Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Защита от инсайдеров и утечки информации Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
Навигация
 

Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации

Операции с документом
Данная статья обобщает опыт российской компании – интегратора в области создания комплексных систем предотвращения утечки конфиденциальной информации. Подобные комплексные системыявляются жизненно важными для функционирования многих современных предприятий и организаций.

Эдуард Гордеев, д.ф.м.н.
Александр Астахов, CISA, 2005

Аннотация

Авторы рассматривают сущность проблемы утечки информации, существующие угрозы и их возможные последствия, общие правила обеспечения конфиденциальности информации, а также основные составляющие системы защиты, основанной на соблюдении требований действующего законодательства и международных стандартов. Сразу отметим, что вопросы, связанные с утечкой информации по «техническим каналам», актуальные в основном для объектов с повышенным уровнем секретности, выходят за рамки настоящей статьи.

Целевой аудиторией настоящей статьи являются должностные лица организаций, на которых лежит непосредственная ответственность за организацию защиты коммерческой тайны и обеспечение конфиденциальности «критичных» информационных ресурсов. Это, прежде всего, руководители организаций, руководители ИТ подразделений и служб безопасности, руководителей служб управления персоналом. Мы надеемся, что материал статьи даст дополнительную возможность проанализировать проблему утечки информации в целом, определить общие подходы и сформировать программу мероприятий, направленных на решение этой проблемы.

В статье не просто описываются наиболее важные сервисы безопасности и правила их применения, но и обосновывается необходимость этих правил, а также система, в рамках которой они действуют. Эта последняя также представляет интерес для экспертов в области информационной безопасности и всех сотрудников организации, имеющих дело с конфиденциальной информацией.

Введение

Надо признать, что, на фоне весьма серьезного отношения к защите государственной и военной тайны, проблема защиты конфиденциальной информации в коммерческих организациях осознается пока еще не в полной мере.

В мире бизнеса имеет место разведка, недобросовестная конкуренция, локальные конфликты и широкомасштабные «военные» действия. Владение информацией о противнике является одним из наиболее существенных факторов успеха в такой борьбе. Поэтому решение проблемы утечки конфиденциальной информации необходимо для выживания и успешного бизнеса компании.

Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, о планируемых кадровых перестановках и т.п.

Во многих случаях проблема утечки информации для организации сродни скрытым вялотекущим болезням, которые встречаются у людей и с трудом поддаются диагностированию. Такая болезнь постепенно отнимает силы и подтачивает здоровье, приводя к медленному увяданию или отставанию в развитии. Порой болезнь может обостряться и в результате таких обострений организация может понести очень серьезный ущерб, вплоть до полного разорения.

Несмотря на то, что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий (см. врезку), возникают существенные трудности в обеспечении юридичейской защиты интересов собственников конфиденциальной информации, однако приемлемое решение всегда существует и поиск этого решения должен осуществляться в рамках стандартной схемы: «объекты – угрозы – контрмеры».

Действующее информационное законодательство

Действующее информационное законодательство Российской Федерации представлено целым блоком нормативно-правовых актов самого различного уровня, начиная с Конституции, Гражданского, Уголовного и Административного кодекса РФ и заканчивая узкоспециализированными, фундаментальными источниками, регулирующими вопросы защиты информации, к которым относятся законы РФ «Об информации, информатизации и защите информации» [6] , "Об участии в международном информационном обмене"[7], вступивший в силу с 24 декабря 2004 года «Закон о коммерческой тайне» [4]. На рассмотрении в Государственной Думе в настоящее время находится еще ряд проектов законов, включая законы о защите персональной и служебной информации.

К сожалению, большой объем актов правового регулирования и наличие основополагающих профильных нормативных актов, не означает совершенства действующего законодательства в этой сфере. Сегодня и законодательство, и наука не позволяют однозначно отграничить информацию от других объектов права, определить ее правовую природу, четко определить круг информационных правоотношений, однозначно определить субъектный состав и содержание информационных отношений и т.д. В частности, своего скорейшего разрешения требует проблема правового регулирования оборота недокументированной информации [5].

