Защита конфиденциальной информации

Конфиденциальная информация является важным аспектом конкурентоспособности любого предприятия. Для обеспечения надежности функционирования бизнеса, следует организовать и постоянно поддерживать необходимый уровень защиты информации от уничтожения (умышленного, непреднамеренного), кражи и внесения ложных сведений. Причиной посягательств на конфиденциальную информацию может быть, как недобросовестная конкуренция, так и ненамеренные ошибки сотрудников предприятия, вследствие которых информация стала доступна третьим лицам.

Перечень сведений конфиденциального характера, определен Указом Президента РФ от 6 марта 1997 г. N 188. Он включает персональные данные, коммерческую, служебную, врачебную тайну и ряд других категорий сведений.

Исходя из требуемой степени защиты, информация делится на категории. Это необходимо делать для того, чтобы избежать излишних расходов. Построить систему защиты конфиденциальной информации необходимо таким образом, чтобы затраты на преодоление защиты были больше ценности информации для конкурента.

Кроме того, некоторые типы конфиденциальной информации, как например, персональные данные, требуют вполне конкретных мер, и эти меры являются обязательными для всех компаний. Персональные данные, являются отдельной категорией конфиденциальной информации и для них разработан отдельный Федеральный Закон №152-ФЗ от 27.07.2006

Меры по защите конфиденциальной информации разделяются на организационные и технические. К организационным мерам относятся разработка пакета документов и их внедрение. К техническим же мерам относится разработка и внедрение системы защиты конфиденциальной информации, составными частями которой являются: средства контроля от несанкционированного доступа, антивирус, межсетевой экран и другие. Все применяемые технические средства должны быть обязательно сертифицированы Федеральной службой технического и экспортного контроля.

Если организационные меры компании могут разрабатывать и внедрять собственными силами, то деятельность по технической защите конфиденциальной информации относятся к лицензированным видам деятельности (на основании Постановления Правительства РФ №79 от 03.02.2012). И для этих целей придется привлекать сторонние организации, имеющие соответствующую лицензию.

Предприятие для выбора и реализации методов и способов защиты информации в информационной системе может осуществлять защиту своими силами, но только при нескольких условиях:

  1. Ответственным за обеспечение безопасности конфиденциальной информации назначается лицо, прошедшие специальную подготовку.
  2. Своими силами можно выполнить ту часть работ, которая не касается установки технических средств защиты конфиденциальной информации.

Кроме того, внедрением комплекта документов и системы защиты информации дело не ограничивается. Для обеспечения надежного уровня защищенности на предприятиях организуются регулярный внутренний аудит функционирования системы защиты информации, иногда так же с привлечением сторонних организаций.

В рамках этой деятельности на предприятии появляется документ под названием “модель угроз”. За ее основу берется базовая модель угроз, разработанная ФСТЭК России. Помимо внешних угроз (хакерская деятельность, промышленный шпионаж и т.д.), достаточно большая часть этого документа посвящена внутренним угрозам, исходящим от сотрудников самой компании, ведь 80% утечек конфиденциальной информации приходится именно на деятельность самих сотрудников (так называемых инсайдеров).

Так же деятельностью по защите только компьютеров, серверов, хранилищ и каналов передачи данных дело не ограничивается. В рамках этой деятельности так же производится анализ физического расположения самой компании, на профессиональном языке это называется “контролируемой зоной”. Производится оценка возможности проникновения на территорию компании посторонних лиц. Лучше, когда компания располагается в отдельном здании с системой контроля доступа. Если же компания располагается в бизнес центре, тогда пределы контролируемой зоны, сужаются до размеров офиса, что нередко требует дополнительных мер защиты.

В данной статье мы расписали только основы данной деятельности. Сама же защита информации является отдельным направлением в компьютерном мире, и учитывая динамику развития современных предприятий остро встает вопрос защиты конфиденциальной информации.

Для частных же лиц государство не накладывает никаких ограничений на данную деятельность, и каждый человек для себя лично сам определяет какая информация для него является “конфиденциальной”. Для защиты этой информации, в большинстве случаев, достаточно адекватно настроенной системы, антивируса, и адекватных действий пользователя. Однако, если частному лицу требуется “спрятать” информацию от посторонних лиц, то можно воспользоваться, например, шифрованием данных. О том, как это сделать можно прочитать в нашей статье “Как спрятать информацию”.

 

(с) Сергей Иванов, для сайта techescort.ru

использование полностью или частично без письменного разрешения автора не допускается.