Наше деловое партнерство www.banwar.org

Робота ІТ-відділу традиційно включає питання безпеки - адже будь-яка інформаційна система потребує коштів захисту. Більш того, безпека завжди була одним з найважливіших вимог, що пред'являються бізнесом. Таким чином, діяльність ІТ-співробітника невіддільна від поняття «безпека».

Трубна металургійна компанія (ТМК) утворилася майже шість років тому в результаті об'єднання кількох незалежних підприємств. Її керівництво спочатку надавало великого значення якості використовуваних ІТ-рішень. В особливій мірі це відноситься до сфери безпеки.

Територіальна диверсифікація компанії вимагає охорони периметра мережі кожного об'єкта. У ТМК охорона має на увазі захист від проникнень не тільки з Internet, а й з «дружніх» мереж. Периметр керуючої компанії, всіх заводів і торгового дому обмежений єдиними засобами безпеки. Це означає, що для доступу з сторонньої структури заборонені всі сервіси, крім тих, які дозволені в явному вигляді.

«Політика безпеки компанії передбачає в першу чергу обмеження доступу до ресурсів для тих, хто не є їх власниками», - говорить Сергій Корабльов, начальник ІТ-управління ТМК. Це було важливим вимогою керівництва: у відкритому для співробітників інформаційному просторі не повинні з'являтися матеріали, які можуть представляти інтерес лише для певної групи співробітників. Тому в ТМК не існує неконтрольованих папок загального доступу на файлових серверах.

Створення єдиної формалізованої політики безпеки - дуже складний процес. В даний момент єдина політика знаходиться в стадії формування. Технічно вона вже реалізована у вигляді політик міжмережевих екранів і маршрутизації корпоративної мережі, а найближчим часом планується сформувати комплексну систему інформаційної безпеки.

Звичайно, в ідеалі цим питанням повинна займатися служба безпеки. Однак в реальності тягар відповідальності доводиться брати на себе, як правило, ІТ-службі, оскільки розробка організаційно-розпорядчих документів відстає від тих темпів, яких вимагає бізнес. Нерідко багато питань (наприклад, про доступ до конкретного ресурсу) доводиться вирішувати на рівні керівника ІТ-служби.

Ризики і безперервність

Найважливішим інформаційним ризиком є ​​втрата даних, що містяться в інформаційних системах. Недотримання їх збереження призведе до катастрофічних наслідків. Фінансову оцінку цього ризику дати дуже важко, в російській практиці такі спроби вкрай рідкісні. «Я з великою недовірою сприймаю інформацію про те, що діяльність будь-якого вірусу привела до багатомільйонних втрат», - зізнається Корабльов. Дійсно, багато хто сприймає подібні заяви як виверти консалтингових та сервісних компаній, особливо з урахуванням того, що викладки наводяться буквально на наступний день після атаки. Проте завжди можна прорахувати вартість втраченого робочого дня співробітника (наприклад, якщо були загублені дані за попередній день, їх доведеться відновлювати). Однак таку цифру можна розглядати лише як оцінку знизу.

Що стосується безперервного функціонування інформаційних систем, то видається, що простий більшості додатків, що триває менше половини робочого дня, не стане катастрофічним. Проте треба відзначити, що подібних випадків у ТМК не було.

Як це не дивно, з точки зору функціонування компанії в цілому найбільш критичним є відсутність телефонного зв'язку - саме воно викликає найбільші нарікання. Наступними за важливістю йдуть проблеми з роботою корпоративної мережі. Однак найближчим часом ситуація може змінитися. У ТМК триває впровадження рішення SAP R / 3. У концепцію цієї системи спочатку закладена можливість постійного доступу до неї - навіть найменший простий неприпустимий. У зв'язку з цим доводиться резервувати як мережеве обладнання, так і апаратне забезпечення.

У плані захисту даних всі системи мають приблизно однаковий пріоритет. Проте інформація, яка зберігається в фінансовихдодатках, більш критична до забезпечення схоронності, визнає Корабльов. З іншого боку, на файлових серверах зберігаються звіти, побудовані на базі тієї ж інформації, які не менш важливі для прийняття стратегічних рішень. Пошта, незважаючи на її широке використання, менш критична: навіть втрата частини листування не матиме для підприємства катастрофічних наслідків.

Політики прості і складні

Захист периметра мережі кожного об'єкта холдингу здійснюється за допомогою рішення CheckPoint Provider-1. Головну роль грає модуль брандмауера CheckPoint Firewall-1. Особливість рішення полягає в тому, що ця дія спрямована на потреби розподілених компаній, де необхідно управляти глобальними політиками.

На великому підприємстві децентралізоване управління інфраструктурою має очевидні недоліки. З іншого боку, при централізованому управлінні громіздка єдина політика безпеки створює умови для виникнення помилок.

У разі ТМК холдингова компанія має жорстке централізоване управління, в той же час кожен її об'єкт має свою інфраструктуру, свою ІТ-службу і свої особливості, які керуюча компанія не зобов'язана знати.

Рішення CheckPoint дозволяє спростити складну корпоративну політику шляхом розбиття на безліч більш простих політик. Таким чином, воно дозволяє дати кожному об'єкту достатній ступінь свободи для управління своїми локальними політиками і при цьому накладає на них обмеження, передбачені глобальними політиками, які важливі для інфраструктури всього холдингу. Адміністратори віддалених об'єктів можуть доповнювати глобальну політику власними що не суперечать їй правилами. Це багато в чому і визначило вибір компанії на користь Provider-1.

«Зрозуміло, ціновий критерій ніхто не відміняв. Коли впроваджується будь ІТ-рішення, компанія в першу чергу дивиться на його вартість », - розповідає Корабльов. За оцінками, покупка недорогих рішень для кожного об'єкта обійшлася б дорожче вартості єдиної системи. Крім того, вартісна навантаження на підприємства розподіляється по-різному. У реалізованому варіанті більша її частина лягла на центральний об'єкт (керуючу компанію). Це дозволило мінімізувати навантаження, що падає на регіональні об'єкти. Таке рішення було схвально сприйнято керівництвом.

Іншим важливим аргументом стала можливість легкої інтеграції зі службою каталогів Microsoft Active Directory 2003 і єдиної поштової системи на базі Microsoft Exchange Server 2003. І система безпеки, і служба єдиного каталогу створювалися в рамках спільного проекту з модернізації ІТ-інфраструктури холдингу.

Як водиться в таких випадках, вибір був болючим і тривалим: система значна як по функціоналу, так і за вартістю. В кінцевому підсумку думка системного інтегратора - компанії Tops BI - і популярність CheckPoint як реального стандарту для світових компаній подібного рівня визначили вибір.

важливий нюанс

Курс на централізоване управління діяльністю був узятий спочатку - така політика холдингу. З схвалення керівництва впроваджена єдина служба каталогу, єдина поштова система, повноцінно функціонує єдине додаток «Парус» для торгової і бухгалтерської діяльності, впроваджується єдина система управління виробництвом на базі SAP R / 3. Цілком логічно, що система управління безпекою теж повинна бути централізованою. «На мій погляд, це вірне рішення, ну а політику інших компаній оцінювати не буду», - каже Корабльов. Дійсно, до сих пір впровадження Provider-1 в ТМК залишається єдиним в Росії.

Незважаючи на постійні розмови, до сих пір багато російських компаній функціонують без систем безпеки належного рівня. У міжнародних корпораціях все суворіше: безпеки інформаційних систем вимагають самі акціонери. Компанія повинна мати підтвердження дотримання своєї фінансової дисципліни на рівні ІТ. Це вагомий аргумент на користь впровадження відомих, що зарекомендували себе ІТ-рішень. В іншому випадку аудитори можуть сказати, що інформаційна система побудована на базі програм, довіряти результатам роботи яких важко. Це, в свою чергу, дуже негативно позначиться на котируванні акцій компанії. Особливо актуальним цей аргумент став після виходу ТМК на Лондонську фондову біржу.

