В цифровую эпоху при работе с большими массивами данных остро стоит проблема недопущения, предотвращения утечек информации. Своевременное реагирование на инциденты информационной безопасности, предотвращение нежелательных сценариев – ключевой момент, определяющий уровень защиты бизнес-процессов компании. Для сохранения конфиденциальности, мониторинга, выявления проблемных моментов используются DLP-системы.

Угрозы информационной безопасности

  1. Опасность потери конфиденциальности. Внутренние сведения становятся известны третьим лицам, не располагающим правами доступа к ним. Как показывает расследование инцидентов информационной безопасности, подобные проблемы возникают при сбоях программного и аппаратного оборудования вследствие человеческого фактора. Сюда относятся государственная, врачебная, банковская, служебная тайны.
  2. Опасность нарушения целостности. Связана с подменой, модификацией исходной информации, хранящейся в системе. Основаниями и факторами риска становятся выход из строя программного оборудования, умышленные поступки персонала. Например, сбой сервера, подмена отчета на ложный.
  3. Опасность потери доступности. Связана с утратой возможности получения доступа и использования локальных ресурсов, что ограничивает функционал работника или делает невозможным выполнение рабочих операций. Выявление инцидентов информационной безопасности в данной группе установило, что подоплекой произошедшего становятся ошибки программного обеспечения, вирусные атаки.

Условная классификация случаев информационной безопасности

Кодификация случаев информационной безопасности основывается на ГОСТ Р ИСО/МЭК 1335-1-2006, ГОСТ Р 50922-2006. До сих пор не существует единого и полного стандарта для дифференциации всех случаев, поэтому дополнительно учитывают группы объективно важных критериев, определяющих факторов персонального характера. Согласно такому подходу, выделяют следующие виды угроз.

Согласно уровню критичности.

  • Первая категория. Сопровождается максимальными рисками, ущербом для базы данных, репутации.
  • Вторая категория. Высокая вероятность негативных последствий, ставящих под угрозу деятельность и имя компании.
  • Третья категория. Присутствует риск возникновения незначительных опасностей, представляющих угрозу интересам и репутации организации.
  • Четвертая категория. Локальное происшествие, которое не сопровождается нежелательными результатами.

По приоритету реагирования.

  • Очень высокий. Время на принятие ответных действий – не более часа.
  • Высокий. Время на исполнение защитных мероприятий – в пределах 4 часов.
  • Средний. Время на проведение ответных мер не превышает 8 часов.
  • Низкий. Время на принятие контрмер не регламентировано.

По причине возникновения.

  • Непредсказуемые. Группа факторов, не поддающихся прогнозированию.
  • Умышленные. Спровоцированы направленными поступками заинтересованных лиц.

Согласно степени нанесенного ущерба.

  • Непоправимый. После принятых действий ситуация не вернулась к исходному варианту.
  • Поправимый. После принятых действий ситуация стабилизировалась, последствия минимальны.
  • Отсутствует. Происшествие прошло бесследно.

Как реагировать на утечку данных?

Грамотное управление инцидентами информационной безопасности позволяет стабилизировать ситуацию снизить потери. Если событие произошло, требуется:

  • определить источник утечки путем тщательного анализа сетевой активности пользователей корпоративной сети;
  • обозначить потенциальный круг лиц, располагающих конфиденциальными сведениями. Оценить возможную опасность, последствия;
  • выяснить масштаб угрозы. Зачастую утраченные сведения охватывают более широкий диапазон, чем установлено изначально;
  • поставить в известность лиц, которые стали потенциальными жертвами. Своевременное извещение поможет принять ответные контрмеры;
  • заявить о произошедшем в правоохранительные органы. Оправдано, когда события и инциденты информационной безопасности относятся к первой категории;
  • своевременно провести мероприятия по минимизации финансовых потерь и предотвращению рецидива. Например, завершить бизнес-процессы, ускорить вывод на рынок товара или услуги.

Как управлять информационной безопасностью?

Менеджмент инцидентов информационной безопасности опирается на ГОСТ Р ИСО/МЭК ТО 18044-2007. На основании этого документа выделяют четыре основных этапа:

1. Планирование и подготовка. Включает подготовку, тестирование, обучение системы менеджмента инцидентам ИБ.

2. Использование. Обнаружение опасных событий, оценка и принятие решения в отношении угрозы, реагирование.

3. Анализ. Проведение правовой экспертизы. Обобщение практического опыта, обобщение и поиск решений, направленных на улучшение менеджмента.

4. Улучшение. Уточнение конечных результатов, повышение уровня безопасности.

Как происходит устранение причин и последствий информационной безопасности?

Посредством DLP-систем устанавливаются мотивы и виновники происшествия. Организация проводит мероприятия по недопущению рецидива путем введения поправок в действующий регламент, замены оборудования, наказания виновных сотрудников. Последствия ликвидируются за счет досрочного завершения текущих бизнес-процессов, пересмотра приоритетов деятельности, запуска новых товаров, услуг.

Вывод

От передачи информации третьи лицам не застрахован никто. Если это произошло – присутствуют множественные недоработки в рабочем процессе. Оснащение современными DLP-системами позволит повысить защиту, взять под контроль лояльность и эффективность персонала, своевременно выявить потенциальные риски и сотрудников, представляющих угрозу общему делу.