Защита информации ограниченного доступа

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Стремительное развитие цифровых технологий оказывает прямое влияние на все сферы человеческой деятельности, оптимизируя и ускоряя многие бизнес-процессы. Вместе с тем активный переход информации в электронный вид требует от руководителей организаций принятия эффективных мер по защите внутренних сведений, которые могут составлять коммерческую или государственную тайну. Наряду с общедоступной информацией выделяют информацию ограниченного доступа, что обусловливается необходимостью отстаивания прав и законных интересов физических и юридических лиц.

Правовая основа для информации ограниченного доступа

Главным нормативным документом, который дает определение разным видам информации и регулирует ее применение, является Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» от 27.06.2006 г. (последняя редакция от 18.03.2019). Согласно ст. 9 этого закона, ограничение доступа к информации устанавливается федеральными законами в целях охраны основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

При этом требования об ограничениях доступа к сведениям разрабатываются и контролируются специальным органом исполнительной власти, на который возлагаются функции по надзору в сфере информационных технологий и массовых коммуникаций.

Законом охраняется также право на нераспространение информации о личной жизни физического лица (гражданина), поскольку такие сведения относятся к категории семейной тайны.

К отдельной категории относится информация, составляющая государственную тайну, поэтому многие служащие перед поступлением на работу подписывают соответствующие документы о неразглашении данных. Охрана такой информации осуществляется согласно закону Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1, по которому к категории государственной тайны относятся сведения по следующим направлениям:

  • экономика, наука и техника;
  • военная промышленность и вооружение;
  • внешняя и внутренняя политика;
  • сведения в области разведывательной и контрразведывательной деятельности.

Если говорить о конфиденциальной информации, полный ее перечень изложен в Указе Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». Документ относит к ним следующие виды информации:

  1. Персональные данные гражданина.
  2. Сведения, которые составляют тайну следствия и судопроизводства.
  3. Служебные данные.
  4. Информация о сущности изобретения (полезная модель, экспериментальная установка, промышленный образец).
  5. Профессиональная тайна.

Важно понимать, что информацию с ограниченным доступом следует хранить особым образом, исключая риск ее попадания к третьим лицам, поскольку это может привести к утечке секретных данных, а также причинить ущерб или вред государству, личности или коммерческой фирме. По этой причине охране информации от хищения, искажения и незаконного распространения уделяют повышенное внимание, используя для этого специальные системы контроля, ограничивающие доступ.

Способы охраны информации в корпоративных системах

Все организации, начиная с самых маленьких фирм и заканчивая большими государственными корпорациями, нуждаются в особо тщательной охране внутренней информации. Это обусловливается высоким уровнем недобросовестной конкуренции и промышленным шпионажем, когда похищенные сведения в виде чертежей, проектов, инновационных разработок и финансовых данных приводят к экономическим убыткам. В связи с этим особую актуальность приобретают меры, направленные на защиту информации от несанкционированного копирования.

Существуют разные способы и методы защиты конфиденциальной информации, к которой также относят различные виды тайн (судебная, медицинская, банковская, нотариальная). Выделяют три главных группы мер по защите информации, каждую из которых следует рассмотреть подробнее.

Организационно-юридические меры

Ограничения доступа к конфиденциальной информации на предприятии начинается с разработки руководящим составом ряда нормативно-правовых актов, направленных на упорядочивание имеющейся документации. С этой целью выделяются разные категории сотрудников с доступом к важной информации в зависимости от должности и должностных обязанностей. К документам, регламентирующим обращение с критичными данными, относятся приказы, распоряжения, методические указания, регламенты и всевозможные инструкции, направленные на упорядочивание бизнес-процессов с целью повышения эффективности и выхода на максимальную доходность.

Главным правовым документом, который регламентирует соблюдение коммерческой тайны, является Федеральный закон № 98 «О коммерческой тайне» от 29.07.2004 года, контроль за выполнением которого возлагается на ФСТЭК и ФСБ. Если говорить об охране персональных данных, то она регламентируется Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Контроль за выполнением возлагается на Роскомнадзор.

Нужно понимать, что у любой фирмы имеется информация, которая может представлять интерес для третьих лиц, поэтому руководителю важно принимать все меры, исключающие риск ее передачи. Необходимость точного регламентирования всей информации обусловливается еще и тем, что рядовые сотрудники могут передать сведения о фирме другому участнику информационного обмена неумышленно. Отсутствие на предприятии утвержденного перечня информации, относящейся к категории служебной или государственной тайны, делает невозможным привлечение сотрудника, передавшего информацию третьему лицу, к дисциплинарной ответственности.

Инженерно-технические меры

Учитывая повсеместное использование электронных носителей данных, для охраны конфиденциальной информации требуются технические средства, ограничивающие ее копирование, передачу и искажение.

Выделяют четыре группы защитных мер:

1. Предотвращение несанкционированного доступа. Является эффективным средством от попадания данных в чужие руки, поскольку не допускает посторонних к их обработке. Комплекс мер по защите включает межсетевое экранирование, систему контроля управления доступом (логин и пароль), учет и регистрацию входов (журналирование), антивирусную защиту и использование средств обнаружения вторжений.

2. Инженерно-технические ограничения. Немало злоумышленников осуществляют кражу важной информации путем несанкционированного вторжения на территорию компании. С целью недопущения таких инцидентов на предприятиях устанавливаются специальные инженерно-технические сооружения: турникеты, сигнализации, системы видеонаблюдения и кодовые замки. К данным средствам также относят противопожарные комплексы, способные не только оповестить о задымлении, но и потушить очаг возгорания, обеспечив сохранность серверной и рабочих мест.

3. Защита от утечек информации по техническим каналам. Главная задача – не допустить передачи сведений при помощи электромагнитных считывателей информации доступа. С этой целью на предприятии применяются шторы-жалюзи, виброакустические глушилки, специальные фильтры для защиты от побочных электромагнитных наводок и излучений. С каждым годом актуальность использования подобных решений увеличивается, что обусловливается ценовой доступностью техсредств для потенциальных шпионов.

4. Криптографические средства. Необходимы для охраны информации во время ее передачи по электронным каналам связи. Учитывая широкое распространение электронного документооборота, криптографические средства имеют важное значение. С целью дополнительной защиты информации от искажения, а также подтверждения ее авторства используется электронная подпись. Механизм криптографической защиты применяется для обеспечения конфиденциальности информации, хранимой в базе, и реализуется путем построения VPN-сетей (Virtual Private Network).

Чтобы защитить конфиденциальную информацию, важно своевременно модернизировать имеющиеся инженерно-технические комплексы на предприятии, поскольку только таким образом можно снизить риски хищения данных до минимума.

Морально-этические меры

Практика подтверждает, что в большинстве случаев утечки случаются по вине людей, работающих на предприятия. Именно поэтому с каждым годом все больше компаний при приеме на работу новых людей подписывают с ними договор о неразглашении конфиденциальных данных. Согласно данным исследования аналитического центра «СёрчИнформ», в 2018 году такие договоры практикует 81% российских компаний. В большинстве случаев распространение данных не связано с умышленными действиями и объясняется беспечностью или необдуманными поступками сотрудников предприятия. По этой причине важно правильно подбирать персонал на ответственные должности, а также периодически проводить обучение сотрудников ИБ-правилам. 

Морально-этические меры по защите информации напрямую связаны с кадровой безопасностью, для чего на предприятии должны быть заведены журналы инструктажей, разработаны соответствующие должностные инструкции, включающие в себя порядок ознакомления с информацией, составляющей коммерческую тайну. При увольнении сотрудников также следует принимать соответствующие меры безопасности, изымая удостоверения и пропуски, аннулируя пароли доступа, а также беря подписку о неразглашении данных.

Служба безопасности (внутреннего контроля) предприятия должна отслеживать сотрудников с целью выявления тех, кто опаздывает на работу, уходит раньше положенного времени, проводит много часов за играми или в социальных сетях (в рабочее время), что свидетельствует о низком уровне ответственности таких «специалистов». С целью активного мониторинга и выявления всех факторов риска во многих компаниях используются специальные программы, позволяющие выявлять тех сотрудников, поведение которых отклоняется от нормы.

В каждой компании имеются сведения, которые составляют коммерческую тайну, поэтому ограниченный доступ к информации – не рекомендуемая, а необходимая мера безопасности. К сожалению, в большинстве случаев сотрудники не до конца осознают важность сохранения конфиденциальной информации в тайне, а также необходимость устанавливать сложные пароли и логины. Более того, нередко усиленные меры, принимаемые руководством компании для защиты информации, воспринимаются сотрудниками как некомфортные, ведь для их реализации работникам необходимо соблюдать процедуру входа в систему и другие внутренние ИБ-правила. Вместе с тем руководитель должен понимать, что ограниченный доступ – это важнейшая мера безопасности, направленная на предотвращение утечек данных.

23.10.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними