Информационная безопасность малого бизнеса: что важно знать

О том, как предпринимателям защитить информационное пространство и свои активы от угроз, сохранить конфиденциальность данных, в своей авторской колонке рассказывает независимый эксперт с 30-летним опытом работы в сфере информационных технологий Владимир Шаргин.


 

Информационная безопасность малого бизнеса: что важно знать

Предприятия малого и микробизнеса все активнее используют интернет как площадку для продвижения и продажи товаров и услуг. Одним из ключевых факторов успешного освоения онлайн-ресурсов является безопасность IT-инфраструктуры компании. 

Начнем с определения

Согласно ГОСТ Р ИСО/МЭК 27000-2012 информационная безопасность – это сохранение конфиденциальности, целостности и доступности информации. Для защиты информационных активов, то есть знаний и данных, имеющих значение для организации, применяется комплекс мер, направленных на сохранение этих ресурсов и недопущение несанкционированного доступа к ним с целью использования, раскрытия, искажения, изменения, исследования, записи или уничтожения.

В информационной безопасности два основных фактора:    
1) настройка оборудования: установка и настройка операционной системы (ОС) и программного обеспечения (ПО) на компьютеры и ноутбуки и настройка маршрутизаторов для доступа в интернет;   
2) грамотность и ответственность пользователя.

Когда бизнес идет в гору и количество компьютеров увеличивается, к первому пункту добавляется настройка межсетевых экранов, серверов или доступа к облачным ресурсам.

Настройка компьютеров начинается с выбора и установки операционной системы, если компьютер или ноутбук приобретается без предустановленной ОС. Большинство пользователей предпочитают ОС семейства Windows. Следует отметить, что устанавливать некогда всеми горячо любимые Windows XP и «семерку» в настоящее время очень опасно. Эти операционные системы сняты с поддержки, и для них не выпускаются обновления безопасности. Лучше выбрать более современную ОС: Windows 8.1 или Windows 10. Самый оптимальный на сегодняшний день вариант – Windows 10 версии 20H2. Для работы в составе компьютерной сети настоятельно рекомендую установить профессиональный выпуск операционной системы.

Почему именно установка и настройка ОС и ПО?

При обычной установке все параметры операционной системы, влияющие на производительность и конфиденциальность, остаются по умолчанию: так, как считает нужным производитель ОС – компания Microsoft. А Microsoft считает нужным получать о вас и вашей работе за компьютером как можно больше информации, чтобы показывать вам рекламу и т. п. Производительность компьютера можно увеличить грамотной настройкой ОС. В моей практике есть случаи установки и настройки ОС Windows 10 на компьютеры, приобретенные более десяти лет назад. Все прекрасно и шустро работает, для обычных офисных приложений и интернета таких возможностей вполне достаточно. После установки и настройки ОС устанавливаем и настраиваем все необходимое для работы программное обеспечение. И обязательно помним про антивирусы.

Учетная запись как фактор безопасности

«Уф! Потрудились на славу! Теперь можно спокойно работать!» – именно так думает большинство пользователей и даже некоторые IT -специалисты. Но я бы не стал так спешить, а сделал бы еще одну важную вещь, значительно улучшающую безопасность работы на компьютере.

При установке ОС используется учетная запись по умолчанию. Эта запись обладает полными правами, правами администратора, на установку и настройку ОС, ПО и драйверов устройств. Соответственно, если продолжать использовать эту же учетную запись при обычной работе, то вредоносное ПО, которое, возможно, попадет на компьютер, также будет иметь полные права на установку, настройку и удаление ОС и ПО. На компьютере кроме вас появится еще один хозяин.

Чтобы обезопасить себя от такой вероятной ситуации, нужно создать еще одну учетную запись: с ограниченными правами, правами пользователя, достаточными для работы, но без возможности установки ПО и перенастройки критичных параметров ОС. А на учетную запись администратора установить сложный пароль, который трудно подобрать или угадать, и использовать ее только для установки ПО или настройки ОС. Учетную запись пользователя, конечно же, также необходимо защитить паролем. Лучшее место для хранения всех паролей – ваша голова. Если есть сомнения – запишите пароль на бумаге и храните этот листок вдали от компьютера. Не рекомендую держать список паролей в файле на «рабочем столе». Для хранения паролей к различным сервисам (почта, личные кабинеты и т. д.) можно воспользоваться менеджерами паролей, в том числе и встроенными в антивирусы. Не путать с сохранением паролей в браузере! Так лучше не делать.

