Обеспечение информационной безопасности — необходимое условие успешной работы любой коммерческой компании и государственной организации. Утечки информации обходятся бизнесменам слишком дорого, а чиновникам могут стоить постов. К сожалению, не всегда у организации есть необходимые средства, чтобы обеспечить безопасность согласно всем принятым стандартам. Можно ли в этом случае обезопасить себя от неприятных инцидентов?
Безусловно, лучшим из возможных вариантов при организации системы информационной безопасности в компании является привлечение профессионалов на каждом этапе и внедрение специализированного ПО — DLP-системы, которая позволяет контролировать трафик и избегать утечек информации. Впрочем, и привлечение консалтинговых компаний, и покупка DLP-системы — мероприятия весьма дорогостоящие. Поэтому многие компании предпочитают обходиться своими силами — во всяком случае, до тех пор, пока не появится достаточно средств для того, чтобы организовать обеспечение информационной безопасности на более высоком уровне.
Несмотря на то что та система безопасности, которую компания может организовать собственными силами, уступает профессиональным системам, она все равно будет лучшим вариантом, чем полное отсутствие какой-либо защиты.
Рассмотрим шаги, которые необходимо предпринять для того, чтобы организовать информационную безопасность в компании своими силами.
- Вы должны понять, какую именно информацию необходимо защищать больше всего. Невозможно построить систему защиты, если не знать, что нужно защитить. Несмотря на то что защитить хочется всё, это невозможно, потому что ресурсов даже достаточно крупной и богатой компании не хватит на это. Если вы не можете сразу понять, какие документы необходимо беречь, попробуйте представить, что случится с компанией в случае утечки тех или иных документов. Если последствия будут ощутимо негативными, такие документы однозначно нужно защищать.
- Разработайте политику информационной безопасности и проинструктируйте сотрудников компании. После того как вы определились с тем, какую информацию необходимо защищать, необходимо обозначить, кто должен иметь к ней доступ, а кто — нет. Для этого компания разрабатывает специальный документ, называемый политикой информационной безопасности. В нем помимо перечня защищаемых документов должны быть расписаны роли пользователей, возможные угрозы, средства защиты от них. Примеры подобных политик легко найти в Интернете, чтобы адаптировать под реалии вашей организации. Затем на основе политики составьте должностную инструкцию, которую под роспись доведите до сотрудников. В целях лучшего усвоения можно устроить зачет по основам информационной безопасности, что позволит закрепить инструкцию в памяти работников. В дальнейшем инструктаж по основам информационной безопасности повторяйте с определенной периодичностью — скажем, раз в два месяца.
- Разделите доступ сотрудников к документам штатными средствами. Любые системы, используемые в организации (CRM, бухгалтерского учета, СЭД и т. д.) позволяют разграничивать доступ пользователей. То же самое можно сказать и о корпоративных базах данных, о файловых серверах и пр. Фактически, всё, что требуется — это изменение настроек системным администратором. Помните, что разграничение доступа необходимо для всех информационных систем, поскольку в противном случае система безопасности окажется недостаточно эффективной.
- Защитите сеть и компьютеры сотрудников. Это может показаться удивительным, но многие компании страдают из-за утечек информации только потому, что не пользуются межсетевыми экранами или забывают установить пароль на беспроводную сеть Wi-Fi в своём офисе. В результате даже имеющий самые начальные познания в ИТ человек может украсть корпоративные секреты. Если вы не хотите покупать корпоративный межсетевой экран, попробуйте найти бесплатное решение, которых сейчас достаточно на рынке.
- Разработайте и внедрите правила кадровой безопасности. Для того чтобы обезопасить компанию от инцидентов в сфере информационной безопасности, не принимайте на работу тех, кто уже отметился участием в подобных инцидентах. Не стоит также пытаться переманить сотрудников у конкурентов: если кто-то пообещает им еще более высокую зарплату, чем вы, то они легко уйдут со всеми своими знаниями, а то и с вашими документами.
Развивайте в организации культуру информационной безопасности. Постоянно напоминайте сотрудникам о том, что следования политике информационной безопасности необходимо для процветания компании и повышения их благосостояния. Сотрудники, проникшиеся важностью обеспечения информационной безопасности, будут работать внимательнее и не допускать случайных инцидентов — таких, как отправка важного документа не тому адресату.
Не забудьте составить соглашение о неразглашении, которое подпишут ваши сотрудники. В конце писем, которые отправляют сотрудники с корпоративных ящиков, также нужно вставить предупреждение о недопустимости разглашения.
Эти простые, но недорогие и действенные меры позволят хотя бы на первое время поднять уровень защищенности организации от инцидентов в сфере информационной безопасности, пока не появятся средства на внедрение полноценной системы обеспечения ИБ.
Автор статьи — ведущий аналитик компании SearchInform.