Недостаточно просто внедрить меры по защите конфиденциальной информации. Чтобы быть уверенным в том, что важные для компании данные хорошо защищены, необходимо еще наладить контроль соблюдения мер по защите конфиденциальной информации.

Как организовать контроль и какие средства использовать для этого? Давайте разбираться.

Сбор и анализ сведений о состоянии системы защиты конфиденциальной информации в компании

Чтобы осуществить контроль реализации мероприятий по защите конфиденциальной информации, необходимо собрать определенные сведения, от которых можно опираться. Лучший вариант для сбора и анализа такой информации — проведение аудита информационной безопасности.

Есть несколько видов аудита:

  • Экспертный. Его результат — сведения, по которым можно произвести контроль качества защиты конфиденциальной информации на основе сравнения полученных данных с каким-то «идеальными» значениями и характеристиками. Это может быть ТЗ, которое формулировалось при организации информационной безопасности (далее — ИБ) компании или другие опорные материалы.

  • Аудит ИБ на соответствие стандартам. Этот вариант актуален для компаний, работающих в здравоохранении, финансовой и иных сферах, способных влиять на здоровье, жизнь или благосостояние граждан. Контроль защиты конфиденциальной информации проводится на основе анализа соответствия системы ИБ международным, национальным, отраслевым стандартам. В зависимости от специфики деятельности компании они могут быть разными. Вот некоторые примеры: ISO/IEC 17799, международный стандарт WebTrust, ГОСТ Р ИСО/МЭК 15408-2002.

  • Активный аудит. Довольно эффективный и популярный способ исследования системы информационной безопасности и сбора сведений для контроля качества защиты конфиденциальной информации. Сводится к воссозданию ситуаций, при которых защищаемые данные могут попасть к злоумышленникам или просто быть потеряны. Вариантов реализации множество: имитация атак извне, сканирование защищаемого периметра снаружи и пр.

Как организовать аудит? Можно заказать такие услуги у сторонних компаний. И таких на рынке немало. У сторонних аудиторов огромный опыт анализа IT-инфраструктур различных типов и масштабов, что позволяет организовать максимально полную и эффективную проверку.

Сбор и анализ сведений о состоянии защиты конфиденциальной информации можно организовать и своими силами. Достаточно один раз потратиться на решение, которое поможет все автоматизировать, и не нужно будет каждый раз платить аудиторам за услуги. Организовать автоматический сбор необходимых для контроля защиты информации можно, например, с помощью DLP-системы. Она обеспечит контроль над перемещением важных для компании данных внутри IT-инфраструктуры и за передачей за ее пределы со своевременным оповещением о «слабых» местах. Останется правильно интерпретировать полученные сведения для эффективного анализа и контроля состояния ИБ в компании.

Работа с сотрудниками компании

Важная составляющая эффективного и полного контроля защиты информации в компании — работа с персоналом в этом направлении. Она включает:

  • Контроль за действиями сотрудников. Реализуется он различными способами. Помочь в этом может, например, все та же DLP-система, либо решение с аналогичным функционалом. Также для контроля можно использовать программы, записывающие видео или делающие скриншоты с мониторов рабочих компьютеров и иные решения.

  • Регулярная проверка знаний персонала в области информационной безопасности и защиты важной для компании информации. Реализовать это можно, например, при помощи тестов. Различного рода онлайн-платформ для этого сегодня в интернете в избытке. Можно заказать разработку тестов по ИБ под свои нужды у тех же аудиторов (многие компании предлагают такие услуги).

  • «Разработка» сотрудников специалистами по информационной безопасности. Периодически делать это не помешает. Анализируя время от времени поведение сотрудника на рабочем месте, его отношение к обеспечению информационной безопасности, круг общения, уровень удовлетворенности условиями труда, оплатой и прочие параметры, вы сможете контролировать соблюдение защиты конфиденциальных данных и своевременно реагировать на различные угрозы. К данному процессу, помимо специалистов по ИБ, целесообразно привлекать HR и сотрудников из других сфер.

Контроль и регулярные проверки рабочих компьютеров, носителей информации и других элементов IT-инфраструктуры

Важная составляющая системы контроля защиты конфиденциальной информации в компании — слежение за компьютерной техникой, программным обеспечением и другими составляющими IT инфраструктуры.

Контролировать компьютерную, периферийную и другие типы техники можно различными способами. Это, например — слежение за ее конфигурацией и реакция на вносимые изменения. Также помогает в этом анализ информации, обрабатываемой на технике, логирование действий.

Что касается программного обеспечения, его тоже можно и нужно контролировать. Это обеспечивается анализом активности ПО, его обновлений, изменений конфигурации и прочих параметров.

Важная составляющая контроля защиты информации — регулярная проверка носителей (флешек, внешних жестких дисков и пр.). Они могут быть переносчиками вредоносного программного обеспечения, способного нанести вред информационной безопасности компании.

Контролировать эти моменты можно различными способами. Самый дешевый (но требующий много времени и высокого уровня подготовки системных администраторов и других специалистов) — анализ логов и других данных вручную. Но лучше все это автоматизировать. Благо средств автоматизации на рынке немало. Отслеживать изменения в конфигурации оборудования и ПО способны различные программные продукты. Такие функции есть в корпоративных антивирусах, средствах мониторинга компьютерной и периферийной техники, SIEM-, DLP-системах.

Проверка партнеров, клиентов и контрагентов

Зачастую виновниками утечек информации становятся партнёры, клиенты или аутсорсеры, либо занимающиеся обслуживанием IT-инфраструктуры компании. Поэтому в мероприятия по контролю качества защиты конфиденциальной информации стоит включать и их проверки. Да, проверить информационную безопасность в чужой IT-инфраструктуре проблематично. Но все-таки можно понять, как все организовано, по косвенными признакам: обращение с важной информацией, расходы на ИБ (их можно примерно оценить взглянув со стороны), сведения в открытых источниках об инцидентах в сфере ИБ и прочие факторы.

Видно, что контроль за соблюдением мер защиты конфиденциальной информации — процесс сложный, комплексный, включающий в себя несколько составляющих. На какую сделать больший упор — зависит от специфики вашей компании, характера защищаемой информации, с которой вы работаете, и ряда других факторов.