Правила аудита внутренней информационной безопасности



Аудит внутренней информационной безопасности проводится для идентификации внутренних угроз информационной безопасности. К ним относятся инциденты, связанные с сотрудниками. В первую очередь, это разнообразные умышленные и нечаянные утечки информации: вынос клиентской базы, отправление конфиденциальных документов за пределы контура информационной безопасности. Но это не только утечки. Вполне реальная внутренняя угроза — непродуктивная деятельность сотрудников: от разнообразного отлынивания от обязанностей (зависание в соцсетях, безделье, просмотр кино или онлайн-игра), и до откровенных нарушений, таких, как работа на другого работодателя на корпоративных ресурсах или майнинг криптовалюты. Кроме того, сотрудники могут организовывать мошеннические схемы, просто воровать средства компании, товар или другое имущество, а также заниматься корпоративным шпионажем и другими противоправными действиями, которые наносят как прямой материальный ущерб компании, так и репутационный вред. Часто руководители относятся к таким угрозам, как к детективному роману: устрашающе звучит, но это не про меня, у нас установлен антивирус.

Но статистика — неумолимая вещь. И в последнее время статистические данные говорят, что внутренние угрозы наносят компании гораздо больший вред, чем внешние взломы. И те компании, которым случалось столкнуться с хищением информации, мошенничеством сотрудников и другими прецедентами, уже не столь легкомысленно относятся к этому вопросу.

Есть вероятность впасть в другую крайность: обложиться средствами защиты, выставить кордоны, заблокировать всё, обыскивать сотрудников на входе и завести такую службу безопасности, которая запугает весь коллектив. Но это тоже не выход, потому что атмосфера должна быть все-таки рабочей, а сотрудникам должно быть комфортно на рабочем месте. И полностью блокировать цифровые средства связи не представляется возможным в наше время. Как же потупить, не впадая в паранойю, но не становясь легкой добычей мошенников из числа сотрудников?

Чтобы ответить на вопрос, какие угрозы являются реальными, а какие надуманными, проводится аудит внутренней информационной безопасности — комплекс мер, которые позволяют выявить риски, потенциально возможные для данной компании. Сбор информации о рисках, уязвимостях — это сложный, многоплановый процесс, охватывающий все уровни организации. В результате собирается значительный массив информации, на основе которой можно построить модель внутренних информационных угроз. Как правило, модель угроз может разработать специализированная фирма или высокопрофессиональный сотрудник службы безопасности. Но можно начать с простых действий, которые помогут выявить наиболее вопиющие уязвимости, защита которых обеспечит до 90% защиты внутреннего информационного пространства.

С чего начать? Каковы этапы такого аудита?

Информация, полученная в результате такого аудита, — это основа для построения политики информационной безопасности, разработки регламентов, документов, практических мер по защите информационных активов.

На последнем этапе, когда гипотеза уязвимости требует проверки практикой, неоценима польза системы мониторинга и блокировки действий пользователя. Поскольку информационные активы, как правило, хранятся в электронном виде, любое действие с ними оставляет след, который можно зафиксировать. История операций пользователей с различными их частями имеет огромное значение как для понимания, что же произошло, так и для пресечения противоправных и нерегламентированных действий, а также для восстановления поврежденной информации. И поскольку мы тщательно оценили угрозы на предмет осуществимости, мы можем настраивать контроль точечно, именно там, где он нужен.

Аудит внутренней информационной безопасности с помощью программного комплекса StaffCop Enterprise позволяет собственными силами организовать сбор статистики по каналам утечек, наглядно увидеть движение информации внутри компании и получить срез трудовой дисциплины. Мощный аналитический аппарат дает возможность получать информацию в виде удобных отчетов, которые формируются в режиме реального времени. При работе со StaffCop вы можете пользоваться предустановленными настройками и встроенными политиками, а можете задавать фильтры соответственно своим задачам. Это возможность за разумные деньги реализовать своими силами исследование, а затем защиту внутренней информационной безопасности, предотвращение нарушений и расследование инцидентов.

Для того чтобы провести экспресс-аудит, вам достаточно отправить заявку на электронную почту и получить дистрибутив для бесплатного пилотного проекта. В течение 15 дней система соберет статистику, на основе которой можно делать выводы о «дырах» внутренней информационной безопасности, возможностях повышения производительности труда и движении информации внутри компании.

Подробно о порядке проведения аудита внутренней информационной безопасности с помощью системы StaffCop смотрите здесь.

Самое главное правило проведения аудита внутренней информационной безопасности — последующее использование этой информации, построение на ее основе действенной системы защиты информации с использованием как организационных, так и технических средств. И, конечно, важную роль в обеспечении внутренней информационной безопасности играет постоянная работа с коллективом, просвещение сотрудников на предмет грамотного обращения с ценной информацией, внедрение и соблюдение режима коммерческой тайны. Как показывает практика, компании, которые перевели итоги аудита внутренней информационной безопасности в практическую плоскость, гораздо меньше подвержены инцидентам информационной безопасности и защищены от их наиболее критичных последствий.

Наверх ↑