Информационная безопасность и защита персональных данных

Вопросы обеспечения сохранности и конфиденциальности ценных видов информации закреплены в РФ законодательно: 63, 98, 149, 152, 187-ФЗ. Роль информации становится с каждым годом все выше и выше. Нецелевое использование сведений, отсутствие контроля доступа создают множественные риски. Обеспечение информационной безопасности и защиты персональных данных входят в перечень первоочередных задач любой организации, которая ведет обработку, хранение, передачу конфиденциальной информации.

Информационная безопасность и кибербезопасность: в чем отличия?

Не стоит путать два этих понятия. Они имеют схожие задачи, но отличаются их широтой. Когда речь идет об информационной безопасности, принято говорить о широком спектре задач, который включает защиту от различных видов угроз – цифровых и аналоговых. Информационная безопасность ассоциируется, в первую очередь, с защитой данных и информации, а также особых категорий сведений – ПДн, разных видов тайн. Кибербезопасность, прежде всего, нацелена на защиту данных, оборудования, ПО от цифровых угроз. То есть объектами защиты для кибербезопасности являются сети передачи данных (как локальные, так и глобальные), приложения, сайты – любые электронные активы, которыми могут воспользоваться хакеры для получения доступа к конфиденциальным данным.

Чем занимается информационная безопасность?

Информационная безопасность и системы защиты данных решают три ключевые задачи:

1. Поддержание конфиденциальности сведений. Связана с осуществлением контроля доступа к закрытым видам информации, раскрытие которых несет риски для владельца

2. Поддержание доступности сведений. Связана с поддержанием права доступа конкретных лиц к информации

3. Поддержание целостности сведений. Связана с обеспечением процессов, направленных на сохранение первоначального объема данных и исключение его модификации.

Защита информации и защита данных: есть ли разница?

Понятие данных связано с определенной группой сведений, которые находятся в неструктурированном, разрозненном виде. Информация появляется в ходе обработки данных при выполнении определенных действий и задач, поэтому считается некой совокупностью данных, объединенных по группе критериев. Если рассматривать два этих понятия в контексте российского законодательства, в частности, 149-ФЗ от 27.07.2006, то они тождественны между собой. Отсюда напрашивается вывод, что защита как данных, так и информации должна быть равнозначной независимо от формы представления. Другой вопрос заключается в том, что существуют разные виды информации и данных, которые не равнозначны по ценности, важности, поэтому к отдельным видам предъявляются повышенные требования к защите, например, это разные виды тайн, ПДн.

Актуальные угрозы информации

• Раскрытие конфиденциальности сведений

• Компрометация сведений

• Нецелевое, несанкционированное использование информации

• Отказ от использования данных или их предоставления.

Угрозы информации связаны со случайными или намеренными действиями, которые направлены на получение доступа к сведениям, имеющим ограниченные права доступа. Угрозы могут носить множественный характер, поэтому принято разрабатывать модели угроз под конкретные условия реализации атак и их последствия.

Методы защиты информации

1. Организационные. Включают комплекс мер, направленных на создание единых регламентов, правил по работе с информацией в рамках конкретной организации. Сюда входят проведение инструктажа персонала, разделение зон ответственности, контроль за исполнением внутренних правил

2. Технические. Связаны с применением программных, аппаратных средств защиты, которые помогают создавать резервные копии информации, управлять информационными ресурсами, контролировать их доступ с помощью аутентификации и идентификации пользователей, обеспечивать защиту данных от внешних и внутренних угроз

3. Физические. Подразумевают создание физических препятствий, ограничивающих доступ к сведениям. Например, сейфы, кодовые замки, карты доступа, изолированные помещения.

С чего начать защиту информации, что необходимо учитывать?

Прежде чем приступать к проведению защитных мероприятий в отношении используемых данных, нужно провести подготовительные работы, которые включают:

• Классификацию и оценку данных, используемых организацией. Это поможет расставить приоритеты в будущей защите, выделить критически важные виды информации

• Разработку модели угроз. В любой области деятельности присутствует своя специфика работы с информацией, требования по ее защите. Модель позволяет подбирать наиболее актуальные и эффективные решения по защите

• Подготовку стратегии защиты данных. Она базируется на политике, концепции информационной безопасности, положении о конфиденциальных видах информации. При разработке опираются на нормативно-правовую базу, внутренние правила компании.

Информационная безопасность и защита персональных данных, кибербезопасность связаны с использованием средств защиты и ведением регулярного мониторинга. Одним из таких инструментов являются DLP-системы по типу Solar Dozor. DLP-системы защищают от внутренних угроз, то есть угроз, связанных с действиями инсайдеров – сотрудников, партнеров, подрядчиков, клиентов, которые могут действовать со злым умыслом или по неосторожности.