Неосведомленность сотрудников — слабое место защиты информации

Неосведомленность сотрудников — слабое место защиты информации

Источник: Управление персоналом

Александр Игнатенко, заместитель генерального директора ЗАО «Специальная Информационная Служба» (ЗАО «СИнС»)

Как обезопасить компанию от коммерческого мошенничества, в т. ч. от похищения личных данных? Какие способы использовать? Кому доверять, а кого проверять?

Несколько реальных случаев.

Директор компании жалуется на ХАКЕРОВ, которые постоянно воруют коммерческую информацию из корпоративной компьютерной сети, что приводит к убыткам.

Анализ состояния корпоративной компьютерной сети показал отсутствие реальных атак на фирму. Дальнейший анализ общей системы безопасности фирмы позволил найти «хакера» — системный администратор, он же курьер, он же племянник директора, за небольшое вознаграждение копировал и передавал конкурентам интересующую их информацию.

От организации отделилась группа сотрудников, создала новую фирму в аналогичной сфере деятельности, и заказчики, в том числе и вновь появившиеся, стали постоянно уходить к конкуренту.

Анализ состояния информационной безопасности фирмы показал, что отсутствие контроля количества печатаемых на принтере накладных позволило кладовщику за вознаграждение передавать копии документов с реквизитами заказчиков конкурентам.

В фирму поступила информация из правоохранительных органов об осуществлении ряда незаконных платежей с использованием внешнего IP-адреса фирмы. Подобная ситуация могла привести к изъятию серверов и приостановке бизнес-процесса.

Однако грамотная настройка оборудования и программного обеспечения позволила сделать быстрый и документированный анализ системных журналов и показать отсутствие незаконных действий со стороны сотрудников фирмы.

Представленные примеры показывают важность информационного обеспечения фирмы и необходимость его защиты.

Нужно понять, что безопасность фирмы, ее экономическая и информационная безопасность не красивые словосочетания, а требования бизнеса, без которых успешная экономическая деятельность невозможна.

Известно, что информация представляет собой весьма ценный продукт и, естественно, нуждается в определенной защите. Защита информации обеспечивает соблюдение:

  • конфиденциальности, т. е. защиту от несанкционированного доступа;

  • целостности, т. е. защиту от несанкционированного изменения;

  • доступности, т. е. защиту от несанкционированного удержания информации и ресурсов.

Политика информационной безопасности — составная часть общей политики безопасности предприятия. Прежде чем приступать к мероприятиям по обеспечению информационной безопасности, необходимо определить: что защищать, от кого и как. Для этого производится обследование объекта защиты, после чего составляется специальный пакет документов, называемый «Политика информационной безопасности предприятия».

В процессе подготовки пакета документов производится категорирование информации, разграничение доступа к информации, определяются ответственные за информацию и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. Инструкции в обязательном порядке должны быть разъяснены тому лицу или группе лиц, для которых они написаны, поскольку слабым местом защиты информации в большинстве случаев является банальная неосведомленность сотрудников. Как правило, особое внимание уделяется требованиям к специалистам компьютерной сети и хранилищ данных, а также «Аварийному плану» — документу, описывающему, что делать, кому, как и в какой последовательности, если реализуется одна из угроз, а также содержащему описание процесса восстановления нормальной деятельности компании.

Важно обратить внимание на то, что использование нелицензионного программного обеспечения может привести как к неприятностям с обладателями авторского права, так и к внедрению вредоносного программного обеспечения в корпоративную компьютерную сеть.

Кому доверять, а кого проверять?

Вопросы кадровой политики, проверки персонала, доверия персоналу однозначно связаны как с общей безопасностью компании, так и с сохранностью конфиденциальной информации. В процессе подбора кадров необходимо обратить особое внимание на отбор специалистов, обеспечивающих работу компьютерной сети и отдельных ее подсистем. Важно отметить, что эти специалисты в состоянии отслеживать и копировать практически все информационные потоки фирмы и в случае нелояльности данных специалистов к руководству или к владельцам предприятия может возникнуть ситуация, способная привести к серьезным убыткам и даже краху фирмы.

Полный текст читайте в печатной версии журнала Управление Персоналом