8 (800) 302-85-23

08.02.2021

Виды защиты конфиденциальной информации

Виды защиты конфиденциальной информации

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

Существует 4 вида защиты конфиденциальной информации. Они описаны в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». В документе говорится о следующих видах защиты информации (далее — ЗИ):

1.            правовая защита;

2.            техническая (ТЗИ);

3.            криптографическая;

4.            физическая.

Что представляет собой каждый из этих четырех видов, на чем основывается и как реализуется защита важных данных в рамках каждого из них — об этом в нашей статье.

Правовая защита конфиденциальной информации

Под правовой защитой информации понимается защита, которая базируется на 3 составляющих:

·              Разработка нормативных актов и законов, которыми регулируются отношения субъектов по защите информации.

·              Применение этих документов.

·              Надзор и контроль за надлежащим исполнением их положений.

Что это за документы, и кто их разрабатывает? Создаются они, можно сказать, на самом высоком уровне, — государственными органами и учреждениями. В России правовая защита обеспечивается множеством нормативных документов: указы президента РФ, постановления Правительства, документы ФСТЭК, ФСБ, Роскомнадзора и пр. Углубляться в их изучение следует исходя из специфики деятельности компании. Но все-таки можно выделить 4 основных нормативно-правовых акта, на которых основывается правовая защита конфиденциальной информации. Они актуальны для любой компании, независимо от сферы, в которой она работает. Эти документы представлены в таблице:


№ п/п


Номер закона/руководящего документа


Название


Чем полезен при организации защиты информации


1


149-ФЗ

 


Об информации, информационных технологиях и о защите информации

 


Главный закон в России, касающийся информационной безопасности и защиты информации. Здесь представлены ключевые понятия, какую информацию считать конфиденциальной, каковы требования к ее защите, рассматриваются меры ответственности за нарушение требований.


2


152-ФЗ


О персональных данных


Регламентирует работу с персональными данными, помогает понять, какие сведения, отнести к этой категории. Поможет правильно организовать работу с личными сведениями сотрудников и клиентов.


3


98-ФЗ


О коммерческой тайне


Определяет понятие коммерческой тайны, помогает разобраться, какие сведения относятся к ней, определяет действия руководства бизнес-субъектов по защите коммерческой тайны и ответственность за ее разглашение.


4


187-ФЗ

 


О безопасности критической информационной инфраструктуры Российской Федерации

 


Следует брать в учет субъектам, чья деятельность может влиять на здоровье, безопасность и комфорт граждан. Сюда можно отнести различные сферы: здравоохранение, связь, предоставление транспортных услуг и пр. Закон поможет сформулировать требования к IT-инфраструктуре компании, в том числе и в области защиты конфиденциальной информации.

 



 

Таким образом правовая защита организуется на основе положений нормативно-правовых актов, издаваемых государственными структурами на разных уровнях.

Второй вид — техническая защита информации

При выборе средств технической защиты информации обращайте внимание на наличие у них сертификата ФСТЭК. Иначе в случае проверки ведомством есть вероятность получения запрета на ведение деятельности (в зависимости от специфики данных, с которыми работает компания).

Согласно ГОСТ Р 50922-2006 техническая защита информации реализуется при помощи некриптографических методов. Для этого используются 3 типа средств:

1.            Технические.

2.            Программные.

3.            Программно-технические.

Технические средства включают электронные, электромеханические и физические устройства, встраивающиеся в IT-инфраструктуру для обеспечения информационной безопасности. Таких устройств немало, и они выполняют защиту информации на различных уровнях. Примеры устройств для организации технический защиты конфиденциальных данных:

·              Размыкатели цепи (сети).

·              Экранирующие корпуса для техники, защищающие от утечек информации посредствам паразитных электромагнитных излучений.

·              Технические средства пространственного зашумления (генераторы шума, постановщики помех и иные устройства).

·              Аппаратура контроля линий связи (индикаторные устройства, детекторы поля).

·              Сетевые помехоподавляющие фильтры.

К программным средствам технической защиты конфиденциальной информации относится специализированное ПО. Видов такого программного обеспечения немало. Среди них:

·              Антивирусы: для рабочих станций, виртуальных сред, сложных IT-инфраструктур.

·              Межсетевые экраны.

·              DLP.

·              IPS.

·              IDS.

·              SIEM.

·              UTM.

·              NGEP.

·              Сканеры безопасности

·              Средства резервного копирования.

Программно-технические средства — это решения, объединяющие ПО и устройства. Существуют программно-технические межсетевые экраны, решения для защиты, средства идентификации и аутентификации пользователей, системы защиты периметра и иные решения.

Третий вид — криптографическая защита информации

Специальные средства осуществляют криптографическое преобразование защищаемой информации. Даже если она будет перехвачена, с расшифровкой возникнут проблемы. Расчеты показывают, что, например, для расшифровки ключа длиной 128 бит потребуются миллионы лет. Такие средства могут быть программными или аппаратно-программными. С их помощью шифруются документы, управляющие сигналы, подписи и другая важная информация. Реализовать криптографическую защиту информации можно с помощью ЭЦП, криптопровайдеров, специализированных браузерных плагинов, эмуляторов доверенной среды и прочих средств.

Физическая защита конфиденциальной информации

В этом случае речь идет об ограничении физического доступа к защищаемым данным. Для этого используются СКУД и их отдельные компоненты (системы видеонаблюдения, домофоны и пр.). Обычные замки или запирающие устройства тоже успешно справляются с этой функцией.

 

На какой вид сделать упор? Все зависит от специфики деятельности компании. Но в любом случае вам придется изучить документы, регламентирующие правовую защиту. Также (учитывая факт, что любая деятельность не обходится без технических решени) второй вид защиты информации придется изучить. Без физической тоже никуда: организовать хотя бы пропускной режим нужно практически каждому. А вот насчет криптографии можно определиться после анализа вероятных угроз важным данным, с которыми работает компания.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.