Основной вопрос, который стоит перед любой организацией, которая стремится защитить свою информацию, это сохранность информации на серверах и компьютерах. С информацией на бумажных носителях вопросов обычно не возникает, этот тип информационных носителей и охранять легче всего, и опыт защиты такой информации накоплен огромный. Для такой защиты используют сейф, архив, банковскую ячейку, жестко ограничивают доступ сотрудников и проблема решена. Защитить цифровую информацию намного сложнее. С одной стороны, обычно эти данные постоянно нужны для работы, с другой стороны, крайне важно надежно защитить ее от несанкционированного доступа и копирования.
В современных условиях, когда говорят о коммерческой тайне и защите информации, прежде всего, речь идет о данных, размещенных на цифровых носителях. Для защиты этого вида информации существуют простые и, в принципе, широко известные правила. Но практика показывает, что далеко не все их знают, соблюдают и уделяют им достаточное внимание.
Стоит выделить 6 основных правил безопасности информации, размещенной на цифровых носителях:
Это значит, что в компании должны быть приняты четкие и однозначные правила, где можно и нужно хранить разные виды информации, как хранить информацию, какие пароли задавать, кто отвечает за ввод той или иной информации, кто отвечает за раскрытие этой информации, как ее можно копировать и т.д. Все, что касается работы с конфиденциальной информацией, должно быть закреплено в виде политики организации. С этим документом обязательно должны быть ознакомлены все сотрудники.
Кроме того, необходимо не только разработать такой документ и строго соблюдать определенные правила, но и постоянно их совершенствовать. IT-сфера постоянно развивается, появляются новые программы и устройства, в связи с чем необходимо своевременно обновлять правила работы с конфиденциальной информацией.
Антивирусное программное обеспечение должно быть на каждом компьютере, более того, антивирусные базы обязательно должны быть актуальными, т.е. своевременно обновляться.
Для коммерческой организации не подойдет простой и бесплатный вариант «домашней» защиты. Необходимо ответственно подходить к выбору программной защиты. Антивирус необходим надежным, чтобы его было сложно обойти, а уровень защиты должен быть корпоративного уровня. Важно, чтобы антивирус надежно охранял не только определенный компьютер или сервер, но и всю сеть в целом.
Мало защитить паролями данные, нужно уделить особое внимание и самим паролям. Во-первых, они не должны храниться в открытом доступе. Недопустимо хранить пароли к конфиденциальной информации в открытых для всех файлах или, что нередко до сих пор встречается на практике, на бумажных стикерах прямо на рабочем столе сотрудника. Во-вторых, пароли должны быть сложными. Пароли типа «1234556» или «pass123» явно не подходят для надежной защиты. Также недопустимы смысловые пароли, например, основанные на дне рождения сотрудника, его фамилии и т.д. Подобный уровень сложности паролей должен быть запрещен по вполне понятным причинам.
Оптимальное решение – генерировать пароли централизовано и передавать сотруднику в готовом виде. IT-специалист сумеет оценить необходимый уровень сложности паролей, чтобы и сотрудник сумел запомнить свои доступы (иначе не избежать файлов или «бумажек под стеклом» с паролем), и уровень надежности пароля соответствовал необходимой степени защиты.
Никогда не работайте с незащищенным WI-FI. Нередко сотрудники берут с собой домой или на встречу ноутбук, устанавливают рабочие программы в смартфоне или на планшете. В некоторых случаях такого подхода невозможно избежать в силу производственной необходимости.
Но если при этом человек подключится к рабочей сети через незащищенный общественный WI-FI, его данные могут быть скопированы и попасть в чужие руки.
Потому следует жестко соблюдать правило: никогда не подключайтесь к незащищенным сетям WI-FI, а также к любым другим сомнительным сетям, не принадлежащим вашей организации.
Необходимо обязательно защищать экран рабочего места от того, чтобы человек не смог подглядеть. Достаточно частая причина – это, так называемая, социальная инженерия, т.е. когда просто подсматривают пароль, другую информацию при вводе на клавиатуре или на экране. Особенно это важно, когда человек работает не только в офисе, но и на выезде.
Потому обязательно нужно защищать мониторы от подглядывания, для чего нужно правильно обустраивать рабочие места в офисе, а также обучать сотрудников правилам безопасной работы на выезде.
Здесь речь идет не только о компьютере, но также о смартфоне, планшете и любых других устройствах, которые имеют доступ к конфиденциальной информации. Недопустимо уходить с рабочего места, не заблокировав экраны всех устройств, которые вы оставляете без присмотра.
Этот момент должен быть прописан в политике защиты информации, должностных инструкциях и т.д.
Пароли для разблокировки экрана также должны соответствовать общим правилам формирования паролей, о них подробно мы уже говорили выше.
При соблюдении этих простых и недорогих с точки зрения реализации правил вы сможете избежать большинства угроз, связанных с утечкой цифровой информации.
В современных условиях, когда говорят о коммерческой тайне и защите информации, прежде всего, речь идет о данных, размещенных на цифровых носителях. Для защиты этого вида информации существуют простые и, в принципе, широко известные правила. Но практика показывает, что далеко не все их знают, соблюдают и уделяют им достаточное внимание.
Правила информационной безопасности
Стоит выделить 6 основных правил безопасности информации, размещенной на цифровых носителях:
1. Правила хранения информации в компании
Это значит, что в компании должны быть приняты четкие и однозначные правила, где можно и нужно хранить разные виды информации, как хранить информацию, какие пароли задавать, кто отвечает за ввод той или иной информации, кто отвечает за раскрытие этой информации, как ее можно копировать и т.д. Все, что касается работы с конфиденциальной информацией, должно быть закреплено в виде политики организации. С этим документом обязательно должны быть ознакомлены все сотрудники.
Кроме того, необходимо не только разработать такой документ и строго соблюдать определенные правила, но и постоянно их совершенствовать. IT-сфера постоянно развивается, появляются новые программы и устройства, в связи с чем необходимо своевременно обновлять правила работы с конфиденциальной информацией.
2. Антивирус
Антивирусное программное обеспечение должно быть на каждом компьютере, более того, антивирусные базы обязательно должны быть актуальными, т.е. своевременно обновляться.
Для коммерческой организации не подойдет простой и бесплатный вариант «домашней» защиты. Необходимо ответственно подходить к выбору программной защиты. Антивирус необходим надежным, чтобы его было сложно обойти, а уровень защиты должен быть корпоративного уровня. Важно, чтобы антивирус надежно охранял не только определенный компьютер или сервер, но и всю сеть в целом.
3. Политика паролей
Мало защитить паролями данные, нужно уделить особое внимание и самим паролям. Во-первых, они не должны храниться в открытом доступе. Недопустимо хранить пароли к конфиденциальной информации в открытых для всех файлах или, что нередко до сих пор встречается на практике, на бумажных стикерах прямо на рабочем столе сотрудника. Во-вторых, пароли должны быть сложными. Пароли типа «1234556» или «pass123» явно не подходят для надежной защиты. Также недопустимы смысловые пароли, например, основанные на дне рождения сотрудника, его фамилии и т.д. Подобный уровень сложности паролей должен быть запрещен по вполне понятным причинам.
Оптимальное решение – генерировать пароли централизовано и передавать сотруднику в готовом виде. IT-специалист сумеет оценить необходимый уровень сложности паролей, чтобы и сотрудник сумел запомнить свои доступы (иначе не избежать файлов или «бумажек под стеклом» с паролем), и уровень надежности пароля соответствовал необходимой степени защиты.
4. WI-FI вне офиса
Никогда не работайте с незащищенным WI-FI. Нередко сотрудники берут с собой домой или на встречу ноутбук, устанавливают рабочие программы в смартфоне или на планшете. В некоторых случаях такого подхода невозможно избежать в силу производственной необходимости.
Но если при этом человек подключится к рабочей сети через незащищенный общественный WI-FI, его данные могут быть скопированы и попасть в чужие руки.
Потому следует жестко соблюдать правило: никогда не подключайтесь к незащищенным сетям WI-FI, а также к любым другим сомнительным сетям, не принадлежащим вашей организации.
5. Фильтр приватности
Необходимо обязательно защищать экран рабочего места от того, чтобы человек не смог подглядеть. Достаточно частая причина – это, так называемая, социальная инженерия, т.е. когда просто подсматривают пароль, другую информацию при вводе на клавиатуре или на экране. Особенно это важно, когда человек работает не только в офисе, но и на выезде.
Потому обязательно нужно защищать мониторы от подглядывания, для чего нужно правильно обустраивать рабочие места в офисе, а также обучать сотрудников правилам безопасной работы на выезде.
6. Всегда блокируйте ваш экран
Здесь речь идет не только о компьютере, но также о смартфоне, планшете и любых других устройствах, которые имеют доступ к конфиденциальной информации. Недопустимо уходить с рабочего места, не заблокировав экраны всех устройств, которые вы оставляете без присмотра.
Этот момент должен быть прописан в политике защиты информации, должностных инструкциях и т.д.
Пароли для разблокировки экрана также должны соответствовать общим правилам формирования паролей, о них подробно мы уже говорили выше.
При соблюдении этих простых и недорогих с точки зрения реализации правил вы сможете избежать большинства угроз, связанных с утечкой цифровой информации.
saipr
И как это IT-специалист сумеет оценить необходимый уровень сложности паролей для того или иного сотрудника? И случится чудо не будет файлов и бумажек под стеклом! Это на докторскую тянет и скорей всего и в области психологии!
akhkmed
Давайте оценим вторую сторону этого вопроса. Если сотрудник получает пароли от IT/безопасника без обязательств их изменить при первом использовании, разве это безопасно?
* Кто-то от имени сотрудника может сделать что-то недопустимое с информацией
* Сотрудник может и не знать, что кто-то использует его учётку
* Непонятно, как без средств шифрования обеспечить безопасную передачу и хранение паролей при централизованной передаче.
saipr
А для какой цели получает ваш сотрудник пароли от IT/безопасника?
akhkmed
Данный подход предлагается в статье как оптимальное решение против проблем с недостаточной сложностью паролей. На решение проблемы небезопасного хранения это не похоже, любой пароль сотрудник будет хранить как ему удобно. Придуманный не им — тем более.
saipr
Вот именно: либо в файле либо на бумажке, а то и там и там.