Эксперты спорят: бороться с инсайдерами аморально?
Бороться с утечками конфиденциальной информации необходимо с точки зрения и бизнеса, и законодательства. На кону секреты, деньги и персональная информация. Но основная масса инцидентов связана с непредумышленными действиями персонала. О том, как соблюсти конституционные права граждан и защититься от настоящих инсайдеров, говорили на круглом столе "Как противостоять инсайдерам 2009", организованном CNews Analytics и CNews Conferences.В этой связи весьма перспективно создание в компании архитектуры SOC. Это дает возможность работы со всеми специализированными системами безопасности и встроенными механизмами защиты прикладных ИТ-систем в ИС заказчика. И, что не маловажно, снижаются затраты на обслуживание ИС за счет централизации управления компонентами защиты и простоты использования систем.
Алексей Задонский, ведущий менеджер проектов Oracle СНГ, рассказал об управлении правами доступа пользователей к тем или иным информационным ресурсам. Данная проблема становится особенно актуальной, когда на предприятии насчитывается несколько тысяч человек. В такой ситуации напрямую работать с каждым сотрудником непрактично, а гораздо эффективнее пользоваться контекстом безопасности и ролями сотрудников.
Роли могут быть связаны с отдельными пользователями, группами и контекстами (типами информации). Для этого электронные документы должны быть классифицированы, и прописаны роли. В этом случае удается, во-первых, отсечь тех пользователей, которым не нужна по долгу службы та или иная информация. И, во-вторых, обеспечить скорость, гибкость и оперативность при перемещении сотрудников из отдела в отдел и т.д.
Что важнее на практике?
О том, как обосновать внедрение систем класса DLP, говорил Андрей Суханов, старший консультант HELiOS IT-SOLUTIONS. По его словам, напрямую эффект от использования средств ИБ измерить крайне сложно. Гораздо более применима модель, используемая в риск-менеджменте.
При этом необходимо учитывать вероятность реализации инцидента и возможную величину убытков с одной стороны, а также стоимость системы предотвращения инцидентов - с другой. Вероятность и убытки - величины, естественно, среднестатистические, но вполне реальные, подтвержденные, в частности, западными примерами. Кроме того, когда требуется соблюдение законодательства, учитываются величины штрафов и такие вещи, как гражданская и уголовная ответственность должностных лиц.
Фарит Музипов, заместитель начальника СБ по информационной безопасности ICICI Банк Евразия, поддержал г-на Суханова. Банки при обеспечении безопасности в силу специфики своей деятельности испытывают на себе как требования нормативных актов, так и экономические факторы. При этом первая группа причин все же превалирует. Но в том и другом случае система быть эффективной и соответствовать стандартам.
В металлургической отрасли ситуация несколько иная. Там в целом ряде случаев возможно измерить финансовый результат работы DLP-систем. Об этом рассказал Евгений Климов, начальник отдела информационной безопасности УК "Металлоинвест". Кроме того, речь зашла и том, как на практике служба ИБ крупного холдинга обеспечивает защиту, находясь между конституцией РФ, уголовным кодексом и требованиями руководства компании.
По мнению г-на Климова, "право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений распространяется на все сообщения, включая передаваемые по служебным каналам связи. Сотрудник не может отказаться от своего права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, т.к. это право является неотчуждаемым, т.е. любой отказ от права будет недействителен".
Среди перечня прав обладателя информации, составляющей коммерческую тайну, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо контролировать каналы связи с целью проверки режима коммерческой тайны. Самое большее, на что имеет право обладатель коммерческой тайны - требовать от иных лиц конфиденциальности и неразглашения. Отсюда следует вывод: существует риск привлечения к уголовной ответственности по ст.138 УК РФ.
Резюмируя последовавшую дискуссию по этому и другим вопросам, следует обратить внимание на то, что технических решений на рынке достаточно. Практиков в наибольшей степени сейчас начинают волновать механизмы обеспечения комплексности решения (и как, следствие, возможность соответствия нормативным актам), а также правовое обеспечение своей собственной деятельности, как на этапе подбора и аттестации персонала, так и в процессе эксплуатации DLP-решений.
Презентации участников круглого стола