Только 7.02
Онлайн-интенсив «Путь в ИТ. Новое время» Узнай всё о современных профессиях
 
Участвовать бесплатно
кнопка закрыть
Иконка пути Иконка
ГлавнаяБлогЗащита конфиденциальной информации: основные способы и мероприятия
Защита конфиденциальной информации
21.09.2022
1 582
Время чтения: 17 минут

Защита конфиденциальной информации: основные способы и мероприятия

21.09.2022
1 582
Время чтения: 17 минут
Сохранить статью:
Сохранить статью:

Что это? Конфиденциальная информация – это любые данные, не подлежащие разглашению: личные контакты и переговоры, финансовое положение компании, секреты производства и т.д. Они могут относиться к личным, рабочим, корпоративным.

Для чего нужно? Защита конфиденциальной информации обеспечивает личную и экономическую безопасность, способствует честной конкурентной борьбе, сохраняет позиции компании на рынке. Для этого есть конкретные средства и способы.

В статье рассказывается:  
  1. Что такое конфиденциальная информация
  2. Каналы утечки конфиденциальной информации
  3. 4 способа защиты конфиденциальной информации
  4. Основные мероприятия по защите конфиденциальной информации
  5. Пройди тест и узнай, какая сфера тебе подходит:
    айти, дизайн или маркетинг.
    Бесплатно от Geekbrains

Что такое конфиденциальная информация

Чем бы не занималась компания, в качестве одной из самых ценных областей бизнес-интереса выступает защита конфиденциальной информации (КИ).

Чтобы обеспечить высокий уровень безопасности, организация должна понять, насколько важны те или иные разновидности информации, в каком месте они хранятся, как происходит обработка и кто этим занимается, а также как их утилизируют по завершении жизненного цикла. Все это необходимо знать, иначе вы рискуете безопасностью КИ. Кроме того, если не вы не будете знать ответы на вышеперечисленные вопросы, то не сможете обосновать денежные траты на обеспечение сохранности данных.

Что такое конфиденциальная информация
Что такое конфиденциальная информация

Перечислим статьи и законы, которые представляют собой правовую базу защиты конфиденциальной информации:

  • статьи 23, 24 Конституции РФ;
  • статья 727 Гражданского кодекса РФ;
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152-ФЗ «О персональных данных»;
  • Федеральный закон № 98-ФЗ «О коммерческой тайне»;
  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

Сведения, которые применяются в предпринимательской и иной деятельности, бывают очень разными. При этом любые хранимые данные важны для компании. Если они попадут в руки третьих лиц, то это может грозить потерей экономической безопасности. Вследствие того, что многие организации опасаются такого сценария развития событий, были разработаны различные формы системы защиты. К таковым, помимо прочих, можно отнести организационную и, что наиболее ценно, правовую.

Таким образом, информацию можно условно разделить на три категории:

  1. Открытая/несекретная. Ее можно использовать не только внутри компании, но и за ее пределами.
  2. Для служебного пользования (ДСП). Такие данные можно использовать лишь внутри компании. В рамках этой группы выделяют две подгруппы:
    • данные, доступ к которым имеют все работники компании;
    • данные, доступ к которым есть лишь у некоторых категорий работников фирмы (при этом они могут передаваться между работниками для выполнения трудовых задач).
  3. Информация ограниченного доступа. Ее могут использовать лишь отдельные ответственные лица, которые имеют соответствующие полномочия. Такие сведения нельзя передавать работникам другого уровня компетенций (даже частично). Именно эту информацию называют конфиденциальной.

Приведем более конкретные примеры данных из третьей группы:

  • Коммерческая тайна. Речь идет об информации самого разного вида (производственной, технической, экономической, организационной и т.д.). В частности, сюда можно отнести результаты интеллектуальной деятельности в научно-технической области, а также сведения о методах ведения профессиональной деятельности, которые важны (действительно или потенциально) с коммерческой точки зрения в связи неосведомленностью третьих лиц.
  • Банковская тайна. Это информация об операциях, счетах и инвестициях компании (данные клиентов, банковских организаций, корреспондентов и пр.).
  • Иные разновидности тайн. К примеру, адвокатская тайна, нотариальная тайна, тайна переписки и т.п.
  • Сведения, которые имеют интеллектуальную ценность для бизнеса. Сюда можно отнести техническую/ технологическую информацию, а также деловую. В первую группу входят способы создания продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.д. К деловой информации относятся стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.д.

