Получить консультацию по Solar Dozor

10 000 000 000 долларов за 5 лет. Таков урон компаний в мировом масштабе от хищения данных согласно исследованиям Cyentia Institute. Во многих случаях потери компаний из-за таких инцидентов — в 100 раз больше их годового дохода. Уберечься от подобных рисков помогут правильно выбранные и реализованные меры защиты конфиденциальной информации.

В п.1 ст.16 Федерального закона 149-ФЗ от 27.07.2006 в редакции от 29.12.2020 упоминаются 3 вида мер. Согласно этому документу «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на»:

  • Защиту важной для компании информации от несанкционированного доступа и модифицирования, блокирования, умышленного или неумышленного уничтожения, распространения и других действий.

  • Соблюдение конфиденциальности для данных, которые отнесены к категории имеющих ограниченный доступ.

  • Реализацию для заинтересованных (и допущенных) лиц прав на доступ к защищаемым конфиденциальным данным.

Давайте рассмотри эти 3 вида мер, и разберемся, как они реализуются.

Правовые меры

Под правовыми мерами стоит понимать международные и местные законы, указы, а также иные нормативные акты. Это — основа для построения системы информационной безопасности в компании, на предприятии или в государственном учреждении. Они регламентируют обращение с конфиденциальной и другими видами информации, дают рекомендации по организации системы защиты данных и другим вопросам. На основе этой группы мер разрабатываются мероприятия в рамках двух других групп.

При выработке мер по защите конфиденциальной информации рекомендуем опираться на следующие нормативные акты:

  • Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными.

  • 152-ФЗ. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR.

  • 17, 21 приказы ФСТЭК, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах». Касается в большей степени государственных учреждений, но и коммерческие организации (особенно использующие ГИС) смогут почерпнуть отсюда массу полезных сведений.

  • Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность.

  • 98-ФЗ. Здесь вы найдете критерии, по которым информацию можно отнести к коммерческой тайне, и сможете принять эффективные меры к ее защите.

Организационные меры защиты конфиденциальной информации

Разрабатываются внутри компании на основе правовых норм (мер), а также с учетом эффективных практик, методологий, исследований, отчетов и других документов по защите данных (например, OWASP TOP10).

Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т.д.

К этой категории мер стоит отнести:

  • Подготовку политики безопасности (информационной безопасности). Она строится на основе анализа рисков и включает в себя вопросы экономической, информационной, технической, кадровой, юридической безопасности компании. Еще одна функция ПБ — обоснование применяемых защитных мер. Причем политика должна включать только цели информационной безопасности, методы их достижения и ответственность. Детализация — в других мерах (см. ниже).

  • Регламентацию допуска сотрудников к информации, документам и ресурсам информационной системы.

  • Разработку системы и мероприятий по допуску посторонних лиц на объект, к элементам IT-инфраструктуры, документации.

  • Создание системы учета средств вычислительной техники, носителей информации, средств аутентификации, авторизации.

  • Разработку и планирование мероприятий по обучению персонала, аттестации и контроля знаний в области работы с конфиденциальной информацией.

  • Определение ответственности за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.

Получается, что организационные меры — это набор внутренних документов (приказов, регламентов, инструкций) регулирующих вопросы работы с конфиденциальной информацией и ее защиту.

Технические меры защиты конфиденциальной информации

Эта категория мер дополняет организационные и устраняет их недостатки. Реализуются путем использования технических решений.

Для их реализации могут использоваться такие решения, как:

  • Антивирусы для защиты отдельных компьютеров и целых сетей.

  • Межсетевые экраны для фильтрации трафика.

  • Системы предотвращения вторжений (IPS).

  • Системы обнаружения вторжений (IDS).

  • Системы предотвращения утечек (DLP).

  • Решения для мониторинга IT-инфраструктур.

  • VPN.

  • SIEM-системы для сбора и анализа сведений от различных компонентов системы информационной безопасности.

  • СКУД и их отдельные компоненты (видеонаблюдение, сигнализация и т.д.).

  • Аппаратные и программные средства для аутентификации и авторизации пользователей.

В некоторых источниках встречается упоминания про морально-этические меры защиты конфиденциальной информацию. К ним относят устоявшиеся в обществе нормы поведения. Понятно, что об эффективности таких мер говорить не приходится, ведь здесь все держится, можно сказать, на доверии и принятии человеком сложившихся общественных норм. Но все равно, некоторые компании умудряются использовать их в своей работе, даже оформляя в письменном виде (например, в форме кодекса чести и подобных документов).

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше
Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше