Как компании наладить систему защиты от утечки информации

Что нужно сделать, чтобы система, предотвращающая утечку коммерческой информации из компании, работала эффективно. Как подготовить персонал к запуску такой системы. Вот комментарии представителей компании SQUALIO (предоставление программного обеспечения и ИТ-аудит, Беларусь) и Falcongaze^TM (разработчик решений в области информационной безопасности, Россия).

Принцип работы систем, которые предотвращают утечку данных

— Расскажу, как работает DLP-система (Data Leak Prevention) — программный комплекс для предотвращения утечек данных.

На корпоративный сервер и рабочие компьютеры устанавливается программный комплекс, перехватывающий все коммуникации сотрудников. Начинается мониторинг переписки в мессенджерах, веб-активности, принимаемых и отправляемых писем электронной почты, запуска приложений и всей прочей деятельности. В случае утечки данных система блокирует это и уведомляет сотрудника, ответственного за безопасность компании. Предоставляет ему информацию, необходимую для оперативного расследования инцидента.

Почему возникают утечки информации. Случай из практики. Сотрудница туристической компании собралась покинуть ее спустя несколько лет успешной работы, чтобы открыть собственное дело. При этом она решила забрать с собой накопленную базу клиентов. При попытке отправить ее на личный адрес электронной почты передача была блокирована.

Этот случай показывает самую популярную, по нашим наблюдениям, причину утечек — большинство работников искренне считают, что результаты их труда принадлежат им, а не компании.Правила защиты информации от утечки, которые настраиваются в системе, могут быть самыми разнообразными. Они, безусловно, зависят как от специфики бизнеса, так и от типа отдела или конкретного работника.

Для примера: уведомление о любой попытке передать на USB-носитель информацию объемом более гигабайта. Или — контроль за упоминанием в переписке слова «откат» и производных от него.

• Для банковской сферы это, например, поиск по регулярным выражениям формата номеров кредитных карт, персональных данных и других документов
• Для логистических предприятий — контроль цифровых отпечатков клиентских баз и баз данных поставщиков

В системах есть такая возможность, как настройка прав доступа, при которых руководители отделов контролируют только своих сотрудников.

Многие компании воспринимают DLP исключительно как инструмент кнута. Но с помощью систем можно оценивать и показатели работы, мотивацию персонала, а также корректировать и оптимизировать бизнес-процессы.

Пример: HR-специалисты получают данные об организационных аспектах работы, а не об инцидентах, угрожающих безопасности. Эти данные могут активно применяться для анализа работы персонала. То есть, система позволяет строить отчеты по активности сотрудников за определенное время, ранжировать их по количеству инцидентов, выявлять наиболее популярные отвлекающие от работы факторы.

Как подготовить компанию к запуску системы защиты от утечек

Иногда компании требуется провести предварительную подготовку.

1. Необходимо классифицировать и «инвентаризировать» весь объем информации (информационные активы), чтобы понять: какую информацию требуется контролировать и защищать, как будут организованы процессы управления доступом. Например, для организаций финансового сектора это информация о счетах, движении средств и т.д.

То есть необходимо определить, что именно является тем самым ценным информационным активом для организации — вот в чем главная задача на начальном этапе.

2. Необходимо определить границы контроля за информацией.

3. Очень часто компания уверена: она четко понимает, какая информация и где находится. Но как показывает практика, в большинстве случаев это не более чем самоуспокоение или простое заблуждение. Информация мигрирует, оставляет «хвосты» и следы очень многими способами и путями. Например, любой документ из офисного пакета программ оставляет файлы с расширением .tmp (временные копии). По ним можно при желании восстановить исходный документ. Кроме того, скажем, копии контрактов с сотрудниками или временные бухгалтерские отчеты могут быть скопированы в какие-то временные хранилища и потом просто забыты… И это только самые простые примеры «призраков» информации в сети.

