`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Мирослав Бондарь

Утечки данных: еще раз про основы

+33
голоса

Утечка данных болезненна для любой компании. Вопрос не только в возможных прямых финансовых потерях, но также в негативном влиянии на репутацию, на отношения с контрагентами и т. д. Поэтому одной из приоритетных задач информационной безопасности является минимизация подобных рисков.

Утечка данных сама по себе возможна в результате ряда причин: хакерской атаки, кражи или потери устройства с данными, преднамеренных зловредных действий пользователей, а также безответственного отношения либо ошибок совершенных теми же пользователями.

И как показывает практика, около 80% — это как раз два последних случая, связанных с человеческим фактором. Преднамеренный «слив», случайная отправка на ошибочный имейл, другие инциденты вытекающие из незнания правил работы с персональными данными и конфиденциальной информацией. Нельзя недооценивать и фактор хакерских атак — с каждым днем их количество и сложность только растут.

Классической ошибкой является расчет на то, что лишь внедрив какую-то определенную технологию, можно остановить утечки данных. Или что выделенный сотрудник (или даже отдел) информационной безопасности может справиться с этой задачей. Что же делать и с чего начать?

Для начала бизнес должен определить, какими типами чувствительных данных оперирует в рамках своей деятельности (конфиденциальные, служебные, персональные и т.д.) и кто из персонала компании, для выполнения своих служебных задач, должен иметь к ним доступ.

Следующим шагом требуется регламентировать правила работы с такими типами данными (назначение уровня конфиденциальности, правил хранения и передачи и т. д.). После этого на самом деле наиболее сложное: пользователей с доступом к перечисленным типам данных необходимо проинформировать о правилах работы с ними, обучить обязательным процедурам (классификация данных, работа с ними на каждом этапе жизненного цикла) и внедрить контроль выполнения этих процедур со стороны информационной безопасности.

Ключевой момент здесь — если определенный пользователь создает файл, включает туда известную ему конфиденциальную информацию, то именно этот пользователь как владелец файла обязан поставить соответствующую отметку об уровне конфиденциальности (реализовать такой подход возможно к примеру с помощью решений для пользовательской классификации данных).

Информационная безопасность же должна контролировать корректность классификации данных, назначенной пользователями. И в зависимости от указанного уровня конфиденциальности данных, обеспечивать сервис их защиты (в т.ч. с помощью Data Loss Prevention технологий, шифрования, разграничения доступов и т.д.).

Такой подход позволяет качественно обучить пользователей процедурам работы с конфиденциальными данными, а далее фактически вовлечь пользователей в процесс их защиты. Как следствие вероятность ошибки пользователя минимизируется, возможность злоупотребления становится более сложной и рискованной, а эффективность работы внедренных технологий защиты данных резко увеличивается.

Естественно, это не весь путь, который необходимо пройти бизнесу для эффективной защиты данных, а скорее его начало. Системная работа с пользователями, повышение устойчивости и безопасности ИТ-инфраструктуры, внедрение механизмов мониторинга и реагирования на инциденты — далеко не полный перечень необходимых мер.

Вы можете подписаться на нашу страницу в LinkedIn!

+33
голоса

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT