Защита финансовой информации: как избежать утечек
Узнать больше10 000 000 000 долларов за 5 лет. Таков урон компаний в мировом масштабе от хищения данных согласно исследованиям Cyentia Institute. Во многих случаях потери компаний из-за таких инцидентов — в 100 раз больше их годового дохода. Уберечься от подобных рисков помогут правильно выбранные и реализованные меры защиты конфиденциальной информации.
В п.1 ст.16 Федерального закона 149-ФЗ от 27.07.2006 в редакции от 29.12.2020 упоминаются 3 вида мер. Согласно этому документу «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на»:
-
Защиту важной для компании информации от несанкционированного доступа и модифицирования, блокирования, умышленного или неумышленного уничтожения, распространения и других действий.
-
Соблюдение конфиденциальности для данных, которые отнесены к категории имеющих ограниченный доступ.
-
Реализацию для заинтересованных (и допущенных) лиц прав на доступ к защищаемым конфиденциальным данным.
Давайте рассмотри эти 3 вида мер, и разберемся, как они реализуются.
Правовые меры
Под правовыми мерами стоит понимать международные и местные законы, указы, а также иные нормативные акты. Это — основа для построения системы информационной безопасности в компании, на предприятии или в государственном учреждении. Они регламентируют обращение с конфиденциальной и другими видами информации, дают рекомендации по организации системы защиты данных и другим вопросам. На основе этой группы мер разрабатываются мероприятия в рамках двух других групп.
При выработке мер по защите конфиденциальной информации рекомендуем опираться на следующие нормативные акты:
-
Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными.
-
152-ФЗ. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR.
-
17, 21 приказы ФСТЭК, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах». Касается в большей степени государственных учреждений, но и коммерческие организации (особенно использующие ГИС) смогут почерпнуть отсюда массу полезных сведений.
-
Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность.
-
98-ФЗ. Здесь вы найдете критерии, по которым информацию можно отнести к коммерческой тайне, и сможете принять эффективные меры к ее защите.
Организационные меры защиты конфиденциальной информации
Разрабатываются внутри компании на основе правовых норм (мер), а также с учетом эффективных практик, методологий, исследований, отчетов и других документов по защите данных (например, OWASP TOP10).
Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т.д.
К этой категории мер стоит отнести:
-
Подготовку политики безопасности (информационной безопасности). Она строится на основе анализа рисков и включает в себя вопросы экономической, информационной, технической, кадровой, юридической безопасности компании. Еще одна функция ПБ — обоснование применяемых защитных мер. Причем политика должна включать только цели информационной безопасности, методы их достижения и ответственность. Детализация — в других мерах (см. ниже).
-
Регламентацию допуска сотрудников к информации, документам и ресурсам информационной системы.
-
Разработку системы и мероприятий по допуску посторонних лиц на объект, к элементам IT-инфраструктуры, документации.
-
Создание системы учета средств вычислительной техники, носителей информации, средств аутентификации, авторизации.
-
Разработку и планирование мероприятий по обучению персонала, аттестации и контроля знаний в области работы с конфиденциальной информацией.
-
Определение ответственности за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.
Получается, что организационные меры — это набор внутренних документов (приказов, регламентов, инструкций) регулирующих вопросы работы с конфиденциальной информацией и ее защиту.
Технические меры защиты конфиденциальной информации
Эта категория мер дополняет организационные и устраняет их недостатки. Реализуются путем использования технических решений.
Для их реализации могут использоваться такие решения, как:
-
Антивирусы для защиты отдельных компьютеров и целых сетей.
-
Межсетевые экраны для фильтрации трафика.
-
Системы предотвращения вторжений (IPS).
-
Системы обнаружения вторжений (IDS).
-
Решения для мониторинга IT-инфраструктур.
-
VPN.
-
SIEM-системы для сбора и анализа сведений от различных компонентов системы информационной безопасности.
-
СКУД и их отдельные компоненты (видеонаблюдение, сигнализация и т.д.).
-
Аппаратные и программные средства для аутентификации и авторизации пользователей.
В некоторых источниках встречается упоминания про морально-этические меры защиты конфиденциальной информацию. К ним относят устоявшиеся в обществе нормы поведения. Понятно, что об эффективности таких мер говорить не приходится, ведь здесь все держится, можно сказать, на доверии и принятии человеком сложившихся общественных норм. Но все равно, некоторые компании умудряются использовать их в своей работе, даже оформляя в письменном виде (например, в форме кодекса чести и подобных документов).