Защита информации от утечки по техническим каналам

Модель нарушителя. Типы нарушителей

Типы нарушителей определяются по результатам анализа прав доступа субъектов
к информации и (или) к компонентам информационной системы, а также анализа
возможностей нарушителей по доступу к компонентам информационной системы
исходя из структурно-функциональных характеристик и особенностей
функционирования информационной системы.

• устройств ввода/вывода (отображения) информации;
• беспроводных устройств;
• программных, программно-технических и технических средств обработки информации;
• съемных машинных носителей информации;
• машинных носителей информации, выведенных из эксплуатации;
• активного (коммутационного) и пассивного оборудования каналов связи;
• каналов связи, выходящих за пределы контролируемой зоны.

Виды и потенциал нарушителей:

1. Специальные службы иностранных государств (блоков государств).
2. Террористические, экстремистские группировки.
3. Преступные группы (криминальные структуры).
4. Внешние субъекты (физические лица).
5. Конкурирующие организации.
6. Разработчики, производители, поставщики программных, технических и программно-технических средств.
7. Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ.
8. Лица, обеспечивающие функционирование информационных систем или
   обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и
   т.д.).
9. Пользователи информационной системы.
10. Администраторы информационной системы и администраторы безопасности.
11. Бывшие работники (пользователи).

Возможные цели (мотивации) реализации нарушителями угроз безопасности информации:

нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;

реализация угроз безопасности информации по идеологическим или политическим мотивам;

организация террористического акта;

причинение имущественного ущерба путем мошенничества или иным преступным путем;

дискредитация или дестабилизация деятельности органов государственной власти, организаций;

получение конкурентных преимуществ;

внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;

любопытство или желание самореализации;

выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;

реализация угроз безопасности информации из мести;

реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Возможные способы реализации угроз безопасности информации:

• нарушитель может действовать один или в составе группы нарушителей;
• в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
• угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
• для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Профилактика утечки информации

Существует много способов, которые фирма может использовать для минимизации риска утечки данных. Приведем ряд действий, которые позволят повысить уровень информационной безопасности:

Внедрение концепции безопасности

Чтобы снизить риск утечки информации, важно разработать и внедрить политику в сфере безопасности. Кроме защиты конфиденциальных данных, она должна обеспечивать защищенность учетных записей, имеющих доступ к ним

Это связано с тем, что и аккаунты, и информация – это два фактора, которые всегда присутствуют в любом примере утечки информации.

Популярные статьи

Высокооплачиваемые профессии сегодня и в ближайшем будущем

Дополнительный заработок в Интернете: варианты для новичков и специалистов

Востребованные удаленные профессии: зарабатывайте, не выходя из дома

Разработчик игр: чем занимается, сколько зарабатывает и где учится

Как выбрать профессию по душе: детальное руководство + ценные советы

Принцип минимизации привилегий

Это один из наиболее важных моментов в вопросах предотвращения утечки информации. Принцип минимизации привилегий предполагает, что все работники (аккаунты), включая и привилегированных, имеют уровень доступа исключительно в соответствии с должностными функциями.

Другими словами, особенно это касается аккаунтов с привилегированным доступом, необходимо исключить возможность доступа к данным при отсутствии в этом служебной необходимости. Если каждый сотрудник получает доступ только к необходимым ему ресурсам, существенно снижаются риски компрометации аккаунтов.

Профилактика утечки информации

Корпоративная политика паролей

Если вы внедрите корпоративный режим контроля паролей, то ваша компания получит надежную защиту от атак на всех уровнях авторизации. Необходимо внедрить систематический мониторинг и отключение скомпрометированных или слишком простых паролей. Это минимизирует возможности для взлома или подбора паролей с использованием программных или ручных способов.

Если же вам не нравятся требования по частой смене паролей, рекомендуем применить двухфакторную аутентификацию и использование в паролях минимум 14 знаков. При этом нужно предварительно проверить базу утечек. Если здесь обнаружен установленный пароль, его нужно изменить, в противном случае он может использоваться постоянно.

Повышение квалификации сотрудников

Этот шаг можно считать самым важным. Компания обязана направлять свои ресурсы на обучение персонала. К примеру, организуйте проведение курсов «Как быстро понять, что вас атакуют мошенники». Такие мероприятия должны быть обязательными для работников. Если вы решите потратить немного средств на курсы повышения квалификации, то они гарантированно окупятся с торицей. Если обучение поможет избежать хотя бы одной утечки информации, ваши инвестиции уже будут оправданными.

