Защита информации в предпринимательской деятельности - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИБ-аутсорсингЗащита информацииЗащита информации в предпринимательской деятельности

Защита информации в предпринимательской деятельности

ИБ-аутсорсинг
на базе DLP-системы
КИБ SEARCHINFORM
Аутсорсинг DLP
Защита информации
Защита информации в АСУ
Защита информации при передаче данных
Защита информации ограниченного доступа
Защита информации на жестком диске
Защита информации при использовании электронной почты
Защита информации в корпоративном и частном секторе
Защита информации в предпринимательской деятельности
Комплексная защита информации в корпоративных системах
Защита информации в корпоративной банковской среде
Защита информации в сетях
Защита информации в компьютерных сетях
Защита информации в локальных вычислительных сетях
Защита информации в VPN-сетях
Защита информации от несанкционированного доступа
Защита информации от несанкционированного доступа в сетях
Техническая защита информации
Техническая защита информации на предприятии
Инженерно-техническая защита информации
Инженерно-техническая защита информации на предприятии
Криптографическая защита информации
Защита информации в информационных системах
Защита информации в системах электронного документооборота (ЭДО)
Защита информации в автоматизированных информационных системах
Защита информации в ГИС
Защита информации в базах данных
Защита информации на компьютерах
Защита информации от копирования
Комплексная защита информации
Программно-аппаратная защита информации
Защита информации специальными программами
Контроль исполнения документов
Организация контроля исполнения документов
Автоматизированный контроль исполнения документов
Регламент контроля исполнения документов
Система контроля исполнения документов и поручений
Контроль исполнения конфиденциальных документов
Мониторинг ИТ инфраструктуры
Система мониторинга ИТ инфраструктуры
Мониторинг сетевой инфраструктуры
Мониторинг информационных систем
Мониторинг работоспособности системы
Защита онлайн-сервисов
Защита электронной почты
Защита от web угроз
Защита web приложений
Защита онлайн сервисов
Защита бизнеса от мошенничества
Защита от мошенничества с электронной подписью
Разработка требований к защите информации
Требования ФСТЭК по защите информации
Требования ФСБ по защите информации
Квалификационные требования защита информации
Разработка требований к информационной системе
Управление системами фильтрации электронной почты и веб-трафика
Фильтрация электронной почты
Электронная почта: правила фильтрации
Кому нужен ИБ-аутсорсинг?
DLP в облаке

Защита информации – необходимость практически для любого вида предпринимательской деятельности. Конкуренты заинтересованы в получении чужих ценных данных, для выстраивания эффективных бизнес-стратегий, злоумышленники – для продажи в даркнете. И те, и другие часто неразборчивы в средствах. А в зоне риска в последние годы оказываются не только банки и другие организации финансового сектора, но и производственные компании. 

Объекты охраны

Данные, которыми оперируют компании, могут представлять интерес для третьих лиц по разным причинам. Чаще всего похищают клиентские базы данных, эта ситуация характерна для предпринимательской деятельности и в Европе, и в России. Вторая по частоте группа преступлений, фигурирующая в судебных делах, хищение денег клиентов сотрудниками банка, которые имеют доступ к их счетам. Иногда сотрудники продают сведения о клиентах на черном рынке информации. Реже встречается похищение таких объектов информации, как: 

  • стратегии развития;
  • бизнес-планы;
  • патенты и ноу-хау;
  • финансовая и бухгалтерская информация.

Любой компании необходимо учитывать существование таких рисков и своевременно принимать меры для обеспечения безопасности информационных баз. Для построения эффективной системы мер и выбора необходимых программных и технических средств необходимо выработать актуальную модель угроз.

Модель угроз

Государственные компании или крупные производственные предприятия из стратегического сектора экономики могут опасаться шпионажа со стороны иностранной разведки и вторжений международных хакерских группировок. А малым и средним компаниям, из сферы предпринимательской деятельности, нужно выстраивать систему защиты информации с учетом следующих угроз: 

  • фирмы-боковики и конкурентные компании, созданные бывшими сотрудниками на основе украденной у работодателя коммерческой информации.
  • ненадежные сотрудники, использующие доступ к конфиденциальной информации для того, чтобы извлечь выгоду из ее продажи или передачи третьим лицам или отомстить компании. По последним данным, более 80 % случаев хищения сведений происходит по вине инсайдеров. 
  • злоумышленники, провоцирующие массовые и бессистемные заражения компаний вирусами-вымогателями, шифровальщиками и другими типами вредоносных программ. Охрана информации от внешних угроз должна опираться на оперативное получение данных о событиях на рынке средств защиты информации и об актуальных антивирусных средствах.

Модель угроз должна стать основой для выстраивания системы безопасности информации. Следует учитывать, что в России давно сформировался рынок продажи персональных данных, и в зоне риска находятся те субъекты предпринимательской деятельности, которые работают с большими массивами ПДн клиентов: учреждения медицины, сотовой связи, банковские и финансовые организации. 

В даркнете можно найти огромные массивы сведений, содержащие ФИО, паспортные данные, телефоны, адреса, СНИЛС граждан. Цена одной записи порой не превышает 30 копеек. Комплект из сканированной копии паспорта, прав и ИНН стоит уже 300 рублей. Детализацию звонков за месяц можно купить за 5-20 тысяч рублей.

Эти сведения широко используются для рассылки спама и мелкого мошенничества. Понятно, что их появление в Сети связано с недостаточной защитой персональных данных. Утечки часто происходят из баз данных банков, сотовых операторов. Если такая утечка принесет ущерб клиенту и вину компании в распространении или недостаточной защите конфиденциальной информации удастся доказать, она понесет серьезные убытки.

Надежная защита информации стоит дорого, поэтому подходить к оценке рисков следует объективно. Система разграничения доступа сотрудников к базам данных, используемым в предпринимательской деятельности, часто оказывается более удобной и доступной по цене, чем современные программные средства, предназначенные для обнаружения вторжений. Так, в 2018 году суд Новосибирска вынес приговор сотруднику МТС. Он скачал базу данных клиентов по нескольким городам России с компьютера начальника, который без каких-либо сомнений выдал нарушителю логин и пароль. 

Как выстраивать систему безопасности

В работе по защите информации, формирующейся в ходе предпринимательской деятельности, требуется опираться на три группы средств:

  1. организационные;
  2. технические;
  3. программные.

Все они должны использоваться в комплексе, с опорой на организационные средства, позволяющие выстроить поведение персонала должным образом.

Организационные

Меры по защите информации должны опираться на установленный в компании режим коммерческой тайны. Необходимость его соблюдения необходимо прописать в трудовом договоре. Сотрудники должны быть ознакомлены с ним перечнем конфиденциальных данных под роспись. В перечне сведений, составляющих коммерческую тайну, персональные данные и документы клиентов должны упоминаться особо, это позволит увеличить ответственность за их разглашение, используя механизмы и административного и гражданского права. 

Подписанные документы станут основой для дисциплинарного или уголовного преследования виновного в случае похищения сведений. С точки зрения дисциплинарной ответственности к сотруднику может быть применено увольнение с взысканием причиненного ущерба в порядке гражданского судопроизводства. Статьи, помогающие добиться взыскания убытков, содержит Гражданский кодекс Российской Федерации.

Регистрация информационных массивов в виде нематериальных активов, имеющих объективную оценку и учитываемых на балансе компании, работающей в сфере предпринимательства, в случае их хищения позволяет преследовать нарушителя не только за разглашение коммерческой тайны, но и за кражу. Информирование сотрудников о рисках разглашения, грамотная работа кадровой службы станет основой для бережного отношения к ценным данным в организации. Если удастся доказать, что сотрудник похитил их по заказу конкурента, иск о взыскании убытков может быть подан и к нему. Для этого нужно обратиться в ФАС РФ, которая проведет проверку по факта недобросовестной конкуренции в сфере предпринимательской деятельности.

Второй шаг в организации информационной защиты –физическое ограничение доступа к данным. Для этого используются следующие средства обеспечения безопасности информации:

  • ограничение на использование съемных носителей;
  • ограничение выхода в Интернет с ПК некоторых сотрудников;
  • требование обрабатывать ценную информацию только на рабочих станциях, с повышенным уровнем безопасности. 

Крайне важно при увольнении сотрудника проконтролировать передачу им данных, которые он использовал в работе. Это позволит исключить утечку важных сведений.

Технические 

В качестве технических средств обеспечения безопасности информации субъекты предпринимательской деятельности чаще всего используют устройства барьерного типа, снижающие риск постороннего проникновения к важным данным. Это электронные замки на дверях кабинетов, запорные устройства для корпусов рабочих станций, средства, исключающие возможность пользоваться съемными носителями информации. Кроме того, широко применяются аппаратные средства контроля доступа, например, смарт-карты и токены. 

Программные

Не стоит рассчитывать только на специализированные средства, предназначенные для различных типов защиты данных. Весь процесс обработки и использования информации должен быть защищен. Так, крайне важно вести клиентские базы данных в CRM, которые не позволяют пользователям скопировать информацию и документируют их действия. 

Если субъект предпринимательской деятельности является оператором персональных данных, ему следует выбирать программные средства защиты информации основе рекомендаций ФСТЭК РФ. Если информация относится к категории государственной тайны и была получена в ходе реализации государственного контракта, требования к программным средствам повышаются.

