Как защититься от утечки данных — роль сотрудников в обеспечении инфобезопасности

По информации опроса InfoWatch, более 50% утечек данных в компаниях происходят по вине действующих сотрудников. Злоумышленники крадут информацию только в 13% случаев. В статье разберём, как сократить влияние человеческого фактора с помощью технической защиты, процессуальных мер и правильного подбора людей.

Обеспечиваем техническую защиту информации от утечки

Есть несколько решений, которые помогут предотвратить слив данных из-за неосторожности или недобросовестности сотрудников.

DLP-система. Это ПО, которое отслеживает передачу и хранение данных, фильтрует контент. Обнаружив нарушение, программа блокирует нежелательные действия или оповещает о них. Например, DLP не даст сохранить клиентские данные на флешку или переслать их на личную почту.

На российском рынке много производителей такого ПО. Они предлагают коробочные решения под масштаб и сферу бизнеса, а также предлагают обучение для пользователей.

Рабочие сервисы с гибкими настройками доступа. Это облачные хранилища и программы для управления проектами, например Яндекс Диск. В них можно настроить уровень доступа к задачам и документам, передавать файлы по зашифрованному соединению. Сотрудники будут иметь «дозированный» допуск к информации, а в случае ухода их аккаунты удаляются, и они теряют доступ к системе.

Дополнительно можно использовать Яндекс Ключ — приложение для одноразовых паролей. Их невозможно подобрать или украсть.

Антивирусы. Нужно выбирать тарифы для бизнеса — с защитой серверов и большого количества рабочих станций. Если сотрудники работают с домашних ноутбуков и компьютеров, необходимо проверить, что они тоже защищены.

К сожалению, технические способы защиты от утечки информации нельзя применить к личным мобильным телефонам и флешкам сотрудников. Но можно создать такие условия и правила, которые ограничат использование личных гаджетов на работе.

Составляем правила информационной безопасности

Правила информационной безопасности нужны, чтобы команда могла распознать угрозу утечки и не допустить слив. Вот какие нюансы нужно учесть:

• Как обращаться с данными на цифровых и физических носителях. Например, можно указать, какие бумаги следует хранить в сейфе, а не в ящике стола или в шкафу. Сюда же относится правило чистить флешку после копирования данных.
• Как работать с облачными хранилищами и базами данных. Тут можно указать, как часто нужно сохранять резервные копии, как запрашивать и давать доступ к информации.
• Как пользоваться электронной почтой, рабочими мессенджерами и каналами. Например, какие файлы необходимо пересылать только по зашифрованному соединению.
• Как обращаться с рабочими компьютерами и телефонами. Например, многие компании разрешают сотрудникам брать ноутбуки домой и работать оттуда, но не одобряют использование общественных сетей Wi-Fi.
• Какую рабочую информацию допустимо сообщать клиентам и своим знакомым. Сюда же относятся правила работы с соцсетями: например, фото с рабочего места выкладывать можно, а цифры и имена клиентов — нельзя.
• Что делать со спамом. Сотрудников нужно обучить тому, как распознать нежелательные сообщения и защититься от них.

Оформляем документы

Правила информационной безопасности должны быть оформлены документально. Это хороший инструмент контроля защиты от утечки информации. Подписывая документ, сотрудник берёт на себя обязательства. Если он нарушит правила, бизнес имеет право применить санкции и призвать к ответственности.

Большинство компаний пользуются для этого политиками безопасности и договорами NDA.

Политика информационной безопасности. В неё входят все регламенты, процедуры и инструкции, относящиеся к инфобезопасности.

Некоторые крупные компании выкладывают свои политики в открытый доступ. Можно посмотреть их содержание и оформление и даже скачать эти документы. Просто копировать и применять у себя чужую политику без адаптации не стоит — так вы рискуете упустить важные для вашей компании нюансы.

NDA. Это договор, который подписывают работодатель и сотрудник. В нём указано, как обе стороны будут обмениваться информацией и какие сведения нельзя разглашать посторонним.

Подписание документов должно быть обязательным для всех сотрудников. Если в текст политики или договоров вносятся изменения, их переподписывают.

Важно: в документах должны быть понятные формулировки и расшифровки технических и юридических терминов. Кроме того, материалы по информационной безопасности всегда должны быть в доступе.

Подбираем надёжных сотрудников

Есть несколько аспектов, по которым можно проверить человека до приёма в штат.

Поведение. Плохой знак, если сотрудник уклончиво отвечает на вопросы о предыдущем месте работы, агрессивно высказывается о прошлых нанимателях и причинах увольнения. Скорее всего, перед вами тот, кто будет грубо нарушать рабочие правила.

Любое социально неприемлемое или подозрительное поведение вне компании — например, в соцсетях — тоже тревожный звоночек. Колкости в адрес социальных и этнических групп, жестокое обращение с животными, признаки химических и психологических зависимостей — всё это указывает на то, что соискатель проблемный.

Отказ подписывать NDA и политику — веская причина не взять на работу или уволить.

Личные документы. Их необходимо проверить на подлинность. Паспорт и ИНН пробивают на сайтах МВД и ФНС. В дополнение к трудовой книжке можно попросить у соискателя выписку из МФЦ или ПФР. На сайте Госавтоинспекции можно запросить проверку водительского удостоверения. Документ об образовании проверяется по базе данных Рособрнадзора.

Статус. Информация о банкротстве находится в Федеральном реестре сведений о банкротстве. Факт розыска можно проверить на сайте МВД, а наличие дисквалификации покажет база данных ФНС. На сайте Росфинмониторинга находится информация о том, внесён ли человек в список террористов и экстремистов.

Наличие своего бизнеса. Сайт ФНС содержит информацию по статусу ИП. Его наличие выглядит подозрительно, если бизнес соискателя из той же сферы, что и ваш. Стоит спросить у потенциального сотрудника, зачем он идёт в наём, если у него есть своё дело.

Не стоит беспокоиться, если у соискателя есть подработка, которая не связана с его профессиональной деятельностью, — например, бухгалтер вяжет на заказ или разводит породистых кошек. Это дополнительный источник дохода.

Также на сайте ФНС можно проверить, является ли соискатель «массовиком» — руководителем нескольких компаний одновременно. Обычно это фирмы-однодневки для незаконных операций. Такой сотрудник не только ненадежён, но и подпортит вашу репутацию.

Подобные проверки, к сожалению, не гарантируют полное предотвращение утечек информации. Именно поэтому важно принимать комплексные меры по защите данных и привлекать к ответственности нарушителей.

Резюмируем

1. Данные можно защитить с помощью настроек доступа в хранилища, зашифрованных каналов, технологии DLP и антивируса.
2. В компании должны быть понятные и усвоенные сотрудниками правила работы с информацией.
3. Документы, которые охраняют данные и закрепляют ответственность сотрудников и работодателя, — это политика информационной безопасности и NDA.
4. Проверить благонадёжность рабочего персонала можно с помощью государственных баз данных и официальных справок. Кроме того, важно проанализировать поведение и высказывания человека.