Как избежать утечки данных на предприятии

Большое внимание следует уделить угрозам утечки информации, так как очень часто в новостной ленте можно встретить сведения об утечках баз данных крупных компаний. Для того, чтобы защититься от такого вида атак, необходимо разобраться в причинах их возникновения, провести анализ рисков и выбрать адекватные меры противодействия угрозам утечки информации.

Причины утечки информации

По большому счету, основной причиной возникновения утечек информации является социальный фактор. Это может быть отсутствие понимания и квалификации сотрудника, который занимается обеспечением информационной безопасности, сотрудника, который обрабатывает конфиденциальную информацию (например, операционист в Банке), или же умышленное хищение и передача защищаемой информации в руки конкуренту или другому заинтересованному лицу в целях получения личной выгоды. Персонал – один из важнейших факторов построения системы защиты противодействия утечкам информации.

Для того, чтобы правильно построить систему защиты, необходимо охватить все ее направления, такие как, административные и правовые аспекты, а также программные и аппаратные средства защиты информации.

При построении системы осуществляется выбор организационных и технических мер защиты информации. Организационные меры предназначены для регламентации функционирования информационных систем, работы персонала, правил взаимодействия пользователей с системой. К ним можно отнести обучение и проверку знаний работников организации, мероприятия по контролю в области информационной безопасности, разработку внутренней документации, организацию режима охраны, систему видеонаблюдения, систему контроля и управления доступом и другое.

Применение только организационных мер не может решить задачу обеспечения информационной безопасности. Совместно с ним должны применяться технические средства защиты информации, которых на сегодняшний день существует огромное количество (средства управления доступом, различные сканеры, средства межсетевого экранирования, средства защиты от вредоносного кода, DLP-системы, SIEM-системы, средства защиты от несанкционированного доступа и т.д.).

В организации необходимо правильно разграничить доступ к защищаемой информации, как говорится «с предоставлением минимальных прав и полномочий». Для каждого сотрудника организации такое разграничение будет вполне рациональным так как не за чем предоставлять человеку доступ к информации, с которой он не работает. При отсутствии адекватного разграничения доступа появляется риск несанкционированного ознакомления и соответственно, ее возможной утечки. Разграничение доступа может осуществляться встроенными средствами ОС, средствами прикладного ПО автоматизированных систем или другими методами. Процесс управления доступом обязательно должен контролироваться. Под контролем имеется в виду блокирование лишних учетных записей, проверка соответствия прав учетной записи пользователя и тому, что имеется на данный момент и другие мероприятия в рамках процесса обеспечения информационной безопасности.

Меры для предотвращения утечки информации

Разграничения доступа мало. Для предотвращения угроз утечек необходимо организовать работу с сотрудниками компании, а также с контрагентами. Независимо от социальных аспектов (доволен ли человек своей работой, зарплатой, коллективом и т.д.), здесь стоит обратить внимание на то, что каждому сотруднику нужно четко и понятно разъяснить его права и обязанности.

Как правило, в организационно-распорядительной документации устанавливаются правила работы с конфиденциальной информацией, а также всевозможные запреты при работе с информацией такого типа. Здесь и хранение паролей в секрете, и запреты вывода защищаемой информации на экраны и печать, и запреты использования неучтенных съемных носителей, и правила работы с почтой и многое другое. Необходимо также дать понять сотруднику, что если он нарушит указанные правила, то он будет привлекаться к ответственности и различным дисциплинарным взысканиям и штрафам.

Важное значение имеет применение мер для предотвращения несанкционированного доступа. А здесь и ограничение доступа в помещения, в которых хранится и обрабатывается защищаемая информация, и применение системы контроля и управления доступом, пропускной режим, электронные замки, система видеонаблюдения и так далее. Вещи элементарные, но в большинстве случаев именно о таких вещах забывают.

В случае, если защищаемая информация передается по каналам связи, в частности, по сети Интернет, необходимо применять технологии для установления защищенного соединения (VPN наиболее распространенное решение) или использовать криптографические средства защиты информации. И не стоит забывать о применении средств межсетевого экранирования и о правилах безопасной работы в Интернете.

При построении системы защиты должны учитываться все актуальные угрозы. Для предотвращения утечек существуют DLP-системы (они контролируют информационные потоки и производят контентный анализ), а также SIEM-системы для мониторинга событий безопасности. На сегодняшний день существует большой выбор средств защиты в зависимости от запроса потребителя, такие как: Securit ZGate, InfoWatch Traffic Monitor, Symantec Data Loss Prevention, Search Inform.

Необходимо понимать, что система обеспечения информационной безопасности будет эффективна только при правильной настройке и функционировании входящих в ее состав средств защиты информации (не только DLP-система, но и антивирусы, и межсетевые экраны, и средства защиты от несанкционированного доступа и т.д.), а также при использовании базовых принципов комплексной защиты, таких как, непрерывность, расстановка приоритетов, централизованность, дублирование критичных элементов.

Заключение

Если на Вашу организацию распространяется действие 683-П, 672-П, 747-П если организация является банковской и 757-П, если Ваша финансовая организация некредитная, то для реализации мер защиты информации от утечек необходимо внедрение DLP-системы, т.к. на противодействие утечкам информации в ГОСТ 57580.1 выделен целый процесс, а соответствовать ГОСТ 57580.1 обязаны организации, которые попадают по действие вышеупомянутых нормативных актов Банка России.