Безопасная передача информации: ключевые меры защиты
Узнать большеФинансовая информация — ценный ресурс любой компании. Она отражает текущее состояние бизнеса, помогает управлять бюджетом, планировать развитие и контролировать риски. Эти данные представляют ценность для конкурентов и киберпреступников, поэтому их нужно защищать разными способами. Рассказываем, что можно предпринять.
Что такое финансовая информация
Финансовая информация в организации — данные о финансовых ресурсах, которые собирают для оценки и анализа эффективности деятельности, планирования будущих сделок, подсчета прибыли. Примеры таких сведений:
- Бухгалтерские отчеты о балансе, прибылях и убытках, движении денежных средств.
- Финансовые прогнозы.
- Сведения о бюджетировании и инвестициях, кредитах.
- Данные о проведенных транзакциях.
Как используется финансовая информация:
|
Цель использования |
Примеры |
|---|---|
|
Принятие управленческих решений |
Принятие обоснованных решений о развитии компании, инвестициях и распределении ресурсов. |
|
Контроль и управление |
Отслеживание расходов и прибыли, оценка эффективности бизнес-процессов. |
|
Оценка эффективности |
Анализ прибыльности проектов, оценка рентабельности, выявление слабых звеньев в деятельности компании. |
|
Внутренний и внешний аудит |
Проверка достоверности отчетности и соблюдения нормативных требований. |
|
Привлечение финансирования |
Оценка финансового состояния компании на основе отчетности и ключевых показателей. |
|
Отчетность перед заинтересованными сторонами |
Информирование акционеров, партнеров и государственных органов о состоянии бизнеса и результатах деятельности. |
В результате анализа таких данных руководство организации может принять решение о необходимости оптимизации расходов, получения кредитных средств, увеличения оборотов продукции и прочее.
Виды финансовой информации
Примеры информации, которую можно отнести к категории финансовой:
- Отчетная — данные о фактическом финансовом состоянии компании, движении денежных средств и результатах хозяйственной деятельности, бухгалтерские и налоговые отчеты.
- Нормативно-регулятивная — информация о законодательных, нормативных и внутренних корпоративных требованиях к финансовой деятельности и отчетности.
- Справочная — данные и документы, которые используются для оперативного контроля. Например, сведения об остатках по счетам.
- Оценочно-аналитическая — информация для анализа и оценки финансового состояния, эффективности деятельности, рентабельности и рисков.
- Планово-целeвая — бюджеты, прогнозы, финансовые планы и показатели, которые нужны для стратегического и оперативного управления.
В узком смысле к финансовой информации можно отнести количественные показатели: остаток средств на счетах, суммы расходов и выручки, чистая прибыль, данные по рентабельности.
Работа с финансовой информацией в организации
Для снижения рисков утечек в каждой организации доступ к такой информации имеют только уполномоченные лица — руководители и специалисты финансового отдела. Данные относятся к категории конфиденциальных, поэтому к ним нет свободного доступа. Это один из принципов обеспечения информационной безопасности и защиты от утечек, инициированных инсайдерами (внутренними нарушителями).
Вся собранная финансовая информация должна быть полной, актуальной и достоверной. Ее нужно своевременно предоставлять по требованию руководства, акционеров, инвесторов и контролирующих органов. Чтобы не было штрафов за нарушение правил отчетности, данные оформляют в соответствии с внутренними регламентами и законодательными требованиями.
Информация финансового характера может храниться как в физическом (в журналах, блокнотах и т. д.), так и в цифровом виде. Большинство компаний используют только цифровой формат хранения, поскольку в таком случае сотрудникам удобнее работать с данными. Отчеты, презентации и графики также готовятся в электронном виде, в некоторых случаях распечатываются.
Утечка финансовой информации
Под утечкой понимают несанкционированное раскрытие конфиденциальных сведений. Часто инициаторами подобных инцидентов становятся сотрудники, по невнимательности или злому умыслу нарушающие внутренние регламенты работы с информацией. В результате критически важные данные могут оказаться в интернете, в руках конкурентов или внешних злоумышленников.
Утечки финансовой и другой конфиденциальной информации грозят компании материальными потерями, приостановкой бизнес-процессов, утратой конкурентных преимуществ. Какие еще риски возможны:
- Рыночные — снижение стоимости активов пострадавшей от утечки компании.
- Операционные — невозможность в полной мере выполнять бизнес-функции.
- Репутационные — отток клиентов и инвесторов.
Чтобы минимизировать риски, необходимо предусмотреть стратегию защиты данных от утечки. Она должна включать организационную работу с персоналом, регулярное обновление ПО и используемого оборудования, применение программных и технических средств для обеспечения информационной безопасности.
