Для любого устойчивого процесса нужны правила. В крупных организациях есть специалисты по информационной безопасности, которые формируют правила хранения и управления логинами, пароля и доступами.
Если у вас небольшая команда и нет своего IT-специалиста, но хочется навести порядок, начните с простых процедур, описанных ниже.
Шаг 1. Определяем стратегию
Любая хорошая практика и система начинается с людей, которые ее выстраивают и будут контролировать. Поэтому перед внедрением практик безопасного хранения персональных данных на своем предприятии мы рекомендуем все проанализировать и составить свою личную стратегию.
Чтобы выявить и оценить весь масштаб требуемых изменений, нужно ответить на следующие вопросы:
-
Какую информацию мы храним?
-
Сколько сотрудников пользуется чувствительными данными нашей фирмы?
-
Сколько сотрудников и как часто работают «на удаленке»?
-
Сколько сотрудников использует свои личные компьютеры и мобильные устройства?
-
Как часто меняются сотрудники?
-
Кто сейчас хранит и регулирует чувствительные данные нашей компании?
-
Какие риски существуют? Каким из них мы наиболее подвержены в текущий момент?
-
Сколько времени я готов потратить на организацию системы информационной безопасности?
-
Сколько времени я готов уделять на обеспечение работы системы информационной безопасности в будущем?
Исходя из ответов на представленные вопросы, вы сможете оценить требуемые для внедрения ресурсы труда и времени, но главное проанализировать и оценить слабые места и уделить им необходимое внимание, чтобы избежать ненужных рисков в будущем.
После окончания процесса внедрения настоятельно рекомендуем вернуться к вашим ответам и проверить, все ли слабые места закрыты, или стоит вернуться и улучшить «защиту».
Шаг 2. Инвентаризация цифровых активов
Составьте список всех ресурсов, которыми пользуется ваша команда. Используйте для самоконтроля список с примерами:
- Домены;
- Сертификаты;
- Лицензии на цифровые продукты;
- Логотип;
- Брендбук;
- Конфигурации программного обеспечения;
- Криптовалюты, подтвержденные ключом;
-
Учетные записи к банковским приложениям;
- ответы на контрольные вопросы;
- Учетные записи к Saas-сервисам;
- Учетные записи к корпоративной почте;
- Учетные записи к внутренним системам;
- Учетные записи к серверам;
- Атрибуты цифровой идентификации;
- Устройства, авторизованные к корпоративным аккаунтам;
- Электронные книги, инструкции, руководства;
- Заказные материалы: тексты, фото, видео;
- Патенты, свидетельства о регистрации.
Шаг 3. Рационализируйте свои активы
Выясните, какие из ресурсов, описанные в «шаг 2» используются редко или не используются вообще.
Все площадки оцените по критериям: надежность, польза, и безопасность. Так вы определите самые ценные доступы. Возможно, вы поймете, что какие-то активы на самом деле не имеют смысла и стоит от них отказаться.
Для удобства можете воспользоваться шаблоном таблицы снизу:
| № | Наименование ресурса | Польза, от 1 до 10 |
Безопасность площадки, от 1 до 10 |
Востребованность, |
| 1 | teamdo.ru | 10 | 10 | 10 |
| 2 | ... | ... | ... |
Шаг 4. Составьте единый реестр чувствительных данных
Соберите все пароли и доступы в одном месте, например в локальную «таблицу» на вашем устройстве. Подумайте о том, как обезопасить их от стороннего вмешательства, учитывая возможные риски, которые вы описали в «шаг 1».
Для удобства можете воспользоваться шаблоном таблицы снизу:
| № | Наименование | Ссылка | Логин | Пароль |
| 1 | Соцсеть №1 | https://ссылка.ру | login | ********** |
| 2 | Бухгалтерская отчетность | https://ссылка.ру | login | ********** |
| 3 | Наш домен | https://ссылка.ру | login | ********** |
| 4 | ... | ... | ... |
Вспомните и запишите, когда в последний раз менялись пароли, на сколько безопасный пароль установлен в текущий момент. При необходимости – сразу поменяйте пароль. Рекомендуем воспользоваться бесплатным инструментом для проверки вашего пароля.
Шаг 5. Определите уровни доступа
Используя список своих цифровых активов, проанализируйте кто должен иметь доступ к тем или иным данным, кто может их редактировать и с ними взаимодействовать. Важно, чтобы доступы были у тех, кому это действительно необходимо. У собственника должны быть доступы ко всем ресурсам.
Для удобства можете воспользоваться таблицей, созданной в «шаг 4» и дополнить ее дополнительным столбцом:
| № | Наименование | Ссылка | Логин | Пароль | Доступ для |
| 1 | Соцсеть №1 | https://ссылка.ру | login | ********** | маркетинг |
| 2 | Бухгалтерская отчетность | https://ссылка.ру | login | ********** | бухгалтерия |
| 3 | Наш домен | https://ссылка.ру | login | ********** | собственник |
| 4 | ... | ... | ... |
Шаг 6. Оформление нормативных документов
Политика информационной безопасности
Политика информационной безопасности – один из основополагающих документов для любой организации, которая стремится к порядку и урегулированию документального хаоса. Все правила, которые описываются в нем, должны соблюдаться каждым членов вашей команды – от руководителя до рядового сотрудника.
При найме – один из документов, с которым должен ознакомиться будущий сотрудник и расписаться об ознакомлении и согласии следовать установленным правилам.
В документе описываются:
-
уровни конфиденциальности документов;
-
основные регламенты обращения с информацией и ее носителями;
-
правила допуска новых пользователей;
-
возможные угрозы и риски информационной безопасности.
В связи с тем, что уровень информационных угроз постоянно меняется – следует взять за правило проверять и обновлять при необходимости этот документ ежегодно.
Концепция информационной безопасности
Компаниям, работающим с клиентскими данными, важно поддерживать свою деловую репутацию и демонстрировать клиентам, что они принимают все необходимые меры для обеспечения конфиденциальности информации.
Этого можно достичь путем публикации на сайте краткого изложения стратегии и политики компании в области информационной безопасности.
Такой шаг не только укрепит доверие клиентов, но и положительно скажется на имидже организации.
Положение о коммерческой тайне
На любом предприятии есть информация, которую нужно держать в секрете. Но не вся она считается коммерческой тайной, за разглашение которой могут наказать по закону. Чтобы информация стала коммерческой тайной, в компании нужно установить особый режим и выпустить документ, где будут прописаны правила работы с такой информацией.
В этом документе нужно указать:
-
какие сведения считаются коммерческой тайной;
-
как работать с документами и файлами, которые содержат коммерческую тайну;
-
кто отвечает за соблюдение режима коммерческой тайны;
-
какое наказание ждёт за разглашение конфиденциальной информации.
С этим документом нужно обязательно ознакомить всех сотрудников и добавить в трудовые договора пункт об ответственности за сохранение конфиденциальности. Тогда, если кто-то умышленно разгласит секретную информацию, с него можно будет потребовать компенсацию через суд. А если ущерб от разглашения будет значительным, виновного могут привлечь к уголовной ответственности.
Такие меры иногда эффективнее защищают информацию от потери или подделки, чем защита документов и файлов от незаконного доступа.