Специалисты компании «СерчИнформ» организовали исследование, посвященное вопросам обеспечения безопасности конфиденциальных сведений в информационных системах. В нем участвовали представители коммерческого сектора, государственных структур и учреждений. Всего в опросе было задействовано 413 человек, включая руководителей подразделений информационной безопасности, ИБ-специалистов и сотрудников, имеющих дело с секретной информацией. Об этом CNews проинформировали в «СерчИнформ».
Сложности с обнаружением и размещением данных, требующих защиты
Вопрос безопасного хранения цифровой конфиденциальной информации по-прежнему важен для российских компаний и учреждений. 24% респондентов не осуществляют аудит файловой инфраструктуры, а 30% специалистов выполняют эту работу вручную. Это повышает вероятность инцидентов в сфере ИБ, поскольку для эффективной защиты данных отделу информационной безопасности необходимы точные сведения о местоположении защищаемых файлов и о том, у каких сотрудников есть к ним доступ.
«Примерно каждая четвертая организация не проводит аудит файловой системы. С точки зрения информационной безопасности это серьезный просчет. Такие компании не имеют четкого представления о том, где, в каком количестве и формате обрабатывается конфиденциальная информация. Невозможно защитить то, что не «видишь». Это ведет к утечкам данных и их неприятным последствиям, начиная от финансовых санкций и заканчивая репутационными потерями и целенаправленными атаками на компанию», – отметил Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СерчИнформ».
53% участников опроса сообщили, что в их организациях не применяется маркировка информации, подлежащей защите. Между тем, для коммерческой тайны и сведений для служебного пользования соблюдение этой процедуры является обязательным согласно нормативным актам. Маркировке подлежат как носители информации, так и документы в бумажном и электронном виде. Игнорирование этого требования приводит к тому, что сотрудники при работе с такими данными совершают ошибки, способные стать причиной инцидентов информационной безопасности.
Размещение информации, требующей защиты
Еще одним ключевым аспектом управления конфиденциальными данными является создание защищенной системы их хранения, а также нахождение баланса между обеспечением доступа к информации для работы и поддержанием над ней контроля. Хотя некоторые организации по-прежнему размещают конфиденциальные сведения на незащищенных ресурсах (съемные носители, личные устройства сотрудников), большинство (свыше 64%) респондентов перешли на защищенную модель хранения данных, используя рабочие устройства персонала и корпоративные сетевые папки.
Риски для сохранности информации
Согласно данным опроса, в 94% компаний существуют внутренние регламенты по обращению с конфиденциальными данными. Однако каждый четвертый специалист по информационной безопасности отмечал случаи нарушений по вине персонала: утечки, повреждение или удаление файлов, содержащих секретную информацию.
Эксперты в области ИБ сходятся во мнении, что угрозы целостности конфиденциальных данных при хранении исходят как извне, так и изнутри. Наиболее значительными рисками участники исследования назвали внешние кибератаки (71%) и непреднамеренные действия сотрудников (70%).
Исследование демонстрирует, что помимо установления правил работы с секретными данными, ключевой мерой защиты является внедрение специальных технических средств. По оценкам респондентов, это поможет избежать инцидентов, вызванных человеческим фактором, и укрепить дисциплину в сфере информационной безопасности внутри компаний.
«В современных условиях организация не сможет функционировать без надежной системы ИБ: большинство партнеров откажется от сотрудничества, а возникающие инциденты приведут к сбоям в управлении, потере клиентов и серьезным государственным штрафам. В то же время, способность компании гарантировать безопасность конфиденциальных данных и предотвращать связанные с ними нарушения становится серьезным конкурентным преимуществом», – прокомментировал Алексей Дрозд, руководитель отдела безопасности компании «СерчИнформ».
