Защита конфиденциальной информации: основные способы и мероприятия

Что это? Конфиденциальная информация – это любые данные, не подлежащие разглашению: личные контакты и переговоры, финансовое положение компании, секреты производства и т.д. Они могут относиться к личным, рабочим, корпоративным.

Для чего нужно? Защита конфиденциальной информации обеспечивает личную и экономическую безопасность, способствует честной конкурентной борьбе, сохраняет позиции компании на рынке. Для этого есть конкретные средства и способы.

Что такое конфиденциальная информация

Чем бы не занималась компания, в качестве одной из самых ценных областей бизнес-интереса выступает защита конфиденциальной информации (КИ).

Чтобы обеспечить высокий уровень безопасности, организация должна понять, насколько важны те или иные разновидности информации, в каком месте они хранятся, как происходит обработка и кто этим занимается, а также как их утилизируют по завершении жизненного цикла. Все это необходимо знать, иначе вы рискуете безопасностью КИ. Кроме того, если не вы не будете знать ответы на вышеперечисленные вопросы, то не сможете обосновать денежные траты на обеспечение сохранности данных.

Перечислим статьи и законы, которые представляют собой правовую базу защиты конфиденциальной информации:

• статьи 23, 24 Конституции РФ;
• статья 727 Гражданского кодекса РФ;
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 152-ФЗ «О персональных данных»;
• Федеральный закон № 98-ФЗ «О коммерческой тайне»;
• ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

Узнай, какие ИТ - профессии
входят в ТОП-30 с доходом
от 210 000 ₽/мес

Павел Симонов

Исполнительный директор Geekbrains

Команда GeekBrains совместно с международными специалистами по развитию карьеры подготовили материалы, которые помогут вам начать путь к профессии мечты.

Подборка содержит только самые востребованные и высокооплачиваемые специальности и направления в IT-сфере. 86% наших учеников с помощью данных материалов определились с карьерной целью на ближайшее будущее!

Скачивайте и используйте уже сегодня:

Павел Симонов

Исполнительный директор Geekbrains

Топ-30 самых востребованных и высокооплачиваемых профессий 2023

Поможет разобраться в актуальной ситуации на рынке труда

Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка

Только проверенные нейросети с доступом из России и свободным использованием

ТОП-100 площадок для поиска работы от GeekBrains

Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽

Получить подборку бесплатно

pdf 3,7mb

doc 1,7mb

Уже скачали 31984

Сведения, которые применяются в предпринимательской и иной деятельности, бывают очень разными. При этом любые хранимые данные важны для компании. Если они попадут в руки третьих лиц, то это может грозить потерей экономической безопасности. Вследствие того, что многие организации опасаются такого сценария развития событий, были разработаны различные формы системы защиты. К таковым, помимо прочих, можно отнести организационную и, что наиболее ценно, правовую.

Таким образом, информацию можно условно разделить на три категории:

1. Открытая/несекретная. Ее можно использовать не только внутри компании, но и за ее пределами.
2. Для служебного пользования (ДСП). Такие данные можно использовать лишь внутри компании. В рамках этой группы выделяют две подгруппы:
   • данные, доступ к которым имеют все работники компании;
   • данные, доступ к которым есть лишь у некоторых категорий работников фирмы (при этом они могут передаваться между работниками для выполнения трудовых задач).
3. Информация ограниченного доступа. Ее могут использовать лишь отдельные ответственные лица, которые имеют соответствующие полномочия. Такие сведения нельзя передавать работникам другого уровня компетенций (даже частично). Именно эту информацию называют конфиденциальной.

Приведем более конкретные примеры данных из третьей группы:

• Коммерческая тайна. Речь идет об информации самого разного вида (производственной, технической, экономической, организационной и т.д.). В частности, сюда можно отнести результаты интеллектуальной деятельности в научно-технической области, а также сведения о методах ведения профессиональной деятельности, которые важны (действительно или потенциально) с коммерческой точки зрения в связи неосведомленностью третьих лиц.
• Банковская тайна. Это информация об операциях, счетах и инвестициях компании (данные клиентов, банковских организаций, корреспондентов и пр.).
• Иные разновидности тайн. К примеру, адвокатская тайна, нотариальная тайна, тайна переписки и т.п.
• Сведения, которые имеют интеллектуальную ценность для бизнеса. Сюда можно отнести техническую/ технологическую информацию, а также деловую. В первую группу входят способы создания продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.д. К деловой информации относятся стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.д.

Каналы утечки конфиденциальной информации

Чтобы обеспечить защиту конфиденциальных данных, необходимо выполнять действия, направленные на физическую и техническую защиту данных. В частности, следует ограничить доступ к засекреченным сведениям, охранять их подлинность и целостность.

Читайте также!

Шифрование информации: как защитить свои данные

Подробнее

Есть множество путей, по которым конфиденциальная информация может попасть в руки злоумышленников. Выделяют прямые и косвенные каналы. В первом случае речь идет о копировании ценных файлов или пренебрежении правилами коммерческой тайны.

