25 декабря 2012
Как организовать информационную безопасность своими силами?
Перед небольшими компаниями часто возникает задача создания системы обеспечения информационной безопасности собственными силами. Это означает решение вопроса без покупки дорогостоящих программных продуктов и привлечения сторонних консультантов.
Впрочем, если есть возможность, то желательно преобрести специализированное ПО, которое позволяет эффективно бороться с утечками информации и прочими информационными угрозами. Речь идет, в первую очередь, о DLP-системах (от английского Data Leak Prevention – предотвращение утечек информации). Эти системы контролируют информационные потоки как внутри организации, так и на её «границах», то есть, собирают и анализируют информацию, которую пользователи передают за пределы корпоративной информационной сети. Благодаря этому удается оперативно выявлять и предотвращать передачу конфиденциальной информации третьим лицам – как преднамеренную, так и случайную.
Если покупки DLP-системы в планах пока нет, можно воспользоваться практически бесплатными средствами, которые позволят несколько улучшить ситуацию с информационной безопасностью в организации.
Первостепенно разграничить доступ сотрудников к конфиденциальным документам, предоставив его только тем, кому эти документы действительно необходимы по работе. Для начала, конечно, необходимо сесть и внимательно оценить, какие документы кому нужны, зато потом ограничить доступ можно с помощью штатных средств используемой в организации операционной системы, не приобретая никакого дополнительного программного обеспечения.
Если в организации используется беспроводная сеть типа Wi-Fi, то необходимо организовать парольную защиту доступа к ней при использовании штатных средств аппаратного обеспечения (роутера). Это позволит избежать проникновения в корпоративную сеть посторонних и снизит риск несанкционированного доступа к конфиденциальным документам и заражения рабочих станций сотрудников компании вредоносным программным обеспечением. Пароль при этом должен быть достаточно сложным, чтобы его нельзя было подобрать методом перебора.
Для укрепления информационной безопасности важно регулярно проводить инструктажи по этой теме, желательно с последующим зачетом у сотрудников по пройденному материалу. Такие мероприятия позволят повысить внимательность персонала при работе с конфиденциальными документами и снизить риск случайной утечки конфиденциальной информации из организации. Вообще, стоит уделять диалогу с персоналом достаточно времени: разъяснять существующие правила безопасности, повышать осведомлённость сотрудников в целом. И еще на этапе подбора персонала стоит быть внимательным к соискателям.
Указанные меры не затратные для компании, поэтому их в силах реализовать практически любая организация.
Роман Идов,
эксперт по информационной безопасности компании SearchInform