Информация навынос

Стоп-секрет

добавить в избранное

Информация навынос

Прочитали: 8724 Комментариев: 76 Рейтинг: 302

11 октября 2016

В комментариях к выпуску о доверии «Продам пароль. Недорого» развернулась дисскусия на тему возможности защиты корпоративной информации. Действительно, если антивирусную защиту в сетях компаний и организаций большинство считает обязательной, необходимость защиты персональных данных (сотрудников, клиентов и партнеров компании) также встречает понимание, то защита данных самой компании – во многом terra incognita. Почему?

Любая деятельность приводит к накоплению информации – как нужной только для внутренних потребностей, так и имеющей цену на черном рынке. Данные о промышленных технологиях, ведущихся разработках, исходные тексты программ, данные о финансово-экономическом положении предприятия, заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, планах и готовящихся акциях маркетинга, точности анализа конкурентоспособности собственной продукции, клиентах – список можно продолжать и продолжать. Очевидно, что далеко не всегда эта информация должна быть доступна для чужих глаз или определенных групп сотрудников.

Американский журнал “Chemical engineering” опубликовал такой перечень из 16 источников получения информации:

сбор информации, содержащейся в средствах массовой информации, включая официальные документы, например судебные отчеты;
использование сведений, распространяемых служащими конкурирующих фирм;
биржевые документы и отчеты консультантов; финансовые отчеты и документы, находящиеся в распоряжении маклеров; выставочные экспонаты и проспекты, брошюры конкурирующих фирм; отчеты коммивояжеров своей фирмы;
изучение продукции конкурирующих фирм; использование данных, полученных во время бесед со служащими конкурирующих фирм (без нарушения законов);
замаскированные опросы и «выуживание» информации у служащих конкурирующих фирм на научно-технических конгрессах (конференциях, симпозиумах);
непосредственное наблюдение, осуществляемое скрытно;
беседы о найме на работу со служащими конкурирующих фирм (хотя опрашивающий вовсе не намерен принимать данного человека в свою фирму);
так называемые «ложные» переговоры с фирмой-конкурентом относительно приобретения лицензии;
наем на работу служащего конкурирующей фирмы для получения требуемой информации;
подкуп служащего конкурирующей фирмы или лица, занимающегося ее снабжением;
использование агента для получения информации на основе платежной ведомости фирмы-конкурента;
подслушивание переговоров, ведущихся в фирмах-конкурентах;
перехват телеграфных сообщений;
подслушивание телефонных разговоров;
кража чертежей, образцов, документации;
шантаж и вымогательство.

old.nasledie.ru

В чем проблема защиты конфиденциальной информации? Если антивирусная защита кажется простой – расставил антивирус везде и пусть сам работает, а вспоминать нужно раз в год для продления лицензии (на самом деле все куда интереснее, но об этом не здесь и не сейчас), то с защитой коммерческих тайн все куда сложнее.

Во-первых, нужно определить, какая информация относится к коммерческой тайне, а какую защищать не стоит. Нужно определить, кто должен работать с конкретной информацией, а кто нет; где ее можно хранить и каков порядок доступа к ней.

По сути речь о грамотном аудите и описании бизнес-процессов компании. Но бизнес-процессы не статичны, а установленные правила люди любят нарушать. Значит, нужно контролировать соблюдение бизнес-процедур, проверять соблюдение сотрудниками установленных правил и в случае необходимости корректировать установленные процедуры.

Насколько это сложно, можно представить на примере шифровальщиков: сколько персонал ни учи, а кто-нибудь обязательно раз в пару месяцев письмо с троянцем откроет и по ссылке кликнет.

То есть мало принять технические меры – нужно поддерживать в полном объеме меры организационные, соблюдая при этом баланс между секретностью и удобством.

Простой вопрос. Должен ли системный администратор, имеющий доступ ко всем компьютерам компании, обладать доступом к ПК, на котором может готовиться приказ о его увольнении?

#безопасность #Офисный_контроль

Антивирусная правДА! рекомендует

Путь в тысячу ли начинается с первого шага. Не стоит сразу замахиваться на сложный проект. Вполне возможно, что будут потрачены деньги, но реально соблюдать установленные правила не будет никто. Потренируйтесь «на кошках». Организуйте защиту от троянцев-шпионов, кейлоггеров! Да, злоумышленников тоже интересуют тайны компании, и для их хищения они активно используют вредоносные программы. Таким образом, защита от киберугроз является частью защиты коммерческой тайны компании.

