21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
19 | 3 | 12 |
Что нужно сделать, чтобы система, предотвращающая утечку коммерческой информации из компании, работала эффективно. Как подготовить персонал к запуску такой системы. Вот комментарии представителей компании SQUALIO (предоставление программного обеспечения и ИТ-аудит, Беларусь) и FalcongazeTM (разработчик решений в области информационной безопасности, Россия).
— Расскажу, как работает DLP-система (Data Leak Prevention) — программный комплекс для предотвращения утечек данных.
На корпоративный сервер и рабочие компьютеры устанавливается программный комплекс, перехватывающий все коммуникации сотрудников. Начинается мониторинг переписки в мессенджерах, веб-активности, принимаемых и отправляемых писем электронной почты, запуска приложений и всей прочей деятельности. В случае утечки данных система блокирует это и уведомляет сотрудника, ответственного за безопасность компании. Предоставляет ему информацию, необходимую для оперативного расследования инцидента.
Почему возникают утечки информации. Случай из практики. Сотрудница туристической компании собралась покинуть ее спустя несколько лет успешной работы, чтобы открыть собственное дело. При этом она решила забрать с собой накопленную базу клиентов. При попытке отправить ее на личный адрес электронной почты передача была блокирована.
Этот случай показывает самую популярную, по нашим наблюдениям, причину утечек — большинство работников искренне считают, что результаты их труда принадлежат им, а не компании.Правила защиты информации от утечки, которые настраиваются в системе, могут быть самыми разнообразными. Они, безусловно, зависят как от специфики бизнеса, так и от типа отдела или конкретного работника.
Для примера: уведомление о любой попытке передать на USB-носитель информацию объемом более гигабайта. Или — контроль за упоминанием в переписке слова «откат» и производных от него.
В системах есть такая возможность, как настройка прав доступа, при которых руководители отделов контролируют только своих сотрудников.
Многие компании воспринимают DLP исключительно как инструмент кнута. Но с помощью систем можно оценивать и показатели работы, мотивацию персонала, а также корректировать и оптимизировать бизнес-процессы.
Пример: HR-специалисты получают данные об организационных аспектах работы, а не об инцидентах, угрожающих безопасности. Эти данные могут активно применяться для анализа работы персонала. То есть, система позволяет строить отчеты по активности сотрудников за определенное время, ранжировать их по количеству инцидентов, выявлять наиболее популярные отвлекающие от работы факторы.
Иногда компании требуется провести предварительную подготовку.
1. Необходимо классифицировать и «инвентаризировать» весь объем информации (информационные активы), чтобы понять: какую информацию требуется контролировать и защищать, как будут организованы процессы управления доступом. Например, для организаций финансового сектора это информация о счетах, движении средств
То есть необходимо определить, что именно является тем самым ценным информационным активом для организации — вот в чем главная задача на начальном этапе.
2. Необходимо определить границы контроля за информацией.
3. Очень часто компания уверена: она четко понимает, какая информация и где находится. Но как показывает практика, в большинстве случаев это не более чем самоуспокоение или простое заблуждение. Информация мигрирует, оставляет «хвосты» и следы очень многими способами и путями. Например, любой документ из офисного пакета программ оставляет файлы с расширением .tmp (временные копии). По ним можно при желании восстановить исходный документ. Кроме того, скажем, копии контрактов с сотрудниками или временные бухгалтерские отчеты могут быть скопированы в какие-то временные хранилища и потом просто забыты… И это только самые простые примеры «призраков» информации в сети.
4. После установления ясности, что и где находится в сети, важно проверить, как налажен процесс управления информацией и активами. Например, ясность, что информация в организации живет и работает по четким и понятным правилам, резко повышает управляемость любой задачи. Как результат — финансовую эффективность процессов, в которых участвует. Например, управление информацией об остатках на счетах для оперативных расчетов с контрагентами, когда все структурировано и понятно: кто и когда имеет доступ к информации, что он может с ней сделать — позволяет всегда и всем понимать, кто в рамках какого процесса и когда должен произвести манипуляции с информацией. Своевременная отработка ведет к своевременному выполнению связанных задач и как следствие к получению прибыли.
4. Контроль и защита от утечек информации. Вот на этом этапе одним из самых эффективных ресурсов будет система контроля от утечек конфиденциальной информации (DLP).
1. Установление режима коммерческой тайны. Он считается установленным после:
Отметим, что владелец коммерческой тайны вправе применять не запрещенные законодательством технические средства и методы защиты информации.
Рассмотрим случай. Исполняя задание нанимателя, работник получает доступ к технической документации, в отношении которой установлен режим коммерческой тайны.
В этом режиме должен быть прописан порядок допуска к таким сведениям. Например:
Все меры необходимо закрепить документально и ознакомить с ними сотрудников. Если помещение, в котором предоставляется доступ к определенной информации, оборудовано камерой видеонаблюдения, это должно быть письменно зафиксировано.
2. Наниматель вправе внести в контракт с работником пункты о том, что работник должен соблюдать установленный режим коммерческой тайны.
Необходимо зафиксировать письменно, что работник ознакомлен с этим режимом. Также важно подписать с работником соглашение о конфиденциальности.
Важно:
Режим коммерческой тайны возможно установить, если сведения соответствуют вот этим требованиям.
Срок, в течение которого работник обязан обеспечивать конфиденциальность сведений, в законодательстве не установлен. Он определяется владельцем коммерческой тайны самостоятельно.
3. Компания владеет информацией, разработанной и полученной в том числе, в ходе выполнения работниками своих обязанностей. Работник, участвующий в разработке такой информации по заданию нанимателя, либо получивший доступ к ней, может ее использовать только в рамках своих должностных обязанностей.
Контракт, заключенный с работником, либо подписанное с работником соглашение о конфиденциальности может содержать условие об ответственности работника за такое нарушение. В том числе, контракт может включать размер гражданско-правовой ответственности, либо должен быть указан порядок его определения.
Сумма штрафа устанавливается владельцем такой информации самостоятельно, определяется исходя из многих факторов. При этом учитывается и упущенная выгода, и сумма, потраченная на разработку такой информации (приобретение прав на ее использование).
Хотите мгновенно получать уведомления о новых материалах и событиях «Про бизнес.»? Подписывайтесь на наш канал в Telegram!
21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
19 ноября
Особое признание: Betera с двумя наградами престижной премии ADMA
19 ноября
Республиканский DemoDay – победители «Стартап-марафона» определятся в ближайшее время
19 ноября
3Х-кратный рост мясоперерабатывающего предприятия благодаря внедрению «1С:ERP Управление предприятием 2» компанией Академ и К
19 ноября
Бесплатные БелВЭБ-Кассы от Банка БелВЭБ!
18 ноября
Специальная партия SERES | AITO M5 уже в Минске: ваш рациональный выбор здесь и сейчас!
18 ноября
Международный форум ЭДО в Москве 2024: Взгляд на будущее электронного документооборота
18 ноября
Вторая жизнь рекламных баннеров: компания МТС презентовала уникальный мерч