Самое ценное в настоящее время – это информация. Благодаря её получению или потере обогащаются и разоряются компании, сменяются руководители и правительства государств, возникают и гасятся международные и локальные конфликты. Но даже в пределах одного региона утечка конфиденциальной информации может сильно повредить имиджу или бизнесу любой компании.
Именно поэтому создание собственных служб безопасности стало обычной практикой для многих организаций разного рода деятельности. В этой статье мы постараемся дать несколько практических советов по работе службы информационной безопасности предприятия и покажем какими принципам должен следовать руководитель службы безопасности.
Работа службы безопасности начинается с бюрократической подготовки документов. Дело в том, что сотрудник, устроившись на работу, считает, что компьютер, который ему компания предоставила для работы, находится в его личном распоряжении, и он может выполнять на нём любые, а не только служебные действия. Использовать его для личных целей, устанавливать посторонние программы, выполнять побочную работу. Это же относится и к ресурсам компьютерной сети предприятия. Кроме этого, он, как правило, понятия не имеет об использовании конфиденциальной информации, к которой у него будет доступ и ответственности за её утечку.
Поэтому необходимо создать документ и заставить весь персонал компании ознакомиться с ним под роспись о том, что запрещается работникам использовать компьютерную технику компании в личных целях и компания имеет право и средства контроля за соблюдением этого правила. В дальнейшем этот документ поможет подвести правовую основу под деятельность по техническому контролю за действиями пользователей на компьютерах.
Вторым документом должно стать обязательство сотрудников о соблюдении корпоративной безопасности и неразглашении конфиденциальной информации. При этом, разумеется, необходимо разъяснить какая информация считается конфиденциальной. Подпись сотрудника на этом документе обязательна. Это поможет для юридического правомерного привлечения нарушителей к ответственности.
Третьим документом должен быть список, определяющий, какая информация является конфиденциальной, строго конфиденциальной, секретной и какие категории сотрудников имеют доступ к соответствующему типу информации.
Неспроста начать нужно именно с подготовки документов. Дело в том, что основную опасность по утечке конфиденциальной информации представляют именно сотрудники предприятия, его кадры. Это - внутренняя угроза корпоративной безопасности. Если с внешней угрозой утечки, повреждения или уничтожения информации вполне справляются программы-антивирусы и грамотные настройки сетевого оборудования, то с внутренними угрозами бороться намного сложнее.
Действия сотрудников, которые приводят к нарушению безопасности предприятия и утечкам информации за его периметр можно разделить на неумышленные и наоборот – злонамеренные. Чтобы предотвратить и те и другие, на первом этапе надо провести разъяснительную работу, заключающуюся в объяснении, что:
Рассмотрим, как выглядят на практике нарушения информационной безопасности ненамеренного характера. Это случаи некомпетентности и недобросовестного отношения к своим обязанностям, в результате которых конкуренты или злоумышленники получают доступ к секретной информации или её, как таковую. Примером могут послужить действия менеджера, случайно, по халатности, выложившего в общий доступ внутренний прайс предприятия, или проектировщика, открывшего доступ к своему жёсткому диску другому сотруднику, который намеренно в дальнейшем воспользовался полученной информацией в своих корыстных целях.
Ещё хуже, когда хищение или повреждение информации производится сотрудниками злонамеренно, с целью воспользоваться ей для личного обогащения, мести или просто вреда. В эту группу входят работники, обиженные на руководство, желающие продать украденную информацию, собравшиеся увольняться или просто вредители.
Вот теперь наступило время рассказать, как технически решить вопрос с внутренними угрозами. Самым эффективным средством является установка DLP системы. Это программный продукт, позволяющий выявить и предупредить утечки информации за пределы предприятия, вне зависимости от того, вызваны они умышленными или неумышленными действиями сотрудников.
Как это работает. Для примера возьмём программный продукт из бюджетного сегмента, но, тем не менее, хорошо выполняющий свои функции - LanAgent. Как и большинство программ подобного рода, LanAgent состоит из программ-агентов, устанавливаемых на контролируемые компьютеры и серверной части, которая устанавливается на компьютер, с которого будет вестись наблюдение. Агенты собирают всю информацию о действиях пользователя на контролируемом компьютере и передают её на сервер, где она сохраняется, обрабатывается и анализируется.
Рассмотрим какую информацию собирает программа, какой производит анализ и какие выдаёт отчёты и сигналы.
Самое традиционное и самое важное это – снятие скриншотов с экранов мониторов через задаваемые промежутки времени и фиксирование нажатий клавиш на клавиатуре(кейлоггинг). Кроме этого программа умеет:
LanAgent аналитически разделяет используемые пользователем программы и посещённые веб ресурсы на продуктивные (которые используются в производственной деятельности) и непродуктивные (те, которые нет необходимости использовать на данном рабочем месте). Фиксирует время использования тех или иных ресурсов.
Если пользователь вдруг проявил не характерную для него деятельность, отличающуюся от его среднестатистической, например, начал копировать большое количество файлов или слишком часто и помногу отправлять документы на печать, программа выдаст предупреждающий сигнал службе безопасности.
Разобравшись с документальными и техническими вопросами, перейдем к некоторым принципам, которым должен следовать начальник службы безопасности для своей успешной деятельности.
Начальник службы безопасности должен в совершенстве понимать бизнес процесс своего предприятия, стратегию и политику руководства. Чётко определять границы уровней конфиденциальности информации. Его деятельность по корпоративной безопасности не должна тормозить бизнес процесс.
Нельзя скрывать возникающие проблемы от руководства, опасаясь критики и наказаний за произошедшие инциденты. Надо иметь план и способы их устранения. Непринятие согласованных с руководством мер по устранению нарушений безопасности может в дальнейшем привести к худшим последствиям.
Нельзя становиться тормозом прогресса и противостоять новым, но небезопасным бизнес-инициативам. Надо не говорить «нет» новым проектам и идеям, а разрабатывать план снижения рисков при их реализации.
Нельзя забывать, что ни одна система безопасности не работает сама по себе. Даже программный комплекс LanAgent требует постоянного внимания к своим отчётам и сигналам и своевременного обновления. Документы тоже со временем устаревают и требуют корректировки.
Необходимо хорошо знать свой коллектив для оценки возможных утечек информации из-за человеческого фактора. Нужно определять лояльных и нелояльных сотрудников, а так же проявлять внимание к тем, кто собирается уволиться. В этом очень большую помощь окажут отчёты программы LanAgent, они же и будут доказательной базой при разборе произошедших инцидентов. Важно так же никого из сотрудников не обидеть излишней подозрительностью.
Эффективность службы безопасности во многом зависит не только от компетентности и других профессиональных качеств её руководителя, но и от работы её сотрудников. Только хорошо организованная командная работа профессионалов даёт нужный результат.
Должность начальника службы безопасности является одной из ключевых в иерархии компании, и от того, как себя поставит сотрудник, занимающий её, каким уважением будет он пользоваться у руководителя и других сотрудников, во многом зависит и успех деятельности всей службы безопасности, а значит, и всего предприятия.