Прежде чем что-то защищать, необходимо определиться с тем,
что мы защищаем и от чего. На вопрос «что?» универсальным ответом будет: «информацию», а какую именно,
это уже должны определить работники конкретной организации.
Перед тем как проводить работы по защите информации,
необходимо классифицировать информацию, используемую в компании,
а также определить, какая именно информация будет находиться
на ноутбуках и других устройствах.
Это очень важный шаг, т.к. он во многом определяет необходимый уровень защиты.
Определившись с объектом защиты, перейдем к угрозам.
Если брать во внимание ноутбуки и другие портативные устройства,
то основной угрозой является несанкционированный доступ к находящейся на них информации.
Другие угрозы, связанные с целостностью информации, ее доступностью и пр., отходят на второй план.
Несанкционированный доступ к информации может быть получен злоумышленником посредством различных
техник и технологий: через сетевой взлом, путем вирусной атаки, кражей ноутбука,
посредством обхода системы аутентификации, в результате ошибок и невнимательности персонала и т.д.
Я не буду подробно останавливаться на методике оценки рисков, поскольку это довольно большая тема
и она выходит за рамки этой статьи. Скажу лишь, что, помимо классификации информации и идентификации угроз,
перед непосредственной оценкой рисков необходимо определить уязвимости объектов защиты,
а также вероятность их эксплуатации. На основе этих данных проводится оценка рисков.
Результат может выражаться как в качественном отношении (например, высокий,средний или низкий риск),
так и в количественном (какой ущерб в денежном эквиваленте потерпит организация в результате эксплуатации уязвимости).
Опираясь на результаты оценки рисков, руководство компании должно принять решение,
какие из них являются неприемлемыми и на какие издержки оно готово пойти для их снижения.
От этого решения будет зависеть бюджет на закупку и внедрение средств по обеспечению информационной безопасности.
На основании вышеприведенных угроз можно выделить основные классы
программных и программноаппаратных продуктов, направленных на защиту от них.
К ним относятся: персональные брандмауэры, антивирусные программы.
IPS уровня хоста (HIPS), системы предотвращения утечки информации (Data Leak Prevention — DLP),
системы шифрования жестких дисков, средства двухфакторной аутентификации. VPN-клиенты.

Примеры:
Тысячи записей персональных данных бывших и действующих сотрудников Стэнсрордского университета были на похищенном ноутбуке,
принадлежащем университету.

Данные более чем о 10 ООО клиентах Bank of Ireland были украдены с ноутбука,
принадлежащего банку. Всего за последний год подобным образом пострадало 30 ООО клиентов этого банка.
Утечка персональных данных более чем 54 ООО человек в результате кражи ноутбука и магнитных лент в университетах Майами и Виржинии.

В результате кражи ноутбука произошла утечка персонапьной информации более 800 бывших и настоящих работников Pfizer.
Утечка персональных данных сопредседателя конгресса США в результате кражи ноутбука.

В результате кражи ноутбука произошла утечка персональных данных более чем 3 ООО пациентов.
80 стволов огнестрельного оружия и 230 ноутбуков, принадлежащих Администрации по контролю над оборотом наркотиков, были похищены.
Персональные данные более 51 ООО работников Agilent Technologies были похищены на корпоративном ноутбуке.
Данные о 4 800 пациентах были скомпрометированы в результате кражи ноутбука в Университете Здравоохранения.
Два ноутбука, содержащих записи более чем о 320 ООО донорах крови, были похищены из главного офиса Lifeblood.
В результате кражи ноутбука из общежития были скомпрометированы медицинские записи более 30 ООО человек.
Персональные данные 26 ООО работников компании Marks & Spencer были украдены вместе с ноутбуком.
Два ноутбука, содержащих номера социального страхования 337 ООО проголосовавших в Нешвиле, были похищены.