Защита конфиденциальной информации входит в число приоритетных задач для любой организации, имеющей бизнес-процессы, в которых участвуют персональные данные, коммерческая и другие виды тайны, независимо от специфики деятельности компании. Прежде чем внедрить систему защиты данных, компания должна разработать регламент по работе с конфиденциальной информацией: разделить ее на категории по важности и ценности, обозначить правила ее хранения, обработки, уничтожения, правила доступа к сведениям ограниченного доступа, сформировать список ответственных лиц, осуществляющих контроль и работу с конфиденциальной информацией. Без этого невозможно обеспечить высокий уровень безопасности, а также обосновать бюджет на внедрение системы защиты данных, какой бы технически продвинутой она ни была.

Нормативно-правовая база, регулирующая конфиденциальность и защиту информации

Защита конфиденциальной информации невозможна без понимания базовых терминов в этой области и применения на практике законодательства РФ, регулирующего порядок и методы обеспечения конфиденциальности, защиты информационных ресурсов. Основополагающими нормативно-правовыми актами в этой области являются:

Конфиденциальность информации подразумевает сохранение тайны и закрытого доступа к сведениям, представляющим особую ценность и важность для субъекта данных. Согласно Указу Президента РФ от 6.03.1997 г. N 188 принят список информации, входящей в категорию конфиденциальной и требующей особых правил обработки, хранения, защиты.

Классификация информации по степени конфиденциальности

Любая информация, создаваемая и обрабатываемая в рамках бизнес-процессов, отличается огромным многообразием видов. Ее ценность может быть разной, а порядок использования и доступ к ней должны быть регламентированы. В связи с этим требуется проведение организационно-правовых мер внутри компании для того, чтобы меры защиты конфиденциальной информации носили направленный характер и были понятны приоритеты. Принято подразделять конфиденциальные сведения на категории:

  • Первая. Отличается отсутствием ограничений как таковых. Подходит для использования внутри организации и за ее пределами.

  • Вторая. Предполагает исключительно служебное использование. В свою очередь, делится на доступную для всего персонала и требующую отдельного права доступа. Тем не менее, возможны варианты передачи сведений с привилегированным доступом обычным сотрудникам, если этого требует выполнение должностных обязанностей.

  • Третья. Строго ограниченные в доступе данные, предназначенные для особо уполномоченных работников. Не могут быть переданы остальному персоналу ни целиком, ни частично.

классификация информации по степени конфиденциальности

Согласно приведенной классификации, сведения второй и третьей категорий относятся в разряд конфиденциальных. При работе с ними требуется соблюдение политик безопасности, наличие прав доступа. Типичными примерами конфиденциальной информации считаются:

  1. Государственная тайна. Данные, связанные с обеспечением национальной безопасности. Их раскрытие несет риски нанесения ущерба безопасности государства. Защита конфиденциальной информации такого вида носит приоритетный характер. Сюда относятся сведения, затрагивающие военную, внешнеполитическую, экономическую деятельность государства. Большинство сведений, составляющих государственную тайну, имеет свой гриф секретности и доступно ограниченному числу лиц. Типичными примерами подобной информации считаются стратегические планы, данные о дисклокации войсковых частей и объектов обороны, некоторая часть расходов государственного бюджета.

  2. Коммерческая тайна. Данные технического, экономического, производственного видов, связанные с осуществлением профессиональной деятельности организации, имеющие ценность для бизнеса и сопутствующих ему процессов ввиду неизвестности и недоступности третьей стороне. Например, это стратегии и планы развития бизнеса, БД поставщиков товаров и услуг, БД клиентов, сведения, раскрывающие особенности производства и так далее.

  3. Банковская тайна. Данные, связанные с клиентами, банковскими счетами и операциями, которые при раскрытии могут нанести финансовый или репутационный урон ее владельцу. Разглашение допускается исключительно в случаях осуществления правосудия или по требованию государственных органов. Сюда относятся кредитные обязательства клиента перед банком, финансовая отчетность по счетам.

