8 (800) 302-85-23

23.12.2022

Контроль информационных активов организации

Контроль информационных активов организации

Получить консультацию по Solar Dozor

Контроль информационных активов организации и их защита – одна из ключевых задач информационной безопасности в организации. Утечка, кража, модификация, уничтожение важных сведений могут иметь предсказуемые последствия для бизнеса и отрицательно сказаться на репутации компании. Необходимо заранее подобрать и реализовать грамотную стратегию управления рисками согласно специфике работы организации и уровню критичности данных.

Что такое информационные активы? Виды информационных активов 

Информационные активы - это любые сведения, включающие специфическую информацию о компании, ее деятельности, которые позволяют ее идентифицировать. Такие сведения могут находиться в материальной или цифровой форме, принадлежать организации и представлять для нее большую ценность. Информационные активы включают разные группы информации, которые отличаются между собой значимостью, ценностью, критичностью.

Необходимо проводить классификацию информационных активов по категориям и создать модель управления рисками, чтобы расставить приоритеты информационной безопасности. Классификация информационных активов ведется по разным критериям. Согласно содержимому и классу ценности выделяют:

  • Открытые активы. Это любые данные, находящиеся в открытом доступе и не требующие соблюдения конфиденциальности. Например, информация, отражающая юридические реквизиты компании, число сотрудников, представленная в открытых источниках.

  • Служебные активы. Информация, которая используется внутри организации для выполнения и поддержания рабочих процессов. Это могут быть отчетность, статистика, знания. В определенных случаях подобные активы могут быть связаны с финансовыми рисками для организации.

  • Конфиденциальные активы. Закрытая информация, которая не может быть вынесена за пределы организации ввиду серьезных финансовых и репутационных рисков. Например, коммерческая тайна, ПДн, собственные разработки.

Согласно критериям ценности и степени ущерба, информационные активы подразделяют на:

  • Мало важные. Сведения, которые не несут угрозы при раскрытии. Например, сведения о размере заработной платы сотрудников организации.

  • Средне важные. Сведения, которые несут ощутимые угрозы при утечке. Например, хищение товарных накладных.

  • Высоко важные. Сведения, которые несут высокие угрозы при утечке. Например, передача ПДн третьей стороне.

  • Критически важные. Сведения, которые несут крайние угрозы при утечке. Например, хищение коммерческой тайны и передача ее конкуренту.

Помимо вышеперечисленной классификации информационные активы подразделяются по критериям доступности, форме представления, характеру владения и использования.

риски связанные с информационными активами

Риски, связанные с информационными активами организации

В отношении любой ценной информации всегда присутствуют множественные риски безопасности, которые связаны с разными типами угроз:

  1. Внутренние угрозы. Наиболее широкая группа проблем, которая имеет прямое отношение к внутренним утечкам случайного и намеренного характера, действиям инсайдеров. Возникают при обходе систем защиты информации и контроля доступа. Сопровождаются разглашением конфиденциальной информации разного уровня критичности, кражей важных данных.

  2. Внешние угрозы. Связаны с деятельностью киберпреступников, конкурентов, которые преследуют цель заполучить чужие активы, использовать их в корыстных мотивах. Это могут быть БД, коммерческая тайна, разработки. Реализуются путем кибератак на серверы и информационные системы организаций, через разные виды фишинга.

  3. Случайные угрозы антропогенного и природного характера. Возникают в ходе форс-мажорных обстоятельств под воздействием деятельности человека или стихийных бедствий. Носят случайный и плохо прогнозируемый сценарий развития ситуации.

защита информационных активов

Средства и способы защиты информационных активов

Информационные активы организации должны защищаться комплексно и разносторонне. Немалую роль здесь играет реализация мер по обеспечению контроля и мониторинга информации, регулированию доступа. Мероприятия по защите информационных активов выполняются по двум основным направлениям:

  1. Организационно-правовое. С учетом действующего законодательства и рекомендаций регуляторов, разрабатываются политики информационной безопасности для внедрения в работу организации. Здесь важно понимать специфику работы с теми или иными данными, их уровень критичности, частоту обработки. В рамках организационно-правовых мер также проводится обучение персонала для повышения его киберграмотности и ответственности при работе с информационными активами компании. Несмотря на тот факт, что организационно-правовые методы защиты во многом носят подготовительный и превентивный характер, их успешная реализация на практике – залог понимания у персонала компании уровня ответственности при работе с информацией и следование принципам информационной безопасности.

  2. Программно-техническое. Реализуется по схеме с предварительно разработанной моделью рисков и индивидуальной стратегией ИБ. Сводится к внедрению программно-аппаратных решений, которые управляют доступом к информации, ведут мониторинг информационных ресурсов, отслеживают и фильтруют трафик. Зачастую требуется использование 2-3 разных категорий СЗИ, которые обеспечивают полную защиту и покрывают весь информационный периметр организации. Это могут быть CRM, DLP-системы, SWG, IdM/IGA-решения.

Контроль информационных активов организации слабо представляется без автоматизированных инструментов обнаружения и предотвращения утечек. Например, Solar Dozor позволяет вести контроль коммуникации сотрудников, выявлять группы риска, обнаруживать нежелательное поведение сотрудников, противоречащее политикам безопасности, находить и предотвращать утечки данных.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше
Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше
Безопасность данных: что это такое и какие решения существуют

Безопасность данных: что это такое и какие решения существуют

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.