Чтобы не протекало… в корпоративной информационной системе - Эпиграф.инфо

wrapper

Речь пойдет о так называемых DLP-системах*. Современные программные продукты позволяют защищать от внутренних утечек и «таргетированных атак» извне не только корпоративную информацию, но и всю информационную инфраструктуру компании.

Базы клиентов и персональных данных, конструкторская документация, корпоративная инфраструктура весьма чувствительны к угрозам хищения и несанкционированного распространения, неэффективного, нецелевого и неправомерного использования и коррупции. Значительную опасность представляет доступ в корпоративную информационную систему сотрудников посторонних компаний и практикантов.

Так, стать источником значительных неприятностей для компании могут вырванные из контекста и опубликованные в СМИ фрагменты аудиторского заключения. Ущерб от «утечек» может включать в себя затраты на исследование и реагирование, репутационные потери и упущенную выгоду, издержки на совершенствование системы защиты, юридическое преследование со стороны третьих лиц, компенсации пострадавшим, ущерб от мошеннических действий и штрафные и другие санкции, а также трудозатраты персонала при проверках регуляторов. А если компания производит единственный уникальный продукт, утечки могут довести ее до полного банкротства.

Для оптимального выбора DLP-системы необходимо: сформулировать задачу (цель проекта); разобраться в информации, получаемой по электронным каналам; построить маршруты перемещения информации; выбрать и внедрить систему; затем, на основе созданного хранилища информации, «корректировать политики и маршруты, и использовать инциденты для наказания сотрудников и доказательства в суде». Известны случаи, когда одна установка на предприятии DLP-системы приводила к снижению интернет-трафика вдвое.

Это не исключает организационно-административных мер, описанных в ФЗ-98 «О защите коммерческой тайны». В соответствии с ним предприятие имеет право контролировать информационные системы и переписку сотрудников на рабочем месте. Нарушение правил, установленных на предприятии в соответствии с законом, влечет за собой уголовную ответственность вплоть до шести лет лишения свободы. А реализованная в компании DLP-система может выступать элементом доказательной базы.

Известны случаи, когда к утечке информации приводило свободное перемещение по территории предприятия посторонних лиц. А в одной компании секретарша по звонку извне от якобы находящегося в командировке сотрудника компании, пожаловавшегося на невозможность выйти в корпоративную сеть, переслала конфиденциальную информацию на частный адрес в ресурсе общественного пользования.

DLP-система способна не только классифицировать данные по степени их конфиденциальности, но и работать в соответствии с установленными на предприятии бизнес-процессами. Одно дело – обмен сотрудниками информацией внутри компании, другое – пересылка информации вовне либо запись на съемные носители. Она производит мониторинг и анализ информации, проходящей через интернет-ресурсы, печать (на принтерах), электронную почту, мессенджеры, флеш-накопители, места хранения на серверах и рабочих станциях. Самыми «популярными» каналами утечки, по данным экспертов, являются «флешки», печать и электронная почта.

DLP-система стоит денег, но ее реализация на предприятии способна принести такие выгоды как контроль за распространением коммерческой информации и имформационными ресурсами, контроль за нецелевым и неэффективным использованием. И приводит к «повышению корпоративной прозрачности».

Вместе с тем, далеко не все судьи готовы рассматривать дела о защите коммерческой тайны. Различные суды в системе российского непрецедентного («римского») права могут выносить по аналогичным делам диаметрально противоположные решения. Не говоря о том, что при отсутствии на предприятии системы защиты коммерческой тайны доказать виновность в ее нарушении невозможно. А незаконное занятие представителей компании оперативно-розыскной деятельностью может рассматриваться как нарушение конституционных прав граждан. В этой связи DLP-система выступает отличной альтернативой профилактики корпоративных информационных рисков.

Владимир Ермолаев, региональный представитель по СФО компании InfoWatch

* DLP (англ. Data Leak Prevention) – технологии предотвращения утечек конфиденциальной информации из информационной системы, а также технические устройства для такого предотвращения. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Об издании

Новости Сибири: события, подробности, факты

16+

Сетевое издание Эпиграф.инфо
Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Свидетельство о регистрации ЭЛ № ФС 77 - 70647 от 03.08.2017 г.

Адрес

Учредитель: Общество с ограниченной ответственностью "МЕТРОПОЛИС-НСК" Адрес учредителя: 630015, Новосибирская обл., г. Новосибирск, пр. Дзержинского, д. 1/3, оф. 710

Адрес редакции: 630015, Новосибирская обл., г. Новосибирск, пр. Дзержинского, д. 1/3, оф. 710

Главный редактор Еренкова Ольга Николаевна

e-mail: inform@epig.ru

Правовая информация

Распространяется бесплатно. Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях. Редакция не предоставляет справочной информации. При перепечатке с сайта, гиперссылка на публикацию или указание источника обязательны