Помимо вышеперечисленного бывают адвокатская, судебная, личная тайны, ПДн и т.д. Полный перечень сведений конфиденциального типа обозначен в Указе Президента РФ от 6.03.1997 г. N 188.

Особенности защиты конфиденциальных данных

Учитывая важность и ценность конфиденциальных данных, необходимо придерживаться единой стратегии безопасности конфиденциальной информации, а также соответствовать требованиям нормативно-правовой базы. Требования и рекомендации в этой области обозначены в ФЗ № 149. Специфика защиты конфиденциальных данных подразумевает:

  • Категоризацию сведений. Помогает расставить приоритеты защиты с учетом опасности потенциальных утечек.

  • Лицензирование деятельности. Позволяет поддержать и сохранить конфиденциальность там, где ведется узкоспециализированная деятельность или используются изобретения, ноу-хау и другие собственные разработки компании.

  • Сертификацию информации. Направлена на подтверждение принятых защитных мер, которые установлены в действующем законодательстве. Сюда относятся поверка средств и методов защиты конфиденциальной информации.

  • Аттестацию деятельности. Связана с проверкой выполнения требований по защите информации, присутствия обязательных технических средств для поддержания информационной безопасности.

Уровни защиты конфиденциальной информации

Перед принятием конкретных защитных мер необходимо определиться с выбором уровней защиты, которые помогают подойти к обеспечению информационной безопасности комплексно и эффективно. Выделяют три уровня защиты:

  1. Организационный. Включает меры управленческого характера, направленные на следование правилам работы с конфиденциальными сведениями, ограничение доступа, поддержание требований информационной безопасности. Выражается в создании регламента по работе с информацией, назначении ответственных лиц, следящих за его исполнением в компании.

  2. Правовой. Связан с использованием норм и требований законодательства. Реализуется посредством заключения с персоналом организации различных соглашений и договоров, направленных на поддержание конфиденциальности сведений, обеспечение защиты. Например, соглашение о неразглашении коммерческой тайны, положение о защите ПДн, правила ручной обработки информации.

  3. Технический. Отождествляется с использованием технических средств, направленных на поддержание безопасной передачи, обработки, хранения данных. Включает инженерно-технический, программно-аппаратный, криптографический подуровни.

Мероприятия по обеспечению защиты конфиденциальной информации

Порядок обеспечения информационной безопасности в отношении сведений конфиденциального типа включает следующие мероприятия:

  • Создание подробного перечня сведений, входящих в категорию конфиденциальных. Это могут быть коммерческая тайна, специфические внутренние данные, не подлежащие разглашению. Параллельно с этим рассматриваются вопросы поддержания информационной безопасности и защиты конфиденциальной информации в смежных организациях, которые располагают правом доступа к ней.

  • Разработка подходов к безопасному хранению сведений. Включает подбор защищенных помещений, правила работы и использования носителей информации, выбор специализированного и сертифицированного ПО для работы с данными.

  • Оценка и проверка проведенных защитных мер. Проходит в форме независимого аудита для подтверждения или опровержения принятых мер.

защита конфиденциальной информации

Защита конфиденциальной информации подразумевает комплекс организационно-правовых, программно-аппаратных, инженерно-технических, криптографических мероприятий, нацеленных на поддержание и улучшение текущего уроня безопасности.

Организационно-правовые мероприятия включают:

  • Создание специального отдела в организации, ведущего контроль информационной безопасности, а также лиц, ответственных за проверку исполнения мер.

  • Составление подробного перечня, составляющего конфиденциальные сведения.

  • Создание и внедрение внутренних правил по работе с информацией, требований по ее защите в штатных и чрезвычайных ситуациях.

  • Введение пропускного и ограничительного режимов на территории компании, препятствующих краже информации.

  • Подписание с персоналом документов, актов, обозначающих правила работы с конфиденциальными сведениями, порядок их защиты, поддержание режима тайны.

