Информация делится на две группы: общедоступная и конфиденциальная. Существуют разные уровни конфиденциальности, некоторые из них прямо названы в законе «Об информации». Система обеспечения безопасности информации опирается на меры, предложенные законодателем, и средства для ограничения доступа к данным. 

Понятие конфиденциальных данных

В зависимости от типа информации, от того, имеет она статус защищаемой в рамках закона или относится к частной жизни или обычной коммерческой деятельности, зависит выбор мер обеспечения ее безопасности. Закон «Об информации» понимает под этим термином набор сведений, вне зависимости от формы их предоставления. Информация может быть текстовой, числовой, графической, звуковой, представленной в виде кода.

Большинство данных относится к общедоступным. Те, использование и распространение которых ограничено, можно разделить на группы:

• государственная тайна;
• информация, находящаяся в ограниченном доступе на основе специальных законов, – банковская, коммерческая, служебная, адвокатская, врачебная тайна, персональные данные;
• сведения о личной жизни граждан, охраняемые нормами о тайне переписки и неприкосновенности частной жизни.

В зависимости от категории данных определяют средства и методы обеспечения их безопасности. 

Распространение информации также регламентируется, по этому критерию она делится на группы:

• свободно распространяемая;
• передаваемая между субъектами информационного обмена в рамках соглашения или договора, ограничивающего ее дальнейшее распространение;
• подлежащая публикации, предоставлению или распространению в соответствии с законодательством РФ. К этой категории, например, относятся данные об аффилированных лицах публичных акционерных обществ;
• распространение которой в РФ ограничено или запрещено, например, имеющая экстремистский характер.

Существует разделение информации по назначению и цели распространения:

• массовая. Это данные, публикуемые в СМИ, не имеющие любого уровня конфиденциальности и не содержащие специальных знаний;
• специальная. Используется в деятельности определенной части социума, например, в науке;
• секретная. Защищенная законом, грифами секретности, передаваемая по специальным каналам связи;
• частная и приватная, содержащая сведения о частной жизни граждан.

Типы информации

В деятельности юридических лиц, государственных и частных, наибольшей степенью охраны пользуется государственная тайна. Согласно нормам закона, в ее состав включают сведения, относящиеся к оборонной, научной, экономической, внешнеполитической сферам.

Решение об отнесении информации к категории государственной тайны принимают уполномоченные органы. Если компания получает сведения, относящиеся к государственной тайне (ГТ), контролируется соблюдение требований:

• наличие у организации лицензии на работу с ГТ, подразумевающей принятие мер физической защиты помещений и использование сертифицированного программного обеспечения;
• наличие в штате персонала, имеющего допуск к работе с ГТ;
• соблюдение специальных мер безопасности, в том числе криптографической.

Компания, получившая в свое распоряжение такие сведения, не вправе пользоваться ими вне рамок конкретного контракта.

Следующая по степени важности– банковская тайна. Закон «О банках» относит к этой категории сведения о счетах и вкладах граждан и организаций. 

Ее охрана регулируется специальными инструкциями Центробанка, РФ, предусматривающими:

• правила разграничения доступа;
• перечень используемых программных средств;
• использование стандартов и регламентов по информационной безопасности;
• порядок уведомления ЦБ РФ об инцидентах информационной безопасности.

Адвокатская, служебная, врачебная тайны представляют собой особую группу информации, обеспечение безопасности которой регулируется специальными законами. Так, разглашение адвокатом тайны клиента наказывается по нормам КоАП. К отдельной категории данных, имеющих собственную степень защиты, относится судебная информация. Приговоры и решения публикуются в открытом доступе, но часто без указания реальных имен и обстоятельств, к материалам дела имеет доступ ограниченное число лиц. Еще более серьезно защищается информация, образующаяся в деятельности правоохранительных органов. Требования к государственным информационным системам (ГИС), в которых размещаются такие данные, ужесточены.

При обеспечении безопасности данных, относящихся к коммерческой тайне, действуют другие принципы. 

Коммерческая тайна представляет собой информационный актив, образующийся в деятельности компании и имеющий собственную стоимость, формируемую за счет: 

• расходов, фактически понесенных на создание ноу-хау, методики, стратегии, бизнес-плана;
• неизвестности информации конкурентам. Например, получение чужой базы клиентов некорректным путем позволяет усилить позиции на рынке.

В силу этих особенностей коммерческая тайна получает правовую защиту тогда, когда предприятие соблюдает режим коммерческой тайны, что означает:

• издание приказа о введении режима;
• утверждение Положения о коммерческой тайне и перечня входящих в нее сведений;
• внесение условия о сохранении информации в трудовые контракты сотрудников;
• внесение в договоры с контрагентами условия об обеспечении безопасности коммерческой тайны и финансовой ответственности за ее разглашение.

Только при соблюдении этих требований к сотруднику, разгласившему данные, могут быть применены меры ответственности в соответствии со ст. 272 УК РФ.

