Как защититься от утечки информации на бумажных носителях: 4 простых шага

Прежде чем говорить о методах защиты информационных активов на бумажных носителях от утечки, необходимо формализовать объекты, подверженные угрозам утери данных такого типа. Естественно, в первую очередь речь идет о представителях бизнеса, преимущественно среднего и крупного, а также о государственных учреждениях. Охарактеризуем каждый тип организаций отдельно.

Намеренно не взят в расчет малый бизнес: его представители зачастую используют именно бумажные носители информации, однако ущерб от утечки вряд ли способен превысить затраты на его устранение.
Средний и крупный бизнес в России имеет в распоряжении большие финансовые активы и, соответственно, в большей степени озадачен их сохранением. В распоряжении таких организаций часто имеется целый штат ИТ-специалистов, организующих, модернизирующих и поддерживающих электронный документооборот и информационные системы. Однако во многих коммерческих структурах электронный документооборот дублируется бумажным либо распространяется не на все бизнес-процессы, поэтому вопрос утечки информации на бумаге остается актуальным.

Защита информации в российских коммерческих компаниях в целом лучше организована для электронных сервисов, в том числе документооборота. К сожалению, на практике при проведении независимых внешних проверок соблюдения ИБ на рабочих местах в таких компаниях зачастую выявляется ряд нарушений, связанных именно с бумажными носителями. Это могут быть важные документы, лежащие в открытом виде на столе сотрудника при его отсутствии на рабочем месте, документы, распечатанные и забытые в общем принтере, и так далее. Отдельного пункта заслуживает тема переезда: в данном случае документы могут быть забыты или утеряны, а если переезды для компании или ее подразделений не редкость, то стоит всерьез задуматься о полностью электронном документообороте как наиболее безопасном и эффективном варианте хранения и обработки информации.

Автор этой статьи генеральный директор компании Интемс, которая с 2005 года занимается технической защитой предприятий.

Государственные компании России в последнее время активно развивают ИТ-инфраструктуру, но в основном развитие направлено на удобство конечного пользователя – граждан, пользующихся какими-либо услугами указанных организаций. Как в прежние времена, внутренний документооборот в госкомпаниях автоматизирован лишь частично, а значит, бумажные носители информации активно используются и подвержены рискам. Отдельно хотелось бы упомянуть о государственных компаниях, в которых реализован режим секретности. Без бумажных носителей информации под грифами сложно обойтись, а риски в данном случае крайне высоки.

Однако большим плюсом бюджетных организаций является строгий порядок работы с любой, в том числе бумажной, документацией. Наличие и частота проверок соблюдения сотрудниками госкомпаний установленных правил ведения документооборота и существенные санкции за их нарушение дают определенную гарантию защиты информации на бумажных носителях без особенных затрат – с использованием только организационных мер.

Методы и средства защиты от утечки информационных активов на бумажных носителях пошагово будут рассмотрены ниже.

Шаг № 1. Что защищать?

Поскольку «бумага стерпит все», информация на носителях такого типа может содержаться любая – от несущественной до обладающей грифом секретности. Важно определить, что именно защищать. Для этого существует классификация информационных ресурсов (в данном случае – ресурсов именно на бумажных носителях). Это может быть грифование важной документации или простановка различных, принятых регламентами конкретно взятой компании пометок для определения важности и критичности каждого документа на бумаге.
О процессе классификации написано много статей, хочется подчеркнуть лишь необходимость контроля данного процесса со стороны руководства и представителей службы информационной безопасности организации.

Шаг № 2. От чего защищать?

Для построения эффективной системы защиты информации и грамотного распределения ресурсов нужно понимать, преимущественно от каких угроз необходимо защищать данные. Речь идет о построении модели угроз на основе аналитической информации.
В модели угроз должны быть перечислены категории угроз информации (в данном случае можно построить отдельную модель – именно для активов на бумажных носителях – так будет точнее и конкретнее), детализация каждой из категорий (к примеру, в категории «утеря носителя информации» могут присутствовать категории «кража», «неосторожное обращение с носителем», «пожар», и так далее). Далее по каждому пункту указывается уровень потенциальной возможности реализации данной угрозы. Результатом работы является составление «топ-списка» угроз с наиболее вероятной реализацией.

Шаг № 3. От кого защищать?

Нужно знать и от кого защищать информационные активы: на основе той же аналитической информации необходимо выяснить, какие категории лиц потенциально с наибольшей вероятностью способны реализовать угрозы, определенные в предыдущем шаге. Это означает необходимость построения модели нарушителя.
Аналогично модели угроз модель нарушителя представляет собой перечисление всех лиц, которые могли бы нанести вред, осуществив утечку информации, в данном случае на бумажных носителях, и выявление тех, кто имеет большую вероятность совершить данное.
Если организация имеет несколько офисов, подразделений с разнонаправленной деятельностью или структурных подразделений, удаленных друг от друга, модели угроз и нарушителя нужно создавать для каждого указанного объекта, поскольку угрозы и нарушители на разных объектах могут оказаться разными.
Важно понимать, что модели угроз и нарушителя должны быть реально работающими документами, руководством к действию. Также данные документы обязательно должны подвергаться периодической актуализации, не реже одного раза в полгода – год. Дополнительную информацию по построению модели угроз и нарушителя можно найти, например, на сайте ФСТЭК России.

Шаг № 4. Построение защиты

Исходя из данных о классификации информации, разработанных моделей угроз и нарушителя, финансовых возможностей конкретно взятой организации и руководствуясь здравым смыслом, строится система защиты информации. Данная система должна пересматриваться с течением времени и после внесения каких-либо изменений в работу с информацией на бумажных носителях.
Какого-то однозначного решения по защите любой информации рекомендовать нельзя – все слишком индивидуально. Однако известно, что при хорошо поставленной работе с организационными методами обеспечения информационной безопасности (проверки соблюдения ИБ, беседы, обучение пользователей, информирование и т. п.) технические средства в случае с бумажными носителями могут не потребоваться совсем. Недаром врачи говорят, что лучшее лечение – профилактика.

 

Автор: Алексей Титов
Генеральный директор Интемс