Підтримкою рішення CheckPoint займаються співробітники ТМК, що відповідають за мережеву інфраструктуру. «Фахівців з цього продукту дуже важко знайти, - констатує Корабльов. - Про це свідчить не тільки наш досвід, але і стан справ у системних інтеграторів ».

Підтримка рішення CheckPoint вимагає постійного відстеження змінюються бізнес-процесів. Фахівець, який займається безпекою, повинен володіти не тільки технічними знаннями, а й уявляти собі бізнес-процеси компанії, розуміти, для чого використовується той чи інший комп'ютер. У цьому полягає головна відмінність системи, наприклад, від антивірусного продукту, який налаштовується один раз.

Захист від користувача

Будь-солідної організації необхідна надійна антивірусний захист, хоча стовідсоткового бар'єру не існує. Але без захисних заходів робота компанії буде паралізована.

В даний момент завдання управління антивірусним захистом вирішується локально ІТ-службами заводів. В якості засобів захисту використовуються продукти TrendMicro. Оборона периметра також є істотним чинником антивірусного захисту. Заражений зовнішній комп'ютер не зможе зв'язатися з комп'ютером з мережі компанії, якщо у нього немає на це дозволу.

«Користувачі стають грамотніше, але в будь-якому випадку систему треба від них захищати», - вважає Корабльов. Йдеться як про обмеження адміністративних прав встановлювати на робочих станціях додатки, заборону на проходження додатків через поштову систему, так і активному поведінці антивірусних засобів. Внутрішня загроза інформаційній безпеці є найсерйознішою і проти неї боротися найважче.

Будь-винос співробітниками робочої інформації на флеш-накопичувачах є по суті посадовим злочином. Якщо цей канал залишається без контролю, то виникає величезна дірка в системі безпеки. У ТМК активно ведеться робота по нейтралізації даного виду загроз. «У нас є інструменти контролю підключення флеш-дисків, розроблені адміністративні документи - кожен співробітник підписує угоду про нерозголошення конфіденційної інформації», - говорить Корабльов. Це дуже ефективний засіб, як мінімум запобігає дії «через незнання».

Ще одним важливим об'єктом контролю є телефонія: усі, хто виходив дзвінки записуються.

Готовність до розвитку

Витрати на безпеку повинні бути розумними. У ТМК намагаються їх мінімізувати за рахунок надання знижок ІТ-постачальниками, поступового нарощування кількості ліцензій, активного використання відкладених платежів, що благотворно позначається на загальних витратах. Ще одним засобом є покупка оптимального числа ліцензій продукту, без запасу «на майбутнє».

Керівництво компанії розуміє, що в безпеку необхідно інвестувати гроші, і готово приділяти серйозну увагу розвитку засобів безпеки. «Ми почали тепер глибше усвідомлювати, що таке система безпеки. До сих пір створювалася лише її інфраструктурна основа », - резюмує Корабльов. На наступному етапі мова йтиме про побудову всеосяжної комплексної системи, яка за допомогою спеціального інструментарію зможе прораховувати інформаційні ризики (до сих пір в переважній більшості випадків вони визначаються згідно з розумінням ІТ-служби). Вона дозволить підняти систему не тільки на новий технічний рівень, а й на організаційний.

Коментарі до статей надсилайте на адресу: [email protected]

Трубна металургійна компанія

Трубна металургійна компанія заснована в 2001 році і є найбільшим виробником і експортером в Росії. ТМК об'єднує Волзький трубний завод, Сіверський трубний завод, Синарський трубний завод, Таганрозький металургійний завод, Орський машинобудівний завод, а також румунські підприємства - трубний завод TMK-ARTROM (м Слатіна) і металургійний комбінат TMK-Resita (м Решиця). На заводах і підприємствах ТМК працює близько 49 тис. Співробітників.