В современном мире уже нередки ситуации, когда сотрудники компании злоупотребляют своим положением и крадут клиентские базы, рабочие документы, секреты производства и прочую конфиденциальную информацию, утечка которой может привести к финансовым и репутационным рискам для бизнеса. Чтобы избежать таких инцидентов, многие компании внедряют специализированные системы защиты информации от утечек – Data Loss Prevention (DLP), выделяют ресурсы для эксплуатации таких систем, закупают дополнительное серверное оборудование, другими словами несут прямые финансовые затраты с целью минимизировать риски, связанные с внутренними угрозами.
Однако функционирование DLP-системы в компании не дает гарантий, что в случае если инцидент утечки все же настанет, то компания сможет отстоять свои интересы в суде. Дело в том, что помимо технической составляющей (внедрение DLP-системы) важно проработать юридическое обеспечение функционирования DLP-системы, а также правильно выстроить процессы информационной безопасности и процедуры режима коммерческой тайны.
Комплексный подход к обеспечению безопасности коммерческой тайны и обеспечению работы DLP-системы, состоит из трёх основных этапов:
Этап I. Аудит процессов ИБ и имеющейся документации
Ключевой целью этапа является выявление узких мест, которые могут негативно сказаться при внедрении и эксплуатации DLP-системы. В целях эффективного выстраивания процессов ИБ и процессов работы DLP-системы, на последующих этапах, важно изучить специфику бизнес-процессов, а также сопутствующие технологические процессы. В частности, рекомендуется провести аудит следующих ключевых процессов:
По итогам аудита должно быть четкое понимание, какие именно процедуры ИБ регламентированы в компании, какие документы требуют актуализацию, какие средства связи можно отнести к потенциальным каналам утечки информации и пр. Так же важно получить представление о циркуляции информационных потоков внутри компании и потоков, которые выходят за периметр компании.
Этап II. Обеспечение работы DLP-системы
Основная задача данного этапа – обеспечить правомерность проводимого контроля за ИТ-активами и ресурсами компании. Ключевой аспект данной задачи – введение режима коммерческой тайны, а также проработка таких задач, которые призваны ответить на следующие вопросы:
Как отмечалось выше, основная задача на данном этапе внедрить полный комплект документов и процедур в соответствии с требованиями Федерального закона от 29.07.2004 г. №98-ФЗ «О коммерческой тайне», либо выполнить их пересмотр (актуализацию), в случае если данные процедуры внедрены частично. В частности, необходимо убедиться в наличии следующих документов и локально-нормативных актов:
Следующим шагом должна стать разработка / актуализация документов, обеспечивающих работу DLP-системы с потенциальными каналами утечек информации:
Так же необходимо не упустить из внимания, что внедрение специализированных систем защиты конфиденциальной информации, в совокупности с внедрением режима КТ, потребует внести соответствующие изменения в должностные инструкции, положения о подразделениях, правила внутреннего трудового распорядка, трудового договора.
На заключительном шаге данного этапа необходимо обеспечить выстраивание ключевых процессов функционирования DLP-системы:
Этап III. Выстраивание процессов ИБ
При расследовании инцидентов нарушения режима коммерческой тайны и формировании доказательной базы, постоянно возникают вопросы, связанные с аспектами информационной безопасности, например, наличие персонифицированной учетной записи при доступе в систему (процесс управления доступом), запись в журнале инструктажа по правилам информационной безопасности (процесс обучения и повышения осведомленности), оценка причиненного ущерба (управление рисками) и пр. В связи с этим, основываясь на результатах аудита (Этап I), важно убедиться, что выстроены ключевые процессы ИБ:
В заключении хотелось еще раз сделать акцент на том, что помимо внедрения технических средств защиты, необходимо выстраивать процессы информационной безопасности. Именно такой комплексный подход будет гарантировать, что секреты производства и конфиденциальная информация получат полноценную защиту.