Существует 4 вида защиты конфиденциальной информации. Они описаны в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». В документе говорится о следующих видах защиты информации (далее — ЗИ):

1.            правовая защита;

2.            техническая (ТЗИ);

3.            криптографическая;

4.            физическая.

Что представляет собой каждый из этих четырех видов, на чем основывается и как реализуется защита важных данных в рамках каждого из них — об этом в нашей статье.

Правовая защита конфиденциальной информации

Под правовой защитой информации понимается защита, которая базируется на 3 составляющих:

·              Разработка нормативных актов и законов, которыми регулируются отношения субъектов по защите информации.

·              Применение этих документов.

·              Надзор и контроль за надлежащим исполнением их положений.

Что это за документы, и кто их разрабатывает? Создаются они, можно сказать, на самом высоком уровне, — государственными органами и учреждениями. В России правовая защита обеспечивается множеством нормативных документов: указы президента РФ, постановления Правительства, документы ФСТЭК, ФСБ, Роскомнадзора и пр. Углубляться в их изучение следует исходя из специфики деятельности компании. Но все-таки можно выделить 4 основных нормативно-правовых акта, на которых основывается правовая защита конфиденциальной информации. Они актуальны для любой компании, независимо от сферы, в которой она работает. Эти документы представлены в таблице:


№ п/п


Номер закона/руководящего документа


Название


Чем полезен при организации защиты информации


1


149-ФЗ

 


Об информации, информационных технологиях и о защите информации

 


Главный закон в России, касающийся информационной безопасности и защиты информации. Здесь представлены ключевые понятия, какую информацию считать конфиденциальной, каковы требования к ее защите, рассматриваются меры ответственности за нарушение требований.


2


152-ФЗ


О персональных данных


Регламентирует работу с персональными данными, помогает понять, какие сведения, отнести к этой категории. Поможет правильно организовать работу с личными сведениями сотрудников и клиентов.


3


98-ФЗ


О коммерческой тайне


Определяет понятие коммерческой тайны, помогает разобраться, какие сведения относятся к ней, определяет действия руководства бизнес-субъектов по защите коммерческой тайны и ответственность за ее разглашение.


4


187-ФЗ

 


О безопасности критической информационной инфраструктуры Российской Федерации

 


Следует брать в учет субъектам, чья деятельность может влиять на здоровье, безопасность и комфорт граждан. Сюда можно отнести различные сферы: здравоохранение, связь, предоставление транспортных услуг и пр. Закон поможет сформулировать требования к IT-инфраструктуре компании, в том числе и в области защиты конфиденциальной информации.

 



 

Таким образом правовая защита организуется на основе положений нормативно-правовых актов, издаваемых государственными структурами на разных уровнях.

Второй вид — техническая защита информации

При выборе средств технической защиты информации обращайте внимание на наличие у них сертификата ФСТЭК. Иначе в случае проверки ведомством есть вероятность получения запрета на ведение деятельности (в зависимости от специфики данных, с которыми работает компания).

Согласно ГОСТ Р 50922-2006 техническая защита информации реализуется при помощи некриптографических методов. Для этого используются 3 типа средств:

1.            Технические.

2.            Программные.

3.            Программно-технические.

Технические средства включают электронные, электромеханические и физические устройства, встраивающиеся в IT-инфраструктуру для обеспечения информационной безопасности. Таких устройств немало, и они выполняют защиту информации на различных уровнях. Примеры устройств для организации технический защиты конфиденциальных данных:

·              Размыкатели цепи (сети).

·              Экранирующие корпуса для техники, защищающие от утечек информации посредствам паразитных электромагнитных излучений.

·              Технические средства пространственного зашумления (генераторы шума, постановщики помех и иные устройства).

·              Аппаратура контроля линий связи (индикаторные устройства, детекторы поля).

·              Сетевые помехоподавляющие фильтры.

К программным средствам технической защиты конфиденциальной информации относится специализированное ПО. Видов такого программного обеспечения немало. Среди них:

·              Антивирусы: для рабочих станций, виртуальных сред, сложных IT-инфраструктур.

·              Межсетевые экраны.

·              DLP.

·              IPS.

·              IDS.

·              SIEM.

·              UTM.

·              NGEP.

·              Сканеры безопасности

·              Средства резервного копирования.

Программно-технические средства — это решения, объединяющие ПО и устройства. Существуют программно-технические межсетевые экраны, решения для защиты, средства идентификации и аутентификации пользователей, системы защиты периметра и иные решения.

Третий вид — криптографическая защита информации

Специальные средства осуществляют криптографическое преобразование защищаемой информации. Даже если она будет перехвачена, с расшифровкой возникнут проблемы. Расчеты показывают, что, например, для расшифровки ключа длиной 128 бит потребуются миллионы лет. Такие средства могут быть программными или аппаратно-программными. С их помощью шифруются документы, управляющие сигналы, подписи и другая важная информация. Реализовать криптографическую защиту информации можно с помощью ЭЦП, криптопровайдеров, специализированных браузерных плагинов, эмуляторов доверенной среды и прочих средств.

Физическая защита конфиденциальной информации

В этом случае речь идет об ограничении физического доступа к защищаемым данным. Для этого используются СКУД и их отдельные компоненты (системы видеонаблюдения, домофоны и пр.). Обычные замки или запирающие устройства тоже успешно справляются с этой функцией.

 

На какой вид сделать упор? Все зависит от специфики деятельности компании. Но в любом случае вам придется изучить документы, регламентирующие правовую защиту. Также (учитывая факт, что любая деятельность не обходится без технических решени) второй вид защиты информации придется изучить. Без физической тоже никуда: организовать хотя бы пропускной режим нужно практически каждому. А вот насчет криптографии можно определиться после анализа вероятных угроз важным данным, с которыми работает компания.