Содержание
Утечка информации – одна из серьезных проблем для любого предприятия. Риски кражи интеллектуальной собственности могут возникнуть по разным причинам – неосторожные действия сотрудников, злой умысел со стороны третьих лиц, случайные утечки.
Обычно выделяют две основные цели кражи информации, первая – намеренное причинение ущерба предприятию и кибертерроризм, вторая – получение конкурентных преимуществ. Непреднамеренная утечка обычно происходит из-за действий персонала, но также способна повлечь за собой серьезные последствия. Чтобы предупредить возникновение таких ситуаций, компаниям следует предпринять меры по защите своей интеллектуальной собственности. Надо получить полную информацию о всех вероятных каналах утечек, вариантах защиты и требованиях, которые предъявляются к таким системам.
Нормативная база
Информационные массивы предприятия разделяются на следующие разделы:
- подлежащие организации соответствующей защиты от хищений в соответствии с нормами предприятия;
- подлежащие организации надежной защиты в полном соответствии с действующими НПА.
Первая группа – это данные, которые могут представлять коммерческий интерес для конкурентов. Охрана осуществляется в соответствии с действующими ТК и ГК, а также внутренними и иными нормативными актами.
Вторая группа может включать в себя государственную тайну и другие данные, которые подлежат охране в соответствии с законом «О персональных данных». К этой же группе можно отнести банковскую и некоторые другие виды информации.
Аудит информационных систем позволяет улучшить показатели эффективности при управлении информационными ресурсами. Благодаря этому также можно проводить оценку работоспособности и безопасности системы, которая уже используется и внедрена в работу. Своевременный аудит определяет проблемы, которые в большинстве случаев оказывают негативное влияние на бизнес-процессы, происходящие в организации.
Утеря или кража данных, зоны риска и их особенности
Утечка и перехват – это два разных понятия. В первом случае речь идет об утрате данных, во втором – о незаконном овладевании такой информацией. Поэтому на практике при разработке системы безопасности учитываются все вероятные каналы, но с большим вниманием, направленным на риски от внутреннего пользователя, а не риски извне. Причина – перехват информации, которая представляет для предприятия ценную коммерческую тайну и может быть интересна для конкурентов. Но также внимание следует уделить и полной утрате информации, что может повлечь за собой полную остановку бизнес-процессов и значительные финансовые или репутационные потери.
Различают несколько типов систем, где риски утечки данных самые большие:
- научные, некоммерческие, коммерческие и иные организации, привлекаемые предприятием для выполнения заказов или определенного объема работ;
- организации, которые могут обладать информацией, являющейся целью для террористических актов;
- предприятия, работающие в сфере банковских и иных финансовых услуг;
- учреждения, имеющие дело с большими объемами персональных данных;
- компании, занимающиеся разработкой и внедрением инновационных технологий;
- любые компании и предприятия, которые имеют дело с информацией, касающейся особенностей технологий, клиентских баз, стратегий других организаций;
- учреждения, работающие в сфере недвижимости.
К техническим каналам утечки данных для всех этих организаций относятся:
- визуальные, направленные на копирование и перехват информации в виде документов и прочей визуальной информации;
- акустические, то есть перехват и запись телефонных разговоров, внутренних бесед, ведения переговоров;
- электромагнитные, позволяющие получить информацию, записанную на подобных носителях;
- материальные, то есть вынос физических активов, включая документы, другие носители информации, материалы.
Для защиты от каждого типа рисков используются отдельные методы. Это могут быть устройства для обеспечения безопасности визуально-оптическими, акустическими или электромагнитными средствами. Выбор зависит от особенностей деятельности предприятия и выявленных в ходе анализа рисков.
Визуально-оптические методы
К таким методам относятся средства защиты от снятия визуального отображения информации, например, снимка монитора. Нужно понимать, что перехват доступен для любого светового потока, поэтому с целью предупреждения хищения данных могут применяться следующие меры:
- установка стекол со светоотражательными свойствами;
- установка маскировки, преграды для светового потока;
- снижение уровня освещенности в помещениях, светоотражательных свойств отдельных поверхностей;
- планирование размещения объектов таким образом, чтобы визуальный перехват быть сильно затруднен или невозможен.