Программные средства защиты от утечки информации

Комплексные программные средства защиты от утечки информации предназначены для обеспечения безопасности всего информационного периметра. С их помощью можно обеспечивать сохранность данных в большинстве случаев, включая кибератаки и деятельность инсайдеров. В сфере информационной безопасности применяются следующие виды программных средств:

• программы анализа контента;
• криптографической защиты;
• DLS-системы.

Отдельно следует рассмотреть программы для анализа и контроля контента. Такие средства обеспечивают фильтрацию трафика, который передается на сторонние серверы. Их размещают между внутренними сетками компаний и выходами в глобальную сеть. Средства контентного анализа осуществляют обработку данных, разбивая их на служебные области, внутри которых информацию разделяют по критериям, заданным отделом безопасности.

Наиболее простой метод предполагает определение пометок «конфиденциально» или «для служебного пользования». При этом отправляемое сообщение должно шифроваться либо преобразовываться в графические или аудио файлы методами стеганографии.

Программные средства защиты от утечки информации

Криптографическое ПО обеспечивает шифрование информации на жестких и переносных накопителях, в пакетах данных, отправляемых по каналам связи. Ключи от шифра находятся на отдельных носителях, которые надежно защищены. В этом случае после хищения диска злоумышленники не смогут расшифровать защищенную информацию. К описанному способу Microsoft предлагает дополнительный вариант защиты, когда дешифрацию данных можно осуществить только при наличии соответствующих пользовательских прав.

Кроме внедрения специального ПО и оптимизации системной конфигурации специалисты в сфере информационной безопасности предприятий должны в рамках организационно-технических решений регулярно осуществлять мониторинг внутренней сети на предмет закладных устройств (электронные средства перехвата данных) и исследования по выявлению побочных электромагнитных излучений и наводок.

Такие мероприятия проводятся с использованием специального оборудования. Система защиты от утечки информации предполагает организацию пропускного режима на подконтрольном объекте, наличие срытых устройств, выявляющих электромагнитные излучения от различных посетителей, включая клиентов и представителей ремонтных компаний

Важно предотвратить угрозу внедрения в охраняемой зоне закладного оборудования, перехватывающего аудио информацию

Обеспечить максимальный уровень защиты от утечки информации может лишь комплексный подход с применением новейших технических средств и организационных мер.

3 примера громких утечек информации

«Яндекс.Еда»

Какая информация была раскрыта: имя, фамилия, контактный телефон, адрес поставки, комментарии и дата формирования заказа.

Актуальность информации: июнь 2021 — февраль 2022 года.

Количество: около 50 млн. заказов, 6,9 млн. контактов заказчиков.

Когда появились данные об утечке: 27.02.2022.

Как отреагировала компания: по факту утечки данных «Яндекс.Еда» сделала сообщение 01.03.2022, в котором указано, что ситуация произошла из-за недобросовестных действий работника компании.

Уже 22.03 в свободном доступе в сети интернет появилась интерактивная карта с данными пользователей этого сервиса. В конце весны к этой информации подтянули сведения из реестров ГИБДД, СДЭК, Wildberries, «Билайна», ВТБ, «ВК» и ряда других фирм. Но в данном случае появление данных уже не было связано с утечкой информации. Правонарушители просто подтянули данные из различных источников.

Клиенты сервиса «Яндекс.Еда» направили 2 коллективных иска. В них было выдвинуто требование по моральной компенсации в размере 100 000 руб. каждому пользователю. В соответствии с судебным решением, которое было принято в апреле, сервис по факту утечки данных был оштрафован на 60 тыс. руб. В середине лета еще один админпротокол был составлен Роскомнадзором.

Здесь предусматриваются штрафные санкции в размере от 60 до 100 тыс. руб. для компании «Яндекс.Еда». В августе по факту утечки данных и последующего разглашения персональной информации было возбуждено уголовное дело Следственным комитетом РФ.

Delivery Club

Какая информация была раскрыта: имя, контактный телефон, адреса доставки, е-мейл, данные заказа, цена, дата и время его оформления, IP-адрес.

