Информация навынос
11 октября 2016
В комментариях к выпуску о доверии «Продам пароль. Недорого» развернулась дисскусия на тему возможности защиты корпоративной информации. Действительно, если антивирусную защиту в сетях компаний и организаций большинство считает обязательной, необходимость защиты персональных данных (сотрудников, клиентов и партнеров компании) также встречает понимание, то защита данных самой компании – во многом terra incognita. Почему?
Любая деятельность приводит к накоплению информации – как нужной только для внутренних потребностей, так и имеющей цену на черном рынке. Данные о промышленных технологиях, ведущихся разработках, исходные тексты программ, данные о финансово-экономическом положении предприятия, заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, планах и готовящихся акциях маркетинга, точности анализа конкурентоспособности собственной продукции, клиентах – список можно продолжать и продолжать. Очевидно, что далеко не всегда эта информация должна быть доступна для чужих глаз или определенных групп сотрудников.
Американский журнал “Chemical engineering” опубликовал такой перечень из 16 источников получения информации:
- сбор информации, содержащейся в средствах массовой информации, включая официальные документы, например судебные отчеты;
- использование сведений, распространяемых служащими конкурирующих фирм;
- биржевые документы и отчеты консультантов; финансовые отчеты и документы, находящиеся в распоряжении маклеров; выставочные экспонаты и проспекты, брошюры конкурирующих фирм; отчеты коммивояжеров своей фирмы;
- изучение продукции конкурирующих фирм; использование данных, полученных во время бесед со служащими конкурирующих фирм (без нарушения законов);
- замаскированные опросы и «выуживание» информации у служащих конкурирующих фирм на научно-технических конгрессах (конференциях, симпозиумах);
- непосредственное наблюдение, осуществляемое скрытно;
- беседы о найме на работу со служащими конкурирующих фирм (хотя опрашивающий вовсе не намерен принимать данного человека в свою фирму);
- так называемые «ложные» переговоры с фирмой-конкурентом относительно приобретения лицензии;
- наем на работу служащего конкурирующей фирмы для получения требуемой информации;
- подкуп служащего конкурирующей фирмы или лица, занимающегося ее снабжением;
- использование агента для получения информации на основе платежной ведомости фирмы-конкурента;
- подслушивание переговоров, ведущихся в фирмах-конкурентах;
- перехват телеграфных сообщений;
- подслушивание телефонных разговоров;
- кража чертежей, образцов, документации;
- шантаж и вымогательство.
В чем проблема защиты конфиденциальной информации? Если антивирусная защита кажется простой – расставил антивирус везде и пусть сам работает, а вспоминать нужно раз в год для продления лицензии (на самом деле все куда интереснее, но об этом не здесь и не сейчас), то с защитой коммерческих тайн все куда сложнее.
Во-первых, нужно определить, какая информация относится к коммерческой тайне, а какую защищать не стоит. Нужно определить, кто должен работать с конкретной информацией, а кто нет; где ее можно хранить и каков порядок доступа к ней.
По сути речь о грамотном аудите и описании бизнес-процессов компании. Но бизнес-процессы не статичны, а установленные правила люди любят нарушать. Значит, нужно контролировать соблюдение бизнес-процедур, проверять соблюдение сотрудниками установленных правил и в случае необходимости корректировать установленные процедуры.
Насколько это сложно, можно представить на примере шифровальщиков: сколько персонал ни учи, а кто-нибудь обязательно раз в пару месяцев письмо с троянцем откроет и по ссылке кликнет.
То есть мало принять технические меры – нужно поддерживать в полном объеме меры организационные, соблюдая при этом баланс между секретностью и удобством.
Простой вопрос. Должен ли системный администратор, имеющий доступ ко всем компьютерам компании, обладать доступом к ПК, на котором может готовиться приказ о его увольнении?
#безопасность #Офисный_контрольАнтивирусная правДА! рекомендует
Путь в тысячу ли начинается с первого шага. Не стоит сразу замахиваться на сложный проект. Вполне возможно, что будут потрачены деньги, но реально соблюдать установленные правила не будет никто. Потренируйтесь «на кошках». Организуйте защиту от троянцев-шпионов, кейлоггеров! Да, злоумышленников тоже интересуют тайны компании, и для их хищения они активно используют вредоносные программы. Таким образом, защита от киберугроз является частью защиты коммерческой тайны компании.
- Определите, кто имеет доступ к внешним сервисам. Задайте правила доступа к сервисам на случай отсутствия сотрудников, имеющих такой доступ, а также определяющие процедуры по завершению такого временного доступа.
- Определите, где может храниться важная информация и может ли она храниться на тех компьютерах, которые имеют выход в Интернет.
- Определите правила защиты личных устройств сотрудников, которые они используют при работе с корпоративной информацией.
- Определите права, необходимые сотрудникам для работы на компьютере.
Задокументируйте все это и введите приказом по компании. И помните: защита информации – это искусство. Искусство войны за выживание.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
20:56:39 2018-07-30
vasvet
01:16:11 2018-03-28
alex-diesel
10:37:07 2018-03-23
Начните делать, а не грустить.
Чем вздыхать и говорить что абсолютная зашита все равно невозможна, сделайте хоть что-нибудь толковое.
Приведенные действия, кстати, весьма толковые.