Акустические методы
Для защиты используются средства, которые делают невозможным запись или перехват телефонных разговоров, подслушивание и другие утечки информации по аналогичным каналам. Методы разные, они включают в себя установку шумозащиты, детекторов для поиска и блокировки подслушивающих, записывающих технических средств.
Электромагнитные средства
К таким рискам и каналам утечек относятся:
- волоконно-оптические линии связи;
- аналоговые системы связи (телефонные);
- цепи питания, точки заземления;
- переговорные устройства, а также микрофоны и многие другие.
Для перехвата используются различные технические средства, купить которые сегодня не представляется сложным. При этом информация может быть перехвачена также с монитора, при вводе данных с клавиатуры, через разнообразные интерфейсы или записываемая на внешние носители информации.
Средств защиты от такой утечки множество, для этого применяются программные, технические, аппаратные и иные методы. Важна комплексная защита, при помощи которой можно предупредить несанкционированный доступ и хищение данных.
Материально-вещественные и иные каналы
Производственные и иные отходы, бытовой мусор, выброшенные без соответствующей утилизации документы – все это может стать одним из источников хищения данных. Такие способы утечки требуют от злоумышленника территориальной доступности, поэтому необходимо создать систему контроля пропуска, разграничить виды доступа для посетителей, сотрудников различного ранга, клиентов.
Способы защиты
При выборе метода защиты учитывается, что зона хищения визуальной информации не превышает нескольких десятков метров. Необходимо знание планировки помещений и объекта, размещения необходимой информации или материалов. Также важным является знание работы системы безопасности, расположения видеокамер и пунктов пропуска. Если учесть все эти обстоятельства, можно выстроить эффективную систему защиты для предупреждения кражи данных.
Чтобы система защиты стала действительно надежной, необходимо использовать следующие группы мероприятий и действий:
- организационные, планировочные, административные меры;
- программно-технические методы.
Все эти меры направлены на защиту от хищения, рисков перехвата или полной утраты данных. Перед разработкой и внедрением требуется проведение анализа, консультаций со специалистами в области информационной безопасности. Все используемые технические средства обязательно должны быть сертифицированными, входящими в разрешенный список государства. Нельзя применять оборудование и меры, которые отнесены в категории шпионских, не опробованы, не имеют государственных сертификатов. То есть информационная защита предприятия должна быть основана исключительно на правовых методах, соответствующих действующему законодательству.
К проектированию безопасности нужно подходить комплексно, учитывать все риски и существующие системы защиты. Система должна иметь единое управление, контроль над ней возлагается только на компетентных, проверенных сотрудников.
Проектирование
Комплексная и эффективная система базируется на следующих принципах:
- Непрерывность работы во времени и пространстве. Используемые инструменты защиты должны обеспечивать круглосуточный мониторинг, контролировать весь периметр, не допуская снижения уровня безопасности или прорыва.
- Многозональность. Вся информация, которая подлежит защите, должна быть распределена по степени важности и значимости. С учетом подобной ранжировки подбираются способы защиты и предупреждения утечек.
- Расстановка приоритетов защиты. При выборе методов защиты необходимо самые серьезные методы применять для сведений с наивысшей степенью важности.
- Простая интеграция. Используемые компоненты защиты должны иметь управление из единого центра, взаимодействовать между собой. Для предприятия, имеющего отдельные филиалы или подразделения, управление такой системой следует осуществлять из головного офиса.
- Резервирование. Все системы и блоки связи должны быть продублированы на случай повреждения одного звена или прорыва. Переключение на резервные звенья должно происходить максимально быстро и в автоматическом режиме, если это возможно.
Грамотно выстроенная система защиты нужна практически любой компании. Особенно это касается крупных предприятий, в том числе, имеющих дела с государственными заказчиками. Для малых торговых фирм сложная система защиты не относится к обязательным элементам, но о предупреждении кражи информации все равно рекомендуется позаботиться.
К основным мерам предотвращения утечек относятся:
- административные, планировочные, организационные;
- разработка внутренней документации;
- организация регулярной работы с сотрудниками и контрагентами;
- разработка и внедрение технических, планировочных решений.
