Безопасность # 3: Сохранность коммерческой тайны
Продолжая развивать тему о сохранности данных на предприятии, поговорим сегодня о том, как обеспечить неразглашение коммерческой тайны. А именно, что нужно предпринять, чтобы не допустить утечки информации.
Мы можем разделить общую работу по сохранности информации на два направления:
• Защита от внешнего вторжения с целью кражи информации.
• Защита от внутренней кражи, совершаемой сотрудником компании в корыстных целях.
Не стоит недооценивать внешние угрозы, даже если компания, по Вашему мнению, мала и не сулит злоумышленникам большой прибыли. Позиция “Да кому мы нужны?!” часто приводит к халатности в вопросах безопасности и вполне логичным последствиям.
Рекомендации по отражению внешних угроз:
1. Не предоставляйте доступ к BackOffice из внешнего мира и без пароля. Доступ без пароля должен быть невозможен для всех, и руководство компании в этом вопросе должно быть не исключением, а примером для остальных сотрудников.
2. Не предоставляйте доступ из внешнего мира к приложениям BackOffice, которые недостаточно проверены на безопасность (например, 1С). Закрывайте такие соединения VPN или другими типами соединений, которые проверяют подлинность серверной и клиентской стороны, желательно с использованием криптосистем на основе асинхронного шифрования.
3. Соблюдайте правила антивирусной защиты, описанной в предыдущей статье
Кстати в своем Telegram-канале я делюсь IT-советами для руководителей бизнеса, которые помогают узнать, где теряются деньги и как проверить системных администраторов.
Рекомендации по предотвращению кражи информации сотрудниками компании:
1. Используйте доступ к BackOffice только с авторизацией, предусмотрите отсутствие возможности какого-либо анонимного доступа (к сожалению, этим пунктом пренебрегают очень часто).
2. Используйте такое ПО BackOffice, которое позволяет записывать в журналы все операции всех пользователей, а также разграничивать доступ к записям в базе на уровне прав доступа. Не рекомендуется использовать интерфейсные ограничения, ибо они, по сути, являются всего лишь защитой от ленивого дурака. Если сотрудник не дурак, или не ленивый, и у него есть умысел кражи, то такие ограничения не предотвратят утечку информации.
3. Используйте на рабочих местах дополнительное ПО, которое позволяет контролировать все действия пользователя и, опять же, записывать их в журнал. В том числе задания на принтер, копируемые файлы со съёмных носителей и копируемые на съемные носители, копируемые данные по сети (чтобы хранились копии файлов). Это достаточно специфические программы, и они являются платными.
4. Заберите права локального администратора на операционной системе, где работает сотрудник, чтобы он не мог отключать системы контроля действий.
5. При допуске сотрудника к BackOffice возьмите подписку о неразглашении коммерческой тайны, полученной в процессе выполнения должностных обязанностей. Это не спасёт наверняка, но остановит большинство злоумышленников, так как ответственность по ГК РФ огромная, о чем стоит так же напомнить в подписываемом документе.
Как видите, защита от внешних угроз реально менее трудоёмкая и выстроить её ощутимо проще. А вот защититься от злого умысла сотрудника, который имеет доступ к данным по долгу службы, намного сложнее и дороже. В компаниях, где работает 30-50 человек, для этих целей уже должен быть выделенный сотрудник, занимающий должность IT-безопасника, или совмещающий эту должность с должностью IT-специалиста. Он должен обладать нетривиальными знаниями и достаточным временем на поддержание систем контроля в рабочем состоянии и на мониторинг (конечно же, выборочный) того, что происходит. И даже тут есть «слабое звено» – сам сотрудник IT-безопасности. Поэтому надо не забывать, что залог успеха компании, её главный актив – это квалифицированные сотрудники.
Компания ООО «Системный Администратор» предлагает своим заказчикам и услугу «Администратор Безопасности» для предотвращения утечки информации из компании.
С наилучшими пожеланиями
Коллектив ООО «Системный Администратор»
Последние новости