Категорирование конфиденциальной информации

Само понятие «конфиденциальная информация» варьируется в зависимости от предприятия или организации. Состав сведений, составляющих конфиденциальную информацию, должен приводиться в «Перечне сведений ограниченного распространения», который утверждается руководителем организации. Информация, не попавшая в данный перечень, считается открытой. Структура упомянутых выше сведений может быть представлена по типовой схеме.

Опираясь на существующий опыт защиты информации в коммерческих организациях и положения действующего законодательства можно выделить следующие основные категории конфиденциальной информации:

  • сведения, составляющие коммерческую тайну организации;
  • персональные данные сотрудников организации (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);
  • сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков, контрагентов);
  • а также любые другие сведения, разглашение и/или неправомерное использование которых может нанести ущерб интересам организации.

К открытой информации относятся, например:

  • сведения, содержащиеся в сообщениях и отчетах, официально опубликованных Компанией в соответствии с действующим российским законодательством;
  • сведения, содержащиеся в официальных пресс-релизах, а также рекламных сообщениях Компании;
  • сведения, опубликованные в средствах массовой информации по инициативе третьих лиц и с разрешения руководства Компании;
  • а также любая информация не попадающая в категории, определяемые «Перечнем сведений ограниченного распространения», принятым в организации, и не являющаяся конфиденциальной по законодательству РФ.

В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т.п., включая государственную тайну.

Важной категорией конфиденциальной информации являются персональные данные сотрудников организации.

Например, в США законодательство предусматривает очень серьезное наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA. Последний определяет наказание до 10 лет лишения свободы или $200k штрафа за умышленное раскрытие персональных данных.

В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации» [6].

Законодательство о защите коммерческой тайны

Предметом защиты коммерческой информации являются все, свойственные предприятиям Компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договора и т.п.

По гражданскому законодательству (ст. 139 Гражданского Кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

  • Эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам
  • К этой информации нет свободного доступа на законном основании
  • Обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности

Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации, и охраной ее конфиденциальности регулируются «законом о коммерческой тайне», согласно которому права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности» [4].

Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности. Это позволяет реализовать дифференцированный подход к реализации защитных мер. Знания о составе информационных ресурсов организации и соответствующих уровнях конфиденциальности формализуются в виде единого «Реестра информационных ресурсов организации».

Каналы утечки информации

Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками, по причине неосведомленности или недисциплинированности. Это и «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неуменее определить какие документы являются конфиденциальными.

Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации.

Пример. MS Word как срытый канал утечки информации

Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, специализирующейся в области обеспечения защиты документов, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность. Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенных мер, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта те или иные ключевые его положения.

По данным консалтинговой компании Vanson Bourne, в целом до 31% файлов в формате Word содержат весьма «щекотливую» информацию. В некоторых компаниях дела обстоят особенно неблагополучно — до трех четвертей всех документов попадают в группу «высокого риска». Больше того — 90% компаний не имеют ни малейшего представления о том, каким именно образом уже утекает или может утекать от них закрытая и служебная информация.

Компания Microsoft выпустила специальное программное расширение для MS Word под названием Remove Hidden Data [1, 2], с помощью которого пользователь может удалить персональные данные либо скрытую информацию, которая не должна быть выявлена при просмотре документа. Однако очень немногие организации на сегодняшний день добавили соответствующие правила «зачистки» в существующие регламенты работы с документами.

Система организационно-технических мероприятий по защите конфиденциальной информации С учетом множественности категорий и каналов утечки информации, становится очевидным, что в большинстве случаев проблему утечки информации нельзя решить каким-либо простым способом, тем более избавится от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес процессов организации. Наиболее адекватный подход заключается в том, чтобы уделять данной проблеме столько внимания, сколько она того заслуживает. В данном, случае это означает необходимость создания системы организационно-технический мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без существенного снижения эффективности бизнес процессов. В отсутствии такой системы риски для бизнеса неприемлемо высоки, а права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих:

  • Работу с персоналом
  • Политику безопасности
  • Сервисы безопасности
  • Работа с персоналом

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен свести на нет любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом является одним из основных механизмов защиты.

