Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Информация навынос

Прочитали: 9511 Комментариев: 76 Рейтинг: 302

11 октября 2016

В комментариях к выпуску о доверии «Продам пароль. Недорого» развернулась дисскусия на тему возможности защиты корпоративной информации. Действительно, если антивирусную защиту в сетях компаний и организаций большинство считает обязательной, необходимость защиты персональных данных (сотрудников, клиентов и партнеров компании) также встречает понимание, то защита данных самой компании – во многом terra incognita. Почему?

Любая деятельность приводит к накоплению информации – как нужной только для внутренних потребностей, так и имеющей цену на черном рынке. Данные о промышленных технологиях, ведущихся разработках, исходные тексты программ, данные о финансово-экономическом положении предприятия, заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, планах и готовящихся акциях маркетинга, точности анализа конкурентоспособности собственной продукции, клиентах – список можно продолжать и продолжать. Очевидно, что далеко не всегда эта информация должна быть доступна для чужих глаз или определенных групп сотрудников.

Американский журнал “Chemical engineering” опубликовал такой перечень из 16 источников получения информации:

  • сбор информации, содержащейся в средствах массовой информации, включая официальные документы, например судебные отчеты;
  • использование сведений, распространяемых служащими конкурирующих фирм;
  • биржевые документы и отчеты консультантов; финансовые отчеты и документы, находящиеся в распоряжении маклеров; выставочные экспонаты и проспекты, брошюры конкурирующих фирм; отчеты коммивояжеров своей фирмы;
  • изучение продукции конкурирующих фирм; использование данных, полученных во время бесед со служащими конкурирующих фирм (без нарушения законов);
  • замаскированные опросы и «выуживание» информации у служащих конкурирующих фирм на научно-технических конгрессах (конференциях, симпозиумах);
  • непосредственное наблюдение, осуществляемое скрытно;
  • беседы о найме на работу со служащими конкурирующих фирм (хотя опрашивающий вовсе не намерен принимать данного человека в свою фирму);
  • так называемые «ложные» переговоры с фирмой-конкурентом относительно приобретения лицензии;
  • наем на работу служащего конкурирующей фирмы для получения требуемой информации;
  • подкуп служащего конкурирующей фирмы или лица, занимающегося ее снабжением;
  • использование агента для получения информации на основе платежной ведомости фирмы-конкурента;
  • подслушивание переговоров, ведущихся в фирмах-конкурентах;
  • перехват телеграфных сообщений;
  • подслушивание телефонных разговоров;
  • кража чертежей, образцов, документации;
  • шантаж и вымогательство.

old.nasledie.ru

В чем проблема защиты конфиденциальной информации? Если антивирусная защита кажется простой – расставил антивирус везде и пусть сам работает, а вспоминать нужно раз в год для продления лицензии (на самом деле все куда интереснее, но об этом не здесь и не сейчас), то с защитой коммерческих тайн все куда сложнее.

Во-первых, нужно определить, какая информация относится к коммерческой тайне, а какую защищать не стоит. Нужно определить, кто должен работать с конкретной информацией, а кто нет; где ее можно хранить и каков порядок доступа к ней.

По сути речь о грамотном аудите и описании бизнес-процессов компании. Но бизнес-процессы не статичны, а установленные правила люди любят нарушать. Значит, нужно контролировать соблюдение бизнес-процедур, проверять соблюдение сотрудниками установленных правил и в случае необходимости корректировать установленные процедуры.

Насколько это сложно, можно представить на примере шифровальщиков: сколько персонал ни учи, а кто-нибудь обязательно раз в пару месяцев письмо с троянцем откроет и по ссылке кликнет.

То есть мало принять технические меры – нужно поддерживать в полном объеме меры организационные, соблюдая при этом баланс между секретностью и удобством.

Простой вопрос. Должен ли системный администратор, имеющий доступ ко всем компьютерам компании, обладать доступом к ПК, на котором может готовиться приказ о его увольнении?

#безопасность #Офисный_контроль

Антивирусная правДА! рекомендует

Путь в тысячу ли начинается с первого шага. Не стоит сразу замахиваться на сложный проект. Вполне возможно, что будут потрачены деньги, но реально соблюдать установленные правила не будет никто. Потренируйтесь «на кошках». Организуйте защиту от троянцев-шпионов, кейлоггеров! Да, злоумышленников тоже интересуют тайны компании, и для их хищения они активно используют вредоносные программы. Таким образом, защита от киберугроз является частью защиты коммерческой тайны компании.

  • Определите, кто имеет доступ к внешним сервисам. Задайте правила доступа к сервисам на случай отсутствия сотрудников, имеющих такой доступ, а также определяющие процедуры по завершению такого временного доступа.
  • Определите, где может храниться важная информация и может ли она храниться на тех компьютерах, которые имеют выход в Интернет.
  • Определите правила защиты личных устройств сотрудников, которые они используют при работе с корпоративной информацией.
  • Определите права, необходимые сотрудникам для работы на компьютере.

Задокументируйте все это и введите приказом по компании. И помните: защита информации – это искусство. Искусство войны за выживание.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: