Организация хранения конфиденциальной информации

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Компании часто сталкиваются с задачей организации хранения конфиденциальной информации. Сведения могут находиться в локальных сетях компании, на бумажных и иных материальных носителях, в облачных хранилищах. Отдельным вопросом становится циркулирование данных повышенной степени секретности внутри организации.

Как конфиденциальная информация определяется в законе

Конфиденциальность – это ограничение доступа к сведениям определенного статуса. Термин произошел от латинского слова confidentia, обозначающего доверие. Из этого следует, что к конфиденциальной информации могут получить доступ только доверенные сотрудники. Решения по контролю доступа реализуются на организационном и программном уровне. 

В различных областях общественной и экономической жизни, в разных странах принимаются отдельные модели регулирования степени конфиденциальности информации.

В России в законе «Об информации» (149-ФЗ) общим принципом отнесения данных к конфиденциальным является обозначение этой необходимости в любом ином федеральном законе, например, в Семейном кодексе в статье о защите тайны усыновления. 

Нормативный акт определяет следующие категории конфиденциальной информации:

  • государственная тайна;
  • служебная информация ограниченного распространения, хранимая в ИС органов государственной власти;
  • коммерческая тайна;
  • служебная тайна;
  • профессиональная тайна;
  • персональные данные граждан.

Порядок обращения с различными категориями информации, в том числе не названными прямо в законе, такими как банковская тайна и адвокатская тайна, регулируется отдельными федеральными законами. Для большинства категорий конфиденциальной информации посвященные ей законы и разработанные в соответствии с ними подзаконные нормативные акты устанавливают отдельные правила по обеспечению ее безопасности.

В Евросоюзе разработан ряд директив и соглашений, описывающих порядок доступа к конфиденциальным сведениям, многие их положения были практически без переработки включены в национальное законодательство. 

Европейская Конвенция «О преступности в сфере компьютерной информации» (ETS N 185) рекомендует в национальном законодательстве определить в качестве уголовных преступлений:

  • противозаконный доступ к охраняемой в соответствии с требованиями закона информации;
  • неправомерный перехват данных;
  • воздействие на информацию с целью ее уничтожения или изменения;
  • воздействие на информационные системы.

Эти нарушения вошли в качестве преступлений в УК РФ, и их наличие стимулирует потенциальных злоумышленников отказаться от попыток похитить или повредить конфиденциальные данные. Но далеко не всех преступников можно раскрыть, поэтому регуляторы, определяющие механизмы защиты данных – Правительство РФ, ФСТЭК, Роскомнадзор, ФСБ, Центробанк, – принимают нормативные акты, регулирующие специальные правила хранения массивов данных, находящихся под защитой закона.

Еще более подробный перечень сведений, имеющих конфиденциальный характер, приводит указ президента № 188

  • персональные данные;
  • тайна следствия и судопроизводства, данные, связанные с защитой судей и свидетелей;
  • служебная информация госорганов;
  • сведения, связанные с профессиональной деятельностью, а именно врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений;
  • коммерческая тайна;
  • данные о сущности изобретения, полезной модели или промышленного образца, до того, как оформляется патент или они официально публикуются.

Некоторые позиции из перечня пересекаются, поэтому не требуется обеспечения различных режимов их хранения. Достаточно соблюдения общих принципов безопасности информации, за исключением данных, для которых регулятор предлагает отдельные организационные, технические или программные меры.

Основные принципы защиты конфиденциальной информации

В организации, вне зависимости от категории конфиденциальности информации, должны применяться единые модели хранения данных, обеспечивающие базовую безопасность. Они описаны в ст. 10 закона «О коммерческой тайне» и являются доступными для любых компаний:

  • определить перечень сведений конфиденциального характера и степень их конфиденциальности;
  • установить ограничения порядка доступа к данным и принять стандартизированные правила предоставления прав доступа и изменения их объема;
  • вести учет лиц, которые получили права доступа к сведениям по любым основаниям, например, в рамках трудовых или договорных отношений;
  • установить в трудовых договорах для работников правила обращения и охраны с данных меры ответственности за утечку, а для с контрагентов (клиентов, поставщиков, провайдеров услуг) – в гражданско-правовых соглашениях;
  • маркировать грифами секретности материальные носители (документы, дискеты, USB-носители), содержащие ценную информацию, с указанием данных о собственнике информации.

Программные и технические меры, обеспечивающие сохранность данных, принимаются на основе требований регулятора или исходя из предпочтений руководства компании. 

Меры, по логике закона, окажутся достаточными, если обеспечено следующее:

  • полная невозможность доступа к данным, относящимся к коммерческой тайне, для любого лица без выраженного согласия их собственника;
  • режим коммерческой тайны не мешает использованию составляющих ее данных в бизнес-процессах.