Определите, кто имеет доступ к внешним сервисам. Задайте правила доступа к сервисам на случай отсутствия сотрудников, имеющих такой доступ, а также определяющие процедуры по завершению такого временного доступа.
Определите, где может храниться важная информация и может ли она храниться на тех компьютерах, которые имеют выход в Интернет.
Определите правила защиты личных устройств сотрудников, которые они используют при работе с корпоративной информацией.
Определите права, необходимые сотрудникам для работы на компьютере.

Задокументируйте все это и введите приказом по компании. И помните: защита информации – это искусство. Искусство войны за выживание.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
20:56:39 2018-07-30

Искусство - это не только защита информации. Программирование - вот что значит искусство.

vasvet
01:16:11 2018-03-28

Все дело в подборе кадров.

alex-diesel Собкор
10:37:07 2018-03-23

Абсолютно правильная заметка.
Начните делать, а не грустить.
Чем вздыхать и говорить что абсолютная зашита все равно невозможна, сделайте хоть что-нибудь толковое.
Приведенные действия, кстати, весьма толковые.

Toma
17:40:29 2018-02-20

Рекомендации очень полезные, многим пригодятся.

ka_s
10:59:08 2017-08-13

Если администратор, имеющий доступ ко всем компьютерам компании, прочитает готовящийся приказ о своем увольнении на ПК своего шефа, последствия для компании могут быть непредсказуемыми.

ka_s
10:58:20 2017-08-13

Если администратор, имеющий доступ ко всем компьютерам компании, прочитает готовящиприказ о своем увольнении на ПК своего шефа, последствия для компании могут быть непредсказуемыми.

eaglebuk
08:41:50 2017-02-09

Администратор должен иметь доступ ко всей информации, но пользоваться ею не должен.

Шалтай Александр Болтай Собкор
17:10:02 2017-01-22

Почаще говорите хорошо о себе. Источник забывается — информация остаётся

Пaвeл Собкор
15:55:19 2016-12-28

Защита информации – это искусство. Искусство войны за выживание!

М...ч
14:14:15 2016-10-19

Нужны два админа))) и чтобы друг друга контролировали

2018
16:09:44 2016-10-12

кому нужно информацию с фирмы вынесут и хак инстр применят.

tigra Собкор
14:03:51 2016-10-12

замки ставятся от честных людей...

Argentum
13:05:50 2016-10-12

а вот тут должно работать СБ и администраторов!

Неуёмный Обыватель Собкор
02:59:13 2016-10-12

Насчет личных устройств сотрудников был просветительский проект "Ваше устройство
может разрушить вашу компанию?" https://www.drweb.ru/drweb+rbc2/

Aleksandr
01:19:58 2016-10-12

должен, но ограниченно.И ответственность должна быть.

Voin sveta Собкор
23:52:28 2016-10-11

@B0RIS , а потом еще и наблюдать за самими ответественными!

Voin sveta Собкор
23:50:30 2016-10-11

Развернутая, побробная статья. Спасибо автору. Люблю, когда такие замысловатые технические термины аккуратно и понятно изъясняются.
А вообще данный выпуск наводит на определенные мысли - защита есть защита, и ее необходимо обеспечивать!

Неуёмный Обыватель Собкор
23:49:32 2016-10-11

@razgen, таки все-таки немного не в том ключе. Дело не в обсуждении зарплат в курилках. А как сказано и в статье и про что пытался пояснить я в своих высказываниях - в отлучении сисадмина от кадровой информации про себя родимого. Если она будет храниться на доступных ему компах и серверах, увидев приказ про себя, он может натворить нехороших делов, какой бы ангел он ни был до сего момента. Вопрос правильно с ним поступили или нет, подготовив приказ на увольнение, мы не рассматриваем. А когда его знакомят с приказом, за секунду до этого лишив всех доступов, это уже разом ликвидирует один из основных каналов утечки коммерческой информации. И даже более того, позволяет зачастую просто спасти информационную базу предприятия от разрушения.
На сисадмина надейся, а сам не плошай.
P.S. Неоднократно был свидетелем запароливания баз, серверов, удаления/форматирования, встраивания всякой ерунды, произошедших по причине конфликта сисадмина с руководством. Доказать всё это непросто, теряет уходящий работник мало, несоизмеримо мало по сравнению с возможными потерями предприятия, вплоть до полного паралича деятельности на какой-то промежуток времени.
А ведь он всего лишь наемный РАБотник, как бы нам его ни было жалко.

Demon
23:12:31 2016-10-11

Служба безопасности этим заведует.

stavkafon
23:00:21 2016-10-11

от фирмы зависит

Б...а
22:52:00 2016-10-11

не актуально во многих местах

imi
22:24:51 2016-10-11

Потренируйтесь «на кошках».
Из того же фильма: все уже украдено до нас!
Спасибо за рекомендации.

vla_va
22:24:15 2016-10-11

поймают

В...а
22:17:24 2016-10-11

все бывает так сказать

НинаК
21:58:25 2016-10-11

от фирмы зависит

razgen Собкор
21:32:38 2016-10-11

@Неуёмный_Обыватель,:"@razgen, вы меня немного неверно поняли.... А самое главное, сисадмин, обслуживающий этот кадрово-зарплатный отдел, должен быть не из основного персонала, а тоже из "другого" предприятия".

Всё я понял правильно. Сисадмин, в 99% случаев мужчина, во всяком случае женщин на этой должности лично я ни на одно предприятии не встречал. И не любят они такие разговоры на социальные темы, больше технические, и своей зарплатой они обычно довольны,а она у них обычно не маленькая относительно других сотрудников данного предприятия. А вот женщины владеющие этим вопросом, которых бывает больше двух десятков в сумме, представляющих отделы которые я перечислял, всегда не довольны своей зарплатой, и ворчат что у них самая маленькая зарплата со злобой с завистью называя зарплату других вплоть до руководителя. Вот их куда удалять от коллектива. Сисадмин по отношению к ним как говорится держит тайну за семью печатями. Так, что сисадмина хоть на Марс отправь, это ничуть не уменьшит надёжность сохранения кадрово-зарплатной информации. Не там надо искать её утечки.

Геральт Собкор
21:25:34 2016-10-11

Интересно было почитать.

ek
21:15:31 2016-10-11

зависит от политики компании

migel'e
21:00:01 2016-10-11

Все зависит от компьютерной грамотности пользователя

kva-kva
20:51:08 2016-10-11

давно обсуждают подобное

mk.insta
20:34:33 2016-10-11

серьезный бизнес

B0RIS
19:39:07 2016-10-11

Необходимо назначить компетентных ответственных за охрану важных данных, а иначе "всем всё равно"!

z21468
19:15:27 2016-10-11

Ваши рекомендации да богу (начальству) в уши! Спасибо.

Mehatronik
18:31:35 2016-10-11

Ознакомился - спасибо за информацию)

dyadya_Sasha Собкор
17:26:05 2016-10-11

@Неуёмный_Обыватель, "...Поверьте, это очень многое меняет..."
В рассматриваемом аспекте " готовиться приказ о его увольнении" схема действительно будет работать, вовремя лишая прав администрирования не дав сделать свежий слив. Но резервные копии... Теоретически эта схема будет прекрасно работать в случае, если есть жесткая связка (при выносе информации) сисадмин -работник отдела кадров,когда требуется усилия работников двух подразделений. Но на практике у сисадмина есть все права доступа и вероятность выноса "своим" сисадмином или чужим одинакова"...сделать так, чтобы никогда не смог, даже если захочет..." невозможно.
Остаюсь в сомнении, но пожалуй, при должных организационных мерах схема будет работать.

Неуёмный Обыватель Собкор
16:36:45 2016-10-11

@dyadya_Sasha, целесообразность как раз в том, что сисадмин числящийся и работающий в "Рога", но при этом обслуживающий кадровые дела "Копыта" в своей жизни не встретится ни с одним работником "Копыта" (возможно никогда) и в то же время не получит никакого доступа вообще в отдел кадров "Рога", где он получает зарплату. Аналогично с сисадмином противоположным. И они никак не будут пересекаться в своих делах и даже не будут знакомы. Поверьте, это очень многое меняет. Одно дело, надеяться, что кто-то не предаст, другое дело сделать так, чтобы никогда не смог, даже если захочет

kozinka.ru Собкор
15:43:27 2016-10-11

Хороший выпуск. Рекомендации - как руководство к действию. Показать бы директору. Но он высоко и далеко. Остальным - глубоко "одинаково" на эти проблемы...

