Локализация задачи. Способы хранения конфиденциальной информации

Способы хранения конфиденциальной информации

Компания должна защищать от утечки информацию трех основных типов — сводную информацию, конфиденциальные документы и интеллектуальную собственность.

Сводная информация

К сводной информации относят разнообразные структурированные данные в формате базы данных или электронных таблиц. Это может быть не только информация о продуктах и ценах, финансовая информация и т.д., которая представляет ценность для конкурентов, но и персональная информация о клиентах, которую компания должна охранять по закону. При хищении информации такого типа похитителю важно сохранить полноту, достоверность и структуру информации — ценность неполной информации резко снижается. Отдельным случаем рассматривается "заказ" на похищение конкретных данных, а не всей базы данных. Однако большинство инсайдеров допускают утечки информации, не имея конкретных заказчиков на нее, поэтому второй вариант встречается гораздо реже. В любом случае, здесь и далее рассматривается утечка данных такого объема, чтобы вынос их "в оперативной памяти человеческого мозга" или "переписанными на бумажку" не представлялся возможным.

Интеллектуальная собственность

Интеллектуальная собственность — любая информация в электронном виде, которая обеспечивает компании конкурентные преимущества. Это могут быть любые внутренние материалы — шаблоны документов, должностные инструкции, описание бизнес-процессов, справочно-нормативная информация, документы, содержащие сведения об изобретениях, патентах, перспективных разработках и другие охраняемые законом. Эта информация может храниться в любом месте — в документном хранилище, базе данных, в специальных папках на серверах, на локальных рабочих станциях. Форматы хранения — любые форматы приложений, в том числе и отсканированные образы документов, чертежей. В отличие от предыдущей группы информации, ценными являются не только сами документы, но и их фрагменты, черновики и т. п.

Неструктурированная информация

Все остальные документы, содержащие неструктурированную конфиденциальную информацию, можно отнести к оперативному документообороту. Это приказы по компании, внутренняя электронная переписка. Информация, находящаяся в них, имеет оперативный интерес для конкурентов и партнеров компании, и ее похищение также может привести к моральным и материальным потерям. В 2000 году по компьютерной прессе ходила копия приказа по одной из компаний "программистам принимать душ не реже двух раз в неделю". Вряд ли она привела к материальным потерям, но пятно на репутации компании оставила. А вот утечка документа, содержащего себестоимость коммерческого предложения, попавшая к заказчику, может привести к конкретным убыткам — заказчик будет знать, до какой суммы компания готова уступать. Поскольку такая информация разрознена, хранение ее никак обычно не регламентировано, защита ее от утечек особо затруднена.

Один из путей утечки информации через санкционированный доступ — клиентские приложения. Большинство рабочих станций в офисах крупных компаний — компьютеры на платформе Intel. Архитектура таких рабочих мест делает информацию, открытую с помощью клиентских приложений, практически беззащитной. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Заметим, что таких угроз нет при доступе к информационной системе через тонкие клиенты или системы мэйнфрейм-терминал.

Локальные копии

Другой потенциальный источник утечек — копии информации на мобильных рабочих местах. Требования бизнеса сегодня привели к тому, что часть сотрудников проводит большую часть времени вне офиса. Есть виды бизнеса, практически немыслимые без мобильных рабочих мест, такие, как консалтинг, аудит и другие. Для эффективной работы вне доступа к корпоративной сети необходимы копии служебных документов, в том числе и конфиденциальных. Простой запрет на хранение информации на мобильных рабочих местах приведет к невозможности выполнять служебные обязанности вне офиса, что непременно скажется на эффективности бизнеса компании. Поэтому практически все мобильные сотрудники имеют копии конфиденциальной информации. Закрытие всех портов ввода-вывода на ноутбуках, во-первых, достаточно сложно технически, а во-вторых — затруднит работу мобильным пользователям, так как последние по своим служебным обязанностям должны использовать как сменные носители, так и коммуникационные порты.