонала, разграничение прав доступа и т.д;
  2. средства физической защиты — круглосуточная охрана территории, контроль доступа на технические площадки, пропускная система и т.д;
  3. организационные меры и процедуры, направленные на обеспечение максимальной безопасности — регламенты наблюдения за безопасностью и реагирования на угрозы, организация работы с хранилищами конфиденциальной информации и т.д;
  4. технические средства обеспечения информационной безопасности — сетевые экраны (firewall), применение приватных каналов (VPN), системы списков доступа на сетевом уровне, журналирование событий и постоянный мониторинг, технические средства повышения надежности хранения данных в дисковых массивах и системах резервного копирования.

Отдельно надо отметить существующие в мейнфреймах семейства zSeries мощнейшие функции обеспечения безопасности данных, реализованные как на программном, так и на аппаратном уровне. Для обеспечения безопасности данных мейнфреймы семейства zSeries содержат встроенный аппаратный программируемый криптографический адаптер, позволяющий выполнять SSL-операции и операции шифрования с открытым ключом.                                                                                                        

Политика безопасности «ВЦКП-Телеком» оформлена в виде отдельного документа,  предоставляемого заказчику. В этом документе  отражен весь комплекс организационных мероприятий и технических средств, с помощью которых обеспечивается информационная безопасность. По требованию заказчика мы готовы обеспечить любой уровень защиты информации.

Ссылки по теме:

 

Компания APLANA software services (http://www.aplana.ru)

Экспресс Электроника №5 IT-аутсорсинг: страхи и переживания

Автор: Александр Лось Дата публикации: 9 июня 2007 г.

http://www.aplana.ru/news/fullpublication.asp?id=219

 

Компания IBS DataFort (http://www.datafort.ru)

Экспертиза > вопросы и ответы > раздел «информационная безопасность»

http://www.datafort.ru/content/rus/rubr71/rubr-713.asp

Миссия
Контакты
Партнеры
Клиенты
ИТ-Аутсорсинг
Виды услуг
Безопасность
Linux-технологии
Техника ВЦКП
Преимущества мэйнфрейма
Новости
Мероприятия
Материалы