Журнал "Information Security/ Информационная безопасность" #3, 2019

В 90-е успешный бизнес был "смер- тельно опасен для здоровья", сейчас "криминала" в чистом виде стало значи- тельно меньше. Безусловно, много зави- сит от самого бизнеса. Обеспечение безопасности бизнеса включает юриди- ческую защиту организации, физическую охрану предприятия, сырья и произве- денной продукции, финансовую безопас- ность, кадровую безопасность, меро- приятия на случай чрезвычайных обстоя- тельств, обеспечение непрерывности текущих бизнес-процессов и много дру- гих аспектов. Но практически ни один бизнес на данный момент не обходится без средств автоматизации, использо- вания дистанционных каналов обслужи- вания, интернет-сервисов. В наcтоящее время мы переживаем очередной этап компьютеризации биз- неса – его диджитализацию и цифровую трансформацию. Речь идет о том, что если раньше мы просто автоматизиро- вали рабочие процессы и технологии, то теперь мы создаем совершенно новые цифровые технологии и сервисы. Сама жизнь кардинально меняется. Мы прак- тически живем в Интернете, в своих мобильных устройствах. С их помощью мы общаемся, покупаем продукты и товары, управляем своими сбережения- ми, оформляем документы, развлекаем- ся и даже иногда работаем. Нас окру- жает огромный объем доступной инфор- мации, мы практически живем в инфор- мационном океане. И с каждым годом информации становится все больше, а доступ к ней все проще и удобнее. Даже такие во многом консервативные орга- низации, как банки, все больше перехо- дят на работу в электронную среду. Боле того, сами банки видоизменяются. Они все более становятся похожими на высокотехнологичные ИТ-компании. Роль информационной безопасности в защите бизнеса По названным выше причинам роль информационной безопасности в защите бизнеса, и банковского бизнеса в том числе, также возрастает с каждым годом. Одной из задач системы инфор- мационной безопасности является защи- та данных от утечки. Давайте попробуем разобраться, насколько важна эта составляющая в общем комплексе меро- приятий по защите бизнеса. Любой бизнес связан с обработкой информации. Это могут быть бухгалтер- ские данные, данные кадрового дело- производства, данные о клиентах, использовании ими продуктов и услуг, производственные данные, маркетинго- вая информация и многое-многое другое. Но насколько важна вся подобная информация для вашего бизнеса? Отве- тить на данный вопрос зачастую доста- точно сложно. Для этого нужно оценить риски утраты или разглашения такой информации. И если утрату той или иной информации оценить проще, по сути это стоимость работ по ее восста- новлению в форме и объеме, достаточ- ных для продолжения бизнеса, то оце- нить потери от возможной утечки и раз- глашения информации очень сложно. Часто приходится оценивать так назы- ваемые репутационные риски. Все понимают, что хорошая репутация компании бесценна, но как на нее повлияет утечка той или иной информа- ции? Что случится, если в Интернет уте- чет клиентская база вашей организации, информация о доходах ее работников, маркетинговые планы? Во второй поло- вине 90-х гг. – начале 2000-х на рынке "Юнона" в Санкт-Петербурге и многих других местах можно было приобрести базы данных "на любой вкус": адресные, телефонные, банковские, налоговые и т.д. За последние годы крупные утечки пер- сональных данных были в таких извест- ных компаниях как, SONY, Facebook, Mail.ru и ряде других. Люди привыкли к тому, что информация утекает из любых организаций, даже из очень крупных, которые тратят на ее защиту колоссаль- ные средства. Утечка если и создает какой-то негативный фон, то на очень непродолжительное время. А до серьез- ных штрафных санкций за утечку тех же самых клиентских (персональных) дан- ных в России еще не доросли. В вопросе оценки последствий утечки данных спе- циалисты по информационной безопас- ности во многом похожи на плохих синоптиков. Производится оценка боль- шого количества различных параметров, а в результате выдается прогноз типа "вероятность дождя 50%", т.е. либо пой- дет, либо не пойдет. Тем не менее выде- лить наиболее значимую для бизнеса информацию жизненно важно, без этого невозможно построить эффективную систему ее защиты. Обычно по итогам этой процедуры оформляется документ типа перечня сведений, составляющих коммерческую тайну организации. Далее целесообразно определить, какая из вашей значимой информации представляет коммерческую ценность и для кого. Ориентироваться при решении этой задачи можно на рынок информа- ции, который существует как в открытом интернет-пространстве, так и в Darknet. Информация в современном мире доста- точно ходовой товар, и на многие ее виды уже сложилась некая цена. Если на обрабатываемую в вашей компанией информацию есть спрос, вероятность ее утечки существенно возрастает. А в чем же заключается защита информации? Любой грамотный специалист по информационной безопасности вам ска- жет, что в обеспечении ее трех основных свойств: конфиденциальности, целост- 22 • СПЕЦПРОЕКТ Защита данных от утечки и защита бизнеса езопасность бизнеса – понятие многогранное. Защитить свой бизнес от всего спектра возможных посягательств, от крупных финансовых потерь по самым многообразным причинам, от явных и скрытых угроз правового характера очень сложно. К тому же наполнение данного понятия меняется с течением времени. Безопасность бизнеса в 90-е годы прошлого века и в настоящее время – две огромные разницы. Б Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), ПАО “Банк “Санкт-Петербург”