Как бесплатно построить ИБ компании Обеспечение безопасности данных сегодня является одной из приоритетных задач для многих коммерческих и государственных организаций. Даже одна утечка информации может принести серьезные финансовые убытки бизнесмену, а чиновника и вовсе лишить должности. Однако, осознавая ценность конфиденциальных данных и проблематику их утечки, не каждый может грамотно, а главное, эффективно выстроить барьер безопасности вокруг своей информации. Собственно о том, как защитить свои данные от утечки и пойдет речь дальше. Для решения проблем информационной безопасности существуют специализированные средства, например DLP-системы (от англ. Data Leak Prevention). Данные системы позволяют контролировать информационные потоки компании, передаваемые посредством электронной почты, веб-браузеров, интернет-мессенджеров, Skype, внешних носителей (USB/CD/DVD) и т.д. DLP-системы анализируют потоковые данные, выходящие за черту защищаемой информационной зоны. При обнаружении в информационном потоке конфиденциальных данных срабатывает компонентная система, и передача данных блокируется. Однако внедрение DLP-системы на предприятии – удовольствие недешевое, поэтому некоторые руководители вынуждены отказываться от него. Но что делать, если защищать корпоративные данные нужно, а средств на внедрение полноценной DLP-системы нет? В этом случае многие компании предпочитают выстраивать информационную безопасность своими силами. Однако стоит понимать, что качество и эффективность собственноручно выстроенной системы ощутимо отличаются от того, что могут предложить специализированные средства. Тем не менее наличие хоть какой-нибудь системы защиты данных на предприятии лучше, чем ее полное отсутствие. Давайте рассмотрим базовый комплекс мер, который необходим для обеспечения информационной безопасности в условиях, когда хочется сэкономить. Прежде всего, руководство должно задуматься о том, какая информация представляет наибольшую ценность для компании. Ведь защищать «то, не знаю что» крайне нерационально. Также может возникнуть банальное желание защищать все. Однако, как показывает практика, добиться этого крайне сложно даже крупным и обеспеченным организациям. В противном случае, взяв широкий размах, вашей компании просто не хватит средств, чтобы завершить начатое дело. Если же определить ценность документов для вас составляет трудность, попробуйте представить, что может случиться с компанией, если какие-либо из них будут похищены. Какая именно утечка способна нанести компании наибольший вред? Именно эти сведения и являются для вас наиболее ценными! После того как перечень особо важных документов определен, стоит разработать политику информационной безопасности, разграничивающую права доступа к конфиденциальным данным между сотрудниками, а затем провести соответствующий инструктаж. В данном документе должен быть обозначен список конфиденциальных документов, сотрудники, имеющие право доступа к ним, уровень доступа, возможные варианты угроз и методы защиты от них. Сам процесс создания подобной «бумаги» не должен вызывать у вас трудностей: посмотрите аналоги в Интернете, примеры подобных документов не являются редкостью. Адаптировав найденную инструкцию под свои нужды, можно получить готовую политику информационной безопасности. Следующий шаг – составление должностной инструкции на основе политики безопасности, которую в идеале должны подписать все сотрудники. Не лишним будет провести зачет среди персонала, тогда инструкция надолго останется в памяти людей. Для профилактики подобный инструктаж стоит повторять с определенной периодичностью, например раз в один-два месяца. Следующим шагом на пути строительства информационной безопасности станет разграничение доступа персонала к документации. Настроив права доступа в любых штатных системах, используемых компанией (CRM, бухгалтерский учет, СЭД и пр.), выполнить поставленную задачу не составит труда. Однако стоит помнить, что подобное разграничение необходимо настроить для всех информационных систем, так как в противном случае созданная система безопасности будет недостаточно эффективной. Еще одним важным этапом в обеспечении безопасности информации является защита корпоративной сети и рабочих станций сотрудников от угроз из внешнего мира. Можно, конечно, прибегнуть к использованию специализированных средств, но мы не будем отклоняться от темы и продолжим разговор о бесплатных методах. Удивительно, но очень многие предприятия страдают из-за утечек данных только потому, что не используют межсетевой экран или вовсе забывают установить пароль доступа к офисной сети Wi-Fi. Для начала стоит позаботиться хотя бы об этом. В противном случае даже малоопытному злоумышленнику хватит навыков в IT-сфере, чтобы похитить корпоративные секреты. После того как офисная сеть будет защищена паролем, стоит задуматься о межсетевом экране – комплексе программных средств, осуществляющем контроль и фильтрацию проходящих через него сетевых пакетов по заданным правилам. Для нашей задачи можно использовать такие бесплатные версии межсетевых экранов, как Astero, ClarkConnect, ZoneAlarm Free Firewall и т.д. Однако данными примерами ограничиваться не стоит, так как существует масса других как бесплатных, так и платных вариантов. Не менее важным этапом построения системы информационной зашиты на предприятии является разработка и внедрение правил кадровой безопасности. Не стоит принимать на работу тех сотрудников, которые уже были отмечены в инцидентах, связанных с утечкой информации. Нужно понимать, что переманивание сотрудников у конкурентов может дать не только положительный результат, но и привести к негативным последствиям. Так, например, в перспективе данному сотруднику могут предложить заработную плату больше, чем вы в состоянии ему платить, и тогда все ваши корпоративные секреты уйдут вместе с перебежчиком. Кроме того, безопасность информации зависит не только от средств ее поддержания, но и от самого рабочего коллектива. Поэтому развивайте в компании культуру информационной безопасности, напоминайте сотрудникам о том, что их благосостояние зависит от успешного функционирования всей организации. И если компания теряет конфиденциальные данные, то это отражается на ее деятельности, а затем и на сотрудниках. Коллектив, проникшийся идеей важности обеспечения ИБ, будет работать внимательнее, а случайные инциденты (например отправка важного документа неверному адресату) сократятся. Соблюдение вышеуказанных правил позволит снизить риск утечки конфиденциальных данных и защитить информацию от чужих рук. Конечно, стоит понимать, что данные методики не гарантируют полный контроль информационного трафика, но в качестве «фундамента» информационной безопасности подходят хорошо. В будущем же, конечно, стоит задуматься и о внедрении профессиональных систем информационной защиты. Автор: Максим Кикеня Раздел: Информационная безопасность Дата: 30-09-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|