Embed Size (px)
Citation preview
Практикум увода клиентов
Защита корпоративной информации
Родион Попков и Роман Фадеев
80% компаний МСБ создаются
ПОЧКОВАНИЕМ
Мы не будем говорить об:- Охране информации при взаимодействии с
контрагентами;- Управлении персоналом применительно к
теме;- Внедрении комплекса мер (совсем чуть-
чуть скажем);- О том, как решают проблемы с защитой
большие парни в больших конторах.
Активная и пассивная безопасность
Активная:- Работа с лояльностью
сотрудников;- Наказание
провинившихся;- Зомбирование.
Пассивная:- Технические меры;- Юридические меры;- Настройка бизнес-
процессов.
Цель семинара
- Помочь определиться фирмам МСБ со стратегией противодействия уводу клиентов;- Развеять ряд мифов;- Попить кофе нахаляву во время перерыва.
ЮРИДИЧЕСКИЕ АСПЕКТЫЗащита конфиденциальной информации
Для начала,
• Работник всегда прав;• Судопроизводство неэффективно;• Большинство дел не доходит до суда;• А на Западе все получше, да.
Правонарушение
• Возмездие должно быть реальным• Выгода от правонарушения должна быть
меньше «цены» наказания
Цели юридических мер
• Создать условия для привлечения к ответственности;
• Снизить вероятность похищения информации.
Никто не застрахован
Что защищаем?
Фактически: базы данных о клиентах и поставщиках, разработки ПО, портфолио, и т.п.
Юридически: объекты авторских прав, объекты смежных прав, коммерческую тайну (ноу-хау).
Именно это – ваш бизнес
Объекты авторского права
• Охраняются с момента создания;• Все, что делает сотрудник, принадлежат
работодателю;• Правильно оформить – трудозатратно.
Как защитить?
• Правильное оформление• Стандартные меры• Договоры между компанией и её клиентом
КЕЙС
О маленькой компании по разработке ПО с большим оборотом
О базах данных
База данных – это совокупность данных, составленная и организованная определенным образом, требующим значительных затрат ресурсов, имеющая самостоятельную ценность, и пригодная для
обработки с помощью ЭВМ.
Для эффективно защиты желательно:- Приказ о создании БД;- Задание о составлении БД;- Актуальные должностные инструкции.
КЕЙС
Транспортная компания:- 1 направление бизнеса.
Коммерческая тайна
• Перечень информации, относящейся к КТ (приказ руководителя);
• ограничение доступа (Положение о КТ);• учет лиц, кому передана информация;• маркировка носителей. Всех.
Коммерческая тайна
Все меры должны быть увязаны с технической защитой.
Что применять?Коммерческая тайна
• К КТ можно отнести все, или почти все;
• Больше нагрузки на бизнес-процессы;
• Наказание – возмещение убытков;
• Сложнее доказывать.
Защита авторских и смежных прав
• Перечень объектов ограничен;
• Легче автоматизировать;
• Наказание – или возмещение убытков, или компенсация до 5 млн;
• Легче доказывать.
Или все, или ничего.
Как наказать
• Увольнение «по статье»;• Возмещение ущерба или выплата
компенсации;• Репутация (PR-воздействие).
Как избежать наказания
Помимо использования «дыр в защите»:- «Добросовестный приобретатель»;- Имитация создания объекта охраны
(«реинжиниринг»);- Перекладывание ответственности;- И все что угодно.
Если обнаружили
• Зафиксировать факт• Проверить защиту• Определить подозреваемого
Итак,
• Положение и приказ о КТ;• Должностные инструкции;• Учет;• Маркировка носителей;• Оформление процесса создания объектов
авторских и смежных прав.
Выводы:
• Создаем угрозу возмездия и возможность наказания;
• Набор мер нужно подстраивать под конкретную компанию;
• Нагрузка на бизнес-процессы увеличится;• Все меры должны быть реальными,
понятными, работать всегда, быть недорогими.
• Или все, или ничего.
Сами по себеЮРИДИЧЕСКИЕ МЕРЫ
Не панацея
ТЕХНИЧЕСКИЕ АСПЕКТЫЗащита конфиденциальной информации
Технические меры защиты:подходы к применению
• Методы информационной безопасности не всегда применимы;
• Используйте наработки прикладной информационной безопасности;
• Не все рекомендации применимы к МСБ;
Не нужно навешивать защиту как попало
Объект защиты
• База данных 1C;• База данных CRM;• Аналитическая информация;• Внутренняя нормативная документация.
Увести клиентов инсайдеру не достаточно
Модель угроз
• Из триады «конфиденциальность – целостность – доступность» для злоинсайдера выбираем конфиденциальность, а для сисадмина доступность;
• Основывайте построение модели угроз от субъекта;
• Не защищайтесь от всего.
Ждите удара от «ближнего своего»
Каналы утечки информации
• Внешняя почта, типа mail.ru;• Корпоративная почта;• Skype, ICQ и т.п.;• USB-накопители;• Принтеры.
Одного не закрытого канала достаточно для утечки информации
Каналы утечки информации
• Внешняя почта, типа mail.ru;• Корпоративная почта;• Skype, ICQ и т.п.;• USB-накопители;• Принтеры.
Если Вы тратили силы на защиту одного канала, но не защищали другой, сделайте facepalm
КЕЙС
Торговая компания:интернетоистерия
Подготовка к защите
• Разграничение доступа;• Предоставление только необходимого
функционала;• Если нет баз данных – разложите файлы по папкам
и ограничьте к ним доступ;• Пользователям права пользователя.
Пусть работник размышляет только о ценности информации, доступной ему
Технические решения
• Не храним объекты защиты на пользовательских ПК;
• Терминальные сервера – самый простой способ создания водораздела;
• USB – блокируются элементарной настройкой реестра;
• Печать – используем программы для сохранения всех распечатываемых файлов;
• Протоколируем доступ в интернет;• Запрещаем запуск сторонних приложений.
КЕЙС
Один из крупнейших федеральных банков:До по-настоящему тяжелых средств
информационной безопасности Вам далеко
Терминальный сервер
Контроль печати
Контроль доступа в интернет
Контроль почты
Контроль запуска приложений
Выводы
• Не все подходы организации технической защиты подходят для МСБ (но вам об этом никто не скажет);
• Для организации технических средств защиты и мониторинга в предприятиях МСБ не нужны миллионы рублей;
• Удобные средства мониторинга не менее важны – позаботьтесь и о них;
• Оправдан только комплексный подход.Не так страшен чёрт, как его малюют
ОРГАНИЗАЦИОННЫЕ МОМЕНТЫЗащита конфиденциальной информации
Реакция сотрудников
• Сопротивление изменениям;• Уменьшение лояльности;• Постоянные провокации;• Не все смогут ужиться в новой системе.
Продажник может считать своим моральным правом в любой момент уйти с клиентами
Бизнес-процессы
• Перед внедрением мер должны быть описаны;
• Все равно станут «тяжелее»;• Придётся менять отношение к работе как
своё, так и сотрудников.
Ваши инициативы будут восприниматься как самодурство
Подводя итоги
Делать своими силами или с аутсорсерами?
Подводя итоги
Исключить 95% случаев
Подводя итоги
Защищать информацию объемом с А4бесполезно
Подводя итоги
Только комплекс мер.Все или ничего.
Подводя итоги
Это реально.
Практикум увода клиентов
Родион Попков
+7 950 190 77 [email protected]
Роман Фадеев
+7 922 160 11 [email protected]
Успехов!
