Защита конфиденциальной информации представляет собой комплекс мер, направленных на сохранение целостности, секретности, доступности данных на всех этапах их жизненного цикла. Под безопасностью понимается степень защищенности сведений от разрушительного воздействия внешних факторов, технических сбоев, противоправных действий.
В узком смысле безопасность характеризует уровень сохранности информационных массивов. В расширенном — это совокупность правовых, организационных, технических мер, направленных на предотвращение утечки, уничтожения, искажения сведений. Конфиденциальность означает ограничение доступа, целостность — неизменность структуры, доступность — возможность использовать данные в установленном порядке.
Что относится к конфиденциальной информации
К конфиденциальной информации относятся сведения, допуск к которым ограничен законом либо внутренними документами организации.
В перечень входят:
-
персональные сведения работников, клиентов;
-
сведения, составляющие коммерческую тайну;
-
служебная информация ограниченного распространения;
-
финансовые отчеты до публикации;
-
техническая документация, содержащая закрытые данные.
Такие сведения могут обрабатываться в бумажной либо электронной форме. Конфиденциальность устанавливается нормативным актом либо внутренним приказом. Контроль допуска реализуется через разграничение прав, многофакторную аутентификацию. Ведется журналирование действий пользователей. Каждое событие фиксируется в информационной системе.
ВАЖНО. Нарушение требований законодательства влечет административную ответственность по статье 13.11 КоАП РФ, уголовную ответственность по статьям 272.1, 183 УК РФ, а также гражданско-правовое возмещение ущерба пострадавшим лицам.
Основные угрозы конфиденциальности информации
Угроза — это фактор, способный нарушить конфиденциальность, целостность, доступность информационного массива.
К основным видам относятся:
-
несанкционированное проникновение в информационную систему;
-
вредоносные программы;
-
ошибки персонала при работе со сведениями;
-
технические сбои оборудования;
-
физическое похищение носителей;
-
перехват информационных массивов через сети связи.
СПРАВКА. Риск утечки возникает как по причине внешнего вмешательства, так вследствие внутренних нарушений. Защищать информацию необходимо комплексно, с учетом характера деятельности организации.
Меры и способы охраны конфиденциальной информации
Охрана строится на сочетании организационных, технических, программных мер. Изолированное средство не обеспечивает должный уровень безопасности. Требуется комплексная система.
Технические способы
Физическая защита предполагает ограничение допуска к помещениям, где хранятся конфиденциальных сведения. Используются замки, системы контроля доступа, сигнализация, видеонаблюдение. Обеспечивается охрана от пожара, затопления, аварий. Такие меры предотвращают несанкционированное проникновение, повреждение носителей.
Аппаратные средства занимают промежуточное положение между физической, программной защитой. Применяются устройства доверенной загрузки, аппаратные ключи, регистры паролей. Используются генераторы цифрового шума для маскировки каналов связи. Эти технические средства усиливают безопасность информационной системы.
Программные способы
Программная защита включает антивирусное обеспечение, межсетевые экраны, DLP-системы, SIEM-платформы. Ограничивается допуск пользователей к информационным массивам через учетные записи, пароли, многофакторную аутентификацию.
Используются инструменты виртуализации для изоляции непроверенных приложений. Ведется журналирование действий. Каждая операция фиксируется в системе. Такой подход позволяет контролировать обработку сведений, своевременно выявлять попытки утечки.
Криптографические способы
Криптография обеспечивает шифрование информационных массивов. Применяются сертифицированные средства криптографической охраны. Информация преобразуется в код, доступный только при наличии ключа. Даже при перехвате расшифровка без ключа невозможна.
Сетевые способы
Для сетевой безопасности используются фильтрующие пакеты, маршрутизаторы с функцией контроля адресов, программные шлюзы. Ограничивается подключение к внешним ресурсам. Контролируется входящий, исходящий трафик.
Комплекс перечисленных мер формирует устойчивую систему защиты, способную предотвращать утечку, сохранять конфиденциальность данных.
Нормативные требования к охране конфиденциальной информации
Правовая база формирует обязательные требования к защите данных. Основу составляют Конституция РФ, Федеральные законы: о безопасности», связи, гостайне.
Ключевые акты:
-
Федеральный закон № 152-ФЗ — устанавливает правила, по которым персональные данные должны обрабатываться, храниться, защищаться.
-
Федеральный закон № 149-ФЗ — определяет порядок допуска, обязанности операторов, требования к обеспечению безопасности.
-
Федеральный закон № 98-ФЗ — регулирует режим коммерческий тайны, порядок введения ограничений.
-
Статья 13.11 КоАП РФ — административная ответственность за нарушение правил обработки персональных данных.
-
Статья 13.14 КоАП РФ — ответственность за разглашение информации с ограниченным доступом.
-
Статья 183 УК РФ — уголовное наказание за незаконное получение, разглашение коммерческой тайны.
-
Статья 272.1 УК РФ — ответственность за неправомерный доступ к информационной системе.
СПРАВКА. Дополнительно применяются отраслевые требования ФСТЭК, ФСБ. Для персональных данных действует Приказ ФСТЭК № 21, который устанавливает уровни защищенности, перечень обязательных мер. Несоблюдение требований влечет штрафы, при тяжких последствиях — уголовную ответственность.
Порядок организации системы защиты конфиденциальной информации
Система строится на внутреннем регламенте. Разрабатывается организационный документ, определяющий порядок допуска, обработку, хранение сведений.
Документы существуют в бумажной, электронной форме.
Для бумажных носителей применяются меры:
-
передача под подпись с указанием даты, цели;
-
нанесение грифа конфиденциальности;
-
копирование только по разрешению руководства;
-
учет экземпляров;
-
физическая охрана архивов, сейфов, помещений.
Если документы содержат персональный данные, при передаче в архив устанавливаются обязательства по обеспечению безопасности. Хранилище должно соответствовать технический требованиям: контроль допуска, учет посетителей, замки, сигнализация.
В информационных системах используется разграничение прав доступа, журналирование действий пользователей, шифрование каналов передачи. Данные необходимо обрабатывать в защищенной среде. Применяется резервное копирование для предотвращения утраты.
Ответственное лицо обязано контролировать, где находится каждый документ, кто имеет доступ, какие операции выполнены. Такой подход снижает риск утечки, обеспечивает соответствие требованиям закона.
Что еще может потребоваться компании
Охрана информационных массивов не ограничивается базовыми мерами. В зависимости от вида деятельности организация внедряет дополнительные процедуры.
Может потребоваться:
-
защита корпоративных данных, включая внутренние базы, финансовые отчеты, проектную документацию;
-
режим коммерческой тайны с утверждением перечня конфиденциальных сведений;
-
охрана служебной информации ограниченного распространения;
-
заключения по результатам специальных исследований технических средств, подтверждающие отсутствие каналов утечки;
-
сертификаты соответствия средств защиты информации, включая средства криптографической охраны, средства защиты от несанкционированного доступа;
-
документы по аттестации объектов информатизации — акты, протоколы, аттестаты;
-
лицензия ФСТЭК на деятельность по технической защите конфиденциальных информационных массивов.
СПРАВКА. При сертификации либо аудите проверяется устойчивость к несанкционированному доступу, охрана от утечки по техническим каналам, целостность данных, доступность информационных ресурсов при сбоях оборудования, соответствие требованиям по шифрованию.
Организация всех перечисленных процедур, разработка документации, внедрение мер защиты могут быть реализованы в Центре сертификации «Ростест Урал».