При разработке системы защиты конфиденциальной информации следует учитывать, что современные бизнес-процессы строятся на использовании среды виртуализации, облачных технологий и одни решения должны применяться при защите данных в собственных информационных сетях, другие – при их размещении в облаке.

В информационных системах предприятия

При обработке информации в локальных сетях наибольшее внимание нужно уделять ее структурированности. Администрация организации должна четко понимать, какие именно информационные массивы относятся к конфиденциальным, в каких файлах и папках они находятся, как обеспечивается дифференциация доступа.


Навести порядок в файловой системе поможет «СёрчИнформ FileAuditor». Узнать подробнее. 


При работе с документами

Документы в компании существуют в двух видах: 

  • бумажная версия, оригинал или копия;
  • электронная версия, загруженная в информационную систему.

Для первого типа конфиденциальной информации практика выработала стандартные методы охраны данных:

  • передавать бумажные носители данных только под роспись с указанием даты и цели передачи;
  • проставлять на документах грифы секретности;
  • создавать копии только с разрешения руководства;
  • при необходимости – вносить в копии неразличимые изменения, позволяющие выявить, какой именно сотрудник осуществил утечку;
  • обеспечить физическую защиту материальных носителей.

Соблюдение этих требований окажется достаточным для защиты секретных сведений. Документы, которые уже не используются в текущей работе, но содержат данные высокой степени секретности (судебные дела, личные дела сотрудников), иногда передаются в архивные компании, предоставляющие услугу аренды сейфовых ячеек. Сохранность документов обеспечивается на высоком уровне, при этом освобождаются офисные пространства компании. Но если документы содержат персональные данные, при передаче на хранение нужно установить меры ответственности за их безопасность и соблюдать все технические требования к хранилищу: учет посетителей, наличие замков, защищенные окна, полное отсутствие возможности несанкционированного доступа к данным.

В локальных сетях и облачных хранилищах

Хранение электронных документов или файлов, содержащих конфиденциальные данные, в информационных сетях сопровождается обязательным использованием комплекса мер, полностью исключающих несанкционированный доступ:

  • использование программных средств, позволяющих присваивать метки конфиденциальности;
  • применение программ мониторинга инцидентов информационной безопасности;
  • ведение журналов учета действий пользователей, протоколирующих все операции с охраняемыми документами;
  • обработка и передача информации в зашифрованном виде;
  • создание структурированных баз данных, которые позволяют хранить документы с разными степенями конфиденциальности и разного назначения в разделенных ячейках.

Лицо, ответственное за организацию системы хранения конфиденциальной информации, должно в любое время знать, где и какой документ находится и кто имеет к нему доступ. Во избежание риска утраты сведений из-за повреждения системы или аварии требуется обеспечить резервное копирование, которое позволит возобновить утраченную или искаженную информацию в кратчайшие сроки.

При обработке конфиденциальной информации для ее защиты от основных угроз – утечек, утраты целостности, искажения, снижения степени доступности – организации используют ряд программных средств:

  • антивирусные программы. Современные вирусы способны зашифровать или полностью уничтожить файлы, похитить данные. Антивирусы могут защитить от этих угроз;
  • средства мониторинга работоспособности сети, позволяющие выявить случаи отказов узлов и программ, способных привести к утрате целостности или доступности информации;
  • средства доверенной загрузки, позволяющие входить в систему только пользователям с определенным объемом привилегий;
  • методы двухфакторной аутентификации, иногда с использованием технических средств – токенов;
  • SIEM-системы, позволяющие выявлять инциденты информационной безопасности и оповещать о них службу безопасности;
  • DLP-системы, исключающие все утечки данных, происходящие по вине инсайдеров.

Если в информационных системах обрабатываются персональные данные, требования к техническим и программным средствам защиты устанавливает регулятор. Возникают сложные ситуации, когда компания, передающая базы данных на хранение на сторонние облачные серверы, сомневается, не нарушает ли она тем самым требования законодательства о защите персональных данных. 

В данном случае следует придерживаться следующих правил безопасности:

  • убедиться, что облачные серверы находятся на территории РФ;
  • установить, что система безопасности облачного хранилища отвечает требованиям ФСТЭК РФ. Некоторые провайдеры сертифицируют свои ИС, чем повышают качество оказываемых услуг по облачному хранению;
  • заключить соглашение, в котором описать все меры ответственности, которые будут применены к провайдеру, если по его вине будет утрачена конфиденциальная информация.

Большинство профессиональных компаний, предлагающих услугу нахождения конфиденциальной информации на облачных серверах, идут навстречу пожеланиям клиента, при этом их система информационной безопасности надежнее, чем у компаний малого и среднего бизнеса.

***
Решение по выбору способа хранения – в собственной системе или у поставщика услуг – принимает администрация организации. Но она не должна забывать, что ответственность за утечку ПД будет лежать на ней, а не на провайдере.

26.03.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними