Информация – это способ управления миром без оружия и борьбы, который позволяет легко манипулировать людьми и целыми корпорациями. Поэтому на обеспечение безопасности конфиденциальной информации ежегодно тратятся огромные суммы денег. Общемировой вклад бизнеса в защиту коммерческих данных в 2019 году превысил 120 млрд долларов. Эти затраты нельзя считать напрасными. Проникновение даже одного вируса в корпоративную бизнес-сеть способно нарушить работу сотен компаний по всему миру.
Кроме общедоступной информации, существуют конфиденциальные данные, доступ к которым имеет ограниченный круг лиц. Ограничения обычно устанавливаются законодательством или нормами отдельного предприятия.
Согласно Указу президента № 188 «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года, конфиденциальная информация касается персональных или секретных данных, государственных тайн и может быть:
1. Личной. Касается персональных данных или иных сведений, по которым можно идентифицировать частное лицо.
2. Служебной. Относится к сведениям, представляющим служебную тайну.
3. Судебной. Включает сведения обо всех участниках судебного процесса: судьях, контрольных или правоохранительных органах, свидетелях, потерпевших, а также данные из личных дел осужденных.
4. Профессиональной. Относится к тайне телефонных переговоров, переписки, почтовых отправлений, а также сфере деятельности представителей некоторых профессий: врачей, нотариусов, адвокатов.
5. Коммерческой. Наряду с коммерческой тайной сюда входят данные об изобретениях, промышленных разработках, технологиях.
Основными источниками конфиденциальной информации являются люди: частные лица, работники организации, клиенты, обслуживающий персонал. Кроме того, это документы в бумажном или электронном виде, носители информации, выпускаемая на предприятии продукция, иногда даже отходы производства.
Информационные угрозы могут быть внутренними и внешними. Согласно статистике, внутренние факторы являются значительной частью этих угроз. Обычно источниками опасности становятся сотрудники предприятия, которые действуют по мотивам личной мести или с целью получения дополнительного заработка – инсайдеры. Иногда инсайдер может быть завербован сторонними лицами и наносит непоправимый вред безопасности компании.
Внешние угрозы исходят извне, они могут нанести вред хранилищам информации, локальной сети, компьютерам компании: это обычно вирусы, шпионское программное обеспечение (ПО), блокировка работы, взломы системы, уничтожение или изменение ПО.
Все угрозы можно разделить на несколько групп: утечка, фальсификация сведений, потеря, нарушение доступа.
Информация теряется разными способами, по разным каналам. Довольно часто утечка происходит по физическим каналам, в процессе производственной деятельности. Например, при:
Около 70 % всей информации теряется по следующим каналам: акустическому, визуальному, через подключение к компьютерной сети, из-за сопутствующих электромагнитных излучений.
Часть сведений утекает через информационные каналы: рекламные мероприятия, проведение выставок, публикации и интервью в СМИ.
Важная роль в утере информации отводится человеческому фактору. Работники организации по незнанию или неосторожности могут разглашать конфиденциальные данные, а уволенный работник часто преднамеренно передает третьим лицам секретные сведения. Довольно часто утечка происходит с помощью методов социальной инженерии.
Для обеспечения сохранности своих данных организации принимают специальные меры, которые направлены на то, чтобы сохранить конфиденциальность информации, оградить ее от незаконного доступа, в результате которого сведения могут быть уничтожены, искажены, блокированы, скопированы или распространены. Это прописано в ФЗ № 149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006 года (ред. от 29.07.2017).
Законодательство РФ предусматривает необходимость предотвращать доступ к данным, передавать их посторонним лицам, которые по закону не имеют допуска к этой сфере, а также:
Все эти обязанности возлагаются на обладателя информации или оператора информационной системы. Базы данных для сбора, записи, систематизации, накопления, хранения, обновления, защиты данных должны располагаться на территории РФ (п. 7 ФЗ № 242 от 21.07.2014).
Защита конфиденциальной информации – это многоплановая работа, которая должна производиться одновременно по нескольким направлениям, с применением организационных, технических и правовых мер.
Эту сторону безопасности регулирует государство путем принятия законодательных норм. Правовая защита подразумевает обеспечение соответствия государственному стандарту в сфере, касающейся авторских прав, указов, патентов, должностных инструкций. Сюда же относится обеспечение коммерческой тайны на предприятии.
Правильно выстроенная система правовой защиты информации позволяет избежать нарушения прав пользователей и законодательства в сфере ее обработки.
Предполагает упорядочение работы с документами, конфиденциальной информацией, определение степени и уровня доступа каждого сотрудника к носителям и информационным системам.
Организационный уровень защиты информации состоит из:
1. Особой методики управления персоналом, куда входят грамотный подбор кадров и их обучение, постоянный контроль, поведение в нештатной ситуации. Особого отношения требует работа с IT-специалистами.
2. Режима конфиденциальности в сфере документооборота, делопроизводства, то есть выработки особых правил создания документов, их хранения, уничтожения, передачи.
3. Режимных мероприятий на предприятии: организации пропускного режима, охраны, вноса-выноса документации, применения гаджетов сотрудниками, работы с информацией, удаленного доступа.
4. Организационных защитных мероприятий, при которых информация делится на части, дублируется на ключевых точках, размещается в облачном хранилище, банковских хранилищах, создаются ее резервные копии, проводится аудит.
5. Технических средств защиты: DLP-систем, шифрования, правильной настройки оборудования, защиты программного обеспечения.
Все эти меры позволяют предотвратить или свести к минимуму утечку конфиденциальной информации по халатности или невнимательности персонала.
Может осуществляться по нескольким направлениям, основным из которых является физическое. Оно подразумевает применение электрических, механических, электронных устройств, которые служат препятствием для утечки данных. Это замки, видеокамеры, датчики, регистраторы.
Другие направления защиты:
Система защиты информации может быть выстроена грамотно, строго, однако ни одна техническая или правовая мера не даст результата без обеспечения благоприятного микроклимата в коллективе. Поэтому, наряду с другими способами, рекомендуется разработать и внедрить в компании моральные и этические нормы, относящиеся к обслуживанию информации, и тем самым сформировать высокую корпоративную культуру работы с данными. Несмотря на отсутствие связи с законодательными нормами, нарушение внутренних норм должно негативно отражаться на авторитете и престиже человека.
Правовой и организационный уровни, наряду с морально-этическими нормами, считаются неформальными средствами защиты. На этом этапе важно предотвратить или сделать невозможными утечку или повреждение информации из-за непрофессионализма сотрудников, нарушения или неправильно организованного движения документации.Технический уровень считается формальным. Он включает работу с устройствами и программным обеспечением.
Таким образом, работа по обеспечению безопасности информации включает следующие меры:
1. Вначале руководство предприятия инициирует разработку, введение политики безопасности, утверждает регламенты, инструкции по защите данных.
2. На втором этапе принимаются юридические нормы по сохранению секретных данных: о коммерческой тайне, конфиденциальной информации. Договоры дополняются приложениями о конфиденциальности.
3. Далее принимаются технические меры, которые подразумевают интеграцию программно-аппаратного оснащения и комплексных продуктов для предотвращения внешнего и внутреннего доступа.
Вначале нужно выделить сведения, которые нужно защищать, для чего производится полное обследование информационных систем.
После этого нужно действовать по следующей схеме:
Важно установить общее направление мероприятий: иногда достаточно защитить только информационные системы, в других случаях требуется одновременная защита систем и самой информации.
Перед тем как приступить к мероприятиям, необходимо определить, какую цель они преследуют. Иногда достаточно формально исполнить требования законодательства, но чаще всего важна реальная защита информации, которая не должна стать доступной для посторонних лиц.
Особого внимания требуют следующие направления:
После полного обследования угроз разрабатываются их модели, на основе которых формируется техническое задание. Далее разрабатывается технический проект по внедрению программных средств защиты, осуществляются установка и настройка новых программных продуктов, производится техническое сопровождение установленных систем.
DLP-система «СёрчИнформ КИБ» состоит из готовых программных модулей, каждый из которых проводит мониторинг определенного канала передачи данных. Заказчику достаточно выбрать, какие каналы и на каком количестве ПК нужно контролировать. Узнать больше.
Мероприятия по защите информации не должны носить разовый характер. Это комплексная, системная работа, которая тщательно планируется и реализуется на основе продуманной стратегии. При этом используются следующие принципы.
Обеспечение безопасности подразумевает реализацию системного подхода во всех сферах, начиная с подбора, профессиональной подготовки сотрудников, заканчивая регламентацией работы офиса. Важны даже такие незначительные, на первый взгляд, детали, как запрет на оставление любого документа на столе «лицом вверх». Подробной регламентации требуют обслуживание звонков, процесс идентификации звонящих, посетителей. Это так же важно, как систематизация работы с сетью, гаджетами, технологиями.
Любое владение информацией означает постоянное присутствие опасности ее утечки или разглашения, поэтому никогда нельзя чувствовать себя защищенным. Не рекомендуется считать надежным местом хранения шкафы, носители, хранилища. Нередко они становястя доступны третьим лицам, поэтому любую конфиденциальную информацию нужно представлять в таком виде, чтобы ни одно непосвященное лицо не могло в ней разобраться.
Полная информация должна быть доступной только одному человеку – руководителю организации. В такой ситуации злоумышленникам приходится собирать сведения по частям из разных источников, что затрудняет утечку.
Сохранять данные, передавать их нужно в разное время, по разным каналам. К примеру, нельзя предоставлять одновременно пароль и логин. Пароль можно отправить по корпоративной почте, а логин – передать по телефону или СМС.
Этот принцип отлично помогает справиться с защитой информации, если паранойя имеет разумные границы. Руководитель не должен всем доверять, наоборот, каждый должен быть под подозрением. Даже новейшие технологии не способны полностью сохранить данные, они могут легко попасть в чужие руки. При возникновении подозрений рекомендуется спровоцировать кражу, проследить за поведением сотрудников, чтобы выявить злоумышленника.
***
Обеспечение информационной безопасности представляет собой целый набор сложных мероприятий по защите личных, государственных, коммерческих и иных сведений. Отсутствие внимания к этой сфере может привести к тому, что конфиденциальная информация станет достоянием мошенников, а это почти всегда вызывает много проблем и негативных последствий.
26.03.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