К отдельной категории информации относятся персональные данные. Их защита обеспечивается в соответствии с требованиями Закона «О персональных данных». Концепция обеспечения их безопасности основана на общем праве человека на невмешательство в личную жизнь и ряде международных конвенций. К данным, подлежащим защите, относятся переданные физическим лицом организациям сведения, позволяющие его идентифицировать:

• Ф. И. О; 
• место жительства;
• телефон, адреса почты или сведения об аккаунте в мессенджере, который связан с номером телефона и может быть использован для распространения спама;
• фотография и биометрические данные; 
• сведения о личной жизни, здоровье, политических или религиозных предпочтениях.

Компания-оператор вправе обрабатывать ПД гражданина, только после получения его согласия. За соответствие обработки заявленным целям и обеспечение безопасности персональных данных отвечают два ведомства – Роскомнадзор и ФСТЭК, которые вправе проводить проверки, насколько внимательно компании относятся к задаче обеспечения безопасности ПД.

Что находится в поле зрения регуляторов 

Государственные регуляторы вправе проверять деятельность юридических лиц, обрабатывающих некоторые типы информации, и выносить предписания, призванные заставить компанию исправить упущения. ФСТЭК и Роскомнадзор проводят очередные и внеочередные проверки соблюдения законодательства о защите персональных данных. ФСТЭК сертифицирует и рекомендует программные продукты, предназначенные для их защиты.

ФСТЭК также выступает регулятором для организаций, которые используют в работе государственные информационные системы (ГИС). Он издает инструкции, объясняющие, как именно и по каким принципам создаются ГИС, какие уровни безопасности они имеют, какие программные и аппаратные средства необходимо применять для защиты данных в них.

ФСТЭК и ФСБ также определяют порядок обеспечения безопасности информации на объектах критической информационной инфраструктуры. Доступ третьих лиц к этим данным открывает злоумышленникам путь проникновения к управлению КИИ, что может привести к авариям и техногенным катастрофам.

Дополнительно ФСТЭК вместе с Центробанком надзирает за мерами и способами защиты информации, обрабатываемой коммерческими банками. Ведомства контролируют уровень безопасности данных двух категорий: персональных и информации о счетах и вкладах граждан.

Модель угроз

Система защиты конфиденциальных данных любой категории начинается с построения модели угроз. Перечень актуальных рисков размещается на сайте ФСТЭК. При создании собственной модели можно использовать математические методы прогнозирования, которые определяют наиболее вероятные угрозы с точки зрения образа гипотетического злоумышленника и объекта, на который может быть совершено покушение.

Среди объектов, носителей данных, связанных с обеспечением конфиденциальности информации:

• документы и иные материальные носители. Для их защиты применяют грифы секретности и средства физического ограничения доступа, электронные замки и системы управления контролем доступа (СКУД). Кроме того, регламентируются правила копирования документов и их выноса за пределы охраняемого периметра;
• физические лица.  Информация может быть разглашена устно, по телефону, перехвачена закладными устройствами, настроенными на получение акустической информации. Необходимо регламентировать упоминание конфиденциальной информации в частных и служебных разговорах;
• информационные системы компании, ПК, серверы. Их защита обеспечивается в соответствии с рекомендациями ФСТЭК;
• каналы передачи данных. Для обеспечения конфиденциальности рекомендуется применять технологии шифрования и VPN;
• программное обеспечение, представляющее собой самостоятельный информационный объект, особенно в случае, когда оно создано или дописано по ТЗ компании;
• съемные носители информации. В компании должны быть обеспечены их учет, защищенное хранение, контроль выноса за территорию офиса;
• мобильные устройства сотрудников. Обеспечение защиты конфиденциальных данных, находящихся на них, зависит от политики компании.

Каждый объект должен быть изучен, и по отношению к нему реализуется отдельная комплексная методика обеспечения безопасности.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований. 

Средства защиты информации

ФСТЭК рекомендует комплексно использовать три типа средств обеспечения безопасности данных: организационные, аппаратные и программные. К организационным относятся процедуры, регламентирующие допуск на объект, правила работы с носителями и базами данных, политики секретности. К аппаратным – СКУД и видеонаблюдение, средства электронной идентификации, токены, электронные замки на ПК, предотвращающие загрузку ОС при его включении неавторизованным пользователем.

Перечень программных средств, рекомендованных и сертифицированных ФСТЭК, шире:

• антивирусы и программы фильтрации электронной почты;
• средства доверенной загрузки;
• средства защиты от внешних вторжений;
• VPN-сервисы;
• межсетевые экраны; 
• сканеры уязвимостей, использующие хакерские программы для выявления пробелов в безопасности системы;
• программы, обеспечивающие аудит работоспособности ИС и отдельных узлов;
• ПО, блокирующее передачу информации вовне (DLP-системы);
• программы аудита действий пользователей, журналы учета;
• средства криптографической защиты.

При выборе ПО необходимо ориентироваться на продукты, рекомендованные и сертифицированные ФСТЭК. Они не содержат незадекларированных возможностей и не несут дополнительных рисков. Компания может самостоятельно выстраивать систему организации защиты конфиденциальных данных, она ограничена только рамками бюджета и целесообразностью.

18.11.2020