Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Вопросы безопасности, связанные с системами печати, зачастую многие компании склонны относить к второстепенным. Вместе с тем недостаточное внимание к контролю за парком печатающего оборудования может оставить лазейки для злоумышленников. Обратим внимание на некоторые возможные случаи проникновения и получения доступа к конфиденциальным данным, в которых задействована инфраструктура печати финансовой организации
Для начала разделим типы угроз безопасности информации на механические и электронные. С первыми все достаточно понятно: украсть могут либо только что отпечатанный, либо забытый на принтере документ. Способ избежать такого сценария прост — использовать печать по пин-коду либо установить специализированное решение, к примеру HP Access Control. Чтобы получить распечатанный документ, пользователь должен подойти к принтеру и идентифицировать себя одним из возможных способов: персональным пин-кодом, электронной картой сотрудника или устройством, оборудованным NFC-чипом.
Еще один аспект механической безопасности — защита самих устройств печати и их компонентов от хищения. Принтеры и МФУ HP оборудованы разъемом Kensington Lock, который не дает проникнуть внутрь устройства и похитить жесткий диск с временно хранящимися документами. На оборудование HP серии Enterprise устанавливаются диски с шифрованием информации. Кроме того, есть возможность установить дополнительные модули TPM (Trusted Platform Module), которые хранят в зашифрованном виде ключи и пин-коды пользователей, а также связывают воедино все компоненты устройства и его ПО.
Еще одна опасность связана со сканированием документов и записью файлов на USB-флешку. Тут на помощь приходят автоматизированные системы разработки и соблюдения настроек политик безопасности, такие как HP JetAdvantage Security Manager. Этот пакет позволяет единожды выставить галочки Вкл./Выкл. на тот набор функционала, который будет достаточным для поддержания всего документооборота в безопасности. При добавлении новых устройств (или возвращении старых из ремонта) этот инструмент автоматически меняет их настройки согласно шаблону, утвержденному политикой безопасности.
Не меньшую опасность таят в себе электронные угрозы. Чего только не умудрялись сделать хакеры, чтобы продемонстрировать возможность кибератак на печатающие устройства! К примеру, загружали на принтерную платформу игру DOOM или же использовали в качестве хранилища для музыки институтские МФУ, оборудованные жесткими дисками.
Наиболее часто хищение информации подразумевает проникновение на компьютер скрытого ПО. В МФУ и принтерах HP применяется трехуровневая система защиты и мониторинга. На первом уровне при включении устройства и старте работы системы ввода-вывода (BIOS) включается система HP SureStart, которая позволяет выявить изменения в коде базовых наборов команд и самостоятельно вылечить их. Далее печатающая машина загружает свою операционную систему, и в этот момент включается HP Secure White Listing, определяющая использование нелицензированного программного кода. Если таковой обнаружен, происходит мгновенная остановка загрузки, и машина запускает базовую версию ПО. Если же проникновение чужеродного программного кода в память происходит в процессе эксплуатации, то и на этот случай HP предусмотрела систему мониторинга чистоты устройств печати: HP Run-time Intrusion Detection.
Устройства печати в офисах финансовых компаний требуют не меньшего внимания со стороны служб безопасности, чем рабочие места, серверы или сетевые хранилища информации. В случае, если выбрано правильное оборудование и системные администраторы задействовали весь потенциал дополнительных средств безопасности — таких, как доступ по идентификации HP Access Control или система автоматизации применения политик безопасности HP JetAdvantage Security Manager, — можно с уверенностью сказать, что конфиденциальные данные останутся в доступе только у тех сотрудников, для которых они и были предназначены.
Реклама
В жизни компании процесс управления рисками — неотъемлемая часть развития бизнеса. Санкции, финансовые колебания, непрерывность действия, комплаенс — все это риски, с которыми компаниям приходится работать. Неверные оценка рисков, модель управления, инструментарий воздействия на риски приводят к серьезным последствиям, ответственность за которые несут официальные лица компании (директора, топ-менеджмент). Цена ошибки — убытки и субсидиарная ответственность, которые не списываются в рамках личного банкротства, а более того, передаются по наследству
Совкомбанк с благотворительным проектом «Технологии добра» занял первое место в номинации «Лучшая программа, способствующая профессионализации некоммерческого сектора» (партнером номинации выступает Минэкономразвития)