Количество: 2,2 млн. заказов.

Актуальность информации: октябрь 2019 — июль 2021 года.

Когда появились данные об утечке: 20.05 и 10.06.2022.

Как отреагировала компания: Телеграм-канал «Утечка информации» сообщил, что конфиденциальные данные клиентов компании Delivery Club в два этапа появились в открытом доступе. Первые данные объемом 1 млн. строк с были опубликованы в конце весны, а затем примерно такое же количество информации появилось через месяц. Компания подтвердила утечку информации и сообщила о проведении собственного расследования.

СДЭК

Какая информация была раскрыта: ID клиента, контактный телефон, имя, фамилия, е-мейл, почтовый адрес.

Количество: десятки млн. клиентов.

Актуальность данных: нет информации.

Когда появились данные об утечке: 26.02.2022 года и 13.06.2022.

Как отреагировала компания: сервис СДЭК сообщил о двух случаях утечки информации с данными клиентов. Первый связан с хакерской атакой в конце зимы 2022 года. Были раскрыты сведения в размере 466 млн. строк (ID пользователей и контактные номера) и 822 млн. строк (фамилия, имя, е-мейл). По мнению специалистов из Infosecurity в результате утечки информации были раскрыты конфиденциальные данные примерно 19 млн клиентов сервиса.

В конце весны похищенные сведения появились в открытом доступе параллельно с данными «Яндекс.Еды», ГИБДД, ВТБ, а в начале лета клиенты СДЭК оформили коллективный иск.

Вторая порция данных пользователей СДЭК была раскрыта уже в середине лета. В этом файле было около 25 млн. контактных данных клиентов. Сервис сообщил о проведении внутреннего расследования, но не предоставил информации о причинах утечки информации.

Рекомендуем провести мероприятия по предотвращению утечек информации в будущем. Чтобы предупредить недобросовестные действия, нужно «под подпись» уведомить работников компании об ответственности за передачу конфиденциальных данных. Следует организовать обучение трудового коллектива нормам информационной безопасности. Это необходимая мера для защиты от фишинга и непреднамеренной передачи информации через спам и аналогичные каналы.

Первые действия при обнаружении утечки информации

При выявлении подтвержденного случая утечки информации можно говорить о необходимости реформы внутренней системы информационной безопасности. Нужно проанализировать некоторые характеристики инцидента. Это поможет устранить последствия утечки информации и предотвратить такие факты в будущем. Следует выяснить:

• Какие данные и в каком объеме потеряли конфиденциальность.
• Когда произошла утечка и сколько времени прошло до ее выявления. Если о таком факте вы получаете сведения от сторонних лиц, можно говорить о наличии существенных «пробоин» в системе безопасности информации.
• Кто допустил утечку данных или являлся ее организатором, какие преследовал цели.
• Кто и каким образом воспользовался конфиденциальными данными.

После установления всех обстоятельств инцидента следует быстро исправлять ситуацию

Важно не просто устранить последствия утечки информации, а сделать все необходимое, чтобы такая ситуация не повторилась

Определение размеров утечки

О факте хищения данных можно узнать от работника компании, который его заметил, или с помощью сигналов специального программного обеспечения. В первом случае для устранения последствий инцидента нужно найти виновника и рассказать ему, какие меры наказания могут быть приняты за создание угрозы информационной безопасности. После этого необходимо предпринять меры для дополнительной защиты канала утечки данных.

Теперь рассмотрим ситуацию, когда факт хищения информации был установлен системой DLP, осуществляющей контроль информационных каналов. Аналитический функционал системы обеспечивает фиксацию всех перемещений данных. При этом возможности обойти такой контроль нет. Система DLP способна выявить нарушения, даже если работник будет отправлять данные скриншотами в личной переписке со своего смартфона. Злоумышленник будет выявлен и понесет соответствующее наказание.

Определение размеров утечки

Напоминаем, что хищение информации является правонарушением, за которое виновник может быть приговорен к лишению свободы. Примеры таких ситуаций, которые происходят с предприимчивыми людьми, не знающими норм закона, встречаются в разных странах мира.