В группу косвенных каналов утечки КИ входят:

• утрата или кража устройств, которые выступают в качестве носителей данных;
• нарушение правил утилизации сведений, которые подлежат уничтожению;
• удаленное прослушивание или фотографирование файлов с КИ;
• перехват сообщений по линям радиосвязи.

Кроме того, одним из путей утечки секретных данных являются социальные сети. Известно множество случаев, когда в Интернет просачивались сведения о личной жизни пользователей. Злоумышленники могут взломать электронные кошельки. Для обеспечения безопасности люди вынуждены придумывать сложные пароли и использовать другие способы защиты.

Есть несколько методов перехвата данных: акустический (подслушивание), оптический (видеосъемка). Более того, в целях кражи личных сведений могут применяться электромагнитные, электронные и иные приборы.

Организации, которые хотят обеспечить защиту конфиденциальных данных, используют специальные системы защиты информации класса DLP (Data Loss Prevention). Такие технологии позволяют отследить, какие люди совершали операции с КИ и как они ею распорядились. Плюс ко всему, можно дать оценку уровню защиты данных и риску перехвата.

4 способа защиты конфиденциальной информации

В целях защиты конфиденциальной информации в организации от воздействия со стороны третьих лиц применяются следующие методы:

1. Сертификация данных. Формирование комплекса мероприятий по обеспечению безопасности личных данных происходит с учетом правил, предусмотренных в нормативных документах. В них прописаны средства, которые позволяют сохранить секретную информацию. При сертификации проверяется соответствие охранных мероприятий имеющимся нормам использования КИ.
2. Лицензирование. Этот метод подразумевает получение разрешения на конкретный тип деятельности или применение изобретения. Если речь идет о данных, доступ к которым должен быть ограничен, то контролируется соблюдение требований, прописанных в лицензии.
3. Категорирование. При применении этого способа материалы подразделяются на категории секретности. Учитывается степень угрозы перехвата информации в процессе работы с ней.
4. Аттестация. Осуществляется контроль над помещениями, внутри которых размещается КИ. Они должны соответствовать нормам безопасности и быть оборудованы требуемыми техническими средствами.

Руководителям организаций, работающим с личными данными, необходимо знать список материалов, доступ к которым должен быть ограничен, а также иметь перечень людей, допускающихся к работе с конфиденциальной информацией. Новые сотрудники должны быть ознакомлены со всеми нормами обработки секретных сведений и теми мерами, которые будут приниматься в случае пренебрежения этими требованиями.

Дарим скидку от 60%
на курсы от GeekBrains до 01 декабря

Уже через 9 месяцев сможете устроиться на работу с доходом от 150 000 рублей

Забронировать скидку

Как правило, руководство компании самостоятельно прописывает уровень конфиденциальности данных и подбирает способы и средства обеспечения ее сохранности. Исключением является государственная тайна. Руководители несут личную ответственность за защиту секретных сведений. При этом любые нормы по защите информации должны соответствовать федеральным законам и указам президента страны.

Основные мероприятия по защите конфиденциальной информации

Чтобы обезопасить информацию от разглашения, выполняется целый ряд действий. Перечислим основные.

Правовые действия

Осуществляется контроль над выполнением юридических требований информационной защиты. Определяются правовые отношения между организацией, которая работает с КИ, и государством. Служебные проверки позволяют обнаружить факты разглашений данных сотрудниками компании.

Выявляется отсутствие трудовых договоров, контрактов и инструкций по обработке конфиденциальной информации.

Сотрудников уведомляют об ответственности за своевольное уничтожение ценных сведений, передачу неверных данных, разглашение служебных тайн.

Новый персонал ознакомляется со спецификой обращения с КИ и соответствующими нормами. При заключении договора берется письменное согласие на соблюдение всех требований работы со служебными данными.

Только до 25.11

Скачай подборку материалов, чтобы гарантированно найти работу в IT за 14 дней

Список документов:

ТОП-100 площадок для поиска работы от GeekBrains

20 профессий 2023 года, с доходом от 150 000 рублей

Чек-лист «Как успешно пройти собеседование»

Чтобы получить файл, укажите e-mail:

Введите e-mail, чтобы получить доступ к документам

Подтвердите, что вы не робот,
указав номер телефона:

Введите телефон, чтобы получить доступ к документам

Скачать подборку бесплатно pdf 2,5mb

Уже скачали 52300

Я подтверждаю согласие на обработку персональных данных.

Организационные меры защиты конфиденциальной информации

К таковым относятся мероприятия, нацеленные на обеспечение безопасного режима функционирования организации, которая владеет КИ:

• Формирование службы безопасности. Необходимо утвердить конкретное лицо, которое будет отвечать за передачу данных остальным работникам. Кроме того, следует внедрить в охранные службы программы, требуемые для сохранения конфиденциальности.
• Разработка перечня наиболее ценных бумажных и электронных материалов.
• Внедрение разрешительной системы допуска к данным различного уровня конфиденциальности. Контроль над работой с секретной информацией.
• Создание методик подбора сотрудников для работы с КИ, инструктажи по ее применению и защите.
• Профилактика нарушений установленных требований.
• Формирование системы защиты КИ в процессе проведения совещаний, мероприятий, предполагающих обмен данными с другой компанией, встреч со СМИ и т. д.
• Контроль над помещениями, в которых выполняется обработка (с сертификацией соответствующих устройств) и обмен секретными данными, а также осуществление лицензирования средств защиты конфиденциальной информации.
• Внедрение системы пропускного режима и способов идентификации работников/клиентов. Разработка мер по защите территории, оборудования и сотрудников, которые имеют доступ к конфиденциальной информации.
• Формирование инструкций по охране персональных данных в момент возникновения чрезвычайных ситуаций.
• Обеспечение безопасности компьютеров, локальных сетей, контроль над всей системой информационной защиты и анализ результативности проделанной работы.