Административные, планировочные и иные мероприятия
Такие меры обеспечивают примерно 70% общей безопасности информационных данных. За их соблюдением следит руководитель компании и его заместитель, начальник службы безопасности. Введение подобных мероприятий позволяет предупредить случаи промышленного шпионажа, хищение и раскрытие информации сторонним лицам, использование любых высокотехнологичных средств для организации утечек.
Разработка внутренней документации
Внутренние акты, которые содержат коммерческую информацию и посвящены ее защите, должны отвечать установленным требованиям. Необходимо правильно подойти к разработке такой документации, что в будущем даст возможность защиты в суде, если произойдет утечка.
Организационные работы с сотрудниками
Наиболее слабым звеном при защите коммерческой и иной информации является персонал предприятия. Поэтому необходимо создание и контроль системы допусков к работе с данными, внедрение мер по ограничению работы с определенными данными. Необходимо разработать перечень конфиденциальной информации, указать особенности работы с подобными данными. Также важна организация контрольно-пропускного пункта на территорию компании, фиксация не только посетителей, но и сотрудников. С персоналом нужно регулярно проводить работу, разъясняя необходимость соблюдения условий по защите данных, контролировать их выполнение.
Организация работы с контрагентами
В некоторых случаях виновниками утечек являются контрагенты, а не персонал или посетители. К ним относятся поставщики, аудиторские фирмы, консалтинговые и прочие агентства, предоставляющие определенные услуги. К рискам относятся использование CRM-систем для хранения информации в облаке, работа с IP-телефонией и ведение полной базы данных по клиентам. Такие риски оцениваются, как очень высокие, тем более что последнее время количество кибератак серьезно увеличилось.
При работе с собственными контрагентами предприятию необходимо внимательно отнестись к разработке договоров, пунктов, которые содержат условия работы с конфиденциальной информацией, ответственности за ее распространение и передачу сторонним лицам. Утечки часто происходит из-за перепродажи базы данных, результатов проверок аудиторами или исследований, проводимых консалтинговыми агентствами.
Разработка и внедрение различных решений
Большое внимание следует уделить планированию, техническому оснащению помещений, где проходят переговоры. Следует использовать современные методы защиты и экранирования, генераторы помех, звукопоглощающие покрытия. Все они должны соответствовать установленным стандартам ГОСТа.
Разработка и внедрение технических, планировочных решений
Для предупреждения случаев кражи и утечки информации могут использоваться следующие инструменты:
- инженерные устройства;
- программные, информационные средства;
- оборудование;
- криптографические методы защиты.
Инженерные устройства нужны для архитектурных решений. Это устройства, при помощи которых блокируются пути прослушки и доступа на объект для лиц, не имеющих соответствующего доступа. Решения включают в себя сигнализацию, видеонаблюдение, электронные замки и прочие.
Аппаратные средства – это анализаторы, измерительные средства и прочие технические устройства, при помощи которых можно выявить каналы утечек. Оборудование используется для проверки и поиска подслушивающих и других устройств, несанкционированной записи информации. К примеру, для поиска диктофонов применяют специальные детекторы, улавливающие электромагнитное излучение. Аналогичные способы применяются для обнаружения скрытых камер и прочих средств.
Программные инструменты защиты – это SIEM, DLP и другие системы, обеспечивающие комплексную защиту для информации предприятия. Они используются для перехвата данных, блокировки хакерских и других атак. Перечень приемов, которые входят в программные методы защиты, обширный. Это могут быть инструменты для анализа трафика, просмотра и контроля электронной переписки, мониторинга содержимого локальных папок. При помощи таких мер можно обеспечить комплексную или локальную защиту, предупредить возникновение разных ситуаций, которые связаны с попытками кражи информации или создания каналов для ее постоянной утечки.
Криптографические меры по защите – это специальные алгоритмы шифрования, при помощи которых информация предприятия хранится на серверах. Даже при краже данных зашифрованные данные не будут представлять никакого интереса для взломщиков из-за невозможности использования.
Комплексное внедрение перечисленных мер позволяет создать на предприятии эффективную и надежную систему защиты. Привлекать к таким работам рекомендуется только проверенные компании и профессионалов, которые подберут необходимые методы с учетом специфики работы компании, используемой информации и иных факторов.