4. После установления ясности, что и где находится в сети, важно проверить, как налажен процесс управления информацией и активами. Например, ясность, что информация в организации живет и работает по четким и понятным правилам, резко повышает управляемость любой задачи. Как результат — финансовую эффективность процессов, в которых участвует. Например, управление информацией об остатках на счетах для оперативных расчетов с контрагентами, когда все структурировано и понятно: кто и когда имеет доступ к информации, что он может с ней сделать — позволяет всегда и всем понимать, кто в рамках какого процесса и когда должен произвести манипуляции с информацией. Своевременная отработка ведет к своевременному выполнению связанных задач и как следствие к получению прибыли.

4. Контроль и защита от утечек информации. Вот на этом этапе одним из самых эффективных ресурсов будет система контроля от утечек конфиденциальной информации (DLP).

Как подготовить персонал к изменениям

1. Установление режима коммерческой тайны. Он считается установленным после:

• Определения, какие сведения подлежат охране в режиме коммерческой тайны
• Принятия мер, необходимых для обеспечения конфиденциальности — тем, кто обладает такими сведениями

Отметим, что владелец коммерческой тайны вправе применять не запрещенные законодательством технические средства и методы защиты информации.

Рассмотрим случай. Исполняя задание нанимателя, работник получает доступ к технической документации, в отношении которой установлен режим коммерческой тайны.

В этом режиме должен быть прописан порядок допуска к таким сведениям. Например:

• Получение согласия на допуск от уполномоченных специалистов компании
• Порядок обращения с носителем коммерческой тайны (если документ в электронном формате, на компьютерное устройство может быть установлено соответствующее ПО)
• Регистрация сотрудника, которому разрешен допуск, в соответствующем журнале
• Ознакомление со сведениями, охраняемыми в режиме коммерческой тайны, в специальном помещении, оборудованном видеонаблюдением. Причем факт видеонаблюдения должен быть зафиксирован письменно. А персонал также должен быть ознакомлен с этой мерой.

Все меры необходимо закрепить документально и ознакомить с ними сотрудников. Если помещение, в котором предоставляется доступ к определенной информации, оборудовано камерой видеонаблюдения, это должно быть письменно зафиксировано.

2. Наниматель вправе внести в контракт с работником пункты о том, что работник должен соблюдать установленный режим коммерческой тайны.

Необходимо зафиксировать письменно, что работник ознакомлен с этим режимом. Также важно подписать с работником соглашение о конфиденциальности.

Важно:

• Установить пределы использования сведений, которые являются коммерческой тайной
• Установить срок, в течение которого работник обязан сохранять конфиденциальность, в том числе в случае расторжения контракта

Режим коммерческой тайны возможно установить, если сведения соответствуют вот этим требованиям.

• Данные не должны являться общеизвестными или легкодоступными третьим лицам в тех кругах, которые обычно имеют дело с подобного рода сведениями
• Имеют коммерческую ценность для их обладателя (в силу неизвестности третьим лицам)
• Не являются объектами исключительных прав на результаты интеллектуальной деятельности
• Не отнесены в установленном порядке к государственным секретам

Срок, в течение которого работник обязан обеспечивать конфиденциальность сведений, в законодательстве не установлен. Он определяется владельцем коммерческой тайны самостоятельно.

3. Компания владеет информацией, разработанной и полученной в том числе, в ходе выполнения работниками своих обязанностей. Работник, участвующий в разработке такой информации по заданию нанимателя, либо получивший доступ к ней, может ее использовать только в рамках своих должностных обязанностей.

Контракт, заключенный с работником, либо подписанное с работником соглашение о конфиденциальности может содержать условие об ответственности работника за такое нарушение. В том числе, контракт может включать размер гражданско-правовой ответственности, либо должен быть указан порядок его определения.

Сумма штрафа устанавливается владельцем такой информации самостоятельно, определяется исходя из многих факторов. При этом учитывается и упущенная выгода, и сумма, потраченная на разработку такой информации (приобретение прав на ее использование).

Хотите мгновенно получать уведомления о новых материалах и событиях «Про бизнес.»? Подписывайтесь на наш канал в Telegram! https://t.me/probusiness_io