8 (800) 302-85-23

29.01.2021

Меры защиты конфиденциальной информации: правовые, организационные, технические и способы их реализации

Меры защиты конфиденциальной информации: правовые, организационные, технические и способы их реализации
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

10 000 000 000 долларов за 5 лет. Таков урон компаний в мировом масштабе от хищения данных согласно исследованиям Cyentia Institute. Во многих случаях потери компаний из-за таких инцидентов — в 100 раз больше их годового дохода. Уберечься от подобных рисков помогут правильно выбранные и реализованные меры защиты конфиденциальной информации.

В п.1 ст.16 Федерального закона 149-ФЗ от 27.07.2006 в редакции от 29.12.2020 упоминаются 3 вида мер. Согласно этому документу «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на»:

  • Защиту важной для компании информации от несанкционированного доступа и модифицирования, блокирования, умышленного или неумышленного уничтожения, распространения и других действий.

  • Соблюдение конфиденциальности для данных, которые отнесены к категории имеющих ограниченный доступ.

  • Реализацию для заинтересованных (и допущенных) лиц прав на доступ к защищаемым конфиденциальным данным.

Давайте рассмотри эти 3 вида мер, и разберемся, как они реализуются.

Правовые меры

Под правовыми мерами стоит понимать международные и местные законы, указы, а также иные нормативные акты. Это — основа для построения системы информационной безопасности в компании, на предприятии или в государственном учреждении. Они регламентируют обращение с конфиденциальной и другими видами информации, дают рекомендации по организации системы защиты данных и другим вопросам. На основе этой группы мер разрабатываются мероприятия в рамках двух других групп.

При выработке мер по защите конфиденциальной информации рекомендуем опираться на следующие нормативные акты:

  • Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными.

  • 152-ФЗ. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR.

  • 17, 21 приказы ФСТЭК, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах». Касается в большей степени государственных учреждений, но и коммерческие организации (особенно использующие ГИС) смогут почерпнуть отсюда массу полезных сведений.

  • Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность.

  • 98-ФЗ. Здесь вы найдете критерии, по которым информацию можно отнести к коммерческой тайне, и сможете принять эффективные меры к ее защите.

Организационные меры защиты конфиденциальной информации

Разрабатываются внутри компании на основе правовых норм (мер), а также с учетом эффективных практик, методологий, исследований, отчетов и других документов по защите данных (например, OWASP TOP10).

Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т.д.

К этой категории мер стоит отнести:

  • Подготовку политики безопасности (информационной безопасности). Она строится на основе анализа рисков и включает в себя вопросы экономической, информационной, технической, кадровой, юридической безопасности компании. Еще одна функция ПБ — обоснование применяемых защитных мер. Причем политика должна включать только цели информационной безопасности, методы их достижения и ответственность. Детализация — в других мерах (см. ниже).

  • Регламентацию допуска сотрудников к информации, документам и ресурсам информационной системы.

  • Разработку системы и мероприятий по допуску посторонних лиц на объект, к элементам IT-инфраструктуры, документации.

  • Создание системы учета средств вычислительной техники, носителей информации, средств аутентификации, авторизации.

  • Разработку и планирование мероприятий по обучению персонала, аттестации и контроля знаний в области работы с конфиденциальной информацией.

  • Определение ответственности за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.

Получается, что организационные меры — это набор внутренних документов (приказов, регламентов, инструкций) регулирующих вопросы работы с конфиденциальной информацией и ее защиту.

Технические меры защиты конфиденциальной информации

Эта категория мер дополняет организационные и устраняет их недостатки. Реализуются путем использования технических решений.

Для их реализации могут использоваться такие решения, как:

  • Антивирусы для защиты отдельных компьютеров и целых сетей.

  • Межсетевые экраны для фильтрации трафика.

  • Системы предотвращения вторжений (IPS).

  • Системы обнаружения вторжений (IDS).

  • Системы предотвращения утечек (DLP).

  • Решения для мониторинга IT-инфраструктур.

  • VPN.

  • SIEM-системы для сбора и анализа сведений от различных компонентов системы информационной безопасности.

  • СКУД и их отдельные компоненты (видеонаблюдение, сигнализация и т.д.).

  • Аппаратные и программные средства для аутентификации и авторизации пользователей.

В некоторых источниках встречается упоминания про морально-этические меры защиты конфиденциальной информацию. К ним относят устоявшиеся в обществе нормы поведения. Понятно, что об эффективности таких мер говорить не приходится, ведь здесь все держится, можно сказать, на доверии и принятии человеком сложившихся общественных норм. Но все равно, некоторые компании умудряются использовать их в своей работе, даже оформляя в письменном виде (например, в форме кодекса чести и подобных документов).

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.