Как обеспечить безопасность данных в компании, если сотрудника увольняют?

Question

[Fortune777]

Да, я знаю, что правильный ответ: никак) Но я сейчас хочу спросить не только про IT-специалистов, а вообще всех: менеджеров, руководителей отдела, маркетологов и так далее. Например, сотрудник создавал документ контент-плана на своем диске, а потом уволился и все, доступов нет, или еще что-то. Как компании себя заранее обезопасить от такого?
Я так понимаю, что надо хранить все данные на облаках, а доступ к ним должен быть у директора и ограниченные права у отдельных лиц. А если сотрудник увольняется, то или замораживают его доступ или меняют все пароли. А какие еще есть нюансы?

Answer 1

[Сергей]

Первое о чем вещает преподаватель по ИБ - все начинается с документов и безопаность в организации это комплекс мер.
1. Вы как специалист отвечающий за ИБ в своей компании стрите модель угроз, то есть модель нарушителя.
2. Рожается положение о ИБ, или достаточно подробное положение о корпоративной сети в котором прописываются все случаи с доступами (можно в приложениях)
3. Вы можете часть мер решить технически, в одном из подразделений на верхнем уровне решили что флешки будут запрещены (я возражал, но никто не слушал, родили целый приказ), ну выпилили флешки у пользователей, через 2 недели вспомнили про клиент банк))) ну дальше сами понимаете
4. Прежде чем начинать что-то делать, Вы и руководство должны понимать что хотите получить в конце.

Я рекомендую обязать всех хранить рабочие документы на сетевой шаре. Шара резервируется. При увольнении, даже если сотрудник потрет свою папку, Вы восстановите все из бэкапа.
С облаком примерно также.

Answer 2

[Эдуард]

Любую информацию которую человек может увидеть, услышать или почувствовать - можно украсть. Для таких вещей есть обязательные требования в договоре. Поэтому если например будет доказано что такой-то человек, опубликовал/передал информацию которая содержит коммерческую тайну, то этого человека уже можно привлечь к материальной ответственности.

Если же боитесь что сотрудник уничтожит какую-нибудь информацию которая может пригодится компании, то нужно обязать работника хранить всю информацию на ваших серверах(которые соответственно будут бэкапиться)

Comments

[CityCat4]

опубликовал/передал информацию которая содержит коммерческую тайну, то этого человека уже можно привлечь к материальной ответственности.

Чи-во? Грамотный чел, получив такой вот, с позволения сказать "иск" взвоет от радости и контору вывернет наизнанку :) Погуглите сначала, что есть "материальная ответственность", при каких условиях она наступает, какова за нее ответственность :) и каким боком это все к коммерческой тайне.
Чтобы ввести в конторе реально действующий режим коммерческой тайны - нужно такой обьем работы провернуть и столько всего сделать, что многие просто кладут на это преогромный железобетонный болт, понимая, что овчинка выделки не стоит...

[Эдуард]

CityCat4, утверждаю на личном опыте. У нас эти моменты оговорены в договоре, и даже были случаи ранее когда привлекали за это. Поэтому ничего сложного в этом не вижу

[CityCat4]

Эдуард, Йоу, у вас реально работает режим коммерческой тайны? Хотелось бы на договор глянуть, но вряд ли получится :)

[ТыжСисАдмин]

Эдуард, Коммерческая тайна это не то что "дирехтор" решил так обозвать, а очень большая юридическая клоака :)
Поищите на хабре по запросу "коммерческая тайна"/"NDA" ;)

Соглашусь с CityCat4, хотелось бы такой договор увидеть.

[CityCat4]

ТыжСисАдмин, Преогромнейшая. У нас есть "Соглашение о коммерческой тайне", но это - курам на смех соглашение :) его в суде посмотрели, поржали и сказали "уберите и больше не показывайте" :D

[ТыжСисАдмин]

CityCat4, Я хочу такой договор увидеть и что-бы он работал, точнее даже не сам договор а полный разбор что для этого потребовалось.
Если уж америкосы не могут осилить эту тему с своими законами то что говорить о наших :)

[CityCat4]

ТыжСисАдмин, Да перечень-то того, что нужно чтобы оно заработало, хотя бы в теории - есть . Вот только от теории до воплощения тут - упашешься.

Answer 3

[CityCat4]

Меры в основном организационные.

Технически можно сделать что:
- запретить хранение в облаках (особенно в свете статьи на хабре про то как myspace прое...л данные за много лет)
- запретить пользоваться личной почтой (отправка себе на личную почту через ейную вебморду - самый простой способ стырить данные)
- запретить сьемные носители
- в дополнение ко всему прочему можно поставить CМП. От факта воровства она не защитит, но сам факт установить поможет (а дальше уже работа для других людей :) )
- все рабочие материалы хранить только на сети, в области которая ежедневно бэкапится
- при увольнении чела когда админ подписывает обходной - он в этот момент лочит учетку и вырубает комп.

Answer 4

[Рональд Макдональд]

Абсолютно никак. Если человек с головой, то будет собирать все документы, письма и сканы, которые проходят через его руки и потихоньку их копить и ничего вы с этим не сделаете, только если к каждому сотруднику приставите по охраннику. Шпионские игры в засланного казачка редкость, обычно сливают данные из мести и можно исключить эту ситуацию, если не давать работникам повода мстить работодателю, но это трудно, для этого нужно платить достойную зарплату и соблюдать ТК РФ.

Comments

[CityCat4]

"Настоящих буйных", конечно мало, хотя чем толще контора (или чем ближе к некоторым областям) - тем больше шанс нарваться.
А что до достойной оплаты - средний человек всегда стремится туда, где платят больше, а требуют меньше :) Высокая з/п не гарантирует лояльность. Да, месяц, два чел будет грызть землю, а потом привыкнет и начнет требовать еще чего - ДМС, бесплатных обедов, личную секретаршу, согласную на доп.услуги ;)

[Рональд Макдональд]

CityCat4,

средний человек всегда стремится туда, где платят больше, а требуют меньше

Вы прям "Капитал" для себя открыли :)
Ох уж эти работнички, не хотят пахать за копейки, им, видите ли, отпуска и ДМС подавай.

[CityCat4]

Рональд Макдональд, Не. Капитал тяжеловато будет читать :)

Answer 5

[АртемЪ]

Смотря что подразумевается под безопасностью.

• Если речь идет об утечке данных - никак. В смысле решить конечно можно, но это комплекс мер - приказы, тех. ограничения, физический контроль доступа пользователей к оборудованию, досмотр сотрудников.
  
• Если речь идет об уничтожении данных - элементарно. Храним все данные на сетевой шаре. Ушел сотрудник, удалили учетку, создали новую, дали доступ к документам.