Защита данных банковских карт
Узнать больше
Информация считается одним из самых ценных ресурсов. С ее помощью строится и поддерживается бизнес, открываются новые горизонты для компаний, совершаются открытия и достигаются самые высокие цели. Ряд сведений имеет повышенную важность и ценность для бизнес-процессов, поэтому возникает необходимость защиты конфиденциальной информации от злоумышленников и конкурентов. Для этого используется комплекс мер правового, технического, организационного характера.
Какие данные компании нуждаются в защите?
Информация для каждой отрасли отличается собственной спецификой и значимостью. Это предполагает первоначальное обозначение перечня ценных сведений, который относят в разряд коммерческой тайны или конфиденциальной информации с ограниченным доступом. В первую очередь для злоумышленников интересны следующие виды конфиденциальной информации:
-
Сведения, имеющие отношение к изучению рынка: портрет потенциальных клиентов, маркетинговые исследования, информация о конкурентах.
-
Внутренние финансовые данные: бюджет, расходы, инвестиции, оплата труда.
-
Производственная документация, которая носит секретный характер.
-
Ноу-хау, инновационные разработки компании, которые будут внедрены в ближайшее время.
-
Клиентская база, контакты с партнерами.
-
Персональные сведения о работниках организации.
Как защитить информацию, принадлежащую компании?
Для эффективной и надёжной защиты конфиденциальных данных компании понадобится система защиты конфиденциальной информации. Она должна опираться на правовые, организационные, технические инструменты. Для достижения результата нужно выполнить следующие действия:
-
Определить и обозначить конкретный перечень информации подлежащей защите в первую очередь.
-
Разработать и внедрить полный перечень документации, регламентирующей порядок доступа, ограничения к данным.
-
Обозначить круг лиц, наделенных дополнительными привилегиями доступа к особо ценной информации.
-
Заключить с персоналом компании договоры о неразглашении коммерческой и другой конфиденциальной информации.
-
Произвести оценки реальных информационных рисков на утечку, схемы мошенничества.
-
Разработать систему мер реагирования на инциденты безопасности.
-
Использовать техническую защиту конфиденциальной информации. Внедрить специальное ПО, которое позволяет контролировать работников, делегировать права доступа к информации, блокировать подозрительные действия. Например, DLP, SIEM, UEBA.
Нормативная база, регулирующая обращение с конфиденциальными данными
Нормативной основой для понятия «конфиденциальности» данных выступают:
-
Конституция РФ (статьи 23 и 24)
-
ГК РФ (статья 727)
-
152-ФЗ от 27.07.2006
-
149-ФЗ от 27.07.2006
-
98-ФЗ от 29.07.2004
-
ГОСТ Р 50922-2006
Категории информации по степени конфиденциальности
Согласно 149-ФЗ от 27.07.2006 исходя из порядка предоставления, распространения информацию подразделяют на следующие категории:
-
Свободно распространяемые сведения.
-
Данные, которые предоставляются на основании соглашения сторон, участвующих в определенных отношениях между собой.
-
Информация, подлежащая предоставлению, распространению согласно действующим федеральным законам и иным нормативным актам.
-
Сведения, не подлежащие публичному распространению из-за ограничений и запретов на основании законодательства.
Как DLP-система защищает конфиденциальную информацию?
Использование DLP-систем помогает обеспечить комплексную защиту информационных ресурсов компании. Это возможно за счет поддержания безопасности на трех уровнях:
-
Защита данных, передаваемых по сетевым каналам (почта, беспроводные каналы, службы для обмена сообщениями, протоколы).
-
Защита статичных сведений, расположенных на серверах компании (СХД, рабочие станции, ПК, внутренние серверы)
-
Защита информации, которая находится на рабочих станциях.
Посредством использования DLP-систем становится возможным:
-
Контролировать передачу данных через интернет по всем каналам связи.
-
Контролировать случаи сохранения сведений на внешние источники.
-
Обеспечить защиту от информационных утечек при прямом и косвенном контактах с информацией.
-
Контроль движения информации.
-
Блокировка попыток пересылки, несанкционированного хранения конфиденциальных данных.
-
Нахождение конфиденциальных данных на разных рабочих станциях, серверах, уровнях доступа пользователей.
-
Своевременное информирование администраторов, офицеров безопасности об инцидентах, попытках несанкционированного доступа, действиях, нарушающих политики безопасности.
Защита конфиденциальной информации – обязательный момент для поддержания стабильных бизнес-процессов и конкурентоспособности компании. Количество угроз в информационной сфере растет из года в год, поэтому важно своевременно их выявлять и предотвращать. Это эффективно только в том случае, если защита комплексная и постоянно совершенствуется.