Каналы утечки конфиденциальной информации

Чтобы обеспечить защиту конфиденциальных данных, необходимо выполнять действия, направленные на физическую и техническую защиту данных. В частности, следует ограничить доступ к засекреченным сведениям, охранять их подлинность и целостность.

Есть множество путей, по которым конфиденциальная информация может попасть в руки злоумышленников. Выделяют прямые и косвенные каналы. В первом случае речь идет о копировании ценных файлов или пренебрежении правилами коммерческой тайны.

В группу косвенных каналов утечки КИ входят:

  • утрата или кража устройств, которые выступают в качестве носителей данных;
  • нарушение правил утилизации сведений, которые подлежат уничтожению;
  • удаленное прослушивание или фотографирование файлов с КИ;
  • перехват сообщений по линям радиосвязи.
Каналы утечки конфиденциальной информации
Каналы утечки конфиденциальной информации

Кроме того, одним из путей утечки секретных данных являются социальные сети. Известно множество случаев, когда в Интернет просачивались сведения о личной жизни пользователей. Злоумышленники могут взломать электронные кошельки. Для обеспечения безопасности люди вынуждены придумывать сложные пароли и использовать другие способы защиты.

Есть несколько методов перехвата данных: акустический (подслушивание), оптический (видеосъемка). Более того, в целях кражи личных сведений могут применяться электромагнитные, электронные и иные приборы.

ТОП-30 IT-профессий
2022 года с доходом
от 200 000 ₽
Команда GeekBrains совместно с международными специалистами по развитию карьеры подготовили материалы, которые помогут вам начать путь к профессии мечты.
Подборка содержит только самые востребованные и высокооплачиваемые специальности и направления в IT-сфере. 86% наших учеников с помощью данных материалов определились с карьерной целью на ближайшее будущее!

Скачивайте и используйте уже сегодня:

Александр Сагун
Александр Сагун
Исполнительный
директор Geekbrains
pdf иконка

Топ-30 самых востребованных и высокооплачиваемых профессий 2022

Поможет разобраться в актуальной ситуации на рынке труда

doc иконка

Подборка 50+ ресурсов об IT-сфере

Только лучшие телеграм-каналы, каналы Youtube, подкасты, форумы и многое другое для того, чтобы узнавать новое про IT

pdf иконка

ТОП 50+ сервисов и приложений от Geekbrains

Безопасные и надежные программы для работы в наши дни

pdf 3,7mb
doc 1,7mb
Уже скачали 18640 pdf иконка

Организации, которые хотят обеспечить защиту конфиденциальных данных, используют специальные системы защиты информации класса DLP (Data Loss Prevention). Такие технологии позволяют отследить, какие люди совершали операции с КИ и как они ею распорядились. Плюс ко всему, можно дать оценку уровню защиты данных и риску перехвата.

4 способа защиты конфиденциальной информации

В целях защиты конфиденциальной информации в организации от воздействия со стороны третьих лиц применяются следующие методы:

  1. Сертификация данных. Формирование комплекса мероприятий по обеспечению безопасности личных данных происходит с учетом правил, предусмотренных в нормативных документах. В них прописаны средства, которые позволяют сохранить секретную информацию. При сертификации проверяется соответствие охранных мероприятий имеющимся нормам использования КИ.
  2. Лицензирование. Этот метод подразумевает получение разрешения на конкретный тип деятельности или применение изобретения. Если речь идет о данных, доступ к которым должен быть ограничен, то контролируется соблюдение требований, прописанных в лицензии.
  3. Категорирование. При применении этого способа материалы подразделяются на категории секретности. Учитывается степень угрозы перехвата информации в процессе работы с ней.
  4. Аттестация. Осуществляется контроль над помещениями, внутри которых размещается КИ. Они должны соответствовать нормам безопасности и быть оборудованы требуемыми техническими средствами.

Руководителям организаций, работающим с личными данными, необходимо знать список материалов, доступ к которым должен быть ограничен, а также иметь перечень людей, допускающихся к работе с конфиденциальной информацией. Новые сотрудники должны быть ознакомлены со всеми нормами обработки секретных сведений и теми мерами, которые будут приниматься в случае пренебрежения этими требованиями.

