Меры защиты конфиденциальной информации: правовые, организационные, технические и способы их реализации

10 000 000 000 долларов за 5 лет. Таков урон компаний в мировом масштабе от хищения данных согласно исследованиям Cyentia Institute. Во многих случаях потери компаний из-за таких инцидентов — в 100 раз больше их годового дохода. Уберечься от подобных рисков помогут правильно выбранные и реализованные меры защиты конфиденциальной информации.

В п.1 ст.16 Федерального закона 149-ФЗ от 27.07.2006 в редакции от 29.12.2020 упоминаются 3 вида мер. Согласно этому документу «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на»:

• Защиту важной для компании информации от несанкционированного доступа и модифицирования, блокирования, умышленного или неумышленного уничтожения, распространения и других действий.

• Соблюдение конфиденциальности для данных, которые отнесены к категории имеющих ограниченный доступ.

• Реализацию для заинтересованных (и допущенных) лиц прав на доступ к защищаемым конфиденциальным данным.

Давайте рассмотри эти 3 вида мер, и разберемся, как они реализуются.

Правовые меры

Под правовыми мерами стоит понимать международные и местные законы, указы, а также иные нормативные акты. Это — основа для построения системы информационной безопасности в компании, на предприятии или в государственном учреждении. Они регламентируют обращение с конфиденциальной и другими видами информации, дают рекомендации по организации системы защиты данных и другим вопросам. На основе этой группы мер разрабатываются мероприятия в рамках двух других групп.

При выработке мер по защите конфиденциальной информации рекомендуем опираться на следующие нормативные акты:

• Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными.

• 152-ФЗ. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR.

• 17, 21 приказы ФСТЭК, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах». Касается в большей степени государственных учреждений, но и коммерческие организации (особенно использующие ГИС) смогут почерпнуть отсюда массу полезных сведений.

• Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность.

• 98-ФЗ. Здесь вы найдете критерии, по которым информацию можно отнести к коммерческой тайне, и сможете принять эффективные меры к ее защите.

Организационные меры защиты конфиденциальной информации

Разрабатываются внутри компании на основе правовых норм (мер), а также с учетом эффективных практик, методологий, исследований, отчетов и других документов по защите данных (например, OWASP TOP10).

Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т.д.

К этой категории мер стоит отнести:

• Подготовку политики безопасности (информационной безопасности). Она строится на основе анализа рисков и включает в себя вопросы экономической, информационной, технической, кадровой, юридической безопасности компании. Еще одна функция ПБ — обоснование применяемых защитных мер. Причем политика должна включать только цели информационной безопасности, методы их достижения и ответственность. Детализация — в других мерах (см. ниже).

• Регламентацию допуска сотрудников к информации, документам и ресурсам информационной системы.

• Разработку системы и мероприятий по допуску посторонних лиц на объект, к элементам IT-инфраструктуры, документации.

• Создание системы учета средств вычислительной техники, носителей информации, средств аутентификации, авторизации.

• Разработку и планирование мероприятий по обучению персонала, аттестации и контроля знаний в области работы с конфиденциальной информацией.

• Определение ответственности за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.

Получается, что организационные меры — это набор внутренних документов (приказов, регламентов, инструкций) регулирующих вопросы работы с конфиденциальной информацией и ее защиту.

Технические меры защиты конфиденциальной информации

Эта категория мер дополняет организационные и устраняет их недостатки. Реализуются путем использования технических решений.

Для их реализации могут использоваться такие решения, как:

• Антивирусы для защиты отдельных компьютеров и целых сетей.

• Межсетевые экраны для фильтрации трафика.

• Системы предотвращения вторжений (IPS).

• Системы обнаружения вторжений (IDS).

• Системы предотвращения утечек (DLP).

• Решения для мониторинга IT-инфраструктур.

• VPN.

• SIEM-системы для сбора и анализа сведений от различных компонентов системы информационной безопасности.

• СКУД и их отдельные компоненты (видеонаблюдение, сигнализация и т.д.).

• Аппаратные и программные средства для аутентификации и авторизации пользователей.

В некоторых источниках встречается упоминания про морально-этические меры защиты конфиденциальной информацию. К ним относят устоявшиеся в обществе нормы поведения. Понятно, что об эффективности таких мер говорить не приходится, ведь здесь все держится, можно сказать, на доверии и принятии человеком сложившихся общественных норм. Но все равно, некоторые компании умудряются использовать их в своей работе, даже оформляя в письменном виде (например, в форме кодекса чести и подобных документов).