Но для решения текущих задач рекомендованных ФСТЭК РФ средств может быть недостаточно. Сегодня в компаниях всех направлений деятельности широко применяются DLP-системы, надежно защищающие информационный периметр от преднамеренных и непреднамеренных утечек данных.

Помимо этих систем используются:

  • средства шифрования информации, хранящейся на диске, и передаваемой по различным протоколам связи. При их использовании необходимо помнить, что они замедляют прием и передачу данных;
  • антивирусные средства;
  • средства электронной подписи;
  • средства контроля доступа;
  • средства обнаружения атак;
  • средства доверенной загрузки.

Выбирая сертифицированный программный продукт, необходимо учитывать, что такая сертификация распространяется только на определенную версию программы. При ее обновлении процесс сертификации поставщиками услуг проводится заново, а это значит, что предпринимателю придется приобретать обновления для программы.

Деятельность государства по пресечению незаконной торговли данными

Деятельность инсайдеров причиняет ущерб не только клиентам, но и компаниям, которые фактически оказываются виноватыми в утечке ценной информации. Поэтому бизнес и государство объединяют усилия в борьбе с такими утечками. При этом выявить и наказать виновного сотрудника несложно, труднее найти и привлечь к ответственности организатора и посредника, создавших систему торговли сведениями, похищенными у предпринимателя, на черном рынке.

При этом можно назвать несколько показательных случаев, которые демонстрируют работу правоохранительных органов:

  • в Пензе в феврале 2018 года привлечены к ответственности двое молодых людей, которые склонили к хищению информации сотрудниц салонов сотовой связи. В 2016-2017 годы им были переданы данные детализации звонков 17 клиентов. Стоимость одного заказа составляла 5000 рублей;
  • в Липецке в 2018 выявлена сотрудница банка, похищавшая средства со счетов клиентов, но данные о размере похищенных средств в целях следствия не разглашались;
  • в Москве в апреле 2018 бывший следователь полиции организовал бизнес по изготовлению поддельных решений судов, их было около 300, позволяющих получать данные о телефонных переговорах третьих лиц. Стоимость одного решения для клиента достигала 100 000 рублей.

Интересно, что после каждого громкого задержания цены на информацию на черном рынке начинают расти. По общей практике наиболее часто утечки возникают в работе банков и салонов сотовой связи, однако они с той или иной долей успеха выявляются.

Практические рекомендации

При отнесении информации к коммерческой тайне необходимо исходить из принципа целесообразности, исключая те сведения, которые не могут принести ущерб в случае утечки, например, данные о потребительских характеристиках продуктов. Некоторые сотрудники служб безопасности готовы засекретить большую часть оперативных данных, которыми сотрудники пользуются повседневно. Это снижает скорость бизнес-процессов и, как результат, уменьшает прибыль компании. Вопросы классификации ценной информации должны решаться коллегиально.

Вторым важным фактором при разработке систем безопасности предпринимательской информации станет внимание к действиям не только рядовых сотрудников, но и руководства, которое часто из-за своего статуса небрежно относится к должностным регламентам по охране данных, составляющих коммерческую тайну предприятия.

Одним из важных источников утечек данных становятся контрагенты разного уровня. Они могут предоставить ценные сведения третьим лицам на основании норм закона или по своим соображениям. Так, с 2019 года ФНС вправе запросить у аудиторских компаний любые данные, связанные с проверяемыми ими объектами. В этой же зоне риска находятся оценочные и консалтинговые организации. При работе с такими фирмами необходимо обязательно вносить в договоры и соглашения пункты об ответственности за сохранность коммерческой тайны, а после выполнения услуг принимать по акту все использованные в работе носители информации.

Осторожно нужно относиться и к хранению сведений в облачных хранилищах. При заключении договоров с поставщиками «облаков» нужно проверять степень защиты данных, особенно персональных, запрашивая информацию о технических средствах защиты облачных хранилищ, и прописывать ответственность за преднамеренную или случайную утечку данных. Степень защиты информации должна соответствовать стандартам ФСТЭК РФ для персональных данных определенной категории. Если в работе используется программный продукт, архив которого находится в «облаке», следует учитывать недостаточную защиту важной бухгалтерской или производственной информации, используемой в предпринимательской деятельности. Избежать этих рисков при приобретении версии «1С Бухгалтерия», «Склад» или установки CRM-системы «Битрикс 24» в облачном варианте невозможно. 

Важность сохранности информации, используемой в предпринимательской деятельности, не подвергается сомнению. Для этого необходимо грамотно использовать весь комплекс мер и средств и контролировать действия инсайдеров.

11.11.2019

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.