Ответственность за утечку финансовой информации в организации
Финансовая информация подпадает под категорию коммерческой тайны, поэтому не подлежит разглашению. Меры ответственности за нарушения прописаны в ФЗ № 98 «О коммерческой тайне». Обычно это штрафы разных размеров, зависящих от характера правонарушения.
Ответственность за внутренние нарушения может наступить и согласно ФЗ № 224 «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком». В документе перечислены случаи, за которые последует наказание в виде штрафов и возмещения ущерба пострадавшим лицам. Если действия инсайдеров повлекли крупный ущерб, может наступить уголовная ответственность по статье 185.6 УК РФ. Варианты наказания: значительные штрафы, принудительные работы, запрет занимать определенные должности, лишение свободы в совокупности со штрафами.
Ответственность за утечку наступает в зависимости от типа и степени конфиденциальности финансовой информации. Например, утечка отчетных или оценочно-аналитических данных может привести к административной или уголовной ответственности. Сотрудники несут ответственность, если они под подпись ознакомлены с документацией о конфиденциальности и регламентами работы с информацией.
Защита финансовой информации от утечек и кражи
В основе защиты данных — организационные и технические меры. Компании могут определять их в соответствии с характером деятельности и актуальными законами. Вот основные меры:
|
Организационные |
Технические |
|---|---|
|
Создание внутренних регламентов работы с конфиденциальными данными. |
Современное обновление ПО. |
|
Организация надлежащего хранения всех видов финансовой информации. |
Внедрение средств защиты данных (антивирусов, межсетевых экранов, систем обнаружения вторжений). |
|
Обучение персонала основам информационной безопасности. |
Контроль корректности работы информационной инфраструктуры. |
|
Разграничение доступа к конфиденциальным сведениям. |
Регулярные проверки на наличие уязвимостей в ПО. |
|
Подписание документа о неразглашении информации и ознакомление с мерами ответственности за нарушение. |
|
Еще одна мера — использование специальных инструментов для предотвращения утечек. Многие крупные компании внедряют системы класса DLP (Data Leak Prevention), в частности продукт Solar Dozor. В нем реализованы технологии для анализа поведения сотрудников, контроля операций на рабочих станциях, мониторинга основных каналов передачи данных. Решение подходит для выполнения задач в сегменте Enterprise, обеспечивает надежную защиту от утечек, предотвращает корпоративное мошенничество и другие инциденты ИБ.
Как Solar Dozor защищает финансовую информацию
В системе реализована уникальная для отечественного рынка функция, которая позволяет принимать превентивные меры против утечек данных, — UBA (User Behaviour Analysis). Это модуль для анализа действий пользователей и создания групп особого контроля на основе паттернов поведения. В такие группы могут входить сотрудники, которые часто работают по ночам и выходным, нелояльно относятся к руководству, готовятся к увольнению, уже были замечены в нарушениях. С помощью UBA удается выявить потенциальных инсайдеров, не демонстрирующих подозрительного поведения. Если вовремя установить за ними контроль, можно избежать утечки финансовой информации.
Еще одна уникальная технология — Dossier. Она позволяет выстраивать информационную безопасность с фокусом на человеке. С помощью технологии можно формировать досье на каждого сотрудника, где будут собраны все сведения об активности пользователей в интернете, их коммуникациях, передаваемых данных.
Какие еще механизмы защиты реализованы в DLP-системе:
- Mail Connector — отслеживает передачу данных по электронной почте. Модуль работает как в режиме мониторинга, так и активного противодействия, то есть может блокировать подозрительные операции.
- Endpoint Agent — контролирует действия сотрудников на рабочих станциях, анализирует передаваемые данные, в том числе финансовую информацию.
- OCR (Optical Character Recognition) — позволяет приводить в читаемый формат данные, передаваемые в графическом виде (фото, скриншоты, сканы) и намеренно деформированные для затруднения распознавания.
- File Crawler — позволяет выявлять нарушения правил хранения конфиденциальной информации, в том числе и финансовой.
Это не все инструменты, реализованные в системе Solar Dozor. Для защиты данных можно использовать и другие модули, которые подключаются по мере необходимости.
Надежный контроль за финансовой информацией
Угроза кражи и утечки финансовой информации может исходить не только от внешних злоумышленников, но и от сотрудников компании. DLP-система Solar Dozor позволит выявить инсайдеров, предотвратить корпоративное мошенничество и случайные инциденты. Она контролирует все каналы передачи информации, включая электронную почту, мессенджеры, внешние носители и облачные сервисы.
