Защита финансовой информации: как избежать утечек
Узнать большеСуществует 4 вида защиты конфиденциальной информации. Они описаны в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». В документе говорится о следующих видах защиты информации (далее — ЗИ):
1. правовая защита;
2. техническая (ТЗИ);
3. криптографическая;
4. физическая.
Что представляет собой каждый из этих четырех видов, на чем основывается и как реализуется защита важных данных в рамках каждого из них — об этом в нашей статье.
Правовая защита конфиденциальной информации
Под правовой защитой информации понимается защита, которая базируется на 3 составляющих:
· Разработка нормативных актов и законов, которыми регулируются отношения субъектов по защите информации.
· Применение этих документов.
· Надзор и контроль за надлежащим исполнением их положений.
Что это за документы, и кто их разрабатывает? Создаются они, можно сказать, на самом высоком уровне, — государственными органами и учреждениями. В России правовая защита обеспечивается множеством нормативных документов: указы президента РФ, постановления Правительства, документы ФСТЭК, ФСБ, Роскомнадзора и пр. Углубляться в их изучение следует исходя из специфики деятельности компании. Но все-таки можно выделить 4 основных нормативно-правовых акта, на которых основывается правовая защита конфиденциальной информации. Они актуальны для любой компании, независимо от сферы, в которой она работает. Эти документы представлены в таблице:
|
№ п/п |
Номер закона/руководящего документа |
Название |
Чем полезен при организации защиты информации |
|
1 |
149-ФЗ
|
Об информации, информационных технологиях и о защите информации
|
Главный закон в России, касающийся информационной безопасности и защиты информации. Здесь представлены ключевые понятия, какую информацию считать конфиденциальной, каковы требования к ее защите, рассматриваются меры ответственности за нарушение требований. |
|
2 |
152-ФЗ |
О персональных данных |
Регламентирует работу с персональными данными, помогает понять, какие сведения, отнести к этой категории. Поможет правильно организовать работу с личными сведениями сотрудников и клиентов. |
|
3 |
98-ФЗ |
О коммерческой тайне |
Определяет понятие коммерческой тайны, помогает разобраться, какие сведения относятся к ней, определяет действия руководства бизнес-субъектов по защите коммерческой тайны и ответственность за ее разглашение. |
|
4 |
187-ФЗ
|
О безопасности критической информационной инфраструктуры Российской Федерации
|
Следует брать в учет субъектам, чья деятельность может влиять на здоровье, безопасность и комфорт граждан. Сюда можно отнести различные сферы: здравоохранение, связь, предоставление транспортных услуг и пр. Закон поможет сформулировать требования к IT-инфраструктуре компании, в том числе и в области защиты конфиденциальной информации.
|
Таким образом правовая защита организуется на основе положений нормативно-правовых актов, издаваемых государственными структурами на разных уровнях.
Второй вид — техническая защита информации
При выборе средств технической защиты информации обращайте внимание на наличие у них сертификата ФСТЭК. Иначе в случае проверки ведомством есть вероятность получения запрета на ведение деятельности (в зависимости от специфики данных, с которыми работает компания).
Согласно ГОСТ Р 50922-2006 техническая защита информации реализуется при помощи некриптографических методов. Для этого используются 3 типа средств:
1. Технические.
2. Программные.
3. Программно-технические.
Технические средства включают электронные, электромеханические и физические устройства, встраивающиеся в IT-инфраструктуру для обеспечения информационной безопасности. Таких устройств немало, и они выполняют защиту информации на различных уровнях. Примеры устройств для организации технический защиты конфиденциальных данных:
· Размыкатели цепи (сети).
· Экранирующие корпуса для техники, защищающие от утечек информации посредствам паразитных электромагнитных излучений.
· Технические средства пространственного зашумления (генераторы шума, постановщики помех и иные устройства).
· Аппаратура контроля линий связи (индикаторные устройства, детекторы поля).
· Сетевые помехоподавляющие фильтры.
К программным средствам технической защиты конфиденциальной информации относится специализированное ПО. Видов такого программного обеспечения немало. Среди них:
· Антивирусы: для рабочих станций, виртуальных сред, сложных IT-инфраструктур.
· Межсетевые экраны.
· DLP.
· IPS.
· IDS.
· SIEM.
· UTM.
· NGEP.
· Сканеры безопасности
· Средства резервного копирования.
Программно-технические средства — это решения, объединяющие ПО и устройства. Существуют программно-технические межсетевые экраны, решения для защиты, средства идентификации и аутентификации пользователей, системы защиты периметра и иные решения.
Третий вид — криптографическая защита информации
Специальные средства осуществляют криптографическое преобразование защищаемой информации. Даже если она будет перехвачена, с расшифровкой возникнут проблемы. Расчеты показывают, что, например, для расшифровки ключа длиной 128 бит потребуются миллионы лет. Такие средства могут быть программными или аппаратно-программными. С их помощью шифруются документы, управляющие сигналы, подписи и другая важная информация. Реализовать криптографическую защиту информации можно с помощью ЭЦП, криптопровайдеров, специализированных браузерных плагинов, эмуляторов доверенной среды и прочих средств.
Физическая защита конфиденциальной информации
В этом случае речь идет об ограничении физического доступа к защищаемым данным. Для этого используются СКУД и их отдельные компоненты (системы видеонаблюдения, домофоны и пр.). Обычные замки или запирающие устройства тоже успешно справляются с этой функцией.
На какой вид сделать упор? Все зависит от специфики деятельности компании. Но в любом случае вам придется изучить документы, регламентирующие правовую защиту. Также (учитывая факт, что любая деятельность не обходится без технических решени) второй вид защиты информации придется изучить. Без физической тоже никуда: организовать хотя бы пропускной режим нужно практически каждому. А вот насчет криптографии можно определиться после анализа вероятных угроз важным данным, с которыми работает компания.
