понедельник, 18 мая 2015 г.

Процесс предотвращения утечек конфиденциальной информации

Предотвращение утечек конфиденциальной информации можно представить ввиде следующего цикла (кликабельно):


Разработка и регламентация требований к защите конфиденциальной информации

Какую информацию нельзя разглашать

Категорирование информации: интервьюирование руководителей структурных подразделений Заказчика (внутреннего/внешнего) для выделения информации, разглашение которой может нанести вред.

Чтобы помочь определиться с такой информацией "респондентам" можно заранее подготовить предложения (например, попадание информации по разрабатываемым акциям и продуктам к конкуренту позволит ему запустить аналогичные раньше, планы продаж по категориям товаров - сформировать контрстратегию для вытеснения с рынка. Владея информацией о договорных условиях с поставщиками конкурент может предложить им более выгодные условия, вынуждая искать новые каналы поставок, либо, напротив, ссылаться на Ваши условия, для получения более выгодных условий для себя. Информация о доходах ключевых работников может стать решающим аргументом при попытке конкурента переманить его себе (не только со всем накопленным опытом, но и, возможно, со всей внутренней информацией, к которой у него имеется доступ).

Также можно попросить задуматься, какая информация, обрабатываемая в аналогичном структурном подразделении конкурента принесла бы пользу Заказчику.

Результат: Перечень конфиденциальной информации, согласованный со всеми руководителями структурных подразделений Заказчика

Правила работы с конфиденциальной информацией

В теории: Интервьюированию руководителей структурных подразделений для выявления мест хранения конфиденциальной информации, определение перечня лиц, которым необходим к ней доступ для выполнения своих должностных обязанностей, процессов, в рамках которых с ней ведется работа, способов обработки, выявление владельцев конфиденциальной информации внутри Заказчика... Регламентация правил работы с конфиденциальной информацией, с учетом полученной информации.

На практике, если идти вышеописанным путем, то документ будет разрабатываться в первой итерации очень долго... и все равно будет не учитывать всех нюансов. Проще, быстрее и полезней написать документ, в котором:
- Рассказать о категориях конфиденциальной информации;
- Запрет передачи конфиденциальной информации, если данная передача не предусмотрена в рамках регламентированных бизнес-процессов, договорных обязательств или не согласована владельцем информации;
- Рассказать о тех мерах, которые обязаны предпринимать работники, чтобы предотвратить утечки, которые применимы для любой организации (правило "чистого стола", блокировка экрана, не плодить копии, не забывать распечатки в принтере и т.д. и т.п.).
- Предупредить, что Заказчик может использовать средства защиты от утечек;
- Рассказать о порядке внутреннего расследования (если это не отдельный документ);
- Предупредить об ответственности.

А затем, уже в следующих итерациях, дополнять его на основе особенностей процессов Заказчика. (Собирать замечания к документу, потихоньку интервьюировать руководителей).

Результат: Положение о защите конфиденциальной информации, в котором о писаны правила работы с ней

Ознакомление и обучение персонала

Ознакомление под роспись с разработанными регламентами
Разработке формы обязательства о неразглашении конфиденциальной информации и листов ознакомления с Перечнем конфиденциальной информации и Положением о защите конфиденциальной информации. Внедрение процедуры ознакомления при приеме нового работника.

Результат: После ознакомления под роспись с разработанными документами работники несут ответственность за разглашение в соответствие с ТК РФ. Конфиденциальная информация защищается на законодательном уровне.

Проведение обучающих мероприятий

Разработке учебного курса, в сжатом виде разъясняющего работникам:
- какая информация является конфиденциальной;
- какие действия с ней могут нанести вред Заказчику;
- к какой ответственности может быть привлечен работник, в случае совершения этих действий;

На данном этапе стоит ожидать от работников Заказчика обратную связь, которая в дальнейшем поможет в большей степени адаптировать требования по ИБ под нужны Заказчика.

Результат: Работники задумываются, прежде чем отправить конфиденциальную информацию и знают об ответственности. Конфиденциальная информация защищается на психологическом уровне.

Контроль соблюдения требований

Внедрение технических средств контроля

Речь идет о средствах контроля доступа и контроля информационных потоков. Тема в тренде, продуктов много... расписывать этап не буду.

Мониторинг

Фиксация фактов нарушения политик. Сбор данных для аналитики.

Результат: Заказчик знает своих "героев": знает кто, когда, куда и какую именно конфиденциальную информацию отправил по контролируемой системой каналам связи, кто, где и когда обращался к конфиденциальной информации.

Расследование инцидентов и оптимизация требований

Выявление утечек и применение санкций к нарушителям

При корректной настройке и сопровождение технических средств контроля нарушители найдутся быстро. Но не каждое нарушение политик во зло, не каждое следует наказывать, не во всех случаях, даже если наказывать, следует идти по... регламентированному пути.

Участие во всех расследованиях позволяет понять многие процессы, в которых участвует конфиденциальная информация, что служит еще одним источником подготовительного материала для формирования предложений по оптимизации требований информационной безопасности.

Результат: усиление психологической защиты информации, развитие атмосферы справедливости, развитие культуры ИБ.

Анализ инцидентов, формирование предложений для оптимизации требований

В ходе всех трех этапов обнаруживаются излишние требования и излишний доступ, "забытые" учетные записи и нерегламентированные требования, специфичные для каждого Заказчика нюансы... все это позволяет запустить наш цикл предотвращения утечек по новому кругу.

Результат: Предложения по оптимизации требований ИБ

P.S. Навеяно слайдом из презентации Андрея Прозорова DLP-Hero: 4 "горячих"юридических вопроса про DLP :