Главная » Тезисы » ITM, CISO Зима 2015


Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь

Внедрение DLP-системы в дистрибьютерской компании в условиях кризиса

Posted Декабрь 24th, 2015 by admin

Смирнов А.А.
Выпускник группы CISO-06
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Угрозы информационной безопасности могут быть классифицированы по трем основным видам:

  • Угрозы конфиденциальности (раскрытия информации);

  • Угрозы целостности (неправомерное изменения/удаления информации);

  • Угрозы доступности (события, делающие затруднительным или невозможным доступ к информации или информационным системам);

    • В настоящей работе рассматриваются вопросы создания и использования систем, направленных на сохранение конфиденциальности информации в коммерческой компании, так как рост доли конфиденциальной информации в активах современных компаний требует применения комплекса технических и организационных мер для ее защиты.

    Потеря конфиденциальной информации может представлять серьезную угрозу деятельности компании. По данным исследований - потеря 20 процентов конфиденциальной информации в 60 процентах компании может привести к банкротству. Это может быть не только информация о деятельности компании, планах, описании уникальных бизнес-процессах, технических преимуществах и ноу-хау, но также в некоторых случаях данные о поставщиках, клиентах, акционерах и т.д. Большинство компаний связаны друг с другом соглашениями о неразглашении информации о совместных проектах. В этом случае утечка информации так же может стать серьезной угрозой для бизнеса. В высокотехнологичной экономике ноу-хау могут составлять ключевую часть активов компании. И если защита осуществляется с помощью коммерческой тайны, то ее утечка может окончится крахом бизнеса. Так же не стоит забывать, что многие компании нуждаются в системах защиты информации, так как в областях их деятельности требования по защите информации могут существовать на законодательном уровне или других регулирующих органов. Например, закон о персональных данных, обязывающий компании внедрять средства защиты персональных данных сотрудников, клиентов и других физических лиц, данные которых компания хранит и обрабатывает.

    Согласно исследованиям, более чем в 70 процентах случаев возникновения рисков информационной безопасности виноваты сотрудники компании. Именно, они, а не хакеры, как нам пытаются представить производители и продавцы различных систем защиты от внешних угроз, являются основной угрозой информационной безопасности компаний и организаций.

    Существует емкое выражение: «При увольнении топ-менеджеры уносят с собой бизнес, руководители среднего звена – бизнес-процессы, а рядовые сотрудники – информацию».

    В России стало нормой, что при увольнении сотрудник уносит с собой информацию, доступ к которой у него есть. Процесс ее сбора и копирования начинается за долго до увольнения. А именно тогда, когда в его голове появляется первая мысль о смене работы. Часто искренне полагая, что имеет полное право забрать ее с собой.

    Успешное внедрение и эффективную эксплуатацию системы защиты от утечек невозможно осуществить только техническими мерам. Как и в любой другой области обеспечения безопасности эффективность защиты обеспечивается только при использовании комплекса мер по защите: технических, юридических, административных и организационных.

    Административные мероприятия:

  • Составить и утвердить перечень конфиденциальной информации;

  • Разработать или актуализировать политики безопасности;

  • Разработать или актуализировать частные политики, инструкции и регламенты по работе с информационными ресурсами. Например, политика использования электронной почты, политика использования сети интернет, съемных носителей и т.д.;

  • Определить перечень носителей информации и способы передачи информации;

  • Определение перечень возможных каналов утечки информации;

  • Составить перечень возможных сценариев утечки для разработки правил реагирования системы DLP, составление легитимных сценариев перемещения и хранения конфиденциальных данных;

  • Составить перечень информационных ресурсов компании;

  • Определить владельцев информационным ресурсов;

  • Создать набор образцов конфиденциальных данных для создания и передачи логики обнаружения в систему DLP;

  • Составить группы с типами конфиденциальной информации для последующего соотношения их группами/подразделениями компании;

  • Провести инструктаж ответственных сотрудников компании;

  • Внести необходимые изменения в процессы обработки информации. Провести их оптимизацию для уменьшения потенциальных каналов утечки информации;

  • Определить ответственных за эксплуатацию DLP-системы, реагирования на инциденты. Провести их обучение;

  • Разработать и утвердить процедуры реагирования на инциденты информационной безопасности.

    •  

    Юридические меры:

  • Определить перечень информации, составляющую коммерческую тайну;

  • Ввести режима коммерческой тайны в компании;

  • Включить раздел о конфиденциальности в договора компании с партнерами и контрагентами;

  • Включить дополнения в договора сотрудников;

  • Заключить с сотрудниками соглашение о конфиденциальности.

    •  

    Технические меры включают в себя:

  • Подготовка к внедрению DLP-системы;

  • Разработка технического задания;

  • Создание набора политик для DLP-системы;

  • Разработка и утверждение программы и методики испытаний;

  • Реорганизация сети, если необходимо;

  • Пилотный проект в режиме мониторинга;

  • Внедрение, настройка и обучение системы.

    •  

    Система обнаружения утечек в компании предоставляет возможность легкого доступа к информации с которой работают сотрудники, в том числе и личной информации работников сотрудникам служб безопасности, сотрудникам кадровой службы, руководителям и т.д.

    При этом важно не забывать, что у граждан есть право на тайну переписки, закрепленное Конституцией РФ. В Конституции эту задачу решает статья 23, которая гласит «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Поэтому, никто не вправе посягать на это право работников. Зачастую работодатель уверен в том, что если рабочие компьютеры и рабочее время оплачивается им, то сотрудник не может заниматься личными делами на рабочем месте и все, что делается работником на рабочем компьютере может быть доступно работодателю. Поэтому, перед внедрением DLP-системы компания должна подготовить для нее юридическую и административную основу.

    В связи с экономическими явлениями, имевшими место в 2014 году, обострилась борьба компаний за удержание занимаемой конкурентной позиции, а в некоторых случаях и за выживание. Спешная выработка антикризисных стратегий нередко сопряжена с сокращением расходов на неприоритетные задачи и направления, к числу которых некоторые организации, к сожалению, относят информационную безопасность. Однако существуют причины уделять особенно пристальное внимание защите от утечек критически важной информации в непростые для бизнеса времена:

    Кроме повышения вероятности возникновения типичных для бизнеса угроз, появляется возможность приобретения активов значительно дешевле, чем в не кризисные времена. Это утверждение можно отнести и к покупке DLP-системы. В условиях кризиса можно добиться шестикратного снижения цены на систему защиты от утечек. Внедрение такой системы и снижение за счет этого рисков, в кризис может дать не только конкурентные преимущества на рынке, но и в ряде случаев поможет выжить.

    Рубрика: 
    Корпоративные системы управления
    Ваша оценка: Пусто Средняя: 7 (1 голос)
    Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009