Основные принципы и правила управления персоналом с учетом требований ИБ определены в международном стандарте ISO/IEC 17799:2000 [8]. Соблюдение этих правил позволяет существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.

Основные принципы управления персоналом, выраженные в Стандарте, сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

Основные требования безопасности при работе с персоналом

При работе с персоналом необходимо соблюдать следующие основные требования безопасности:

  • Ответственность за ИБ должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, ответственность за ресурсы, процессы и мероприятия по обеспечению безопасности
  • Должны выполняться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.
  • Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно являться одним из обязательных условий приема на работу.
  • Требования ИБ, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность на нарушение безопасности.

Повышение осведомленности персонала

Важную роль для обеспечения ИБ играет осведомленность пользователей в вопросах безопасности и их обученность правилам безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:

  • правила политики безопасности организации
  • правила выбора, смены и использования паролей
  • правила получения доступа к ресурсам информационной системы
  • правила обращения с конфиденциальной информацией
  • процедуры информирования об инцидентах, об уязвимостях, ошибках и сбоях программного обеспечения
  • а также другие правила и процедуры

Меры пресечения

В организации должен существовать соответствующий дисциплинарный процесс в отношении нарушителей безопасности, предусматривающий проведение расследования, ликвидации последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения, следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и соответствующая ответственность на нарушение ИБ организации регулируются, прежде всего, Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса.

Так, на основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 Трудового кодекса РФ все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник Компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (Ст. 241 Трудового кодекса РФ), а согласно ст. 243 Трудового кодекса РФ за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники Компании несут материальную ответственность в полном размере причиненного ущерба.

Роль HR-менеджеров

Роль менеджеров по персоналу (HR-менеджеров) в обеспечении ИБ организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

Политика безопасности и процедуры внутрифирменной коммуникации

Надлежащая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, включая авторизацию и аудит доступа.

Ответственность за ИБ организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет Директор по ИБ (CISO) или Директор по безопасности (CSO), иногда Директор по ИТ (CIO).

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Многие правила политики безопасности являются понятными для сотрудников и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.

Политика безопасности организации в области предотвращения утечки информации

В основе системы защиты информации лежат внутренние нормативные документы, устанавливающие ответственность и определяющие правила по защите информации, обязательные для исполнения всеми сотрудниками организации. К ним относятся:

  • Положение о коммерческой тайне
  • Руководство по защите конфиденциальной информации
  • Правила работы пользователей в корпоративной сети
  • Инструкции по использованию сервисов безопасности
  • Регламент предоставления доступа к информационным ресурсам

Хорошей практикой является разработка и внедрение нескольких небольших документов, вместо одного объемного, который все-равно никто не сможет дочитать до конца и тем более запомнить все, что там написано. Можно рекомендовать следующий состав документов, ориентированных на всех сотрудников организации:

  • Правила работы пользователей в корпоративной сети
  • Правила выбора, хранения и использования паролей
  • Инструкция по защите от компьютерных вирусов
  • Правила использования мобильных устройств для работы в корпоративной сети
  • Правила работы в сети Интернет

Состав документов может варьироваться. При определении состава и содержания документов можно рекомендовать опираться на требования ISO/IEC 17799:2000.

Основные правила обращения с конфиденциальной информацией

Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил, к которым относятся:

  • Маркирование документов
  • Закрытое обсуждение
  • Шифрование информации при хранении и передаче
  • Использование соглашений о конфиденциальности
  • Ограничение доступа к информации
  • Информирование

Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.

Правила обращения с конфиденциальной информацией

Правило №1. Маркирование документов

Документы (бумажные и электронные), содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.

Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами.

Маркирование сообщений электронной почты осуществляется пользователем, осуществляющим отправку (распространение) данных сообщений.

В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на следующей стороне титульного листа в обязательном порядке должно содержаться «заявление о конфиденциальности».

Правило №2. Закрытое обсуждение

Не обсуждать конфиденциальную информацию с посторонними лицами (или в их присутствии), с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией и т.п.