Инженерно-технические меры

Защита КИ выполняется посредством использования дорогостоящих технических устройств и специализированного оборудования. Таким образом, удается избежать утечек персональных данных. Компании, которые работают с ценными сведениями, должны быть обеспечены техническими средствами слежения и прослушивания.

Перечислим основные инженерно-технические меры:

• Монтаж ограждений, решеток, стальных дверей с кодовыми замками. Применение идентификационных карт, сейфов.
• Обустройство системы сигнализации, включая противопожарную. Монтаж электронных устройств оповещения о проникновении на территорию третьих лиц и попытке несанкционированного использования КИ.
• Использование оборудования для выявления прослушивающих устройств, скрытых видеокамер и т.д.
• Применение средств, которые позволят обезопасить ценные сведения от перемещения за пределы объекта.
• Применение программно-аппаратных средств защиты конфиденциальных данных, размещенных в компьютерах и других электронных носителях, а также средств идентификации, аутентификации, аудита и специализированных способов передачи сведений (туннелирование, шифрование). Программы предоставляют доступ к КИ лишь работникам, имеющим соответствующие пароли. Кроме того, применяется биометрическая идентификация. Контролируется время входа в систему и работы с КИ. При выявлении нарушений программа в автоматическом режиме закрывает доступ к файлам.

Криптографические меры

Создаются секретные пароли, открывающие доступ к информационной системе компании. Для отправки данных понадобится особый криптографический ключ (символы, расположенные в определенном порядке, которые применяются для шифрования и дешифрования цифровых подписей, секретных сообщений и кодов).

В целях защиты КИ, отправляемой открытым методом (факс, почта, незащищенные сетевые каналы), формируются условия взаимодоверия.

Пример. Пользователь А посредством переписки в интернете общается с пользователем Б. В таком случае Б должен удостовериться в том, что сообщения с ценными данными отправляет А, а не какой-то другой человек. Они создают секретный код, который необходимо будет включить в сообщение. Так как третье лицо не может владеть этим кодом, информация останется конфиденциальной.

Криптографические меры включают в себя:

• Разработку идентификационных магнитных карт или технических средств биометрической идентификации работников, которым доступна КИ.
• Формирование способов подтверждения подлинности идентификационных сведений (аутентификации) с помощью применения паролей, смарт-карт, личных цифровых подписей.
• Применение методик экранирования сообщений. Сотрудники получают возможность использовать лишь часть данных.
• Создание системы, с помощью которой устанавливается максимальной уровень посещаемости помещений, хранящих в себе КИ. Применяются кодовые замки и индивидуальные магнитные карты.

Популярные статьи

Высокооплачиваемые профессии сегодня и в ближайшем будущем

Дополнительный заработок в Интернете: варианты для новичков и специалистов

Востребованные удаленные профессии: зарабатывайте, не выходя из дома

Разработчик игр: чем занимается, сколько зарабатывает и где учится

Как выбрать профессию по душе: детальное руководство + ценные советы

Конкретный перечень действий, направленных на обеспечение безопасности секретных сведений, будет зависеть от специфики компании, масштабов предприятия, уровня ценности и секретности данных.

Если организация небольшая, то чтобы избежать разглашения персональных данных, потребуется лишь определить порядок их хранения и обработки, а также ограничить доступ сотрудников к этим материалам. Следует сформировать грамотную систему работы с персоналом, уведомлять его обо всех нормах. Необходимо осуществлять контроль над всеми операциями, нацеленными на обеспечение информационной безопасности.

При этом в перечень работников, которым дозволяется обрабатывать персональные данные, не входят сами создатели систем информационной безопасности и подобного компьютерного ПО.

С целью отправки КИ по интернету применяют зашифрованные каналы связи.

Правильно разработанная система безопасности секретных материалов необходима для любой организации, которая имеет дело с такими данными. При этом ее нужно грамотно выстроить.

Читайте также!

Специалист по информационной безопасности: нюансы профессии, пути обучения

Подробнее

Система должна быть безупречной и не иметь никаких слабых мест. Каждая ступень защиты конфиденциальной информации должна быть связана с остальными. Нужно организовать все таким образом, чтобы методы обеспечения безопасности могли контролироваться и корректироваться.

Уровень результативности данной системы напрямую влияет на эффективность работы компании.

Автор статьи:

Редакция сайта GeekBrains Шеф-редактор раздела Программирование