  • Проведение разъяснительных, обучающих мероприятий с сотрудниками для разъяснения ответственности за нецелевое использование сведений, их уничтожение, потерю, передачу третьим лицам.

Программно-аппаратные мероприятия включают:

  • Внедрение в работу организации программного обеспечения, по мониторингу информационных систем, управлению доступом к конфиденциальной информации и контролю за ее движением внутри периметра организации и за ее пределы.

  • Регулярное использование программных СЗИ согласно уровню критичности данных.

Инженерно-технические мероприятия включают:

  • Создание условий для изолирования ценной информации от случайных посягательств. Включают установку ограждений, сейфов, замков, препятствующих свободному доступу к данным.

  • Установка вспомогательного оборудования, пресекающего и выявляющего случаи кражи информации. Например, видеонаблюдение, сигнализация, средства, выявляющие жучки, скрытую съемку.

Криптографические мероприятия включают:

  • Разработку, внедрение собственных паролей, шифров, препятствующих легкому извлечению важной информации из мест хранения или ее дальнейшему использованию.

  • Внедрение криптографических ключей для шифрования данных.

  • Выделение отдельных каналов связи с шифрованием и безопасной передачей сведений.

ответственность за разглашение конфиденциальной информации

Ответственность за разглашение конфиденциальной информации

Нарушение законодательства в области защиты информационных активов карается согласно нормам дисциплинарной, административной, гражданской, уголовной ответственности. К нарушителю, в зависимости от тяжести последствий и вида нарушения, могут применяться следующие меры наказания:

  • Выговор, увольнение

  • Назначение штрафа в размере 500 – 1 000 000 рублей

  • Лишение свободы сроком от трех до пяти лет

Конкретные наказания, виды ответственности описаны более подробно в статье.

Средства защиты конфиденциальной информации

Для поддержания конфиденциальности и безопасности данных используется множество программных решений, как в виде ПО, так и программно-аппартных комплексов. Одним из примеров средства защиты конфиденциальной информации являются системы предотвращения утечек данных – DLP-системы. DLP-cистемы содержат инструменты пассивного и активного контроля за действиями пользователей в информационной системе, мониторинга каналов коммуникаций, мест хранения данных для предотвращения их утечек. Задачи, решаемые с помощью DLP-систем, можно разделить на несколько групп:

  1. Информационная безопасность

    • Защита информации от утечек

    • Контроль передачи и хранения информации

    • Проведение расследований инцидентов и выявление причин нарушений

    • Профилактика инцидентов ИБ

  2. Экономическая безопасность

    • Выявление признаков корпоративного мошенничества

    • Мониторинг коммуникаций по ключевым сделкам

    • Мониторинг непрерывности ключевых бизнес-процессов

    • Мониторинг коммуникаций с контрагентами

    • Выявление и мониторинг групп риска (должники, игроманы, транжиры и т. д.)

    • Проведение расследований и сбор доказательной базы

    • Управление конфликтом интересов

    • Выявление признаков аффилированности и проведение расследований

    • Выявление фактов вымогательства и получения взяток

    • Выявление и мониторинг групп риска (друзья, охотники, старослужащие и т. д.)

  3. Внутренняя безопасность:

    • Выявление конфликтов интересов

    • Контроль исполнения управленческих решений

    • Контроль реакции на приказы и распоряжения

    • Выявление лоббирования управленческих решений

    • Выявление сокрытия нарушений

    • Контроль климата в коллективе

    • Контроль рабочего времени

    • Выявление фактов саботажа

    • Выявление распространителей слухов и инсайдеров

    • Выявление сокрытия нарушений режима охраны

    • Профилактика экстремизма и терроризма.

средства защиты конфиденциальной информации

Учитывая высокую ценность конфиденциальных данных и необходимость постоянного их использования в бизнес-процессах, вопрос защиты конфиденциальной информации становится одним из самых приоритетных направлений в области кибербезопасности. Он предполагает создание стратегии безопасности данных и проведение защитных мероприятий.