Утечки информации — опасность, которая угрожает и коммерческим компаниям, и государственным организациям, и некоммерческим фондам. А страдают от них часто люди, «виноватые» лишь в том, что пользуются чьими-то услугами или где-то работают.
Утечки данных могут происходить по вине сотрудников организации или по вине людей извне, которые умеют вторгаться в корпоративную информационную инфраструктуру и производить там злонамеренные действия. Но по статистике именно по вине сотрудников происходит большинство утечек, причем не по злому умыслу, а из-за незнания, невнимательности и неосознанности.
Мы живем в мире, где информация стала не только сверхценным ресурсом, но и ресурсом легко доступным. Поэтому информационная безопасность — это не только название учебной дисциплины, но и насущная потребность практически всех организаций и отдельно каждого человека.
Здесь мы поговорим об общих мерах обеспечения защиты от утечек конфиденциальной информации, о том, на что компании должны обращать внимание и с чего начинать выстраивать информационную безопасность.
Предотвращение утечек информации тесно связано с целым классом программных продуктов — DLP-системами. Однако, само внедрение системы — это уже завершающий этап. Есть целый ряд вопросов, которые следует решить до внедрения DLP-системы.
К таким вопросам можно отнести:
Для начала нужно определить общий характер требуемой защиты. Нуждается ли компания в защите от внешних угроз и регистрации попыток несанкционированного проникновения в сеть, или будет достаточно мониторинга действий сотрудников за компьютерами?
Также начать следует с определения информации, подлежащей защите. В зависимости от рода деятельности компании это могут быть разные данные — финансовые документы, приказы, чертежи и макеты, описания, маркетинговые материалы, платежные данные (корпоративные, клиентов и сотрудников), персональная информация. Если компания подчиняется неким требованиям регуляторов той сферы, в которой осуществляет деятельность, то перечень подлежащей защите информации может быть регламентирован соответствующими документами.
После определения перечня информации, нуждающейся в защите, необходимо определить места ее хранения и пути передачи. В своем роде нужно провести анализ бизнес-процессов, результатом которого станет «карта» информационной инфраструктуры предприятия. Она включает в себя как аппаратные средства — локальные компьютеры, сервера, сетевую аппаратуру, так и программы, такие как мессенджеры, почтовые клиенты, общие сетевые ресурсы. Стоит учитывать использование переносных устройств хранения информации, таких как флешки и переносные жесткие диски.
Установление режима доступа к информации — это, по сути, введение режима коммерческой тайны. Информация классифицируется в зависимости от того, кто имеет право доступа к ней. Стоит регламентировать процесс получения доступа к информации, а также правила обращения с ней.
Регламентация процессов реагирования и расследования инцидентов безопасности также важный этап. Нужно иметь инструкции, описывающие меры по предотвращению и расследованию инцидентов. DLP-система включает в себя инструменты расследования инцидентов.
Есть несколько видов угроз, несущих опасность информационной безопасности. Среди них:
Для защиты от них используются различные средства. Для защиты от вредоносного ПО используются антивирусные программы. От инсайдерской деятельности защищают DLP-системы. Чтобы не стать жертвой фишинговой рассылки необходимо обучать сотрудников: объяснять, что такое фишинг и как определить фишинговое письмо. Защитить информационную инфраструктуру от вторжений могут специально обученные профессионалы.
Знание потенциальных угроз и наиболее вероятных направлений их возникновения пригодится для проведения аудита информационных потоков, определения разрешенных путей передачи данных и документов. Также это нужно для разработки правил для хранения, копирования, обработки, модификации и печати документов, использования данных. И на конечном этапе определить бизнес-процессы с участием приложений и программ, работающих с конфиденциальными данными.
Принятие мер по защите данных, развертывание DLP-системы, должны сопровождаться мерами по обеспечению законности таких действий. К примеру, запись на камеру действий сотрудников или журналирование переписок может расцениваться как нарушение законных прав, если подходить к делу бездумно. Обеспечение правовой поддержки — задача юридического отдела. Для каждой страны, отрасли и даже компании могут быть отдельные нюансы.
Общепринятой практикой является прописывание дополнительных соглашений к трудовым договорам, проведение разъяснений и тренингов для сотрудников.
Компании разворачивают DLP-системы, чтобы:
DLP-система помогает воплотить на практике политики информационной безопасности, принятые первоначально на бумаге. По большому счету, это программа, которая строго выполняет предписанные ей правила безопасности. Общепринято называть наборы таких правил политиками безопасности.
Правило состоит из ситуации, или состояния, и предписания — что должна делать программа, когда встречает это состояние.
К примеру, программа контролирует мессенджеры — «читает» входящие и исходящие сообщения. Также у программы есть «банк», в который ИБ-специалисты записали названия компаний конкурентов и имена ключевых сотрудников. И программа настроена так, что когда в каком-то из мессенджеров она встречает сообщение, содержащее слова из «банка», тут же отправляет уведомлению офицеру безопасности. Это простейший пример политики безопасности, как она понимается на уровне DLP-системы.
Помимо программных каналов, которые контролирует DLP-система, есть физические каналы. Для их эксплуатации используется специальная аппаратура. Защита от утечек по таким каналам также включает физические способы защиты. Приведем несколько примеров.
Физические каналы:
Предотвращение утечек информации — целый комплекс мероприятий, который ведет к созданию в компании устойчивой системы контроля информационных потоков. DLP-система в этой схеме является важной составляющей — «осязаемым» средством воплощения принятых политик безопасности. Помимо журналирования и мониторинга действий сотрудников система способна блокировать нежелательные действия, а также предоставляет инструменты расследования инцидентов безопасности.