Не обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних (не допущенных к данной информации) лиц, включая столовую и места для курения, расположенные на территории Компании.

Правило №3. Шифрование информации при хранении и передаче

Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации. Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при условии наличия соответствующих технических возможностей.

Правило №4. Использование соглашения о конфиденциальности

Передача сведений, содержащих конфиденциальную информацию, третьей стороне должно осуществляться только после заключения с этой стороной «Соглашения о конфиденциальности».

Правило №5. Ограничение доступа к информации

Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, WEB, почтовые папки и т.п.

Правило №6. Информирование

Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации, следует незамедлительно сообщать своему непосредственному руководителю.

Сервисы безопасности

Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации.

К числу сервисов безопасности относятся: сервисы аутентификации, управления доступом, шифрования, фильтрации контента и аудита безопасности.

Аутентификация и управление доступом

Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке.

Примерами соответствующих коммерческих продуктов являются Microsoft RMS (впервые появившийся в MS Windows Server 2003) и программно-аппаратный комплекс Sentinel RMS, производимый компанией SafeNet.

RMS (Rights Management Services) — это технология, используемая RMS-совместимыми приложениями для защиты электронных документов от несанкционированного использования. RMS позволяет при распространении информации определять ограничения по ее использованию. Например, автор документа может ограничить «время жизни» документа, а также возможность для определенных пользователей открывать, изменять, копировать в буфер обмена, печатать или пересылать документ. Основное отличие данной технологии от традиционных способов разграничения доступа к информации заключается в том, что права доступа и дополнительные ограничения по использованию хранятся в теле самого документа и действуют независимо от его местонахождения. Шифрование документов, реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо обходным путем.

Фильтрация контента

Использование сервиса RMS, конечно, не решает всех проблем. Например, эта технология не защищает от умышленного «слива» информации по электронной почте, что на практике встречается довольно часто и заставляет руководство организации вводить правила по фильтрации исходящих из корпоративной сети сообщений по их содержанию. Анализ содержания сообщений по ключевым словам может быть достаточно эффективным, однако требует проведения серьезной работы по «тюнингу» системы фильтрации контента, так как ни одна из подобных систем не работает «прямо из коробки». Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности.

Шифрование информации

Шифрование является одним из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения ИБ.

Так, например, доступным и распространенным способом шифрования информации при хранении для пользователей ОС Microsoft Windows является использование встроенного в NTFS сервиса Encrypted File System (EFS). Во всех распространенных почтовых клиентах поддерживаются функции шифрования сообщений, что позволяет без дополнительных усилий производить обмен конфиденциальной информацией с внешними респондентами в зашифрованном виде.

Аудит безопасности

Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита ИБ, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации. Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнение действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.

Заключение

В данной статье мы рассмотрели важные вопросы, связанные с организацией защиты от утечки информации – реальной проблемы, от успешного решения которой зависит конкурентоспособность организации. Были затронуты вопросы классификации и категорирования информационных ресурсов организации с учетом требований действующего законодательстваи необходимость формирования и поддержания в актуальном состоянии «Реестра информационных ресурсов организации». Приведены примеры существующих угроз и каналов утечки информации, использование которых чревато серьезными последствиями для организации. Это позволило определить наиболее адекватный подход к решению проблемы, который заключается в создании комплексной системы организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски. Основными составляющими такой системы является политика безопасности и работа с персоналом, от которого требуется выполнение основных правил обеспечения конфиденциальности информации и грамотное применение сервисов безопасности, позволяющих ограничивать доступ к информации.

Хотелось бы заострить внимание читателей на том, что успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью (СУИБ), которая характеризуется, прежде всего, наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля. Основными руководящими документами в этой области могут служить международный стандарт ISO/IEC 17799:2000 [8], который описывает 127 механизмов контроля, обеспечивающих функционирование СУИБ, а также британский стандарт BS 7799-2:2002, определяющий спецификацию СУИБ, а также руководство по ее использованию для создания СУИБ и прохождения процедуры сертификации.

Ссылки

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex