Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации

    Данная статья обобщает опыт российской компании – интегратора в области создания комплексных систем предотвращения утечки конфиденциальной информации. Подобные комплексные системыявляются жизненно важными для функционирования многих современных предприятий и организаций.

    Эдуард Гордеев, д.ф.м.н.
    Александр Астахов, CISA, 2005

    Аннотация

    Авторы рассматривают сущность проблемы утечки информации, существующие угрозы и их возможные последствия, общие правила обеспечения конфиденциальности информации, а также основные составляющие системы защиты, основанной на соблюдении требований действующего законодательства и международных стандартов. Сразу отметим, что вопросы, связанные с утечкой информации по «техническим каналам», актуальные в основном для объектов с повышенным уровнем секретности, выходят за рамки настоящей статьи.

    Целевой аудиторией настоящей статьи являются должностные лица организаций, на которых лежит непосредственная ответственность за организацию защиты коммерческой тайны и обеспечение конфиденциальности «критичных» информационных ресурсов. Это, прежде всего, руководители организаций, руководители ИТ подразделений и служб безопасности, руководителей служб управления персоналом. Мы надеемся, что материал статьи даст дополнительную возможность проанализировать проблему утечки информации в целом, определить общие подходы и сформировать программу мероприятий, направленных на решение этой проблемы.

    В статье не просто описываются наиболее важные сервисы безопасности и правила их применения, но и обосновывается необходимость этих правил, а также система, в рамках которой они действуют. Эта последняя также представляет интерес для экспертов в области информационной безопасности и всех сотрудников организации, имеющих дело с конфиденциальной информацией.

    Введение

    Надо признать, что, на фоне весьма серьезного отношения к защите государственной и военной тайны, проблема защиты конфиденциальной информации в коммерческих организациях осознается пока еще не в полной мере.

    В мире бизнеса имеет место разведка, недобросовестная конкуренция, локальные конфликты и широкомасштабные «военные» действия. Владение информацией о противнике является одним из наиболее существенных факторов успеха в такой борьбе. Поэтому решение проблемы утечки конфиденциальной информации необходимо для выживания и успешного бизнеса компании.

    Ущерб от раскрытия конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, о планируемых кадровых перестановках и т.п.

    Во многих случаях проблема утечки информации для организации сродни скрытым вялотекущим болезням, которые встречаются у людей и с трудом поддаются диагностированию. Такая болезнь постепенно отнимает силы и подтачивает здоровье, приводя к медленному увяданию или отставанию в развитии. Порой болезнь может обостряться и в результате таких обострений организация может понести очень серьезный ущерб, вплоть до полного разорения.

    Несмотря на то, что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство РФ еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий (см. врезку), возникают существенные трудности в обеспечении юридичейской защиты интересов собственников конфиденциальной информации, однако приемлемое решение всегда существует и поиск этого решения должен осуществляться в рамках стандартной схемы: «объекты – угрозы – контрмеры».

    Действующее информационное законодательство

    Действующее информационное законодательство Российской Федерации представлено целым блоком нормативно-правовых актов самого различного уровня, начиная с Конституции, Гражданского, Уголовного и Административного кодекса РФ и заканчивая узкоспециализированными, фундаментальными источниками, регулирующими вопросы защиты информации, к которым относятся законы РФ «Об информации, информатизации и защите информации» [6] , "Об участии в международном информационном обмене"[7], вступивший в силу с 24 декабря 2004 года «Закон о коммерческой тайне» [4]. На рассмотрении в Государственной Думе в настоящее время находится еще ряд проектов законов, включая законы о защите персональной и служебной информации.

    К сожалению, большой объем актов правового регулирования и наличие основополагающих профильных нормативных актов, не означает совершенства действующего законодательства в этой сфере. Сегодня и законодательство, и наука не позволяют однозначно отграничить информацию от других объектов права, определить ее правовую природу, четко определить круг информационных правоотношений, однозначно определить субъектный состав и содержание информационных отношений и т.д. В частности, своего скорейшего разрешения требует проблема правового регулирования оборота недокументированной информации [5].

    Категорирование конфиденциальной информации

    Само понятие «конфиденциальная информация» варьируется в зависимости от предприятия или организации. Состав сведений, составляющих конфиденциальную информацию, должен приводиться в «Перечне сведений ограниченного распространения», который утверждается руководителем организации. Информация, не попавшая в данный перечень, считается открытой. Структура упомянутых выше сведений может быть представлена по типовой схеме.

    Опираясь на существующий опыт защиты информации в коммерческих организациях и положения действующего законодательства можно выделить следующие основные категории конфиденциальной информации:

    • сведения, составляющие коммерческую тайну организации;
    • персональные данные сотрудников организации (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);
    • сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков, контрагентов);
    • а также любые другие сведения, разглашение и/или неправомерное использование которых может нанести ущерб интересам организации.

    К открытой информации относятся, например:

    • сведения, содержащиеся в сообщениях и отчетах, официально опубликованных Компанией в соответствии с действующим российским законодательством;
    • сведения, содержащиеся в официальных пресс-релизах, а также рекламных сообщениях Компании;
    • сведения, опубликованные в средствах массовой информации по инициативе третьих лиц и с разрешения руководства Компании;
    • а также любая информация не попадающая в категории, определяемые «Перечнем сведений ограниченного распространения», принятым в организации, и не являющаяся конфиденциальной по законодательству РФ.

    В коммерческой организации наиболее остро стоит вопрос о защите коммерческой тайны, однако не менее важными являются сведения, составляющие конфиденциальную информацию третьих лиц, к которым могут относиться коммерческая тайна третьих лиц, персональные данные, служебная тайна и т.п., включая государственную тайну.

    Важной категорией конфиденциальной информации являются персональные данные сотрудников организации.

    Например, в США законодательство предусматривает очень серьезное наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA. Последний определяет наказание до 10 лет лишения свободы или $200k штрафа за умышленное раскрытие персональных данных.

    В нашей стране вопросы защиты персональных данных пока недостаточно хорошо проработаны как на законодательном, так и на технологическом уровне. Однако правовая база все же была заложена в законе РФ «Об информации, информатизации и защите информации» [6].

    Законодательство о защите коммерческой тайны

    Предметом защиты коммерческой информации являются все, свойственные предприятиям Компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договора и т.п.

    По гражданскому законодательству (ст. 139 Гражданского Кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

    • Эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам
    • К этой информации нет свободного доступа на законном основании
    • Обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности

    Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации, и охраной ее конфиденциальности регулируются «законом о коммерческой тайне», согласно которому права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности» [4].

    Помимо определения состава конфиденциальных сведений, информационные ресурсы организации нуждаются также в категорировании по уровню конфиденциальности. Это позволяет реализовать дифференцированный подход к реализации защитных мер. Знания о составе информационных ресурсов организации и соответствующих уровнях конфиденциальности формализуются в виде единого «Реестра информационных ресурсов организации».

    Каналы утечки информации

    Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками, по причине неосведомленности или недисциплинированности. Это и «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неуменее определить какие документы являются конфиденциальными.

    Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации.

    Пример. MS Word как срытый канал утечки информации

    Хорошим примером утечки конфиденциальной информации из организации из-за технической неосведомленности сотрудников может служить ситуация возникающая вокруг повсеместно используемого текстового редактора MS Word. По данным британской компании Workshare, специализирующейся в области обеспечения защиты документов, текстовый редактор Word компании Microsoft сам по себе представляет огромную опасность. Речь идет о заложенной в нем возможности извлечения информации, вносившейся в документ по ходу его подготовки, правки и согласования, пусть даже удаленной впоследствии. Внимательный читатель, недобросовестный конкурент или мошенник могут, если не предпринять определенных мер, почерпнуть немало интересного о том, как, к примеру, варьировались по мере подготовки финального текста контракта те или иные ключевые его положения.

    По данным консалтинговой компании Vanson Bourne, в целом до 31% файлов в формате Word содержат весьма «щекотливую» информацию. В некоторых компаниях дела обстоят особенно неблагополучно — до трех четвертей всех документов попадают в группу «высокого риска». Больше того — 90% компаний не имеют ни малейшего представления о том, каким именно образом уже утекает или может утекать от них закрытая и служебная информация.

    Компания Microsoft выпустила специальное программное расширение для MS Word под названием Remove Hidden Data [1, 2], с помощью которого пользователь может удалить персональные данные либо скрытую информацию, которая не должна быть выявлена при просмотре документа. Однако очень немногие организации на сегодняшний день добавили соответствующие правила «зачистки» в существующие регламенты работы с документами.

    Система организационно-технических мероприятий по защите конфиденциальной информации С учетом множественности категорий и каналов утечки информации, становится очевидным, что в большинстве случаев проблему утечки информации нельзя решить каким-либо простым способом, тем более избавится от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес процессов организации. Наиболее адекватный подход заключается в том, чтобы уделять данной проблеме столько внимания, сколько она того заслуживает. В данном, случае это означает необходимость создания системы организационно-технический мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без существенного снижения эффективности бизнес процессов. В отсутствии такой системы риски для бизнеса неприемлемо высоки, а права на юридическую защиту интересов организации как собственника информации нереализуемы.

    Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих:

    • Работу с персоналом
    • Политику безопасности
    • Сервисы безопасности
    • Работа с персоналом

    Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен свести на нет любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом является одним из основных механизмов защиты.

    Основные принципы и правила управления персоналом с учетом требований ИБ определены в международном стандарте ISO/IEC 17799:2000 [8]. Соблюдение этих правил позволяет существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.

    Основные принципы управления персоналом, выраженные в Стандарте, сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

    Основные требования безопасности при работе с персоналом

    При работе с персоналом необходимо соблюдать следующие основные требования безопасности:

    • Ответственность за ИБ должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, ответственность за ресурсы, процессы и мероприятия по обеспечению безопасности
    • Должны выполняться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.
    • Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно являться одним из обязательных условий приема на работу.
    • Требования ИБ, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность на нарушение безопасности.

    Повышение осведомленности персонала

    Важную роль для обеспечения ИБ играет осведомленность пользователей в вопросах безопасности и их обученность правилам безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, обладатель конфиденциальной информации имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее конфиденциальности, поэтому правила политики безопасности и ответственность, предусмотренная за их нарушение, должны быть документированы и доведены до сведения всех сотрудников под роспись. Контроль осведомленности должен осуществляться на регулярной основе. Основную роль здесь играют HR-менеджеры организации.

    Необходимо проводить обучение и контролировать знания пользователей по следующим вопросам:

    • правила политики безопасности организации
    • правила выбора, смены и использования паролей
    • правила получения доступа к ресурсам информационной системы
    • правила обращения с конфиденциальной информацией
    • процедуры информирования об инцидентах, об уязвимостях, ошибках и сбоях программного обеспечения
    • а также другие правила и процедуры

    Меры пресечения

    В организации должен существовать соответствующий дисциплинарный процесс в отношении нарушителей безопасности, предусматривающий проведение расследования, ликвидации последствий инцидентов и адекватные меры воздействия.

    При определении мер пресечения, следует ориентироваться на положения действующего законодательства. Отношения между работником и работодателем и соответствующая ответственность на нарушение ИБ организации регулируются, прежде всего, Трудовым кодексом РФ. В определенных случаях возможно применение положений Кодекса об административных правонарушениях и Уголовного кодекса.

    Так, на основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 Трудового кодекса РФ все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник Компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (Ст. 241 Трудового кодекса РФ), а согласно ст. 243 Трудового кодекса РФ за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники Компании несут материальную ответственность в полном размере причиненного ущерба.

    Роль HR-менеджеров

    Роль менеджеров по персоналу (HR-менеджеров) в обеспечении ИБ организации весьма значима, хотя и не является определяющей. HR-менеджеры должны принимать участие в разработке и внедрении политик безопасности, организации обучения пользователей, контроле осведомленности и расследовании нарушений. HR-менджеры в организации также выполняют функции владельцев персональных данных сотрудников компании и несут административную ответственность за разглашение или незаконное распространение этих данных.

    Политика безопасности и процедуры внутрифирменной коммуникации

    Надлежащая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.

    В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

    Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, включая авторизацию и аудит доступа.

    Ответственность за ИБ организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров. Обычно эти функции выполняет Директор по ИБ (CISO) или Директор по безопасности (CSO), иногда Директор по ИТ (CIO).

    Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

    Многие правила политики безопасности являются понятными для сотрудников и выполняются ими в большинстве случаев на интуитивном уровне. Остальные требуют обучения.

    Политика безопасности организации в области предотвращения утечки информации

    В основе системы защиты информации лежат внутренние нормативные документы, устанавливающие ответственность и определяющие правила по защите информации, обязательные для исполнения всеми сотрудниками организации. К ним относятся:

    • Положение о коммерческой тайне
    • Руководство по защите конфиденциальной информации
    • Правила работы пользователей в корпоративной сети
    • Инструкции по использованию сервисов безопасности
    • Регламент предоставления доступа к информационным ресурсам

    Хорошей практикой является разработка и внедрение нескольких небольших документов, вместо одного объемного, который все-равно никто не сможет дочитать до конца и тем более запомнить все, что там написано. Можно рекомендовать следующий состав документов, ориентированных на всех сотрудников организации:

    • Правила работы пользователей в корпоративной сети
    • Правила выбора, хранения и использования паролей
    • Инструкция по защите от компьютерных вирусов
    • Правила использования мобильных устройств для работы в корпоративной сети
    • Правила работы в сети Интернет

    Состав документов может варьироваться. При определении состава и содержания документов можно рекомендовать опираться на требования ISO/IEC 17799:2000.

    Основные правила обращения с конфиденциальной информацией

    Как показывает практика, значительного ограничения утечки информации из организации можно добиться путем применения шести основных правил, к которым относятся:

    • Маркирование документов
    • Закрытое обсуждение
    • Шифрование информации при хранении и передаче
    • Использование соглашений о конфиденциальности
    • Ограничение доступа к информации
    • Информирование

    Основная задача состоит в том, чтобы добиться интуитивного применения этих правил всеми сотрудниками организации.

    Правила обращения с конфиденциальной информацией

    Правило №1. Маркирование документов

    Документы (бумажные и электронные), содержащие конфиденциальную информацию, подлежат обязательному маркированию путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.

    Маркирование конфиденциальных документов осуществляется ответственным за их подготовку или ответственным за работу с данными документами.

    Маркирование сообщений электронной почты осуществляется пользователем, осуществляющим отправку (распространение) данных сообщений.

    В документах, содержащих конфиденциальную информацию и передаваемых третьей стороне, на следующей стороне титульного листа в обязательном порядке должно содержаться «заявление о конфиденциальности».

    Правило №2. Закрытое обсуждение

    Не обсуждать конфиденциальную информацию с посторонними лицами (или в их присутствии), с друзьями, родственниками, сотрудниками организации, не допущенными к работе с данной информацией и т.п.

    Не обсуждать конфиденциальную информацию в общественных местах в присутствии посторонних (не допущенных к данной информации) лиц, включая столовую и места для курения, расположенные на территории Компании.

    Правило №3. Шифрование информации при хранении и передаче

    Для обеспечения надлежащего уровня защиты шифрование должно применяться как при хранении, так и при передаче конфиденциальной информации. Электронный обмен конфиденциальной информацией с внешними респондентами должен вестись в зашифрованном виде, при условии наличия соответствующих технических возможностей.

    Правило №4. Использование соглашения о конфиденциальности

    Передача сведений, содержащих конфиденциальную информацию, третьей стороне должно осуществляться только после заключения с этой стороной «Соглашения о конфиденциальности».

    Правило №5. Ограничение доступа к информации

    Не хранить электронные документы, содержащие конфиденциальную информацию, в общедоступных местах, включая общие папки файловых серверов, WEB, почтовые папки и т.п.

    Правило №6. Информирование

    Требуется не только самим овладеть методами защиты информации, но также следить за их выполнением другими сотрудниками и вести разъяснительную работу. Обо всех фактах утечки информации, следует незамедлительно сообщать своему непосредственному руководителю.

    Сервисы безопасности

    Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации.

    К числу сервисов безопасности относятся: сервисы аутентификации, управления доступом, шифрования, фильтрации контента и аудита безопасности.

    Аутентификация и управление доступом

    Традиционные схемы аутентификации и управления доступом во многих случаях уже не обеспечивают адекватного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, которые уже начинают появляться на рынке.

    Примерами соответствующих коммерческих продуктов являются Microsoft RMS (впервые появившийся в MS Windows Server 2003) и программно-аппаратный комплекс Sentinel RMS, производимый компанией SafeNet.

    RMS (Rights Management Services) — это технология, используемая RMS-совместимыми приложениями для защиты электронных документов от несанкционированного использования. RMS позволяет при распространении информации определять ограничения по ее использованию. Например, автор документа может ограничить «время жизни» документа, а также возможность для определенных пользователей открывать, изменять, копировать в буфер обмена, печатать или пересылать документ. Основное отличие данной технологии от традиционных способов разграничения доступа к информации заключается в том, что права доступа и дополнительные ограничения по использованию хранятся в теле самого документа и действуют независимо от его местонахождения. Шифрование документов, реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо обходным путем.

    Фильтрация контента

    Использование сервиса RMS, конечно, не решает всех проблем. Например, эта технология не защищает от умышленного «слива» информации по электронной почте, что на практике встречается довольно часто и заставляет руководство организации вводить правила по фильтрации исходящих из корпоративной сети сообщений по их содержанию. Анализ содержания сообщений по ключевым словам может быть достаточно эффективным, однако требует проведения серьезной работы по «тюнингу» системы фильтрации контента, так как ни одна из подобных систем не работает «прямо из коробки». Даже хорошо отлаженная система фильтрации требует постоянного внимания со стороны администратора безопасности.

    Шифрование информации

    Шифрование является одним из наиболее надежных способов обеспечения конфиденциальности информации. Криптографические методы давно и успешно развиваются во всем мире, поэтому в настоящее время механизмы шифрования являются сильным звеном в любой системе обеспечения ИБ.

    Так, например, доступным и распространенным способом шифрования информации при хранении для пользователей ОС Microsoft Windows является использование встроенного в NTFS сервиса Encrypted File System (EFS). Во всех распространенных почтовых клиентах поддерживаются функции шифрования сообщений, что позволяет без дополнительных усилий производить обмен конфиденциальной информацией с внешними респондентами в зашифрованном виде.

    Аудит безопасности

    Последним рубежом в комплексной системе предотвращения утечки информации из организации является подсистема аудита ИБ, которая позволяет оперативно обнаруживать и реагировать на нарушения безопасности, а также производить расследование инцидентов, связанных с утечкой информации. Она должна охватывать все виды событий, связанных с получением доступа к конфиденциальным данным и выполнение действий, способных привести к их несанкционированному раскрытию, включая изменение прав доступа, копирование и вывод на печать.

    Заключение

    В данной статье мы рассмотрели важные вопросы, связанные с организацией защиты от утечки информации – реальной проблемы, от успешного решения которой зависит конкурентоспособность организации. Были затронуты вопросы классификации и категорирования информационных ресурсов организации с учетом требований действующего законодательстваи необходимость формирования и поддержания в актуальном состоянии «Реестра информационных ресурсов организации». Приведены примеры существующих угроз и каналов утечки информации, использование которых чревато серьезными последствиями для организации. Это позволило определить наиболее адекватный подход к решению проблемы, который заключается в создании комплексной системы организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски. Основными составляющими такой системы является политика безопасности и работа с персоналом, от которого требуется выполнение основных правил обеспечения конфиденциальности информации и грамотное применение сервисов безопасности, позволяющих ограничивать доступ к информации.

    Хотелось бы заострить внимание читателей на том, что успешная реализация намеченных подходов к предотвращению утечки информации крайне затруднительна в том случае, если в организации отсутствует действующая система управления информационной безопасностью (СУИБ), которая характеризуется, прежде всего, наличием работающей политики безопасности и организационной структуры, выстроенной в соответствии с этой политикой, а также наличием процессов, процедур и механизмов контроля. Основными руководящими документами в этой области могут служить международный стандарт ISO/IEC 17799:2000 [8], который описывает 127 механизмов контроля, обеспечивающих функционирование СУИБ, а также британский стандарт BS 7799-2:2002, определяющий спецификацию СУИБ, а также руководство по ее использованию для создания СУИБ и прохождения процедуры сертификации.

    Ссылки



    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить245850 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить5300 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651