Поиск виновных

Утечка данных может быть преднамеренной или непреднамеренной. Рассмотрим потенциальные варианты случайной утери конфиденциальной информации:

• Работник, не подумав, открыл е-мейл со спамом, перешел по вредоносной ссылке, что позволило вирусной программе загрузиться на рабочем ПК. В результате произошла утечка части базы данных.
• Из-за редкой смены паролей или использования одного пароля для нескольких сервисов мошенники получили доступ к конфиденциальным данным.
• Работник отправил важную информацию, используя незащищенную вай-фай сеть в кафе, в результате чего она попала в открытый доступ.

Преднамеренная утечка информации отличается продуманным характером. При этом, такие случаи можно отслеживать и пресекать. Рассмотрим некоторые варианты таких утечек:

• Работник записал важную информацию на флэшку или дисковый накопитель, а затем вынес ее за пределы организации.
• Сотрудник осуществлял передачу секретных данных через личный мобильный телефон или планшет посторонним лицам, объясняя это тем, что на его персональные устройства не распространяются требования информационной безопасности.

Поиск виновных

В каждом из описанных выше примеров выявление виновных может обеспечить правильно настроенная система безопасности информации.

Устранение последствий утечки данных

После установления факта утечки информации следует предпринять ряд первоочередных мер:

• точно установить каналы, где произошла потеря данных, что обезопасить их в будущем;
• выявить виновных и применить к ним соответствующее наказание;
• провести стабилизационные мероприятия в соответствии с последствиями утечки информации: сообщить об инциденте партнерам, клиентам, а в особых случаях прокомментировать ситуацию в СМИ.

Причины утечек информации

Самые распространенные причины утечки информации:

• Недостаточная защищенность чужой информации доверенной стороной.
• Неумелое обращение с системами хранения данных (технические причины).

Такие причины имеют место при наличии условий, допускающих утечку:

Недостаточный уровень компетенции сотрудников, которые работают в сфере защиты информации, их недопонимание важности сохранности данных, а также безответственное отношение к своей деятельности.
Использование нелицензионного ПО или не прошедших аттестацию программ по защите клиентов и личных данных.
Недостаточный контроль над средствами защиты важных сведений.
Высокая текучка кадров, задействованных в данной сфере деятельности.

Для вас подарок! В свободном доступе до
06.08

Скачайте ТОП-10
нейросетей, которые помогут облегчить вашу работу

Чтобы получить подарок, заполните информацию в открывшемся окне

Перейти

Скачать
файл

Если произошла утечка информации, то вина за это лежит на работниках и руководителях организации, которая должна была заниматься ее защитой. Атаки злоумышленников можно предотвратить при соответствующем уровне компетентности и профессионализма сотрудников. Отметим, что существуют ситуации, на которые организация, отвечающая за сохранность данных, повлиять не может:

• Глобальные катастрофы.
• Природные катаклизмы.
• Неполадки на техстанциях, выход аппаратуры из строя.
• Неподходящий климат.

Виды защищаемой информации

В соответствии с Федеральным законом от 27.07.2006 №
149-ФЗ «Об информации,
информационных технологиях и о защите информации» информация делится на
общедоступную и информацию ограниченного доступа, которая в свою очередь
делится на конфиденциальную информацию и государственную тайну.

Общедоступная информация
— общеизвестные сведения, информация, доступ к которой в соответствии с
законодательством Российской Федерации не может быть ограничен.

Информация ограниченного доступа
(конфиденциального характера) — сведения, для которых установлен
специальный режим сбора, хранения, обработки, предоставления и
использования, доступ к которым ограничен в соответствии с федеральными
законами.

Сведения, составляющие государственную тайну
– защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной
и оперативно-розыскной деятельности, распространение которых может нанести
ущерб безопасности Российской Федерации.

Информация, к которой не может быть ограничен доступ (п. 4
ст. 8 закона №149-ФЗ):

1. Нормативным правовым актам, затрагивающим права, свободы и обязанности
   человека и гражданина, а также устанавливающим правовое положение
   организаций и полномочия государственных органов, органов местного
   самоуправления.
2. Информация о состоянии окружающей среды.
3. Информация о деятельности государственных органов и органов местного
   самоуправления, а также об использовании бюджетных средств (за исключением
   сведений, составляющих государственную или служебную тайну);
4. Информация, накапливаемой в открытых фондах библиотек, музеев и архивов,
   а также в государственных, муниципальных и иных информационных системах,
   созданных или предназначенных для обеспечения граждан (физических лиц) и
   организаций такой информацией;
5. Иная информация, недопустимость ограничения доступа к которой
   установлена федеральными законами.

