Рекомендации по предотвращению кражи информации сотрудниками компании:
1. Используйте доступ к BackOffice только с авторизацией, предусмотрите отсутствие возможности какого-либо анонимного доступа (к сожалению, этим пунктом пренебрегают очень часто).
2. Используйте такое ПО BackOffice, которое позволяет записывать в журналы все операции всех пользователей, а также разграничивать доступ к записям в базе на уровне прав доступа. Не рекомендуется использовать интерфейсные ограничения, ибо они, по сути, являются всего лишь защитой от ленивого дурака. Если сотрудник не дурак, или не ленивый, и у него есть умысел кражи, то такие ограничения не предотвратят утечку информации.
3. Используйте на рабочих местах дополнительное ПО, которое позволяет контролировать все действия пользователя и, опять же, записывать их в журнал. В том числе задания на принтер, копируемые файлы со съёмных носителей и копируемые на съемные носители, копируемые данные по сети (чтобы хранились копии файлов). Это достаточно специфические программы, и они являются платными.
4. Заберите права локального администратора на операционной системе, где работает сотрудник, чтобы он не мог отключать системы контроля действий.
5. При допуске сотрудника к BackOffice возьмите подписку о неразглашении коммерческой тайны, полученной в процессе выполнения должностных обязанностей. Это не спасёт наверняка, но остановит большинство злоумышленников, так как ответственность по ГК РФ огромная, о чем стоит так же напомнить в подписываемом документе.
Как видите, защита от внешних угроз реально менее трудоёмкая и выстроить её ощутимо проще. А вот защититься от злого умысла сотрудника, который имеет доступ к данным по долгу службы, намного сложнее и дороже. В компаниях, где работает 30-50 человек, для этих целей уже должен быть выделенный сотрудник, занимающий должность IT-безопасника, или совмещающий эту должность с должностью IT-специалиста. Он должен обладать нетривиальными знаниями и достаточным временем на поддержание систем контроля в рабочем состоянии и на мониторинг (конечно же, выборочный) того, что происходит. И даже тут есть «слабое звено» – сам сотрудник IT-безопасности. Поэтому надо не забывать, что залог успеха компании, её главный актив – это квалифицированные сотрудники.