Блог
Тонкости организации аудита ИБ
17.09.2020
Эффективное внедрение DLP-системы
21.06.2019
Комплексный подход к обеспечению безопасности коммерческой тайны
24.12.2018
Вредоносные (фишинговые) письма – тренд последнего времени
19.08.2016
Зашифровались файлы! Как с этим бороться?
24.05.2016
Управление документацией: экономия и эффективность
14.08.2015
Управление знаниями в корпоративных структурах. Часть 1 - Компоненты системы управления знаниями
15.05.2015
Осведомленность в вопросах информационной безопасности как рекомендуемое и обязательное требование
16.04.2015
Организация режима коммерческой тайны. Общие моменты.
27.03.2015
Алгоритм возмещения \ не возмещения денежных средств при использовании ЭСП
20.11.2014
Человек как основное звено обеспечения информационной безопасности
13.11.2014
Комплексный подход к обеспечению безопасности коммерческой тайны
24.12.2018

В современном мире уже нередки ситуации, когда сотрудники компании злоупотребляют своим положением и крадут клиентские базы, рабочие документы, секреты производства и прочую конфиденциальную информацию, утечка которой может привести к финансовым и репутационным рискам для бизнеса. Чтобы избежать таких инцидентов, многие компании внедряют специализированные системы защиты информации от утечек – Data Loss Prevention (DLP), выделяют ресурсы для эксплуатации таких систем, закупают дополнительное серверное оборудование, другими словами несут прямые финансовые затраты с целью минимизировать риски, связанные с внутренними угрозами.

Однако функционирование DLP-системы в компании не дает гарантий, что в случае если инцидент утечки все же настанет, то компания сможет отстоять свои интересы в суде. Дело в том, что помимо технической составляющей (внедрение DLP-системы) важно проработать юридическое обеспечение функционирования DLP-системы, а также правильно выстроить процессы информационной безопасности и процедуры режима коммерческой тайны.

Комплексный подход к обеспечению безопасности коммерческой тайны и обеспечению работы DLP-системы, состоит из трёх основных этапов:

 

Этап I. Аудит процессов ИБ и имеющейся документации

Ключевой целью этапа является выявление узких мест, которые могут негативно сказаться при внедрении и эксплуатации DLP-системы. В целях эффективного выстраивания процессов ИБ и процессов работы DLP-системы, на последующих этапах, важно изучить специфику бизнес-процессов, а также сопутствующие технологические процессы. В частности, рекомендуется провести аудит следующих ключевых процессов:

  • процесс обеспечения ИБ при работе с персоналом;
  • процесс обучения и повышения осведомленности в вопросах ИБ;
  • процесса управления доступом к информационной инфраструктуре и организации парольной защиты;
  • процесс мониторинга событий информационной безопасности;
  • процесс реагирования и управления инцидентами ИБ;
  • процесса работы с мобильными устройствами и съемными носителями информации;
  • процесс обеспечения ИБ при использовании ресурсов сети Интернет;
  • процесс обеспечения ИБ при использовании корпоративной электронной почты;
  • процесс обеспечения ИБ при работе с третьими лицами;
  • процесс обеспечения сетевой безопасности;
  • и пр.

По итогам аудита должно быть четкое понимание, какие именно процедуры ИБ регламентированы в компании, какие документы требуют актуализацию, какие средства связи можно отнести к потенциальным каналам утечки информации и пр. Так же важно получить представление о циркуляции информационных потоков внутри компании и потоков, которые выходят за периметр компании.

 

Этап II. Обеспечение работы DLP-системы

Основная задача данного этапа – обеспечить правомерность проводимого контроля за ИТ-активами и ресурсами компании. Ключевой аспект данной задачи – введение режима коммерческой тайны, а также проработка таких задач, которые призваны ответить на следующие вопросы:

  • Может ли работодатель собирать информацию о работнике на пользовательском рабочем месте?
  • Обязан ли работодатель уведомлять сотрудников, если осуществляется мониторинг рабочих мест?
  • Что необходимо сделать в-первую очередь в случае обнаружения подозрений на утечку информации?
  • Как довести дело до суда если компания понесла ущерб вследствие нарушения режима коммерческой тайны?

Как отмечалось выше, основная задача на данном этапе внедрить полный комплект документов и процедур в соответствии с требованиями Федерального закона от 29.07.2004 г. №98-ФЗ «О коммерческой тайне», либо выполнить их пересмотр (актуализацию), в случае если данные процедуры внедрены частично. В частности, необходимо убедиться в наличии следующих документов и локально-нормативных актов:

  • Приказ об организации режима коммерческой тайны;
  • Положение о коммерческой тайне;
  • Перечень сведений, составляющих коммерческую тайну;
  • Инструкция о порядке передачи информации, составляющей коммерческую тайну, органам государственной власти и контрагентам;
  • Инструкция по учету лиц, допущенных к работе с коммерческой тайной.

Следующим шагом должна стать разработка / актуализация документов, обеспечивающих работу DLP-системы с потенциальными каналами утечек информации:

  • Положение по эксплуатации корпоративной электронной почты;
  • Положение по работе с ресурсами сети Интернет;
  • Положение по работе с внешними носителями информации;
  • Регламент по контролю эксплуатируемого программного обеспечения;
  • и др.

Так же необходимо не упустить из внимания, что внедрение специализированных систем защиты конфиденциальной информации, в совокупности с внедрением режима КТ, потребует внести соответствующие изменения в должностные инструкции, положения о подразделениях, правила внутреннего трудового распорядка, трудового договора.

На заключительном шаге данного этапа необходимо обеспечить выстраивание ключевых процессов функционирования DLP-системы:

  • документирование обязанностей сотрудников, ответственных за мониторинг событий;
  • документирование порядка организации мониторинга событий информационной безопасности;
  • документирование порядка реагирования и обработки инцидентов информационной безопасности;
  • документирование этапов расследования инцидентов, в том числе для формирования доказательной судебной базы.

 

Этап III. Выстраивание процессов ИБ

При расследовании инцидентов нарушения режима коммерческой тайны и формировании доказательной базы, постоянно возникают вопросы, связанные с аспектами информационной безопасности, например, наличие персонифицированной учетной записи при доступе в систему (процесс управления доступом), запись в журнале инструктажа по правилам информационной безопасности (процесс обучения и повышения осведомленности), оценка причиненного ущерба (управление рисками) и пр. В связи с этим, основываясь на результатах аудита (Этап I), важно убедиться, что выстроены ключевые процессы ИБ:

  • Регламентирован процесс управления доступом к информационной инфраструктуре;
  • Регламентирован процесс оценки рисков ИБ;
  • Регламентирован процесс обучения и повышения осведомленности при обработке конфиденциальной информации;
  • и пр.

 

В заключении хотелось еще раз сделать акцент на том, что помимо внедрения технических средств защиты, необходимо выстраивать процессы информационной безопасности. Именно такой комплексный подход будет гарантировать, что секреты производства и конфиденциальная информация получат полноценную защиту.