Вход
Регистрация
up

Утечка информационных активов на бумажных носителях

05 мая 2014

Когда среди ИТ-специалистов заходит разговор о бумажном документообороте, большинством это бывает воспринято как нечто совершенно устаревшее и не имеющее права на существование. Безусловно, электронное делопроизводство на порядок удобнее и быстрее. Однако даже в коммерческих структурах России подавляющее количество компаний используют его лишь как дубликат бумажного. Такая ситуация связана с несколькими факторами – от простой привычки ключевых пользователей и до нежелания руководства доверять свои секреты электронным носителям (такие предубеждения до сих пор нередки). Однако недоверие может быть обоснованным: утечка информации может произойти вне зависимости от типа информационного носителя, и тогда уже встанет вопрос о вреде, причиненном такой утечкой.

Прежде чем говорить о методах защиты информационных активов на бумажных носителях от утечки, необходимо формализовать объекты, подверженные угрозам утери данных такого типа. Естественно, в первую очередь речь идет о представителях бизнеса, преимущественно среднего и крупного, а также о государственных учреждениях. Охарактеризуем каждый тип организаций отдельно.

Намеренно не взят в расчет малый бизнес: его представители зачастую используют именно бумажные носители информации, однако ущерб от утечки вряд ли способен превысить затраты на его устранение.

Средний и крупный бизнес в России имеет в распоряжении большие финансовые активы и, соответственно, в большей степени озадачен их сохранением. В распоряжении таких организаций часто имеется целый штат ИТ-специалистов, организующих, модернизирующих и поддерживающих электронный документооборот и информационные системы. Однако во многих коммерческих структурах электронный документооборот дублируется бумажным либо распространяется не на все бизнес-процессы, поэтому вопрос утечки информации на бумаге остается актуальным.

Защита информации в российских коммерческих компаниях в целом лучше организована для электронных сервисов, в том числе документооборота. К сожалению, на практике при проведении независимых внешних проверок соблюдения ИБна рабочих местах в таких компаниях зачастую выявляется ряд нарушений, связанных именно с бумажными носителями. Это могут быть важные документы, лежащие в открытом виде на столе сотрудника при его отсутствии на рабочем месте, документы, распечатанные и забытые в общем принтере, и так далее.

Отдельного пункта заслуживает тема переезда: в данном случае документы могут быть забыты или утеряны, а если переезды для компании или ее подразделений не редкость, то стоит всерьез задуматься о полностью электронном документообороте как наиболее безопасном и эффективном варианте хранения и об-работки информации.

Государственные компании России в последнее время активно развивают ИТ-инфраструктуру, но в основном развитие направлено на удобство конечного пользователя – граждан, пользующихся какими-либо услугами указанных организаций. Как в прежние времена, внутренний документооборот в госкомпаниях автоматизирован лишь частично, а значит, бумажные носители информации активно используются и подвержены рискам. Отдельно хотелось бы упомянуть о государственных компаниях, в которых реализован режим секретности. Без бумажных носителей информации под грифами сложно обойтись, а риски в данном случае крайне высоки.

Однако большим плюсом бюджетных организаций является строгий порядок работы с любой, в том числе бумажной, документацией. Наличие и частота проверок соблюдения сотрудниками госкомпаний установленных правил ведения документооборота и существенные санкции за их нарушение дают определенную гарантию защиты информации на бумажных носителях без особенных затрат – с использованием только организационных мер.

Методы и средства защиты от утечки информационных активов на бумажных носителях пошагово будут рассмотрены ниже.

Шаг No 1. Что защищать? Поскольку «бумага стерпит все», ин-формация на носителях такого типа может содержаться любая – от несущественной до обладающей грифом секретности. Важно определить, что именно защищать. Для этого существует классификация информационных ресурсов (в данном случае – ресурсов именно на бумажных носителях). Это может быть грифование важной документации или простановка различных, принятых регламентами конкретно взятой компании пометок для определения важности и критичности каждого документа на бумаге. О процессе классификации написано много статей, хочется подчеркнуть лишь необходимость контроля данного процесса со стороны руководства и представителей службы информацион-ной безопасности организации.

Шаг No 2. От чего защищать? Для построения эффективной системы защиты информации и грамотного распределения ресурсов нужно понимать, преимущественно от каких угроз необходимо защищать данные. Речь идет о построении модели угроз на основе аналитической информации. В модели угроз должны быть перечислены категории угроз информации (в данном случае можно построить отдельную модель – именно для активов на бумажных носителях – так будет точнее и конкретнее), детализация каждой из категорий (к примеру, в категории «утеря носителя информации» могут присутствовать категории «кража», «неосторожное обращение с носителем», «пожар», и так далее. Далее по каждому пункту указывается уровень потенциальной возможности реализации данной угрозы. Результатом работы является составление «топ-списка» угроз с наиболее вероятной реализацией.

Шаг No 3. От кого защищать? Нужно знать и от кого защищать информационные активы: на основе той же аналитической информации необходимо выяснить, какие категории лиц потенциально с наибольшей вероятностью способны реализовать угрозы, определенные в предыдущем шаге. Это означает необходимость построения модели нарушителя. Аналогично модели угроз модель нарушителя представляет собой перечисление всех лиц, которые могли бы нанести вред, осуществив утечку информации, в данном случае на бумажных носителях, и выявление тех, кто имеет большую вероятность совершить данное.

Если организация имеет несколько офисов, подразделений с разнонаправленной деятельностью или структурных подразделений, удаленных друг от друга, модели угроз и нарушителя нужно создавать для каждого указанного объекта, поскольку угрозы и нарушители на разных объектах могут оказаться разными. Важно понимать, что модели угроз и нарушителя должны быть реально работающими документами, руководством к действию. Также данные документы обязательно должны подвергаться периодической актуализации, не реже одного раза в полгода – год. Дополнительную информацию по построению модели угроз и нарушителя можно найти, например, на сайте ФСТЭК России.

Шаг No 4. Построение защиты. Исходя из данных о классификации информации, разработанных моделей угроз и нарушителя, финансовых возможностей конкретно взятой организации и руководствуясь здравым смыслом, строится система защиты информации. Данная система должна пересматриваться с течением времени и после внесения каких-либо изменений в работу с информацией на бумажных носителях. Какого-то однозначного решения по защите любой информации рекомендовать нельзя – все слишком индивидуально. Однако известно, что при хорошо поставленной работе с организационными методами обеспечения информационной безопасности (проверки соблюдения ИБ, беседы, обучение пользователей, информирование и т. п.) технические средства в случае с бумажными носителями могут не потребоваться совсем. Недаром врачи говорят, что лучшее лечение – профилактика.

Источник s-director.ru


Нравится

Комментировать