Безопасность # 3: Сохранность коммерческой тайны

Продолжая развивать тему о сохранности данных на предприятии, поговорим сегодня о том, как обеспечить неразглашение коммерческой тайны. А именно, что нужно предпринять, чтобы не допустить утечки информации.

Мы можем разделить общую работу по сохранности информации на два направления:

  • Защита от внешнего вторжения с целью кражи информации.
  • Защита от внутренней кражи, совершаемой сотрудником компании в корыстных целях.

Не стоит недооценивать внешние угрозы, даже если компания, по Вашему мнению, мала и не сулит злоумышленникам большой прибыли. Позиция “Да кому мы нужны?!” часто приводит к халатности в вопросах безопасности и вполне логичным последствиям.

 

Рекомендации по отражению внешних угроз:

  1. Не предоставляйте доступ к BackOffice из внешнего мира и без пароля. Доступ без пароля должен быть невозможен для всех, и руководство компании в этом вопросе должно быть не исключением, а примером для остальных сотрудников.
  2. Не предоставляйте доступ из внешнего мира к приложениям BackOffice, которые недостаточно проверены на безопасность (например, 1С). Закрывайте такие соединения VPN или другими типами соединений, которые проверяют подлинность серверной и клиентской стороны, желательно с использованием криптосистем на основе асинхронного шифрования.
  3. Соблюдайте правила антивирусной защиты, описанной в предыдущей статье

 

Рекомендации по предотвращению кражи информации сотрудниками компании:

  1. Используйте доступ к BackOffice только с авторизацией, предусмотрите отсутствие возможности какого-либо анонимного доступа (к сожалению, этим пунктом пренебрегают очень часто).
  2. Используйте такое ПО BackOffice, которое позволяет записывать в журналы все операции всех пользователей, а также разграничивать доступ к записям в базе на уровне прав доступа. Не рекомендуется использовать интерфейсные ограничения, ибо они, по сути, являются всего лишь защитой от ленивого дурака. Если сотрудник не дурак, или не ленивый, и у него есть умысел кражи, то такие ограничения не предотвратят утечку информации.
  3. Используйте на рабочих местах дополнительное ПО, которое позволяет контролировать все действия пользователя и, опять же, записывать их в журнал. В том числе задания на принтер, копируемые файлы со съёмных носителей и копируемые на съемные носители, копируемые данные по сети (чтобы хранились копии файлов). Это достаточно специфические программы, и они являются платными.
  4. Заберите права локального администратора на операционной системе, где работает сотрудник, чтобы он не мог отключать системы контроля действий.
  5. При допуске сотрудника к BackOffice возьмите подписку о неразглашении коммерческой тайны, полученной в процессе выполнения должностных обязанностей. Это не спасёт наверняка, но остановит большинство злоумышленников, так как ответственность по ГК РФ огромная, о чем стоит так же напомнить в подписываемом документе.

 

Как видите, защита от внешних угроз реально менее трудоёмкая и выстроить её ощутимо проще. А вот защититься от злого умысла сотрудника, который имеет доступ к данным по долгу службы, намного сложнее и дороже. В компаниях, где работает 30-50 человек, для этих целей уже должен быть выделенный сотрудник, занимающий должность IT-безопасника, или совмещающий эту должность с должностью IT-специалиста. Он должен обладать нетривиальными знаниями и достаточным временем на поддержание систем контроля в рабочем состоянии и на мониторинг (конечно же, выборочный) того, что происходит. И даже тут есть «слабое звено» – сам сотрудник IT-безопасности. Поэтому надо не забывать, что залог успеха компании, её главный актив – это квалифицированные сотрудники.

Компания ООО «Системный Администратор» предлагает своим заказчикам и услугу «Администратор Безопасности» для предотвращения утечки информации из компании.

С наилучшими пожеланиями
Коллектив ООО «Системный Администратор»

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Оставьте комментарий

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: