8 (800) 302-85-23

23.12.2022

Контроль информационных активов организации

Контроль информационных активов организации
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Контроль информационных активов организации и их защита – одна из ключевых задач информационной безопасности в организации. Утечка, кража, модификация, уничтожение важных сведений могут иметь предсказуемые последствия для бизнеса и отрицательно сказаться на репутации компании. Необходимо заранее подобрать и реализовать грамотную стратегию управления рисками согласно специфике работы организации и уровню критичности данных.

Что такое информационные активы? Виды информационных активов 

Информационные активы - это любые сведения, включающие специфическую информацию о компании, ее деятельности, которые позволяют ее идентифицировать. Такие сведения могут находиться в материальной или цифровой форме, принадлежать организации и представлять для нее большую ценность. Информационные активы включают разные группы информации, которые отличаются между собой значимостью, ценностью, критичностью.

Необходимо проводить классификацию информационных активов по категориям и создать модель управления рисками, чтобы расставить приоритеты информационной безопасности. Классификация информационных активов ведется по разным критериям. Согласно содержимому и классу ценности выделяют:

  • Открытые активы. Это любые данные, находящиеся в открытом доступе и не требующие соблюдения конфиденциальности. Например, информация, отражающая юридические реквизиты компании, число сотрудников, представленная в открытых источниках.

  • Служебные активы. Информация, которая используется внутри организации для выполнения и поддержания рабочих процессов. Это могут быть отчетность, статистика, знания. В определенных случаях подобные активы могут быть связаны с финансовыми рисками для организации.

  • Конфиденциальные активы. Закрытая информация, которая не может быть вынесена за пределы организации ввиду серьезных финансовых и репутационных рисков. Например, коммерческая тайна, ПДн, собственные разработки.

Согласно критериям ценности и степени ущерба, информационные активы подразделяют на:

  • Мало важные. Сведения, которые не несут угрозы при раскрытии. Например, сведения о размере заработной платы сотрудников организации.

  • Средне важные. Сведения, которые несут ощутимые угрозы при утечке. Например, хищение товарных накладных.

  • Высоко важные. Сведения, которые несут высокие угрозы при утечке. Например, передача ПДн третьей стороне.

  • Критически важные. Сведения, которые несут крайние угрозы при утечке. Например, хищение коммерческой тайны и передача ее конкуренту.

Помимо вышеперечисленной классификации информационные активы подразделяются по критериям доступности, форме представления, характеру владения и использования.

риски связанные с информационными активами

Риски, связанные с информационными активами организации

В отношении любой ценной информации всегда присутствуют множественные риски безопасности, которые связаны с разными типами угроз:

  1. Внутренние угрозы. Наиболее широкая группа проблем, которая имеет прямое отношение к внутренним утечкам случайного и намеренного характера, действиям инсайдеров. Возникают при обходе систем защиты информации и контроля доступа. Сопровождаются разглашением конфиденциальной информации разного уровня критичности, кражей важных данных.

  2. Внешние угрозы. Связаны с деятельностью киберпреступников, конкурентов, которые преследуют цель заполучить чужие активы, использовать их в корыстных мотивах. Это могут быть БД, коммерческая тайна, разработки. Реализуются путем кибератак на серверы и информационные системы организаций, через разные виды фишинга.

  3. Случайные угрозы антропогенного и природного характера. Возникают в ходе форс-мажорных обстоятельств под воздействием деятельности человека или стихийных бедствий. Носят случайный и плохо прогнозируемый сценарий развития ситуации.

защита информационных активов

Средства и способы защиты информационных активов

Информационные активы организации должны защищаться комплексно и разносторонне. Немалую роль здесь играет реализация мер по обеспечению контроля и мониторинга информации, регулированию доступа. Мероприятия по защите информационных активов выполняются по двум основным направлениям:

  1. Организационно-правовое. С учетом действующего законодательства и рекомендаций регуляторов, разрабатываются политики информационной безопасности для внедрения в работу организации. Здесь важно понимать специфику работы с теми или иными данными, их уровень критичности, частоту обработки. В рамках организационно-правовых мер также проводится обучение персонала для повышения его киберграмотности и ответственности при работе с информационными активами компании. Несмотря на тот факт, что организационно-правовые методы защиты во многом носят подготовительный и превентивный характер, их успешная реализация на практике – залог понимания у персонала компании уровня ответственности при работе с информацией и следование принципам информационной безопасности.

  2. Программно-техническое. Реализуется по схеме с предварительно разработанной моделью рисков и индивидуальной стратегией ИБ. Сводится к внедрению программно-аппаратных решений, которые управляют доступом к информации, ведут мониторинг информационных ресурсов, отслеживают и фильтруют трафик. Зачастую требуется использование 2-3 разных категорий СЗИ, которые обеспечивают полную защиту и покрывают весь информационный периметр организации. Это могут быть CRM, DLP-системы, SWG, IdM/IGA-решения.

Контроль информационных активов организации слабо представляется без автоматизированных инструментов обнаружения и предотвращения утечек. Например, Solar Dozor позволяет вести контроль коммуникации сотрудников, выявлять группы риска, обнаруживать нежелательное поведение сотрудников, противоречащее политикам безопасности, находить и предотвращать утечки данных.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.