dyadya_Sasha Собкор
15:30:25 2016-10-11

@Неуёмный_Обыватель, С ситуацией, когда сисадмин и отдел кадров фирмы ООО "Рога" работают в ООО "Копыта", а сисадмин и отдел кадров ООО "Копыта" работают в ООО "Рога" не встречался и не вижу большой целесообразности. А вот с аутсортингом по-русски сталкивался. Вместо того, чтобы наладить работу на определенных участках(филиалах) крупной корпорации гениальные топ-менеджеры сдают эти участки другим фирмам, которые обещают меньше затрат на содержание. А затраты меньше за счет урезания зарплат и соцпакетов (которые у крупных корпораций весомые) и за счет увеличения фронта работа работ на одного специалиста(один специалист на несколько пунктов).Какое уж тут качество обслуживания.
А насчет "информации на вынос", по-моему надежнее свой сисадмин-ветеран, который своих предавать не будет. Нужно только сделать так, чтобы он чувствовал, что это свои)).

Дмитpий Собкор
15:21:21 2016-10-11

Когда смотришь вдаль и появляется желание туда добраться, начав шагать поглядывай себе под ноги :)

FrEd
15:15:00 2016-10-11

Хорошие рекомендации!

maestro431
14:48:17 2016-10-11

Хорошие рекомендации!

Helen
14:34:54 2016-10-11

Актуальную тему подняли. Спасибо.

dyadya_Sasha Собкор
14:31:42 2016-10-11

@bob123456, Ответы на экзамене: 1)Нельзя никому сообщать зарплату директора - ЗАЧЕТ
2)Нельзя сообщать, что зарплата директора 5000000руб - НЕЗАЧЕТ + выговор с занесением в трудовую книжку.:))))

bob123456 Собкор
13:55:55 2016-10-11

Негативное влияние образования заключается в сдаче экзаменов. Потом человек приходит на собеседование, ему задают вопрос, касающийся коммерческой тайны и он выкладывает всю информацию думая, что это для него очередной экзамен. И делает это для того, чтобы показать "работодателю", что он знает, владеет информацией и знает как делать ту или иную работу. :) Но работодатели могут и проверять таким образом работника, выясняя, умеет ли он держать коммерческую тайну или нет. :)

natplack
13:44:07 2016-10-11

Актуальную тему подняли. Спасибо.

Zevs_46
12:58:14 2016-10-11

Все понятно! Спасибо за информацию! Полезно.

Неуёмный Обыватель Собкор
12:47:29 2016-10-11

@dyadya_Sasha, вы тоже меня немного не так поняли :)
Для "другого" системного администратора это будет основная работа. С какой стати он будет реже появляться на работе? И почему будет хуже работать? Вот вы представьте, что вы устроились на должность повара в ООО "Рога и копыта", притом вам по должностной инструкции придется кормить только сотрудников ООО "Отвязные ребята". Из-за этого вы будете хуже работать? С чего вы решили, что он будет работать только через удаленный доступ и почему работа не единственная? Работа такая же, просто числится он на "другом" предприятии, зарплату на том другом предприятии начисляет и приказы делает совершенно "другой" отдел кадров, к которому он не имеет доступа.
"А приказ о своем увольнении все работники отдела кадров увидеть могут - их тоже с другой фирмы брать?" Именно про это я и писал, что эти работники должны работать в другом юрлице и соответственно им самим зарплату и приказы готовит "их" отдел кадров, а не тот, в котором они сидят. И с таким подходом я уже сталкивался не раз.

Неуёмный Обыватель Собкор
12:34:09 2016-10-11

@razgen, вы меня немного неверно поняли. "Другая компания" в данном случае "своя" же по отношению к владельцам бизнеса, но "чужая" по отношению к основному персоналу. Для физического отделения кадрово-зарплатного отдела от основного персонала можно применять работу их в другом помещении, а лучше здании, во избежание образования дружеско-обеденно-курилкинских связей. А самое главное, сисадмин, обслуживающий этот кадрово-зарплатный отдел, должен быть не из основного персонала, а тоже из "другого" предприятия. И еще насчет серьезного отношения сисадминов к защите информации. Часто они действительно серьезно к этому относятся. До тех пор, пока имеют лояльное отношение. Как только в них зародилось зерно негатива, именно сисадмины становятся наиболее распространенным источников ухода информации. Ну и "простой вопрос" в конце статьи как раз на это намекает

djabax
12:03:36 2016-10-11

Зарплата, я думаю не самый большой секрет)

krant
11:20:23 2016-10-11

Не всякий руководитель волен строить политику безопасности самостоятельно, тем более не каждый будет прислушиваться в этом к мнению подчиненных.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Информация навынос

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей