Защита конфиденциальной информации

Информация считается одним из самых ценных ресурсов. С ее помощью строится и поддерживается бизнес, открываются новые горизонты для компаний, совершаются открытия и достигаются самые высокие цели. Ряд сведений имеет повышенную важность и ценность для бизнес-процессов, поэтому возникает необходимость защиты конфиденциальной информации от злоумышленников и конкурентов. Для этого используется комплекс мер правового, технического, организационного характера.

Какие данные компании нуждаются в защите?

Информация для каждой отрасли отличается собственной спецификой и значимостью. Это предполагает первоначальное обозначение перечня ценных сведений, который относят в разряд коммерческой тайны или конфиденциальной информации с ограниченным доступом. В первую очередь для злоумышленников интересны следующие виды конфиденциальной информации:

• Сведения, имеющие отношение к изучению рынка: портрет потенциальных клиентов, маркетинговые исследования, информация о конкурентах.

• Внутренние финансовые данные: бюджет, расходы, инвестиции, оплата труда.

• Производственная документация, которая носит секретный характер.

• Ноу-хау, инновационные разработки компании, которые будут внедрены в ближайшее время.

• Клиентская база, контакты с партнерами.

• Персональные сведения о работниках организации.

Как защитить информацию, принадлежащую компании?

Для эффективной и надёжной защиты конфиденциальных данных компании понадобится система защиты конфиденциальной информации. Она должна опираться на правовые, организационные, технические инструменты. Для достижения результата нужно выполнить следующие действия:

1. Определить и обозначить конкретный перечень информации подлежащей защите в первую очередь.

2. Разработать и внедрить полный перечень документации, регламентирующей порядок доступа, ограничения к данным.

3. Обозначить круг лиц, наделенных дополнительными привилегиями доступа к особо ценной информации.

4. Заключить с персоналом компании договоры о неразглашении коммерческой и другой конфиденциальной информации.

5. Произвести оценки реальных информационных рисков на утечку, схемы мошенничества.

6. Разработать систему мер реагирования на инциденты безопасности.

7. Использовать техническую защиту конфиденциальной информации. Внедрить специальное ПО, которое позволяет контролировать работников, делегировать права доступа к информации, блокировать подозрительные действия. Например, DLP, SIEM, UEBA.

Нормативная база, регулирующая обращение с конфиденциальными данными

Нормативной основой для понятия «конфиденциальности» данных выступают:

• Конституция РФ (статьи 23 и 24)

• ГК РФ (статья 727)

• 152-ФЗ от 27.07.2006

• 149-ФЗ от 27.07.2006

• 98-ФЗ от 29.07.2004

• ГОСТ Р 50922-2006

Категории информации по степени конфиденциальности

Согласно 149-ФЗ от 27.07.2006 исходя из порядка предоставления, распространения информацию подразделяют на следующие категории:

1. Свободно распространяемые сведения.

2. Данные, которые предоставляются на основании соглашения сторон, участвующих в определенных отношениях между собой.

3. Информация, подлежащая предоставлению, распространению согласно действующим федеральным законам и иным нормативным актам.

4. Сведения, не подлежащие публичному распространению из-за ограничений и запретов на основании законодательства.

Как DLP-система защищает конфиденциальную информацию?

Использование DLP-систем помогает обеспечить комплексную защиту информационных ресурсов компании.  Это возможно за счет поддержания безопасности на трех уровнях:

1. Защита данных, передаваемых по сетевым каналам (почта, беспроводные каналы, службы для обмена сообщениями, протоколы).

2. Защита статичных сведений, расположенных на серверах компании (СХД, рабочие станции, ПК, внутренние серверы)

3. Защита информации, которая находится на рабочих станциях.

Посредством использования DLP-систем становится возможным:

1. Контролировать передачу данных через интернет по всем каналам связи.

2. Контролировать случаи сохранения сведений на внешние источники.

3. Обеспечить защиту от информационных утечек при прямом и косвенном контактах с информацией.

4. Контроль движения информации.

5. Блокировка попыток пересылки, несанкционированного хранения конфиденциальных данных.

6. Нахождение конфиденциальных данных на разных рабочих станциях, серверах, уровнях доступа пользователей.

7. Своевременное информирование администраторов, офицеров безопасности об инцидентах, попытках несанкционированного доступа, действиях, нарушающих политики безопасности.

Защита конфиденциальной информации – обязательный момент для поддержания стабильных бизнес-процессов и конкурентоспособности компании. Количество угроз в информационной сфере растет из года в год, поэтому важно своевременно их выявлять и предотвращать. Это эффективно только в том случае, если защита комплексная и постоянно совершенствуется.