Поделиться
Елена Черникова, «РТК-Солар»: Стандартизация процедур защиты от утечек информации усилит эффективность защиты конфиденциальных данных организаций
Утечки конфиденциальной информации из информационных систем как угроза ИБ существуют уже более 20 лет. Не меньшую, если не большую проблему, чем инсайдеры-злоумышленники, для информационной безопасности организации представляют просто недисциплинированные сотрудники — любители поработать из дома или сохранить у себя интересную рабочую информацию «на всякий случай».
На сегодняшний день нет стандартизированной, признанной рынком методологии организации процессов защиты конфиденциальной информации от утечек, поэтому операторы информационных систем организуют этот процесс, исходя из своих знаний и опыта. Одни отталкиваются от уровня проработки модели угроз, связанных с утечками, другие — от уровня используемых методов защиты. Например, в одних организациях внутренними документами ограничена печать документов и использование съемных носителей, а в других уже используются полноценные DLP-системы.
Также практика внедрения систем защиты от утечек бизнеса принципиально отличается от специфики госсегмента. Для бизнеса важно правильно легитимизировать использование DLP-системы, чтобы минимизировать риски судебных исков со стороны сотрудников о «защите частной жизни».
Государственным заказчикам необходимо интегрировать решения для защиты от утечек в общий контур защиты информации государственных информационных систем, информационных систем персональных данных или субъектов критической информационной инфраструктуры, корректно обосновав выделение средств для их приобретения и эксплуатации, и регламентировать использование соответствующих средств в локальных нормативных актах.
При этом и многие коммерческие заказчики, и каждый ФОИВ и подведомственные ему организации являются операторами ГИСов или работают с хранящейся в них информацией. А это персональные данные граждан, данные первичного статистического учета, врачебная, налоговая, тайна следствия и прочая информация, за конфиденциальность которой оператор соответствующей информационной системы несет законодательную ответственность.
Таким образом, мы уже не первый год сталкиваемся с парадоксальной ситуацией: фактически ИБ-угроза и соответствующие инциденты есть, а вот формальных оснований и единообразных подходов для эффективного противодействия им нет. В результате компании, для которых проблема носит особенно острый характер, закупают и внедряют решения, в большинстве случаев не уделяя должного внимания корректной интеграции использования DLP-системы в локальные нормативные акты. Некорректное документальное оформление этого процесса может повлечь серьезные последствия в виде судебных разбирательств сотрудников с работодателями о законности сбора и использования информации об их активности на рабочем месте. С подобными вопросами и проблемами потенциальные и действующие эксплуатанты специальных технических средств защиты информации от утечек часто обращаются к их производителям.
Как производитель специальных технических средств защиты, обладающий многолетней практикой внедрения собственной DLP-системы Solar Dozor в организациях самых разных масштабов и отраслей, мы инициировали разработку Национального стандарта «Защита информации от утечки из программной среды информационных (автоматизированных) систем». Стандарт готовим совместно с «Центром защиты информации», поскольку у него большой опыт в подготовке аналогичных документов (ГОСТ). Разработка Стандарта позволит синхронизировать терминологию и определить общие подходы к реализации мероприятий по защите от утечек, с учетом лучших международных практик.
К разработке Стандарта мы активно привлекаем других производителей средств защиты от утечек, эксплуатантов таких средств, а также другие заинтересованные стороны, которые видят угрозу безопасности в утечках. Совместная работа над проектом Стандарта позволит нам учесть все многообразие накопленного ими опыта.
При подготовке документа и его обсуждении с представителями экспертного сообщества по направлению «защита от утечек» появляется множество практических вопросов, требующих проработки и фиксации в рамках документов прикладного и методического характера. Надеемся, что эти документы в совокупности позволят учесть и нашу накопленную экспертизу, и опыт других участников рынка, чтобы помочь тем, кто только задумывается об использовании DLP-систем или хочет оценить эффективность работы и корректность внедрения уже используемой системы.
Чтобы сделать эти документы действительно объективными и полезными, мы также предлагаем всем заинтересованным сторонам присоединяться к обсуждению разных аспектов процесса защиты от утечек, чтобы делиться наработанными практиками и совместно искать ответы на злободневные вопросы, зафиксировав их в формате Национального стандарта или, если потребуется, в других документах.
■ erid:Kra23undUРекламодатель: ООО "РТК ИБ"ИНН/ОГРН: 7704356648/1167746458065Сайт: https://rt-solar.ru/Поделиться
Короткая ссылка