Порядок обращения с информацией ограниченного доступа для организаций
госуправления определяется на основе Постановления Правительства Российской
Федерации от 03.11.94 №
1233 «Об утверждении Положения о порядке обращения
со служебной информацией ограниченного распространения в федеральных
органах исполнительной власти и уполномоченном органе управления
использованием атомной энергии».

Необходимость определения угроз безопасности информации определена
следующими нормативными документами:

1. Указ Президента РФ от 05.12.2016 №646
   «Об утверждении Доктрины информационной безопасности Российской Федерации».
2. Федеральный закон от 27.07.2006 №149
   -ФЗ «Об информации, информационных
   технологиях и о защите информации» (ст. 16).
3. Федеральный закон от 27.07.2006 №152
   -ФЗ «О персональных данных» (ст.
   19).

Подход к анализу угроз

Основой для анализа риска реализации угроз и формулирования требований к
разрабатываемой системе защиты ИС предполагает их обязательную
идентификацию, а именно:

• перечень возможных угроз информационной безопасности;
• оценки вероятностей их реализации;
• модель нарушителя.

Кроме выявления возможных угроз должен быть проведен анализ этих угроз на
основе их классификации по ряду признаков.

Каждый из признаков классификации отражает одно из
обобщенных требований к системе защиты. При этом угрозы, соответствующие
каждому признаку классификации, позволяют детализировать отражаемое этим
признаком требование.

Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:

• архитектура современных средств автоматизированной обработки информации,
• организационное, структурное и функциональное построение информационно-вычислительных систем и сетей,
• технологии и условия автоматизированной обработки информации

такие, что накапливаемая, хранимая и обрабатываемая информация подвержена
случайным влияниям чрезвычайно большого числа факторов. В силу этого
становится невозможным формализовать задачу описания полного множества
угроз.

Как следствие, для защищаемой системы определяют не полный перечень угроз,
а перечень классов угроз.

Субъективные уязвимости

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

ошибки

• при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения , инсталляции и загрузке программного обеспечения , эксплуатации программного обеспечения , вводе данных )
• при управлении сложными системами (при использовании возможностей самообучения систем , настройке сервисов универсальных систем , организации управления потоками обмена информации )
• при эксплуатации технических средств (при включении/выключении технических средств , использовании технических средств охраны , использовании средств обмена информацией )

нарушения

• режима охраны и защиты (доступа на объект , доступа к техническим средствам )
• режима эксплуатации технических средств (энергообеспечения , жизнеобеспечения )
• режима использования информации (обработки и обмена информацией , хранения и уничтожения носителей информации , уничтожения производственных отходов и брака )
• режима конфиденциальности (сотрудниками в нерабочее время , уволенными сотрудниками ).

Термины и определения

Объект защиты
– информация, носители информации, технические средства и технология их
обработки, а также средства защиты информации.

Объект информатизации
— совокупность информационных ресурсов, средств и систем обработки
информации, используемых в соответствии с заданной
информационной технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических средств), в которых
они установлены.

Защищаемые помещения (ЗП)
— помещения (служебные кабинеты, актовые, конференц-залы и т.д.),
специально предназначенные для проведения конфиденциальных мероприятий
(совещаний, обсуждений, конференций, переговоров и т.п.).

Автоматизированная система (АС)
– система, состоящая из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию выполнения
установленных функции.

Контролируемая зона (КЗ)
– это пространство (территория, здание, часть здания), в котором исключено
неконтролируемое пребывание сотрудников и посетителей организации, а также
транспортных, технических и иных материальных средств.

Специальные исследования (СИ)
– это выявление с использованием контрольно-измерительной аппаратуры
возможных каналов утечки защищаемой информации от основных и
вспомогательных технических средств и систем.

Специальная проверка (СП)
– это проверка технических средств и систем объекта защиты с целью
выявления возможно внедренных электронных устройств съема информации
(закладочных устройств).

Специальные обследования помещений
– комплекс мер в области защиты информации в части проведения работ по
выявлению электронных устройств, предназначенных для негласного получения
сведений в помещениях, где циркулирует информация ограниченного
пользования.

