Единой, установленной каким-то нормативно-правовым актом классификации методов защиты конфиденциальной информации не существует. Но если посмотреть подходы к этому в разных источниках, вы поймете, что все примерно (+/-) одинаково. Согласно многим классификациям методы защиты конфиденциальной информации делят на 2 большие группы: организационно-правовые и технические.

Организационно-правовые методы подразумевают разработку документов в сфере информационной безопасности (далее ИБ), организацию и контроль изложенных в них требований и рекомендаций. Документы в сфере ИБ разрабатываются, как на государственном уровне (примеры: 152 ФЗ, 149 ФЗ, 98 ФЗ, 187 ФЗ и другие НПА), так внутри компании (политика информационной безопасности, регламенты, инструкции и т.д.).

Технические меры защиты конфиденциальной информации реализуются путем использования специального программного обеспечения и технических средств. Вариантов таких инструментов множество: от антивирусов для каждого компьютера до сложных систем (DLP, SIEM), обеспечивающих комплексную защиту.

Также часто встречается более детальная классификация методов защиты конфиденциальной информации, основывающаяся на описании конкретных технологий и приемов предотвращения несанкционированного доступа. Давайте рассмотрим несколько таких методов — наиболее востребованных и популярных у современных компаний.

Управление доступом и препятствование несанкционированному доступу

Популярные и довольно эффективные методы защиты конфиденциальной информации. Управление доступом к носителям, средствам обработки и самим важным данным может осуществляться с помощью физических, программных и аппаратно-программных средств, а также организационных мероприятий. Отличный пример средства ограничения доступа — использование СКУД (система контроля и управления доступом). Эффективно здесь работают и организационные меры, такие как, например, деление персонала на группы допуска и предоставления доступа к информации на их основе.

Для управления доступом и препятствования НСД также используются такие методы, как:

1.            Идентификация. Это процесс, в результате которого субъект определяется по его уникальному идентификатору. Идентификацию можно сравнить, например, с вводом логина для входа в электронную почту, которым вы сообщаете, что вы такой-то пользователь.

2.            Аутентификация. Это процесс проверки подлинности пользователя. Можно провести аналогию с вводом пароля от электронной почты. Ввел логин — система идентифицировала пользователя, ввел пароль — произошла аутентификация (система убедилась, что это именно тот пользователь).

Для аутентификации могут использоваться различные методы. Это: ввод пароля, использование SMART-карт, биометрических данных (отпечаток пальца, распознавание по лицу, сканирование сетчатки, голосовое распознавание и пр.). Вариантов масса: любой сможет найти удобный и «комфортный» с точки зрения затрат на внедрение и поддержку.

Регламентирование — эффективный метод защиты конфиденциальной информации

Базируется на внедрении документов, регламентирующих доступ к защищаемым данным и обращение с ними. Пакет документации зависит от специфики деятельности компании и от характера информации, с которой она работает. Вот несколько примеров, встречающихся в различных компаниях:

·              Модель угроз. Описывает возможные угрозы, механизмы утечки информации, каналы и способы НСД, которые можно реализовать в информационной системе компании.

·              Журнал учета машинных носителей. Это, можно сказать, обязательный атрибут для компаний, работающих с персональными данными (ПДн) и информацией ограниченного доступа.

·              Правила резервирования и восстановления данных. В большей степени это касается именно персональных данных.

·              Планы контроля качества выполнения мероприятий ИБ, а также журналы для фиксации результатов контрольных проверок.

·              Приказы: о назначении лиц, ответственных за ИБ, группы реагирования на инциденты информационной безопасности (деятельность такой группы регламентирована приказом ФСТЭК №17).

·              Инструкции по защите конфиденциальной информации для сотрудников на местах.

Этот перечень, конечно же, не исчерпывающий. Состав пакета документов зависит от специфики компании. Отталкиваясь от нее, изучаются НПА и готовится соответствующая документация.

Сбор и анализ данных

Перечень методов защиты конфиденциальной информации не будет полным без сбора и анализа данных о состоянии IT-инфраструктуры и соблюдении требований по обеспечению информационной безопасности.

Собирать необходимые данные можно различными средствами. Среди них:

·              Антивирусы. Современные антивирусные программы для корпоративных целей позволяют создавать довольно эффективные инфраструктуры с единым центром управления, куда стекаются данные о выявленных угрозах. Неплохой вариант для защиты корпоративных сетей от вирусов и других угроз.

·              IDS-системы. Используются для обнаружения вторжений (от англ. Intrusion Detection System). Они обнаруживают вредоносную активность в корпоративной сети (IT-инфраструктуре) на основании исследования аномалий и при помощи сигнатурного метода. Если что-то обнаруживается, система формирует оповещение для администратора (специалиста по информационной безопасности). «Продолжением» IDS можно назвать IPS-системы. Они не только обнаруживают вторжения, но и принимают меры для их блокировки и минимизации ущерба.

·              DLP-системы. Комплексные решения, которые могут «закрывать» сразу множество направлений. Внедрение DLP обеспечивает высокий уровень защиты конфиденциальной информации. Они могут анализировать потоки данных, отслеживать переписку сотрудников, следить за действиями пользователей в сети интернет, копированием данных на внешние носители и пр. Для многих компаний это — верное решение, позволяющее защитить чувствительные данные. 

Видно, что методов защиты конфиденциальной информации немало. И для обеспечения высокого уровня информационной безопасности необходимо использовать их в комплексе, а не сосредотачиваться на каком-то одном.