Разрешите представить вашему вниманию небольшой сборник ответов на вопросы, которые, на мой взгляд, могут оказаться полезными для того, кто еще начинает свой путь в сфере ИБ.
Как защитить компанию от внутренних угроз, связанных с утечкой конфиденциальной информации?
Для того, чтобы защититься от любой угрозы, нужно сначала осознать её наличие. К сожалению, далеко не всегда руководство компаний способно сделать это, если речь идет об угрозах информационной безопасности. Ключ к успешной защите от утечек информации и других угроз кроется в умелом использовании как организационных, так и технических средств контроля действий персонала.
Для того, чтобы защититься от любой угрозы, нужно сначала осознать её наличие. К сожалению, далеко не всегда руководство компаний способно сделать это, если речь идет об угрозах информационной безопасности. Ключ к успешной защите от утечек информации и других угроз кроется в умелом использовании как организационных, так и технических средств контроля действий персонала.
Как должна быть организована система управления персоналом в компании,
чтобы минимизировать риски по утечке конфиденциальной информации?
В компании должен быть специальный сотрудник, ответственный за информационную безопасность, а в крупной – целый отдел, подчиняющийся непосредственно руководителю компании.
Представители каких отраслей чаще всего сталкиваются с утечкой конфиденциальной информации?
Больше других от утечек страдают представители таких отраслей, как промышленность, энергетика, розничная торговля. Другие традиционно подверженные рискам утечек отрасли – банковская, страховая, ИТ – обычно лучше заботятся о своей защите от информационных рисков, и по этой причине реже попадают в подобные ситуации.
Какими должны быть адекватные меры по защите от утечек информации для среднестатистической компании?
Для каждой организации вопрос о мерах защиты должен прорабатываться в зависимости от специфики её работы, однако разработка политик информационной безопасности, инструктаж сотрудников, разграничение доступа к конфиденциальным данным и внедрение DLP-системы являются необходимыми условиями успешной защиты от утечек для любой организации. Среди всех технических средств предотвращения утечек информации DLP-система сегодня является самым эффективным, хотя к её выбору необходимо отнестись особенно тщательно, чтобы получить нужный результат. Так, она должна контролировать все возможные каналы утечки данных, поддерживать автоматическое обнаружение конфиденциальной информации в исходящем трафике, поддерживать контроль рабочих ноутбуков, временно оказавшихся вне корпоративной сети…
Представители каких отраслей чаще всего сталкиваются с утечкой конфиденциальной информации?
Больше других от утечек страдают представители таких отраслей, как промышленность, энергетика, розничная торговля. Другие традиционно подверженные рискам утечек отрасли – банковская, страховая, ИТ – обычно лучше заботятся о своей защите от информационных рисков, и по этой причине реже попадают в подобные ситуации.
Какими должны быть адекватные меры по защите от утечек информации для среднестатистической компании?
Для каждой организации вопрос о мерах защиты должен прорабатываться в зависимости от специфики её работы, однако разработка политик информационной безопасности, инструктаж сотрудников, разграничение доступа к конфиденциальным данным и внедрение DLP-системы являются необходимыми условиями успешной защиты от утечек для любой организации. Среди всех технических средств предотвращения утечек информации DLP-система сегодня является самым эффективным, хотя к её выбору необходимо отнестись особенно тщательно, чтобы получить нужный результат. Так, она должна контролировать все возможные каналы утечки данных, поддерживать автоматическое обнаружение конфиденциальной информации в исходящем трафике, поддерживать контроль рабочих ноутбуков, временно оказавшихся вне корпоративной сети…
Можно ли отдать защиту от утечек информации на аутсорсинг?
Для небольшой компании это может иметь смысл, поскольку позволяет снизить издержки. Однако необходимо тщательно выбирать поставщика услуг, желательно предварительно получив рекомендации от его текущих клиентов.
Для небольшой компании это может иметь смысл, поскольку позволяет снизить издержки. Однако необходимо тщательно выбирать поставщика услуг, желательно предварительно получив рекомендации от его текущих клиентов.
Какие каналы передачи данных необходимо контролировать для предотвращения утечки конфиденциальной информации?
Все каналы, которыми пользуются сотрудники организации – электронная почта, Skype, протокол Всемирной паутины HTTP… Также необходимо контролировать информацию, записываемую на внешние носители данных и отправляемую на печать, плюс периодически проверять рабочую станцию или лэптоп пользователя на предмет файлов, которых там быть, вообще говоря, не должно.
Все каналы, которыми пользуются сотрудники организации – электронная почта, Skype, протокол Всемирной паутины HTTP… Также необходимо контролировать информацию, записываемую на внешние носители данных и отправляемую на печать, плюс периодически проверять рабочую станцию или лэптоп пользователя на предмет файлов, которых там быть, вообще говоря, не должно.
Что делать, когда утечка уже случилась?
Прежде всего, нужно оповестить тех, кто мог пострадать – молчание обойдется для вашей репутации намного дороже. Во-вторых, нужно найти источник и предотвратить дальнейшие утечки. Далее необходимо оценить, куда могла уйти информация, и попытаться каким-то образом договориться о том, чтобы она не распространялась дальше. А вообще, конечно, утечку конфиденциальной информации проще предупредить, чем потом расхлебывать её последствия.
А. Дрозд,
Прежде всего, нужно оповестить тех, кто мог пострадать – молчание обойдется для вашей репутации намного дороже. Во-вторых, нужно найти источник и предотвратить дальнейшие утечки. Далее необходимо оценить, куда могла уйти информация, и попытаться каким-то образом договориться о том, чтобы она не распространялась дальше. А вообще, конечно, утечку конфиденциальной информации проще предупредить, чем потом расхлебывать её последствия.
А. Дрозд,
заместитель PR-директора компании SearchInform
Комментариев нет:
Отправить комментарий