К слову, об антивирусах

В дискуссиях на эту тему сломано немало копий. Мое профессиональное мнение – лучше использовать платное лицензионное антивирусное программное обеспечение одного из лидеров антивирусных рейтингов. Причем не простую версию – «антивирус», а расширенную – «Security», с защитой онлайн-платежей и другим полезным дополнительным функционалом. Версии для юридических лиц продаются комплектами от трех лицензий и стоят в пересчете на одно устройство от 860 рублей. Хотите сэкономить – используйте бесплатные антивирусы. Только помните о том, что они не обеспечивают надежной комплексной защиты, а некоторые из них передают пользовательские данные, например, введенные при регистрации на сайте перед скачиванием бесплатной программы, третьим лицам. Все хотят зарабатывать и не упускают возможности это сделать… В случае с бесплатным антивирусом оптимальный вариант – Microsoft Defender («Защитник»), встроенный в Windows. При установке вы уже настроили ОС правильно, значит никакая информация не будет передаваться третьим лицам.

Дополнительные меры защиты от «зловредов»

В качестве дополнительной меры защиты от вредоносного ПО можно настроить правила ограниченного использования программ в локальных политиках безопасности компьютера. Запретив запуск программ из папки «Загрузка» и папок профиля пользователя, мы лишим проникшие на компьютер «зловреды» возможности запускаться и делать свои темные дела. На компьютере с настроенными таким образом правилами можно будет запустить только те программы, которые установлены в папку «Program Files» под учетной записью администратора.

Два простых шага к защите конфиденциальной информации

ОС и ПО установили и настроили, с антивирусами разобрались. По мнению руководителя, пришло время работать! Как показывает практика, не все так просто и однозначно. Часть сотрудников считает в порядке вещей в рабочее время на рабочем компьютере в соцсетях посидеть, в «танчики» поиграть и в мессенджерах пообщаться. Происходят также случаи, когда сотрудники по неосторожности или умышленно отправляют третьим лицам конфиденциальную информацию, которая совсем не предназначена тому, кому ее отправили. Например, персональные данные, условия договоров с контрагентами, ценовую политику, коммерческие предложения и другие важные данные. Последствия таких необдуманных или целенаправленных действий могут быть очень печальными. От потери выгодного контракта, если конкуренты узнают его условия, до банкротства, если кто-то из сотрудников будет постоянно «сливать» информацию на сторону.

Для выявления подобных случаев не обязательно устанавливать возле каждого монитора видеокамеру или за спину пользователя ПК ставить охранника. Достаточно выполнить два простых шага:  
- юридически грамотно оформить документы при приеме сотрудника на работу: должностные инструкции, трудовой договор и т. д. Согласно документам, компьютер предоставляется сотруднику для выполнения должностных обязанностей и работодатель оставляет за собой право контролировать выполнение сотрудником требований должностной инструкции и условий трудового договора. Само собой, нужно ознакомить сотрудника со всеми необходимыми документами под роспись;          
- установить и настроить ПО, контролирующее работу сотрудника на компьютере.

Какое программное обеспечение выбрать – зависит от задач и возможностей, в основном финансовых, в каждом конкретном случае. Выбор широк: от относительно простых и бюджетных программ до полноценных систем предотвращения утечек информации (DLP-систем). Вот лишь некоторые из них: «Скрытая камера», LanAgent, TimeInformer, «Стахановец», StaffCop, «Контур информационной безопасности SearchInform», «InfoWatch».

О важности обучающих мероприятий для персонала

Всем руководителям нужно помнить о том, что самое слабое звено в любой информационной системе – пользователь. Против вторжений социальных инженеров устоять непросто. С каждым сотрудником при приеме на работу и периодически в процессе работы необходимо проводить обучающие мероприятия о том, какие письма и вложенные в них файлы можно открывать, а какие лучше сразу удалить, по каким ссылкам можно переходить, а по каким нет. Важно разъяснить персоналу, что такое социальная инженерия и как успешно противостоять всем уловкам социальных инженеров, всеми силами старающихся заработать на доверчивых и неосторожных пользователях.

Противостояние добра и зла старо как мир. Желаю вам как минимум не проигрывать в этом противостоянии и не нести финансовых и репутационных потерь. 

Источник: PRоБизнес72



Возврат к списку

300_250.jpg

Самое читаемое

Актуальные темы