Как организовать информационную безопасность в компании своими силами?

Не секрет, что сегодня информационная безопасность — это необходимость, условие эффективной работы любой коммерческой или государственной организации. Утечка информации обходится бизнесменам очень дорого, а чиновникам может и вовсе стоить постов. Увы, не у каждого предприятия есть необходимые средства и возможности, чтобы выстроить систему безопасности по всем принятым стандартам. Реально ли в таком случае обезопасить себя от возможных утечек?

Очевидно, лучше всего при создании системы информационной безопасности в организации привлечь профессионалов на каждом этапе и внедрить специализированное ПО — DLP-систему, которая наиболее эффективно позволяет контролировать трафик и защищаться от утечек информации. Но и привлечение услуг консалтинговых компаний, и приобретение DLP-системы — мероприятия очень дорогостоящие. Как показывает практика,  подобные системы применяются лишь в половине российских организаций (по данным исследования SearchInform среди предприятий всех регионов России), и одна из причин такой ситуации – нехватка финансовых средств.

Поэтому многие компании решают обходиться своими силами — по крайней мере, до тех пор, пока не будет достаточно денег, чтобы организовать информационную безопасность более высокого уровня.

Несмотря на то, что система безопасности, организованная компанией собственными силами, чаще всего уступает профессиональным системам, она в любом случае будет намного лучшим вариантом, чем вообще полное отсутствие какой-либо защиты.

Итак, рассмотрим шаги, которые нужно сделать для того, чтобы самостоятельно организовать на предприятии информационную безопасность.

1. Прежде всего, необходимо определить, какую именно информацию необходимо защищать в первую очередь. Нельзя организовать систему защиты, если не знать, что именно нужно защитить. Понятно, что защитить хочется как можно больше, но как показывает практика, это невозможно, потому как ресурсов даже крупной и обеспеченной компании не хватит на такой размах. Если вы не сможете сразу определить, какие именно документы необходимо сберечь, представьте, что может случиться с компанией в случае хищения тех или иных документов. Если в результате этого мысленного эксперимента последствия будут очевидно негативными, то такие данные однозначно нужно защищать.
2. Разработайте действенную политику информационной безопасности и проведите инструктаж среди сотрудников компании. Разграничьте доступ к конфиденциальной информации. Для этой цели организация разрабатывает специальный документ – политику информационной безопасности. В нем, кроме перечня документов, подлежащих защите, должны быть прописаны роли всех пользователей, возможные варианты угроз и средства защиты от них. Примеры таких документов можно легко отыскать в Интернете, чтобы «по образу и подобию» адаптировать их под реалии вашей компании. Следующий шаг – составление должностной инструкции, которую необходимо под роспись довести до всех сотрудников. Для  наилучшего усвоения можно провести зачет по основам информационной безопасности, это закрепит положения инструкции в памяти персонала. В дальнейшем инструктаж следует повторять с определенной периодичностью — скажем, раз в один-два месяца.
3. Разграничьте доступ персонала к документам доступными средствами. Любые штатные системы, используемые в организациях (CRM, бухгалтерского учета, СЭД и прочие) позволяют сделать это. Фактически всё, что требуется сделать — это изменить настройки доступа. Помните, что подобное разграничение необходимо настроить для всех информационных систем, потому как в противном случае созданная система безопасности будет недостаточно эффективной.
4. Защитите корпоративную сеть и компьютеры сотрудников. Удивительно, но очень многие предприятия страдают из-за утечек данных только потому, что не используют межсетевые экраны или вовсе забывают установить пароль доступа к сети Wi-Fi в офисе. В результате – хватит даже небольших знаний в IT-сфере, чтобы похитить корпоративные секреты. Корпоративный межсетевой экран можно заменить одним из бесплатных решений, которых сейчас достаточно на рынке.
5. Разработайте и внедрите правила кадровой безопасности. Не принимайте на работу тех сотрудников, которые уже отметились участием в инцидентах, связанных с нарушением информационной безопасности. Не нужно пытаться переманить сотрудников у конкурентов: ведь если через некоторое время кто-то снова пообещает им более высокую зарплату, чем в свое время предложили вы, то они точно также уйдут к конкурентам со всеми полученными знаниями, а в худшем случае – и с вашими документами.

Развивайте в компании культуру информационной безопасности. Регулярно напоминайте работникам о том, что следование политике ИБ необходимо для роста компании и увеличения их благосостояния. Сотрудники, понявшие важность обеспечения информационной безопасности, будут ответственнее подходить к работе, будут стараться не допускать случайных утечек.

Не лишним будет составить соглашение о неразглашении, которое необходимо подписать всем вашим сотрудникам. В конце писем, которые отправляют работники с корпоративных электронных ящиков, также нужно вставить предупреждение о недопустимости разглашения.

Эти простые, но недорогие и эффективные меры позволят на первое время повысить уровень защиты организации от инцидентов, связанных с утечкой информации, пока не появится возможность внедрить полноценную систему обеспечения ИБ.