Центральный банк РФ разработал комплекс мер, позволяющий организациям предотвратить утечки информации и снизить риски информационной безопасности.

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российского Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016) вступают в силу с 1 мая 2016 года.

Рекомендации адресованы российским банкам, финансовым учреждениям и кредитным организациям. В документе описываются эффективные меры, которые помогут организациям идентифицировать и минимизировать риски и поддерживать конфиденциальность обрабатываемой информации.

Наибольшую потенциальную угрозу с точки зрения нарушения информационной безопасности представляют сотрудники, имеющие доступ к конфиденциальной информации. В большинстве случаев именно собственные сотрудники организации становятся причиной целенаправленной или неумышленной утечки информации. Поэтому наибольшее внимание предлагается уделить работе с персоналом.

Среди эффективных мер, позволяющих предотвратить утечки:

  • четкое разграничение «информации конфиденциального характера» и «открытой информации» и установление правил обработки соответствующих категорий информации;
  • повышение степени информированности сотрудников, в том числе документальная фиксация факта ознакомления с перечнем категорий информации и правилами работы с данными;
  • установление правил идентификации, учета, хранения и обработки информации, а также способов контроля данных процессов службой информационной безопасности предприятия;
  • установление правил использования технических средств (серверное оборудование, рабочие станции пользователей, переносные носители информации и т. д.);
  • безопасное уничтожение неиспользуемой информации, а также физических носителей информации (бумажные копии, флеш-память, карты памяти, внешние жесткие диски и т. д.);
  • определение категорий возможных внутренних нарушителей и потенциальных каналов утечки информации;
  • непрерывный мониторинг и контроль потенциальных каналов утечки информации
  • регламентирование процессов блокирования и разблокирования потенциальных каналов утечки информации

Также в документе приводятся:

  • перечень категорий информации, рекомендуемых для включения в класс «информация конфиденциального характера»;
  • перечень потенциальных каналов утечки информации и способы осуществления контроля над ними;
  • перечень регламентирующих внутренних документов;
  • рекомендации по приоритизации выполнения работ по защите информации от потенциальных каналов утечек информации;
  • рекомендации к реализации процессов системы менеджмента информационной безопасности для обеспечения зрелости процессов мониторинга и контроля потенциальных каналов утечки информации.

В процессе технической реализации системы информационной безопасности компаниям необходимо тщательно подходить к выбору средств контроля активности пользователей, так как именно от полноты собираемой информации зависит эффективность и результативность дальнейшего анализа.

DataArmor Database Firewall всесторонне отслеживает и подробно фиксирует действия пользователей. Мониторинг и анализ поведения позволяет заблаговременно выявлять нелояльных сотрудников и обнаруживать потенциально опасные действия, которые могут привести к утечке данных. Также данные, собираемые системой, используются при расследовании инцидентов, связанных с нарушением конфиденциальности и целостности информации, и позволяют дифференцировать спланированные действия от неумышленного слива информации.

Разграничение прав является еще одним важным механизмом осуществления политики информационной безопасности. Тем не менее многие организации пренебрегают принципом минимальной достаточности и наделяют пользователей избыточными правами. Программный комплекс DataArmor Database Firewall позволяет гибко настраивать права доступа для групп пользователей и, таким образом, на базовом уровне регулировать доступ к конфиденциальным данным.

Комментарии