Как правило, руководство компании самостоятельно прописывает уровень конфиденциальности данных и подбирает способы и средства обеспечения ее сохранности. Исключением является государственная тайна. Руководители несут личную ответственность за защиту секретных сведений. При этом любые нормы по защите информации должны соответствовать федеральным законам и указам президента страны.

Основные мероприятия по защите конфиденциальной информации

Чтобы обезопасить информацию от разглашения, выполняется целый ряд действий. Перечислим основные.

Правовые действия

Осуществляется контроль над выполнением юридических требований информационной защиты. Определяются правовые отношения между организацией, которая работает с КИ, и государством. Служебные проверки позволяют обнаружить факты разглашений данных сотрудниками компании.

Выявляется отсутствие трудовых договоров, контрактов и инструкций по обработке конфиденциальной информации.

Сотрудников уведомляют об ответственности за своевольное уничтожение ценных сведений, передачу неверных данных, разглашение служебных тайн.

Новый персонал ознакомляется со спецификой обращения с КИ и соответствующими нормами. При заключении договора берется письменное согласие на соблюдение всех требований работы со служебными данными.

Александр Волчек CEO GeekBrains
Александр Волчек CEO GeekBrains
Получите подробную стратегию для новичков на 2023 год, как с нуля выйти на доход 200 000 ₽ за 7 месяцев

Приглашаем вас на бесплатный онлайн-интенсив от Geek Brains.

За 3 часа эксперты подробно разберут каждый шаг новичка в IT, от составления резюме до выхода на зарплату в 200 000 ₽.

Также сразу после бесплатной регистрации на интенсив на вашу почту придут подарки от Geek Brains из закрытой базы:

pdf иконка

Точный инструмент «Колесо компетенций»

Для детального самоанализа по выбору IT-профессии

pdf иконка

Список грубых ошибок в IT, из-за которых сразу увольняют

Об этом мало кто рассказывает, но это должен знать каждый

doc иконка

Мини-тест из 11 вопросов от нашего личного психолога

Вы сразу поймете, что в данный момент тормозит ваш успех

Регистрируйтесь на бесплатный интенсив, чтобы за 3 часа начать разбираться в IT лучше 90% новичков.
Только до 6 февраля
Осталось 17 мест

Организационные меры защиты конфиденциальной информации

К таковым относятся мероприятия, нацеленные на обеспечение безопасного режима функционирования организации, которая владеет КИ:

  • Формирование службы безопасности. Необходимо утвердить конкретное лицо, которое будет отвечать за передачу данных остальным работникам. Кроме того, следует внедрить в охранные службы программы, требуемые для сохранения конфиденциальности.
  • Разработка перечня наиболее ценных бумажных и электронных материалов.
  • Внедрение разрешительной системы допуска к данным различного уровня конфиденциальности. Контроль над работой с секретной информацией.
  • Создание методик подбора сотрудников для работы с КИ, инструктажи по ее применению и защите.
  • Профилактика нарушений установленных требований.
  • Формирование системы защиты КИ в процессе проведения совещаний, мероприятий, предполагающих обмен данными с другой компанией, встреч со СМИ и т. д.
  • Контроль над помещениями, в которых выполняется обработка (с сертификацией соответствующих устройств) и обмен секретными данными, а также осуществление лицензирования средств защиты конфиденциальной информации.
  • Внедрение системы пропускного режима и способов идентификации работников/клиентов. Разработка мер по защите территории, оборудования и сотрудников, которые имеют доступ к конфиденциальной информации.
  • Формирование инструкций по охране персональных данных в момент возникновения чрезвычайных ситуаций.
  • Обеспечение безопасности компьютеров, локальных сетей, контроль над всей системой информационной защиты и анализ результативности проделанной работы.

Инженерно-технические меры

Защита КИ выполняется посредством использования дорогостоящих технических устройств и специализированного оборудования. Таким образом, удается избежать утечек персональных данных. Компании, которые работают с ценными сведениями, должны быть обеспечены техническими средствами слежения и прослушивания.

Инженерно-технические меры
Инженерно-технические меры

Перечислим основные инженерно-технические меры:

  • Монтаж ограждений, решеток, стальных дверей с кодовыми замками. Применение идентификационных карт, сейфов.
  • Обустройство системы сигнализации, включая противопожарную. Монтаж электронных устройств оповещения о проникновении на территорию третьих лиц и попытке несанкционированного использования КИ.
  • Использование оборудования для выявления прослушивающих устройств, скрытых видеокамер и т.д.
  • Применение средств, которые позволят обезопасить ценные сведения от перемещения за пределы объекта.
  • Применение программно-аппаратных средств защиты конфиденциальных данных, размещенных в компьютерах и других электронных носителях, а также средств идентификации, аутентификации, аудита и специализированных способов передачи сведений (туннелирование, шифрование). Программы предоставляют доступ к КИ лишь работникам, имеющим соответствующие пароли. Кроме того, применяется биометрическая идентификация. Контролируется время входа в систему и работы с КИ. При выявлении нарушений программа в автоматическом режиме закрывает доступ к файлам.

Криптографические меры

Создаются секретные пароли, открывающие доступ к информационной системе компании. Для отправки данных понадобится особый криптографический ключ (символы, расположенные в определенном порядке, которые применяются для шифрования и дешифрования цифровых подписей, секретных сообщений и кодов).

В целях защиты КИ, отправляемой открытым методом (факс, почта, незащищенные сетевые каналы), формируются условия взаимодоверия.

Пример. Пользователь А посредством переписки в интернете общается с пользователем Б. В таком случае Б должен удостовериться в том, что сообщения с ценными данными отправляет А, а не какой-то другой человек. Они создают секретный код, который необходимо будет включить в сообщение. Так как третье лицо не может владеть этим кодом, информация останется конфиденциальной.

В процессе обмена служебными данными код доступа к информационной системе отправляется посредством специальных криптографических приемов и программ. То же самое может применяться и при передаче информации по телефону или радио.

Криптографические меры включают в себя:

  • Разработку идентификационных магнитных карт или технических средств биометрической идентификации работников, которым доступна КИ.
  • Формирование способов подтверждения подлинности идентификационных сведений (аутентификации) с помощью применения паролей, смарт-карт, личных цифровых подписей.
  • Применение методик экранирования сообщений. Сотрудники получают возможность использовать лишь часть данных.
  • Создание системы, с помощью которой устанавливается максимальной уровень посещаемости помещений, хранящих в себе КИ. Применяются кодовые замки и индивидуальные магнитные карты.

Конкретный перечень действий, направленных на обеспечение безопасности секретных сведений, будет зависеть от специфики компании, масштабов предприятия, уровня ценности и секретности данных.

Если организация небольшая, то чтобы избежать разглашения персональных данных, потребуется лишь определить порядок их хранения и обработки, а также ограничить доступ сотрудников к этим материалам. Следует сформировать грамотную систему работы с персоналом, уведомлять его обо всех нормах. Необходимо осуществлять контроль над всеми операциями, нацеленными на обеспечение информационной безопасности.

Если же речь идет о большой компании, то применяется целая система охраны данных, которая должна состоять из нескольких уровней. Используемые приемы и устройства необходимо регулярно обновлять. Это позволит избежать утечек.

При этом в перечень работников, которым дозволяется обрабатывать персональные данные, не входят сами создатели систем информационной безопасности и подобного компьютерного ПО.

С целью отправки КИ по интернету применяют зашифрованные каналы связи.

Правильно разработанная система безопасности секретных материалов необходима для любой организации, которая имеет дело с такими данными. При этом ее нужно грамотно выстроить.

Система должна быть безупречной и не иметь никаких слабых мест. Каждая ступень защиты конфиденциальной информации должна быть связана с остальными. Нужно организовать все таким образом, чтобы методы обеспечения безопасности могли контролироваться и корректироваться.

Уровень результативности данной системы напрямую влияет на эффективность работы компании.

Оцените статью
Рейтинг: 5
( голосов 2 )
Поделиться статьей
Добавить комментарий

Получите подробную стратегию для новичков на 2023 год, как с нуля выйти на доход 200 000 ₽ за 7 месяцев

Подарки от Geekbrains из закрытой базы:
Осталось 17 мест

Поздравляем! Вы выиграли 4 курса по ИТ профессиям. Чтобы закрепить подарок и получить к нему доступ, заполните информацию в открывшемся окне

Иван Степанин
Иван Степанин печатает ...