Разглашение конфиденциальных данных может привести к неприятным последствиям для их владельцев – возникновению морального или материального ущерба. Информационная безопасность является одним из важнейших условий успешной деятельности государственных и коммерческих организаций. В законах Российской Федерации предусмотрена ответственность за разглашение чужих персональных данных и другой секретной информации. Для защиты информации принимаются организационные, правовые и технические меры, используются разнообразные программно-аппаратные средства. На крупных предприятиях создаются отделы информационной безопасности и системы управления безопасностью данных.

Виды конфиденциальных данных

Информацию подразделяют на массовую, специальную, секретную и личную.

В перечне сведений конфиденциального характера, утвержденном Указом № 188 Президента РФ, указывается, что в защите от несанкционированного доступа нуждаются следующие виды информации:

• Персональные данные граждан, включающие сведения о дате и месте рождения, частной жизни, состоянии здоровья и материальном положении. Распространение такой информации допустимо только по инициативе или с согласия владельца. Исключением являются случаи, когда несанкционированное изучение персональных данных гражданина необходимо для оказания ему немедленной помощи или создания безопасности для других людей. Доступ к подобной информации согласно закону могут получать сотрудники полиции, медицинского учреждения, органов госбезопасности;
• Корпоративные данные – сведения служебного характера, касающиеся внедрения технологий, планов развития бизнеса, финансовой отчетности, деловых взаимоотношений с поставщиками, смежниками и клиентами;
• Судебные данные, касающиеся безопасности судей и сотрудников правоохранительных органов, охраны свидетелей и потерпевших. К этой категории относятся также следственные материалы и судебные документы;
• Профессиональные данные – сведения, связанные с выполнением служебного долга – врачебная, адвокатская тайна, а также содержимое секретной переписки, телефонных разговоров, почтовых сообщений;
• Государственные тайны. К ним относятся сведения, касающиеся национальной обороны, внешней политики, экономики, сырьевых ресурсов, научных разработок. Секретной является также информация о деятельности разведывательных и антитеррористических органов.

Источники конфиденциальных сведений

Информация, нуждающаяся в защите, содержится в бумажных или электронных документах граждан и организаций. Личные сведения люди сообщают при посещении различных учреждений, медицинских центров, в процессе осуществления банковских операций, а также при регистрации на интернет-сайтах и в системе электронных платежей. 

Служебная или личная информация может содержаться в электронной почте, сообщаться при устной беседе или во время разговора по телефону.

Источниками конфиденциальной информации могут быть электронные носители (компьютеры, флеш-накопители, CD- и DVD-диски). 

Массивы с данными различного характера хранятся в информационной базе компаний, обрабатываются компьютерными системами.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований. 

Основные информационные угрозы

Целью защиты информации является выявление и пресечение попыток несанкционированного доступа к источникам данных, предотвращение действий злоумышленников.

К основным угрозам безопасности данных относятся:

• Незаконное проникновение злоумышленников в информационную систему, похищение данных с целью мошенничества (шантажа граждан, продажи информации третьим лицам);
• Непреднамеренные нарушения со стороны пользователей, работающих с секретной информацией, ошибки при использовании компьютерных программ, небрежное хранение документов и электронных носителей, нуждающихся в защите;
• Внедрение в компьютерные системы вредоносных программ, способных кодировать и уничтожать информацию, выводить из строя электронные устройства;
• Фишинг (выведывание паролей и банковских реквизитов обманным путем);
• Атаки хакеров (взлом секретных сайтов);
• Отказы в работе программно-технических устройств из-за возникновения внештатных ситуаций (аварий, природных катаклизмов).

Принципы обеспечения информационной безопасности

Основными принципами обеспечения информационной безопасности являются:

• Доступность данных – разумное предоставление доступа пользователям, имеющим разрешение на их обработку. Организация защиты информации не должна осложнять работу персонала компании;
• Целостность – принятие мер для предотвращения несанкционированного кодирования, искажения сведений или их уничтожения;
• Конфиденциальность – обеспечение неприкосновенности личной и служебной информации, ограничение ее доступности пользователям электронных систем.

Организовывая защиту данных, учитывают также и другие принципы.

Принятие мер безопасности не должно отразиться на достоверности информации.

Данные, подлежащие защите, должны быть подотчетными (официально зарегистрированными).

Необходимо соблюдать принцип аппелируемости (неопровержимости данных, возможности подтверждения их источника).

Меры обеспечения информационной защиты

Целями создания системы защиты информации являются:

• Разработка конкретных мер сохранности данных с учетом их характера и особенностей обработки, а также существующих законодательных требований к их защите;
• Оценка уязвимости информации, рисков ее разглашения, поиск каналов утечки сведений;
• Своевременное обнаружение и ликвидация угроз;
• Контроль уровня информационной защищенности.

Принимаются меры правовой, организационной и технической защиты информации.

Законодательной основой являются:

• Конституция России;
• Федеральные законы о защите персональных данных (№ 151-ФЗ), об использовании информационных технологий (№ 149-ФЗ); 
• Указы Президента РФ, правительственные постановления;
• Нормативные документы ФСТЭК, ФСБ, Роскомнадзора, МВД и других ведомств и министерств, связанных с безопасностью РФ;
• Международные договоры и правовые акты.

Правовые меры 

К ним относят:

• Защиту авторских прав;
• Патентование новых разработок;
• Стандартизацию обработки и хранения материалов, нуждающихся в защите;
• Контроль соблюдения правил и норм безопасной работы с персональными и корпоративными данными, соблюдения стандартов использования компьютерных систем.

Организационные меры

Производится разграничение доступа к данным, распределение служебных материалов по степени секретности и раздельное хранение массивов с данными.

Организуется необходимая охрана бумажной документации, компьютерной техники, электронных носителей.

Создаются инструкции по работе с конфиденциальными материалами, особенностям их учета, выдачи, возврата, уничтожения.

Проводится знакомство персонала с видами информационных угроз и мерами ответственности за разглашение служебных тайн и персональной информации, обучение новых сотрудников, получающих доступ к корпоративным материалам.

Используются не только методы административного «принуждения» к соблюдению требований секретности, но и неформальные методы «побуждения» к выполнению установленных правил поведения в коллективе и соблюдения норм корпоративной этики.

Организуется пропускной режим.

Используются камеры видеонаблюдения, сигнализация, секретные замки и другие средства, обеспечивающие физическую защиту персонала и рабочих помещений.

Разрабатываются системы биометрической идентификации персонала, допускаемого на охраняемый объект.

Технические меры

Техническая защита информации осуществляется с использованием аппаратных и программных средств, которые позволяют предотвратить ее утечку и несанкционированную обработку.

К аппаратным средствам относятся электронные, лазерные, электрические, оптические устройства, предупреждающие копирование или похищение секретной информации. Такие средства используются для:

• создания шумовых помех;
• перехвата сведений, выявления каналов их утечки;
• обнаружения устройств, с помощью которых осуществляется промышленный шпионаж.

Например, используются индикаторы электромагнитных излучений, устройства для пеленгования и поиска радиомикрофонов, средства предотвращения кражи или взлома компьютеров.

Программные мероприятия осуществляются с целью обеспечения сохранности информационной базы, ограничения доступа персонала к ценным материалам. С помощью подобных средств предотвращается внедрение в компьютеры вирусов, троянов и других вредоносных программ.

При этом используются:

1. Средства НСД (защиты от несанкционированного доступа) – программы идентификации пользователей, разграничения доступа в компьютерную систему, определения частоты использования программных приложений;

2. Средства аутентификации пользователей с помощью паролей, ключей доступа, сертификатов, биометрических показателей;

3. Системы CASE (анализа информационных потоков), IDS/IPS (выявления и предупреждения вторжений), DLP (предотвращения утечки сведений), SIEM (мониторинга угроз, создаваемых приложениями и сетевыми устройствами, в реальном времени);

4. Программы-антивирусы;

5. Межсетевые экраны для защиты системы от внешних угроз (фильтрации входящей информации);

6. Анализаторы сетевых протоколов, с помощью которых администратор отслеживает обмен данными между различными сетевыми устройствами;

7. Криптографические средства создания цифровой подписи и шифрования сведений, передаваемых по сети;

8. Системы резервного копирования, отказоустойчивости (бесперебойной работы при выходе из строя отдельных элементов информационной системы), катастрофоустойчивости.

***

Предупреждение разглашения конфиденциальных сведений способствует созданию личной безопасности граждан и процветанию деятельности государственных и коммерческих организаций. Для поиска каналов утечки информации, оценки угроз ее целостности и сохранности используются различные технические и программные средства управления безопасностью баз, в которых хранятся данные. Принимаются организационные меры по защите информационной базы. Проводится инструктаж персонала по правилам обработки и хранения коммерческих и государственных тайн. К нарушителям установленных правил и норм работы с конфиденциальными материалами принимаются меры административной и уголовной ответственности. Охрана сведений осуществляется в соответствии с требованиями российских законов, нормами, изложенными в правовых документах.

20.11.2020