Защите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов. Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам. Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.

Информационная безопасность и ее особенности

Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.

Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.

К косвенным относят:

• потерю или кражу устройств – носителей информации;
• неправильную утилизацию данных, подлежащих уничтожению;
• дистанционное прослушивание или фотографирование документов с секретной информацией;
• радиоперехват сообщений.

Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.

Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства. 

Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.

Как обеспечивается безопасность 

Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:

1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.

Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.

Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.

Элементы информационной безопасности

Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий. 

Правовые действия

Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом. 

Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.

Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.

Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.

Организационные меры 

Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:

• Создание службы безопасности. Назначение конкретного лица, ответственного за выдачу материалов сотрудникам, пользующимся конфиденциальной информацией. Обеспечение охранных служб необходимыми программами защиты информации;
• Составление списка особо важных бумажных и электронных документов, а также перечня материалов с ценной информацией;
• Введение разрешительной системы допуска сотрудников к материалам разной степени секретности, осуществление контрольных проверок обращения с засекреченной информацией;
• Разработка методик отбора персонала для работы с секретами, знакомство работников с инструкциями по использованию и защите секретной информации;
• Предупреждение возможности случайного или умышленного нарушения сотрудниками установленного порядка работы с конфиденциальной информацией;
• Разработка системы защиты важных сведений во время проведения совещаний, мероприятий по обмену информацией с представителями другой организации, встреч со СМИ и т. д.;
• Проверка помещений, предназначенных для работы, требующей обмена секретной информацией, проведение лицензирования средств, обеспечивающих конфиденциальность, сертификация средств обработки конфиденциальных данных;
• Введение пропускного режима, внедрение методик идентификации сотрудников и посетителей. Обеспечение охраны территории, оборудования и персонала, владеющего ценной информацией;
• Создание инструкций по защите секретных материалов при возникновении экстремальных ситуаций;
• Организация эффективной защиты компьютеров, локальных сетей, а также управление всей системой информационной безопасности и оценка эффективности принятых мер.

Инженерно-технические мероприятия

Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.

К инженерно-техническим мерам безопасности относятся:

• Установка ограждений, решеток, стальных дверей с кодовыми замками, а также использование идентификационных карт, оборудование сейфов;
• Устройство сигнализации (в том числе противопожарной). Установка электронных средств оповещения о проникновении на объект посторонних лиц и попытке завладения секретной информацией;
• Применение аппаратуры для обнаружения подслушивающих устройств, скрытых видеокамер и других разведывательных приспособлений;
• Установка приспособлений, обеспечивающих защиту важных документов и материалов при попытке их выноса за территорию предприятия;
• Использование программно-аппаратных способов защиты информации, хранящейся в компьютерах и других электронных устройствах. При этом используются программы идентификации, аутентификации, аудита и специальные методики передачи информации (туннелирование, шифрование). Программы позволяют входить в информационную систему только тем сотрудникам, которые владеют специальными кодами и паролями. Проводится биометрическая идентификация. Фиксируется время входа в систему и пользования секретной информацией. В случае обнаружения несанкционированного проникновения в информационную систему программа автоматически перекрывает доступ к материалам.

Криптографические приемы

Производится разработка секретных кодов и паролей доступа в информационную систему предприятий, имеющих дело с особо ценной информацией. При передаче сведений используется специальный криптографический ключ. Он представляет собой последовательность символов, которые используются для шифрования и расшифровки цифровых подписей, тайных сообщений и кодов.

Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия. 

При обмене служебной информацией пароль для входа в информационную систему передается с помощью специальных криптографических методов и программ. Такая методика может быть использована также при сообщении сведений по телефону или радио.

К криптографическим мерам обеспечения информационной безопасности относятся также:

• Создание идентификационных магнитных карт или устройств биометрической идентификации сотрудников, имеющих разрешение на знакомство с секретной информацией;
• Разработка методик подтверждения подлинности идентификационных данных (аутентификации) посредством использования пин-кодов, смарт-карт, личных цифровых подписей;
• Внедрение методов экранирования сообщений. Из всего объема засекреченной информации работникам предоставляется доступ только к определенным сведениям, а остальные «экранируются»;
• Разработка системы ограничения посещаемости помещений, в которых находятся документы с секретной информацией.  Устанавливаются кодовые замки, используются личные магнитные карты.

Выбор методик 

Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.

В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации. Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.

В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.

В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ. 

Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.

Порядок обеспечения информационной безопасности

При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:

1. Составляется перечень коммерческих тайн и сведений, не подлежащих разглашению. При этом учитывается необходимость проведения охранных мероприятий в смежной организации, имеющей доступ к подобным сведениям;
2. Разрабатываются способы хранения информации (использование электронных носителей, бумажных документов, технических средств обработки). Выделяются помещения и оборудование для хранения документов с ценной информацией, составляется список ответственных лиц;
3. Проверяется эффективность принятых мер.

***

Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать  методику ее проведения. 

27.03.2020