Заказать счет на подписку у менеджера
Реклама. ООО Модус. ИНН7726691417. erid:2Vtzqv87FrR

"Персонал и информационная безопасность"

Вернуться к содержанию выпуска
Люди и риски
Роман Идов

Роман Идов

В наши дни все большее количество организаций приходит к выводу о необходимости контроля с помощью специального ПО различных каналов передачи информации, по которым их сотрудники обмениваются данные с внешним миром и между собой. Что это – мода и прихоть начальства, желающего поиграть в шпионов, или суровая необходимость, диктуемая законами рынка? Попробуем ответить на этот вопрос вместе…Цели контроляВо-первых, это целевое использование рабочего времени. Ни для кого не секрет, что в рабочее время многие сотрудники любят проводить время интересно, но без пользы для своего работодателя. Посидеть в социальных сетях, поиграть в браузерные игры или, на худой конец, раскладывать пасьянсы – и все это вместо того, чтобы выполнять служебные обязанности.Во-вторых, организации стараются контролировать также и целевое использование рабочих ресурсов: телефона, интернета, бумаги для принтера и прочих подобных вещей. Распечатать на корпоративном принтере книгу «для души», позвонить с корпоративного телефона тете в Австралию, загрузить через корпоративный интернет фильм… Знакомо? Вполне понятно, что и с такими действиями организации тоже пытаются бороться.Впрочем, подобные действия персонала, хоть и наносят определенный вред организации, все равно сравнительно безвредны для нее, и могут квалифицироваться скорее как мелкое хулиганство. Настоящую проблему представляют незаконные действия сотрудников. Что входит в столь расплывчатое определение? Незаконных действий сотрудники могут совершать достаточно много. Это и печать поддельных документов, особенно на принадлежащих компании бланках строгой отчетности; и различные финансовые аферы за спиной компании; и даже такая, в общем-то, распространенная вещь, как использование служебных полномочий для помощи друзьям или родственникам – эта проблема характерна, в первую очередь, для государственных организаций. Фантазия сотрудников помогает им изобретать и множество других способов незаконного дополнительного заработка прямо на рабочем месте, поэтому организации должны отнестись к задаче пресечения подобного рода действий с полной серьезностью.Не менее опасны и утечки информации, о которых мы в дальнейшем будем говорить более подробно. Как считают специалисты британского исследовательского центра Ponemone Institute, средняя цена утечки информации в мире сегодня составляет около четырех миллионов долларов. В России, по мнению представителей компаний, специализирующихся в области информационной безопасности, факты утечки данных обнародовать не принято, поэтому и оценить, насколько велик ущерб от них для организаций постсоветского пространства, достаточно сложно. В любом случае, организациям выгоднее защищаться от утечек и не допускать их, чем пытаться каким-то образом нейтрализовать их последствия.Еще один вид деятельности сотрудников, который может нанести ущерб организации – это распространение ими порочащих компанию сведений, как основанных на фактах, так и не соответствующих действительности. То есть, иногда сотрудники просто «выносят сор из избы», иногда преднамеренно распространяют заведомо ложную информацию. Так или иначе, но часто в отместку за какие-либо не понравившиеся им действия руководства сотрудники оставляют очень нелицеприятные отзывы о компании во Всемирной паутине, и это может нанести вред ее репутации.Утечки информации – это серьезноНекоторые организации, к сожалению, недооценивают важность защиты именно от утечек информации, отдавая приоритет контролю рабочей активности сотрудников с целью проверки использования рабочего времени и служебных ресурсов. Тем не менее, как говорят аналитики, количество утечек информации будет только возрастать, и в 2011 году с ними рискуют столкнуться многие российские организации, которых до этого времени такая участь счастливо миновала.«Одной из основных тенденций в последние годы является рост количества утечек конфиденциальной информации, в первую очередь, персональных данных, как в России, так и на всем постсоветском пространстве», ‑ говорится в пресс-релизе компании SearchInform, специализирующейся на программных средствах защиты от утечек данных и контроля информационных потоков в организациях. Аналитический центр компании провел исследование, которое показало, что в 2010-м году в 44% российских организаций случались инциденты, связанные с утечкой информации. С попытками уволенных сотрудников похитить в отместку работодателю конфиденциальную информацию сталкивались 35% организаций, еще 28% организаций сообщили, что не имеют данных о подобного рода инцидентах. Происходит так, во многом, по той причине, что активность сотрудников по различным каналам связи контролируется поверхностно, а специальные автоматизированные системы для подобного контроля имеют лишь 15% организаций.Впрочем, наверное, не все так плохо. Тот же самый отчет аналитического центра SearchInform говорит о том, что организации, еще не внедрившие у себя средства контроля действий сотрудников и мониторинга информационных потоков, в 45% случаев планируют в ближайшее время это сделать. А генеральный директор SearchInform Лев Матвеев полагает, что «в России постепенно зарождается культура информационной безопасности, появляется понимание, что безопасностью надо заниматься, нужно устанавливать системы защиты информации. Тем самым страна пошагово движется к цивилизованному рынку».