Человеческий фактор всегда был и, скорее всего, всегда будет самым слабым звеном в организации безопасности. И чем больше компания — тем дороже стоят её секреты и наработки и тем сложнее удержать их внутри.
Как защитить свою компанию от подобных рисков и не нарушить при этом законодательство и здравый смысл?
Задачу обеспечения информационной безопасности компании как правило разделяют на две составляющие:
- контроль исходящей информации,
- мониторинг сотрудников.
В зависимости от подхода и величины компании, заниматься этим может как непосредственное руководство, так и IT-отдел, служба безопасности или отдел кадров (HR).
Проверка исходящей информации
Технически, проще всего настроить проверку корпоративной электронной почты, но и обойти такой мониторинг также не составляет труда. Поэтому при серьёзном подходе к информационной безопасности проверяться должна вся исходящая информация: и электронная почта, и переписка в интернет-мессенджерах и социальных сетях, если у сотрудников есть возможность их использовать.
Информация, выводимая на принтеры организации так же должна учитываться, а пишущие CD/DVD-приводы и USB-разъёмы для подключения внешних накопителей должны находиться под строгим контролем или в отключенном состоянии.
Организовать подобную оборону можно с помощью специальных программных или программно-аппаратных DLP-систем. Специалисты рекомендуют использовать российские системы, так как англоязычные продукты часто не до конца правильно работают с русскоязычными материалами.
Вы можете приобрести, установить и настроить такую систему самостоятельно, либо обратиться в специализированные компании, занимающиеся внедрением программного обеспечения. Скорее всего, в своём выборе вы остановитесь на продукте, созданном в российских компаниях InfoWatch, Инфосистемы Джет, Trafica или Mipko.
Работа с сотрудниками
Обеспечение информационной безопасности не заканчивается на внедрении DLP-системы. Существует ещё ряд проблем и вопросов, о которых стоит позаботиться.
Собранная DLP-системой информация может быть не полной и не являться прямым доказательством вины конкретного сотрудника в обнаруженной утечке. Чтобы получить более подробные данные можно, например, установить полный мониторинг активности сотрудников за компьютерами с сохранением введённой с клавиатуры информации и скриншотов рабочего стола. Юридически, делать это, конечно, лучше с письменного согласия сотрудников.
Кроме того, даже при убедительных доказательствах вины сотрудника в утечке секретной информации, уволить его не так уж просто. Для того чтобы сделать это абсолютно законно, работодателю необходимо заранее установить режим коммерческой тайны (в соответствии с законом «О коммерческой тайне») и утвердить список сведений и документов, которые не подлежат передаче третьим лицам. Весь персонал компании должен быть ознакомлен с этим списком под роспись. На документы и носители, содержащие секретную информацию, должен быть нанесен гриф конфиденциальности.
Только в таком случае нарушение коммерческой тайны может привести к внутренней проверке с привлечением правоохранительных органов и возможности наказать виновного по 183-й статье уголовного кодекса РФ.