ИБ своими силами. Что делать, если на DLP нет средств?

Опубликовано: 24 декабря 2013 г. в 11:22, 46 просмотровКомментировать

Большинство электротехнических компаний достаточно уверенно чувствуют себя финансово и вполне могут позволить себе приобретение DLP-системы для защиты от утечек конфиденциальной информации. Но что делать, если вы оказались как раз в менее удачливом меньшинстве? Главное — не унывать и не опускать руки, ведь успешно обеспечить информационную безопасность можно и собственными силами.

Конечно, нужно понимать, что эффективная система обеспечения информационной безопасности предполагает использование как административных, так и технических средств, и без них никак не обойтись. Поэтому, если DLP-система не приобретается, скажем, не из-за отсутствия средств на нее, а скорее из-за отсутствия воли на то руководства компании, то специалистам, отвечающим за информационную безопасность, имеет смысл привлечь на помощь всю свою убедительность, чтобы DLP-система все-таки была в итоге куплена и внедрена. Как показывают исследования компании SearchInform, в среднем количество инцидентов в сфере информационной безопасности после внедрения в компании DLP-системы сокращается на 40%.

Если все же приобретение DLP-системы в данный момент не представляется возможным, не стоит махать на информационную безопасность рукой. Даже в таком случае очень даже можно поднять защищенность вашей компании от информационных угроз на достаточный уровень с помощью недорогих, а зачастую и вовсе совершенно бесплатных мер, речь о которых пойдет ниже.

Наиболее важно на первом этапе классифицировать информацию и определить, какая информация нуждается в какой защите. Безусловно, это служба информационной безопасности должна делать в максимально тесном сотрудничестве со всеми другими отделами и с высшим руководством организации. Несмотря на то, что эта процедура занимает достаточно много времени, она совершенно необходима, поскольку ни у одной компании нет возможности защитить всю информацию, которой пользуются ее сотрудники — да это и не оправдано с точки зрения бизнеса. Именно поэтому компания должна, даже обязана первым делом определиться с тем, какая именно информация критически важна для ее бизнеса.

Как правило, список наиболее важной для среднестатистической электротехнической компании информации выглядит следующим образом:

  • документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
  • персональные данные клиентов и сотрудников компании;
  • технологические и конструкторские разработки, ноу-хау организации и т.п.;
  • внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
  • технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.).

После того, как вы выделили важные для организации документы, самое время переходить к следующему шагу — определению круга лиц, которые должны иметь доступ к определенным классам документов. Здесь лучше перестраховаться, поскольку в дальнейшем, если возникнет такая необходимость, круг доступа можно и расширить, а вот спрятать документы, уже попавшие в общий доступ, будет практически невозможно, потому что кто-нибудь куда-нибудь их успеет скопировать, а без DLP-системы отследить, кто и куда, будет практически невозможно.

Когда перечисленные выше действия выполнены, самое время для того, чтобы реализовать разграничение доступа к документам на практике. Разграничение доступа к файлам на общих сетевых ресурсах вполне можно организовать с помощью штатных средств используемой в компании операционной системы (не важно, будет это Windows или Linux), а доступ к наиболее ценным файлам можно защитить с помощью запароленных архивов. Кроме того, все современные корпоративные системы (CRM, бухгалтерская система, корпоративный портал и так далее) поддерживают такое же разграничение доступа, поэтому важно воспользоваться встроенными возможностями самих этих систем.

Следующим этапом улучшения ситуации с информационной безопасностью в электротехнической компании является установка антивирусов и брандмауэров в корпоративной сети и на рабочих станциях пользователей. Значительное число случаев утраты конфиденциальных данных связано с деятельностью вредоносного ПО, также с его активностью связан и некоторый процент утечек информации. Существуют достаточно качественные бесплатные антивирусные решения и брандмауэры, которые, конечно, работают хуже большинства коммерческих аналогов, но, тем не менее, это будет значительно лучше, чем полное отсутствие какой бы то ни было защиты.

Обязательными моментами защиты рабочих станций должны стать пароли на вход в систему. В идеале, компания должна разработать собственную парольную политику и назначить ответственных за генерацию и выдачу пользователям паролей, удовлетворяющих определенным критериям. Они должны быть достаточно сложны, чтобы их нельзя было подобрать, и достаточно просты для запоминания, при этом пароли должны периодически меняться. Впрочем, если в настоящем времени в компании нет свободных людских ресурсов для того, чтобы обеспечить централизованное управление паролями, вполне можно ограничиться обязательным использованием паролей, придуманных самими пользователями. Нужно только следить, чтобы они не писали их на стикерах и не клеили к мониторам. Желательно также установить предельно малый промежуток времени перед отключением экрана и блокировкой системы (оптимально — от 1 до 3 минут), поскольку в противном случае работники могут начать интересоваться делами друг друга, что негативно скажется на информационной безопасности компании.

Необходимым и абсолютно бесплатным шагом является защита беспроводных корпоративных сетей с помощью пароля.

Количество инцидентов в сфере информационной безопасности после внедрения в компании DLP-системы сокращается на 40%

Совершенно необходимым и также абсолютно бесплатным шагом является защита беспроводных корпоративных сетей — опятьтаки, с помощью пароля. Этот пароль уже должен генерировать и выдавать сетевой администратор. Необходимо также периодически (раз в несколько месяцев) изменять пароль, поскольку он может быть подобран злоумышленниками или передан третьим лицам кем-то из работников.

Весьма важным моментом является также объяснение сотрудникам элементарных основ информационной безопасности. Оно может быть сделано по тому же принципу, что и инструктажи по технике безопасности, только желательно все-таки не превращать его в формальность, потому что в противном случае такой инструктаж теряет всякий смысл. После инструктажа можно устроить мини-зачет, поощрив небольшими премиями или сувенирами сотрудников, лучше всего разобравшихся в вопросах обеспечения информационной безопасности.

Что ж, как видите, даже собственными силами можно несколько улучшить ситуацию с обеспечением информационной безопасности в электротехнической компании. Впрочем, стоит еще раз повториться, что все перечисленное — это только полумеры, которые, при отсутствии эффективных средств контроля действий персонала, к сожалению, достаточно быстро перестанут быть эффективными. Поэтому приобретение DLP-системы и других технических средств информационной безопасности должно быть запланировано так быстро, как это будет возможно.

Роман ИДО,
ведущий аналитик компании SearchInform
www.searchinform.ru

Статья опубликована в журнале «Электротехнический рынок», № 3 (51), 2013

Рекомендуем почитать

Комментировать

    Еще никто не оставил комментариев.

Для того чтобы оставлять комментарии Вам необходимо зарегистрироваться либо авторизоваться на сайте.