К вопросу защиты цифровой информации

    Основной вопрос, который стоит перед любой организацией, которая стремится защитить свою информацию, это сохранность информации на серверах и компьютерах. С информацией на бумажных носителях вопросов обычно не возникает, этот тип информационных носителей и охранять легче всего, и опыт защиты такой информации накоплен огромный. Для такой защиты используют сейф, архив, банковскую ячейку, жестко ограничивают доступ сотрудников и проблема решена. Защитить цифровую информацию намного сложнее. С одной стороны, обычно эти данные постоянно нужны для работы, с другой стороны, крайне важно надежно защитить ее от несанкционированного доступа и копирования.

    В современных условиях, когда говорят о коммерческой тайне и защите информации, прежде всего, речь идет о данных, размещенных на цифровых носителях. Для защиты этого вида информации существуют простые и, в принципе, широко известные правила. Но практика показывает, что далеко не все их знают, соблюдают и уделяют им достаточное внимание.

    Правила информационной безопасности


    Стоит выделить 6 основных правил безопасности информации, размещенной на цифровых носителях:

    1. Правила хранения информации в компании


    Это значит, что в компании должны быть приняты четкие и однозначные правила, где можно и нужно хранить разные виды информации, как хранить информацию, какие пароли задавать, кто отвечает за ввод той или иной информации, кто отвечает за раскрытие этой информации, как ее можно копировать и т.д. Все, что касается работы с конфиденциальной информацией, должно быть закреплено в виде политики организации. С этим документом обязательно должны быть ознакомлены все сотрудники.

    Кроме того, необходимо не только разработать такой документ и строго соблюдать определенные правила, но и постоянно их совершенствовать. IT-сфера постоянно развивается, появляются новые программы и устройства, в связи с чем необходимо своевременно обновлять правила работы с конфиденциальной информацией.

    2. Антивирус


    Антивирусное программное обеспечение должно быть на каждом компьютере, более того, антивирусные базы обязательно должны быть актуальными, т.е. своевременно обновляться.
    Для коммерческой организации не подойдет простой и бесплатный вариант «домашней» защиты. Необходимо ответственно подходить к выбору программной защиты. Антивирус необходим надежным, чтобы его было сложно обойти, а уровень защиты должен быть корпоративного уровня. Важно, чтобы антивирус надежно охранял не только определенный компьютер или сервер, но и всю сеть в целом.

    3. Политика паролей


    Мало защитить паролями данные, нужно уделить особое внимание и самим паролям. Во-первых, они не должны храниться в открытом доступе. Недопустимо хранить пароли к конфиденциальной информации в открытых для всех файлах или, что нередко до сих пор встречается на практике, на бумажных стикерах прямо на рабочем столе сотрудника. Во-вторых, пароли должны быть сложными. Пароли типа «1234556» или «pass123» явно не подходят для надежной защиты. Также недопустимы смысловые пароли, например, основанные на дне рождения сотрудника, его фамилии и т.д. Подобный уровень сложности паролей должен быть запрещен по вполне понятным причинам.

    Оптимальное решение – генерировать пароли централизовано и передавать сотруднику в готовом виде. IT-специалист сумеет оценить необходимый уровень сложности паролей, чтобы и сотрудник сумел запомнить свои доступы (иначе не избежать файлов или «бумажек под стеклом» с паролем), и уровень надежности пароля соответствовал необходимой степени защиты.

    4. WI-FI вне офиса


    Никогда не работайте с незащищенным WI-FI. Нередко сотрудники берут с собой домой или на встречу ноутбук, устанавливают рабочие программы в смартфоне или на планшете. В некоторых случаях такого подхода невозможно избежать в силу производственной необходимости.
    Но если при этом человек подключится к рабочей сети через незащищенный общественный WI-FI, его данные могут быть скопированы и попасть в чужие руки.

    Потому следует жестко соблюдать правило: никогда не подключайтесь к незащищенным сетям WI-FI, а также к любым другим сомнительным сетям, не принадлежащим вашей организации.

    5. Фильтр приватности


    Необходимо обязательно защищать экран рабочего места от того, чтобы человек не смог подглядеть. Достаточно частая причина – это, так называемая, социальная инженерия, т.е. когда просто подсматривают пароль, другую информацию при вводе на клавиатуре или на экране. Особенно это важно, когда человек работает не только в офисе, но и на выезде.
    Потому обязательно нужно защищать мониторы от подглядывания, для чего нужно правильно обустраивать рабочие места в офисе, а также обучать сотрудников правилам безопасной работы на выезде.

    6. Всегда блокируйте ваш экран


    Здесь речь идет не только о компьютере, но также о смартфоне, планшете и любых других устройствах, которые имеют доступ к конфиденциальной информации. Недопустимо уходить с рабочего места, не заблокировав экраны всех устройств, которые вы оставляете без присмотра.
    Этот момент должен быть прописан в политике защиты информации, должностных инструкциях и т.д.

    Пароли для разблокировки экрана также должны соответствовать общим правилам формирования паролей, о них подробно мы уже говорили выше.
    При соблюдении этих простых и недорогих с точки зрения реализации правил вы сможете избежать большинства угроз, связанных с утечкой цифровой информации.
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 9

      0
      Оптимальное решение – генерировать пароли централизовано и передавать сотруднику в готовом виде. IT-специалист сумеет оценить необходимый уровень сложности паролей, чтобы и сотрудник сумел запомнить свои доступы (иначе не избежать файлов или «бумажек под стеклом» с паролем), и уровень надежности пароля соответствовал необходимой степени защиты.

      И как это IT-специалист сумеет оценить необходимый уровень сложности паролей для того или иного сотрудника? И случится чудо не будет файлов и бумажек под стеклом! Это на докторскую тянет и скорей всего и в области психологии!

        0
        Давайте оценим вторую сторону этого вопроса. Если сотрудник получает пароли от IT/безопасника без обязательств их изменить при первом использовании, разве это безопасно?
        * Кто-то от имени сотрудника может сделать что-то недопустимое с информацией
        * Сотрудник может и не знать, что кто-то использует его учётку
        * Непонятно, как без средств шифрования обеспечить безопасную передачу и хранение паролей при централизованной передаче.
          0

          А для какой цели получает ваш сотрудник пароли от IT/безопасника?

            0
            Данный подход предлагается в статье как оптимальное решение против проблем с недостаточной сложностью паролей. На решение проблемы небезопасного хранения это не похоже, любой пароль сотрудник будет хранить как ему удобно. Придуманный не им — тем более.
              0
              любой пароль сотрудник будет хранить как ему удобно. Придуманный не им — тем более.

              Вот именно: либо в файле либо на бумажке, а то и там и там.

        0
        Есть ещё встречный вопрос. Как сотруднику защитить свою рабочую деятельность от слишком пристального мониторинга со стороны работодателя, от установки DLP и другого потенциально нежелательного софта.
          0
          Рабочая деятельность принадлежит работодателю.
          И защищать ее от «слишком пристального мониторинга» — есть оксюморон. Потому что мониторинг — право работодателя, и его право — применять DLP и прочие средства мониторинга.
          А «слишком пристальный», кмк, субъективное мнение работника, не исключающего какой-либо «левак» в оплаченное работодателем время.

          Дисклеймер: это верно для случая работы в офисе. На удаленной работе появляются нюансы, связанные с использованием личных устройств.
            0
            Вероятно не всегда результаты рабочей деятельности принадлежит работодателю. Иначе бы не существовало спора между Сысоевым и рамблером, да и соглашения о передаче прав на произведение никто бы не подписывал.
          +1

          Параграф Wi-Fi вне офиса — из прошлого века. Совершенно не важно, открытая это точка доступа или закрытая, если она не вашей организации. Есть вполне современные подходы организации защищённого соединения через незащищённую среду. Если одним словом и очень упрощая, то это VPN. И отдельная песочница для корпоративных приложений на смартфонах и планшетах.


          Насчёт принудительной генерации паролей — ну-ну, успехов.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое