8 (800) 302-85-23

10.02.2021

Контроль соблюдения мер защиты конфиденциальной информации

Контроль соблюдения мер защиты конфиденциальной информации

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

Недостаточно просто внедрить меры по защите конфиденциальной информации. Чтобы быть уверенным в том, что важные для компании данные хорошо защищены, необходимо еще наладить контроль соблюдения мер по защите конфиденциальной информации.

Как организовать контроль и какие средства использовать для этого? Давайте разбираться.

Сбор и анализ сведений о состоянии системы защиты конфиденциальной информации в компании

Чтобы осуществить контроль реализации мероприятий по защите конфиденциальной информации, необходимо собрать определенные сведения, от которых можно опираться. Лучший вариант для сбора и анализа такой информации — проведение аудита информационной безопасности.

Есть несколько видов аудита:

  • Экспертный. Его результат — сведения, по которым можно произвести контроль качества защиты конфиденциальной информации на основе сравнения полученных данных с каким-то «идеальными» значениями и характеристиками. Это может быть ТЗ, которое формулировалось при организации информационной безопасности (далее — ИБ) компании или другие опорные материалы.

  • Аудит ИБ на соответствие стандартам. Этот вариант актуален для компаний, работающих в здравоохранении, финансовой и иных сферах, способных влиять на здоровье, жизнь или благосостояние граждан. Контроль защиты конфиденциальной информации проводится на основе анализа соответствия системы ИБ международным, национальным, отраслевым стандартам. В зависимости от специфики деятельности компании они могут быть разными. Вот некоторые примеры: ISO/IEC 17799, международный стандарт WebTrust, ГОСТ Р ИСО/МЭК 15408-2002.

  • Активный аудит. Довольно эффективный и популярный способ исследования системы информационной безопасности и сбора сведений для контроля качества защиты конфиденциальной информации. Сводится к воссозданию ситуаций, при которых защищаемые данные могут попасть к злоумышленникам или просто быть потеряны. Вариантов реализации множество: имитация атак извне, сканирование защищаемого периметра снаружи и пр.

Как организовать аудит? Можно заказать такие услуги у сторонних компаний. И таких на рынке немало. У сторонних аудиторов огромный опыт анализа IT-инфраструктур различных типов и масштабов, что позволяет организовать максимально полную и эффективную проверку.

Сбор и анализ сведений о состоянии защиты конфиденциальной информации можно организовать и своими силами. Достаточно один раз потратиться на решение, которое поможет все автоматизировать, и не нужно будет каждый раз платить аудиторам за услуги. Организовать автоматический сбор необходимых для контроля защиты информации можно, например, с помощью DLP-системы. Она обеспечит контроль над перемещением важных для компании данных внутри IT-инфраструктуры и за передачей за ее пределы со своевременным оповещением о «слабых» местах. Останется правильно интерпретировать полученные сведения для эффективного анализа и контроля состояния ИБ в компании.

Работа с сотрудниками компании

Важная составляющая эффективного и полного контроля защиты информации в компании — работа с персоналом в этом направлении. Она включает:

  • Контроль за действиями сотрудников. Реализуется он различными способами. Помочь в этом может, например, все та же DLP-система, либо решение с аналогичным функционалом. Также для контроля можно использовать программы, записывающие видео или делающие скриншоты с мониторов рабочих компьютеров и иные решения.

  • Регулярная проверка знаний персонала в области информационной безопасности и защиты важной для компании информации. Реализовать это можно, например, при помощи тестов. Различного рода онлайн-платформ для этого сегодня в интернете в избытке. Можно заказать разработку тестов по ИБ под свои нужды у тех же аудиторов (многие компании предлагают такие услуги).

  • «Разработка» сотрудников специалистами по информационной безопасности. Периодически делать это не помешает. Анализируя время от времени поведение сотрудника на рабочем месте, его отношение к обеспечению информационной безопасности, круг общения, уровень удовлетворенности условиями труда, оплатой и прочие параметры, вы сможете контролировать соблюдение защиты конфиденциальных данных и своевременно реагировать на различные угрозы. К данному процессу, помимо специалистов по ИБ, целесообразно привлекать HR и сотрудников из других сфер.

Контроль и регулярные проверки рабочих компьютеров, носителей информации и других элементов IT-инфраструктуры

Важная составляющая системы контроля защиты конфиденциальной информации в компании — слежение за компьютерной техникой, программным обеспечением и другими составляющими IT инфраструктуры.

Контролировать компьютерную, периферийную и другие типы техники можно различными способами. Это, например — слежение за ее конфигурацией и реакция на вносимые изменения. Также помогает в этом анализ информации, обрабатываемой на технике, логирование действий.

Что касается программного обеспечения, его тоже можно и нужно контролировать. Это обеспечивается анализом активности ПО, его обновлений, изменений конфигурации и прочих параметров.

Важная составляющая контроля защиты информации — регулярная проверка носителей (флешек, внешних жестких дисков и пр.). Они могут быть переносчиками вредоносного программного обеспечения, способного нанести вред информационной безопасности компании.

Контролировать эти моменты можно различными способами. Самый дешевый (но требующий много времени и высокого уровня подготовки системных администраторов и других специалистов) — анализ логов и других данных вручную. Но лучше все это автоматизировать. Благо средств автоматизации на рынке немало. Отслеживать изменения в конфигурации оборудования и ПО способны различные программные продукты. Такие функции есть в корпоративных антивирусах, средствах мониторинга компьютерной и периферийной техники, SIEM-, DLP-системах.

Проверка партнеров, клиентов и контрагентов

Зачастую виновниками утечек информации становятся партнёры, клиенты или аутсорсеры, либо занимающиеся обслуживанием IT-инфраструктуры компании. Поэтому в мероприятия по контролю качества защиты конфиденциальной информации стоит включать и их проверки. Да, проверить информационную безопасность в чужой IT-инфраструктуре проблематично. Но все-таки можно понять, как все организовано, по косвенными признакам: обращение с важной информацией, расходы на ИБ (их можно примерно оценить взглянув со стороны), сведения в открытых источниках об инцидентах в сфере ИБ и прочие факторы.

Видно, что контроль за соблюдением мер защиты конфиденциальной информации — процесс сложный, комплексный, включающий в себя несколько составляющих. На какую сделать больший упор — зависит от специфики вашей компании, характера защищаемой информации, с которой вы работаете, и ряда других факторов.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.