Практика контроля действий персоналаВпрочем, о какой бы из угроз для деятельности организации не шла речь, самым актуальным остается вопрос об адекватных данной угрозе средствах защиты. Для большинства организаций наиболее эффективным средством защиты от перечисленных выше угроз являются программные продукты, называемые DLP-системами. Что такое DLP-система и как она поможет контролировать деятельность сотрудников? Об этом пойдет речь далее.DLP-системой сегодня принято называть программный продукт, призванный защитить организацию, в которой он используется, от утечек конфиденциальной информации (хотя, как будет видно далее, только этим область использования таких систем далеко не ограничивается). Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных. Суть работы подобного рода систем состоит в создании защищенного информационного периметра, для которого производится перехват и мониторинг всей входящей и исходящей информации. Под информацией подразумевается здесь не только интернет-трафик, а, в идеале, также и документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.Не все DLP-системы, тем не менее, одинаково полезны организациям. Качественная DLP-система должна отвечать нескольким основным требованиям, являющимися универсальными практически для всех организаций. К счастью, этих требований не так уж и много. Первое из них – поддержка всех возможных каналов коммуникации (Skype, ICQ, HTTP, e-mail и прочих). Почему это важно? Дело в том, что если хотя бы один из каналов остается неохваченным, остается возможность того, что именно его будет использовать сотрудник, желающий организовать утечку информации. По той же причине необходимо, чтобы DLP-система поддерживала отслеживание записи информации на внешние носители (CD/DVD, «флэшки», внешние винчестеры), вывода ее на печать и передачи на другие компьютеры с помощью беспроводных соединений. Конечно, для тех организаций, где, например, запрещено приносить и использовать свои «флэшки», и на компьютерах нет дисководов для оптических дисков, нет нужды и в контроле этих каналов. Тогда нужно выбирать систему, где для контроля каждого из каналов используются свои модули, и приобретать только те модули, которые нужны данной организации.Нужно обратить внимание на то, что существуют разные типы DLP-систем. Принято говорить о DLP-системах с активной защитой, которые могут самостоятельно блокировать информацию, которая распознается ими как конфиденциальная; и о DLP-системах с пассивной защитой, которые не блокируют передачу данных, а только предупреждают сотрудников службы информационной безопасности о случившемся инциденте. Как показывает практика, системы с пассивной защитой справляются с задачей контроля сотрудников ничуть не хуже, а случайные утечки информации, которые нельзя предотвратить с их помощью, не носят такого разрушительного эффекта, как утечки заранее спланированные. С остальными же типами угроз, с обсуждения которых начиналась эта статья, данного рода системы борются достаточно эффективно. При этом процесс внедрения неблокирующей DLP-системы проходит значительно быстрее, расходы на дополнительное оборудование и перестройку архитектуры корпоративной компьютерной сети, характерные для блокирующих DLP-систем, отсутствуют.Что именно может дать DLP-система для контроля действий персонала? Она позволяет собрать множество данных и сравнительно быстро их проанализировать, чтобы затем делать выводы о действиях каждого конкретного сотрудника и их опасности для организации. Данные эти касаются активности работника в сети (кому и когда он что отправлял, что получал, что печатал на сетевом принтере и т.д.), количество рабочего времени (сколько времени сотрудник общался с друзьями по ICQ, а сколько действительно делал что-то полезное для организации), доступа к корпоративным хранилищам информации (какие документы копировал себе сотрудник, нужны ли они ему для работы). Современные DLP-системы умеют вести архив всей собранной ими информации. Этот архив просто незаменим в тех случаях, когда сотрудников приходится увольнять «по статье», или когда проводятся какие-то внутренние расследования.Так что, как видите, DLP-системы, изначально разрабатывавшиеся для предотвращения утечек информации, позволяют эффективно решать и множество других задач, связанных с информационной безопасностью организации и контролем действий персонала. Поэтому покупка DLP-системы может считаться одним из главных действий организации по обеспечению своей информационной безопасности.

Спасибо за проявленный интерес к нашему журналу!

Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или .

После регистрации на сайте Вам в Личном кабинете будет предоставлен бесплатный доступ к скачиванию любых 5 статей (на выбор). Срок действия доступа — 30 дней с момента скачивания первой статьи.

Статьи приобретаются навсегда и будут доступны в Вашем Личном кабинете.

В дальнейшем Вы можете приобретать доступ к другим статьям оформляя счет-оферты в Личном кабинете.
С полными текстами всех статей вы можете ознакомиться на страницах журнала



Для того, чтобы добавить статью,
вам необходимо или зарегистрироваться


Все статьи

Журнал

В следующем номере

  • Большая политика и лидерство в компании
  • Мошенничество при инвестициях
  • Риски при выборе поставщиков логистических услуг
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Выкладка журнала "Директор по безопасности"
Thu, 18 Jul 2024 21:14:58