С проблемой сохранности конфиденциальной информации и коммерческой тайны сталкивались и раньше, но по мере увеличения использования электронных средств обработки и хранения данных, вероятность их утечки и незаконного копирования значительно возросла. Если раньше для кражи конфиденциальных данных нужно было физически вынести их с завода, то сейчас это можно сделать, получив доступ к серверу через электронные каналы связи или записав информацию на небольшую карту памяти. Наиболее уязвимыми к краже являются такие данные, как:
- информация о реальном финансовом положении компании,
- инновационные разработки научно-технических отделов,
- регистрационные данные для доступа к защищенным серверам,
- персональные данные работников.
При разработке мер по обеспечению
информационной безопасности необходимо учитывать, что все данные, хранящиеся в IT-инфраструктуре компании и архивах, должны быть защищены. Нельзя допускать деления данных на категории, так как любая информация может стать объектом кражи или утечки и причинить компании серьезный ущерб. Сохранение конфиденциальности должно быть осуществлено на всех уровнях, начиная от доступа к компьютерам и заканчивая физической защитой серверов и хранилищ данных. Кроме того, необходимо убедиться, что все сотрудники компании осведомлены о правилах обработки и хранения конфиденциальной информации, а также о мерах, предпринимаемых для ее защиты.
Для обеспечения полноценной и надежной информационной безопасности предприятия необходим комплексный и системный подход, учитывающий все актуальные и потенциальные угрозы и уязвимости. Для этого необходимо обеспечить непрерывный контроль, работающий круглосуточно на каждом этапе жизненного цикла информации - от момента ее поступления в инфраструктуру компании до потери ею актуальности или уничтожения. Реализация такого подхода помогает компании снизить риски и поддерживать их на приемлемом уровне. Существует несколько видов контроля информационной безопасности, которые могут быть внедрены для достижения этой цели. В частности, это может включать мониторинг сетевого трафика, контроль доступа к информации, аудит безопасности и др. Компания должна выбрать наиболее подходящий для себя набор мер и технологий, учитывая свои потребности и возможности.