Открыть меню

Как предотвратить утечку конфиденциальной информации…


С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности.

Работа с персоналом

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты.

Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

Основные требования

При работе с персоналом необходимо соблюдать следующие требования безопасности:

1. Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.

2. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.

3. Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу.

4. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.

Повышение осведомленности

Важную роль для обеспечения информационной безопасности играет осведомленность пользователей в вопросах безопасности и правилах безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:

  • правила политики безопасности организации;
  • правила выбора, смены и использования паролей;
  • правила получения доступа к ресурсам информационной системы;
  • правила обращения с конфиденциальной информацией;
  • процедуры информирования об инцидентах, уязвимостях, ошибках и сбоях программного обеспечения и др.

Меры пресечения

В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения следует ориентироваться на положения действующего законодательства.

Роль HR-менеджеров

Роль менеджеров по персоналу в обеспечении информационной безопасности организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Политика безопасности и процедуры внутрифирменной коммуникации

Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.

Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет директор по информационной безопасности (CISO) или директор по безопасности (CSO), иногда директор информационной службы (CIO).

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Многие правила политики безопасности понятны сотрудникам и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.

Жизнь по правилам

Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил. Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.

Правило №1.Маркирование документов.

Документы (бумажные и электронные), содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.

Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами. Маркирование сообщений электронной почты осуществляется пользователем, выполняющим отправку (распространение) данных сообщений.

В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на обороте титульного листа в обязательном порядке должно быть «заявление о конфиденциальности».

Правило №2.Закрытое обсуждение.

Не следует обсуждать конфиденциальную информацию с посторонними лицами (или в их присутствии), с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией, и т. п. Также не следует обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних (не допущенных к данной информации) лиц, включая столовую и места для курения, расположенные на территории компании.

Правило №3.Шифрование информации при хранении и передаче.

Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации. Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при наличии соответствующих технических возможностей.

Правило №4.Использование соглашения о конфиденциальности.

Передача сведений, содержащих конфиденциальную информацию, третьей стороне должна осуществляться только после заключения с этой стороной «Соглашения о конфиденциальности».

Правило №5.Ограничение доступа к информации.

Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, Web, почтовые папки и т. п.

Правило №6.Информирование.

Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации следует незамедлительно сообщать своему непосредственному руководителю.

Сервисы безопасности

Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации.

К числу сервисов безопасности относят аутентификацию, управление доступом, шифрование, фильтрацию контента и аудита безопасности.

Аутентификация и управление доступом

Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке.

Примерами соответствующих коммерческих продуктов являются Microsoft RMS (впервые появившийся в Windows Server 2003) и программно-аппаратный комплекс Sentinel RMS, производимый компанией SafeNet.

RMS (Rights Management Services, сервисы управления правами доступа) – это технология, используемая для защиты электронных документов от несанкционированного использования. Она позволяет при распространении информации определять ограничения по использованию последней. Например, автор документа может ограничить «время жизни» документа, а также возможность для определенных пользователей открывать, изменять, копировать в буфер обмена, печатать или пересылать документ. Основное отличие данной технологии от традиционных способов разграничения доступа к информации заключается в том, что права доступа и дополнительные ограничения по использованию хранятся в теле самого документа и действуют независимо от его местонахождения. Шифрование документов, реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо обходным путем.

Фильтрация контента

Использование RMS, конечно, не решает всех проблем. Например, эта технология не защищает от умышленного «слива» информации по электронной почте, что на практике встречается довольно часто, и заставляет руководство организации вводить правила по фильтрации исходящих из корпоративной сети сообщений по их содержанию. Анализ содержания сообщений по ключевым словам может быть достаточно эффективным, однако требует проведения серьезной работы по «тюнингу» системы фильтрации контента, так как ни одна из подобных систем не работает «прямо из коробки». Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности.

Шифрование информации

Шифрование — один из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения информационной безопасности.

Так, например, доступный и распространенный способ шифрования информации при хранении для пользователей ОС Microsoft Windows — применение встроенного в NTFS сервиса Encrypted File System (EFS). Во всех распространенных почтовых клиентах поддерживаются функции шифрования сообщений, что позволяет без дополнительных усилий производить обмен конфиденциальной информацией с внешними респондентами в зашифрованном виде.

Аудит безопасности

Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита информационной безопасности, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации. Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнением действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.

СУИБ

Успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью (СУИБ), которая характеризуется прежде всего наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля. Основными руководящими документами в этой области могут служить международный стандарт ISO/IEC 17799:2000, который описывает 127 механизмов контроля, обеспечивающих функционирование СУИБ, а также британский стандарт BS 7799-2:2002, определяющий спецификацию СУИБ, руководство по ее использованию для создания СУИБ и прохождения процедуры сертификации.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

+38 (044) 229-04-75 +38 (044) 242-04-71

  

© 2017 ПРИНЦИП · Копирование материалов сайта без разрешения запрещено
Разработка, продвижение сайта: w-a-p.top +380639590329