Аттестация объекта защиты
– это официальное подтверждение наличия на объекте защиты необходимых и
достаточных условий, обеспечивающих выполнение установленных требований РД
по ЗИ.

Утечка информации по техническому каналу
— это неконтролируемое распространение информации от носителя защищаемой
информации через физическую среду до технического средства, осуществляющего
перехват информации.

Основные технические средства и системы (ОТСС)
— технические средства и системы, а также их коммуникации, используемые для
обработки, хранения и передачи конфиденциальной информации.

К ОТСС относятся:

• технические средства АС управления, электронно-вычислительные машины и их
  отдельные элементы (СВТ);
• средства изготовления и размножения документов (СИРД);
• аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода;
• системы внутреннего телевидения; системы видеозаписи и видеовоспроизведения;
• системы оперативно-командной связи;
• системы внутренней автоматической телефонной связи, включая и
  соединительные линии перечисленного выше оборудования и т.д.

Вспомогательные технические средства и системы (ВТСС)
— технические средства и системы, не предназначенные для передачи,
обработки и хранения конфиденциальной информации, устанавливаемые совместно
с ОТСС или в защищаемых помещениях (на них могут воздействовать эл., магн.
и ак. поля опасного сигнала).

К ВТСС относятся:

• различного рода телефонные средства и системы;
• средства передачи данных в системе радиосвязи;
• системы охранной и пожарной сигнализации;
• средства оповещения и сигнализации;
• контрольно-измерительная аппаратура;
• системы кондиционирования;
• системы проводной радиотрансляционной сети и приема программ радиовещания
  и телевидения (абонентские громкоговорители, системы радиовещания,
  телевизоры и радиоприемники и т.д.);
• средства электронной оргтехники;
• средства и системы электрочасофикации;
• иные технические средства и системы.

Информативный сигнал
— электрические сигналы, акустические, электромагнитные и другие физические
поля, по параметрам которых может быть раскрыта защищаемая информация,
передаваемая, хранимая или обрабатываемая
в ОТСС или обсуждаемая в защищаемых помещениях.

Технический канал утечки информации
— совокупность объекта технической разведки, физической среды
распространения информативного сигнала и средств,
которыми добывается защищаемая информация.

Тестовый сигнал
– испытательный сигнал, эквивалентный по интересующим (заданным) параметрам
имитируемому опасному сигналу (требования определены в
ГОСТ Р29339-92).

Нормирование показателей защищенности
– установление нормативными документами численных значений показателей защищенности информации.

5 принципов информационной безопасности компании

К вопросу защищенности информации от утечки следует подходить комплексно, начиная с отбора сотрудников, их обучения и заканчивая внедрением правил работы (сейчас речь не о технических нормативах, а больше о бытовых, к примеру, «важную документацию на рабочем столе нельзя складывать лицевой стороной вверх»).

На предприятии необходимо внедрить нормативы общения по телефонам, порядок идентификации посетителей и тех, кто звонит сотрудникам компании. Уже после этого можно переходить к разработке системы информационной безопасности, включающей сеть, компьютерное оборудование и технологии.

«Принцип информационного шума»

Не следует быть полностью уверенным в собственной защищенности. Не стоит доверять важные и конфиденциальные данные различным носителям, облачным сервисам, шифрам и т.д

Важно понимать, что корпоративная информация может попасть посторонним лицам, поэтому она должна представляться в такой форме, чтобы несведущему человеку было сложно в ней разобраться

«Принцип разделения информации»

В организации только руководитель должен знать всю информацию о защите информации от утечки. В этом случае злоумышленнику придется собирать обрывки данных из большого числа источников.

«Принцип раскладывания по разным корзинам»

Пробуйте хранить и пересылать данные, используя несколько каналов. К примеру, никому не отправляйте одновременно логин и пароль. Пароль можно отправить по внутренней защищенной почте, а логин сообщить лично по телефону.

«Принцип здоровой паранойи»

Адекватная паранойя может свести утечку данных на нет. Нужно подозревать всех, не стоит думать, что современные технологии могут все. Помните, что любая информация может попасть посторонним. Попробуйте подстроить «учебную» утечку информации, а потом проследить за действиями персонала и определить виновника.