Утечка конфиденциальной информации и возможные последствия для допустивших ее

Согласно пункту 7 закона 149-ФЗ «Об информации, информационных технологиях и о защите информации» под конфиденциальной следует понимать информацию, в отношении которой к субъектам, владеющим ей, предъявлено требование о запрете ее передачи третьим лицам или разглашения.

Указ президента Российской Федерации № 188 конкретизирует некоторые сведения, которые можно отнести к этой категории. Документ говорит, что к конфиденциальной информации можно отнести:

• Персональные данные и сведения, касающиеся частной жизни человека.

• Информацию, составляющую тайну судопроизводства и следствия.

• Данные, содержащиеся в личных делах осужденных.

• Профессиональную, адвокатскую, врачебную тайну.

• Коммерческую тайну.

• Служебную информацию (сведения).

• Информация о сути изобретения, промышленного образца либо полезной модели. Конфиденциальной она считается до момента опубликования.

Давайте рассмотрим, чем чревата утечка конфиденциальной информации для лиц и субъектов хозяйствования, допустивших ее возникновение, и как можно защитить важные данные от попадания к третьим лицам.

Персональные данные

В качестве свежего примера утечки персональных данных, охраняемых Федеральным законом 152-ФЗ, можно рассмотреть инцидент в «Яндексе», о котором компания заявила 12 февраля 2021 года. Один из системных администраторов, имевших доступ к сведениям об аккаунтах электронной почты пользователей, предоставлял доступ к ним посторонним. Благо, данная утечка была вовремя обнаружена: скомпрометированными оказались всего чуть более 4800 аккаунтов. Пользователей уведомили об инциденте и порекомендовали сменить пароли.

За нарушение закона о персональных данных (далее — ПДн) предусмотрены следующие виды ответственности:

• Административная. Максимальный штраф для физического лица — до 20 000 рублей, для юридического — до 50 000. Размер зависит от характера совершенного деяния: от сбора сведений без письменного согласия субъекта до невыполнения оператором требований по хранению и обработке ПДн.

• Уголовная. Нарушителю может грозить штраф до 300 000 рублей, обязательные или исправительные работы, арест, лишение права занимать определенные должности либо заключение под стражу на срок до 5 лет. Опять же, все зависит от характера совершенного деяния.

• Гражданско-правовая. Допустившего утечку личной информации могут обязать возместить потерпевшему (в т. ч. и работодателю) убытки или моральный вред.

• Дисциплинарная. Определяется работодателем. Это может быть замечание, выговор или увольнение.

Несанкционированный доступ и утечка информации, составляющей служебную и коммерческую тайну

Защита информации, составляющей служебную тайну (служебные сведения ограниченного доступа) регламентируется Указом Президента РФ № 118, а также Постановлением Правительства РФ № 1233.

К служебной тайне относят информацию, доступ к которой ограничен властью, законодательством или служебными лицами. Примеры: сведения о налогоплательщиках, доступ к которым имеют только сотрудники ФНС, данные о коммерческой организации и личные сведения о ее сотрудниках, информация о банковских счетах, сведения о финансовых операциях и пр. Сюда же можно отнести сведения об IT-инфраструктуре компании, применяемых в ней средствах защиты и пр.

Для тех, кто допустил несанкционированный доступ и утечку информации, относящейся к этой категории, также предусмотрены различные виды ответственности. Например, при наступлении административной ответственности по 15.21 КоАП может быть назначен штраф до 50 000 рублей. Предусмотрена и уголовная ответственность, которая зависит от характера разглашенных сведений. Например, за разглашение тайны усыновления уголовная ответственность предусматривает штраф до 80 000 рублей или арест на срок до 120 суток.

Защита от утечек конфиденциальной информации

Защита от утечки информации и несанкционированного доступа организуется при помощи неформальных и формальных средств. К неформальным относят правила, организационные мероприятия, документы по обеспечению информационной безопасности и защиты от утечек конфиденциальных данных.

Формальные средства защиты от утечек включают:

• Решения, с помощью которых ограничивается физический доступ к защищаемой информации. К этой категории относится широкий перечень средств: от обычных замков на дверях до СКУД (систем контроля и управления доступом) и специальных экранирующих корпусов, предотвращающих утечки конфиденциальной информации через побочные электромагнитные излучения.

• Аппаратные. Это устройства или комплексы устройств, которые встраиваются в информационные системы и предотвращают утечки конфиденциальной информации с помощью маскировки, обнаружения устройств несанкционированного съема информации, шифрования данных, быстрой локализации утечек и изоляции их источников, авторизации и аутентификации пользователей.

• Программные и аппаратно-программные. Актуальные и эффективные для большинства компаний, так как защищают информационный периметр и IT-инфраструктуру, через которые по статистике возникает около 70% утечек. Сюда входит широкий перечень решений, узкоспециализированных и многофункциональных. К этой категории относят антивирусное ПО, межсетевые экраны, детекторы кейлогеров, proxy, VPN, IDS, IPS, SIEM, DLP-системы и другие решения.

Видно, что средств для организации защиты от разглашения и утечки информации немало. Главное — правильно определить возможные каналы, по которым важные данные могут попасть к злоумышленникам, и выбрать эффективные защитные инструменты. Возможно, есть смысл обратиться к специалистам по информационной безопасности, чтобы они помогли выбрать эффективные средства и решения.