Toma
17:40:29 2018-02-20
ka_s
10:59:08 2017-08-13
ka_s
10:58:20 2017-08-13
eaglebuk
08:41:50 2017-02-09
Шалтай Александр Болтай
17:10:02 2017-01-22
Пaвeл
15:55:19 2016-12-28
М...ч
14:14:15 2016-10-19
2018
16:09:44 2016-10-12
tigra
14:03:51 2016-10-12
Argentum
13:05:50 2016-10-12
Неуёмный Обыватель
02:59:13 2016-10-12
может разрушить вашу компанию?" https://www.drweb.ru/drweb+rbc2/
Aleksandr
01:19:58 2016-10-12
Voin sveta
23:52:28 2016-10-11
Voin sveta
23:50:30 2016-10-11
А вообще данный выпуск наводит на определенные мысли - защита есть защита, и ее необходимо обеспечивать!
Неуёмный Обыватель
23:49:32 2016-10-11
На сисадмина надейся, а сам не плошай.
P.S. Неоднократно был свидетелем запароливания баз, серверов, удаления/форматирования, встраивания всякой ерунды, произошедших по причине конфликта сисадмина с руководством. Доказать всё это непросто, теряет уходящий работник мало, несоизмеримо мало по сравнению с возможными потерями предприятия, вплоть до полного паралича деятельности на какой-то промежуток времени.
А ведь он всего лишь наемный РАБотник, как бы нам его ни было жалко.
Demon
23:12:31 2016-10-11
stavkafon
23:00:21 2016-10-11
Б...а
22:52:00 2016-10-11
imi
22:24:51 2016-10-11
Из того же фильма: все уже украдено до нас!
Спасибо за рекомендации.
vla_va
22:24:15 2016-10-11
В...а
22:17:24 2016-10-11
НинаК
21:58:25 2016-10-11
razgen
21:32:38 2016-10-11
Всё я понял правильно. Сисадмин, в 99% случаев мужчина, во всяком случае женщин на этой должности лично я ни на одно предприятии не встречал. И не любят они такие разговоры на социальные темы, больше технические, и своей зарплатой они обычно довольны,а она у них обычно не маленькая относительно других сотрудников данного предприятия. А вот женщины владеющие этим вопросом, которых бывает больше двух десятков в сумме, представляющих отделы которые я перечислял, всегда не довольны своей зарплатой, и ворчат что у них самая маленькая зарплата со злобой с завистью называя зарплату других вплоть до руководителя. Вот их куда удалять от коллектива. Сисадмин по отношению к ним как говорится держит тайну за семью печатями. Так, что сисадмина хоть на Марс отправь, это ничуть не уменьшит надёжность сохранения кадрово-зарплатной информации. Не там надо искать её утечки.
Геральт
21:25:34 2016-10-11
ek
21:15:31 2016-10-11
migel'e
21:00:01 2016-10-11
kva-kva
20:51:08 2016-10-11
mk.insta
20:34:33 2016-10-11
B0RIS
19:39:07 2016-10-11
z21468
19:15:27 2016-10-11
Mehatronik
18:31:35 2016-10-11
dyadya_Sasha
17:26:05 2016-10-11
В рассматриваемом аспекте " готовиться приказ о его увольнении" схема действительно будет работать, вовремя лишая прав администрирования не дав сделать свежий слив. Но резервные копии... Теоретически эта схема будет прекрасно работать в случае, если есть жесткая связка (при выносе информации) сисадмин -работник отдела кадров,когда требуется усилия работников двух подразделений. Но на практике у сисадмина есть все права доступа и вероятность выноса "своим" сисадмином или чужим одинакова"...сделать так, чтобы никогда не смог, даже если захочет..." невозможно.
Остаюсь в сомнении, но пожалуй, при должных организационных мерах схема будет работать.
Неуёмный Обыватель
16:36:45 2016-10-11
DrKV
15:43:27 2016-10-11
dyadya_Sasha
15:30:25 2016-10-11
А насчет "информации на вынос", по-моему надежнее свой сисадмин-ветеран, который своих предавать не будет. Нужно только сделать так, чтобы он чувствовал, что это свои)).
Дмитpий
15:21:21 2016-10-11
FrEd
15:15:00 2016-10-11
maestro431
14:48:17 2016-10-11
Helen
14:34:54 2016-10-11
dyadya_Sasha
14:31:42 2016-10-11
2)Нельзя сообщать, что зарплата директора 5000000руб - НЕЗАЧЕТ + выговор с занесением в трудовую книжку.:))))
bob123456
13:55:55 2016-10-11
natplack
13:44:07 2016-10-11
Zevs_46
12:58:14 2016-10-11
Неуёмный Обыватель
12:47:29 2016-10-11
Для "другого" системного администратора это будет основная работа. С какой стати он будет реже появляться на работе? И почему будет хуже работать? Вот вы представьте, что вы устроились на должность повара в ООО "Рога и копыта", притом вам по должностной инструкции придется кормить только сотрудников ООО "Отвязные ребята". Из-за этого вы будете хуже работать? С чего вы решили, что он будет работать только через удаленный доступ и почему работа не единственная? Работа такая же, просто числится он на "другом" предприятии, зарплату на том другом предприятии начисляет и приказы делает совершенно "другой" отдел кадров, к которому он не имеет доступа.
"А приказ о своем увольнении все работники отдела кадров увидеть могут - их тоже с другой фирмы брать?" Именно про это я и писал, что эти работники должны работать в другом юрлице и соответственно им самим зарплату и приказы готовит "их" отдел кадров, а не тот, в котором они сидят. И с таким подходом я уже сталкивался не раз.
Неуёмный Обыватель
12:34:09 2016-10-11
djabax
12:03:36 2016-10-11
krant
11:20:23 2016-10-11