Защита финансовой информации: как избежать утечек
Узнать большеКонтроль информационных активов организации и их защита – одна из ключевых задач информационной безопасности в организации. Утечка, кража, модификация, уничтожение важных сведений могут иметь предсказуемые последствия для бизнеса и отрицательно сказаться на репутации компании. Необходимо заранее подобрать и реализовать грамотную стратегию управления рисками согласно специфике работы организации и уровню критичности данных.
Что такое информационные активы? Виды информационных активов
Информационные активы - это любые сведения, включающие специфическую информацию о компании, ее деятельности, которые позволяют ее идентифицировать. Такие сведения могут находиться в материальной или цифровой форме, принадлежать организации и представлять для нее большую ценность. Информационные активы включают разные группы информации, которые отличаются между собой значимостью, ценностью, критичностью.
Необходимо проводить классификацию информационных активов по категориям и создать модель управления рисками, чтобы расставить приоритеты информационной безопасности. Классификация информационных активов ведется по разным критериям. Согласно содержимому и классу ценности выделяют:
-
Открытые активы. Это любые данные, находящиеся в открытом доступе и не требующие соблюдения конфиденциальности. Например, информация, отражающая юридические реквизиты компании, число сотрудников, представленная в открытых источниках.
-
Служебные активы. Информация, которая используется внутри организации для выполнения и поддержания рабочих процессов. Это могут быть отчетность, статистика, знания. В определенных случаях подобные активы могут быть связаны с финансовыми рисками для организации.
-
Конфиденциальные активы. Закрытая информация, которая не может быть вынесена за пределы организации ввиду серьезных финансовых и репутационных рисков. Например, коммерческая тайна, ПДн, собственные разработки.
Согласно критериям ценности и степени ущерба, информационные активы подразделяют на:
-
Мало важные. Сведения, которые не несут угрозы при раскрытии. Например, сведения о размере заработной платы сотрудников организации.
-
Средне важные. Сведения, которые несут ощутимые угрозы при утечке. Например, хищение товарных накладных.
-
Высоко важные. Сведения, которые несут высокие угрозы при утечке. Например, передача ПДн третьей стороне.
-
Критически важные. Сведения, которые несут крайние угрозы при утечке. Например, хищение коммерческой тайны и передача ее конкуренту.
Помимо вышеперечисленной классификации информационные активы подразделяются по критериям доступности, форме представления, характеру владения и использования.
Риски, связанные с информационными активами организации
В отношении любой ценной информации всегда присутствуют множественные риски безопасности, которые связаны с разными типами угроз:
-
Внутренние угрозы. Наиболее широкая группа проблем, которая имеет прямое отношение к внутренним утечкам случайного и намеренного характера, действиям инсайдеров. Возникают при обходе систем защиты информации и контроля доступа. Сопровождаются разглашением конфиденциальной информации разного уровня критичности, кражей важных данных.
-
Внешние угрозы. Связаны с деятельностью киберпреступников, конкурентов, которые преследуют цель заполучить чужие активы, использовать их в корыстных мотивах. Это могут быть БД, коммерческая тайна, разработки. Реализуются путем кибератак на серверы и информационные системы организаций, через разные виды фишинга.
-
Случайные угрозы антропогенного и природного характера. Возникают в ходе форс-мажорных обстоятельств под воздействием деятельности человека или стихийных бедствий. Носят случайный и плохо прогнозируемый сценарий развития ситуации.
Средства и способы защиты информационных активов
Информационные активы организации должны защищаться комплексно и разносторонне. Немалую роль здесь играет реализация мер по обеспечению контроля и мониторинга информации, регулированию доступа. Мероприятия по защите информационных активов выполняются по двум основным направлениям:
-
Организационно-правовое. С учетом действующего законодательства и рекомендаций регуляторов, разрабатываются политики информационной безопасности для внедрения в работу организации. Здесь важно понимать специфику работы с теми или иными данными, их уровень критичности, частоту обработки. В рамках организационно-правовых мер также проводится обучение персонала для повышения его киберграмотности и ответственности при работе с информационными активами компании. Несмотря на тот факт, что организационно-правовые методы защиты во многом носят подготовительный и превентивный характер, их успешная реализация на практике – залог понимания у персонала компании уровня ответственности при работе с информацией и следование принципам информационной безопасности.
-
Программно-техническое. Реализуется по схеме с предварительно разработанной моделью рисков и индивидуальной стратегией ИБ. Сводится к внедрению программно-аппаратных решений, которые управляют доступом к информации, ведут мониторинг информационных ресурсов, отслеживают и фильтруют трафик. Зачастую требуется использование 2-3 разных категорий СЗИ, которые обеспечивают полную защиту и покрывают весь информационный периметр организации. Это могут быть CRM, DLP-системы, SWG, IdM/IGA-решения.
Контроль информационных активов организации слабо представляется без автоматизированных инструментов обнаружения и предотвращения утечек. Например, Solar Dozor позволяет вести контроль коммуникации сотрудников, выявлять группы риска, обнаруживать нежелательное поведение сотрудников, противоречащее политикам безопасности, находить и предотвращать утечки данных.
