Защита конфиденциальной информации

Защита конфиденциальной информации — это не отдельный технический инструмент, а система мер, которая помогает сохранять приватность, целостность важных сведений в компании. Российское законодательство регулирует их защиту. Утечка таких материалов может привести не только к репутационным потерям, но и к штрафам, спорам с клиентами, блокировке отдельных процессов, прямому ущербу для бизнеса. Закон требует не просто “хранить сведения аккуратно”, а выстроить понятный порядок, соответствующий стандартам в части инфобезопасности.

На практике защита конфиденциальной информации всегда строится как сочетание правовых, организационных и технических мер. Именно такой комплексный подход используют профильные компании в сфере информационной безопасности: отдельно защищают документы, отдельно — инфосистемы, каналы связи, доступ пользователей, средства обработки данных.

Обычно самые серьезные проблемы возникают не из-за сложных атак, а из-за неучтенного доступа, слабых регламентов, отсутствия единой системы контроля. Современные предприятия, когда хотят подтвердить соответствие созданной модели управления инфобезопасностью, проводят сертификацию по ГОСТ Р ИСО/МЭК 27001.

Что относится к конфиденциальной информации

Это не одно узкое понятие, а несколько категорий данных, для которых действует специальный порядок хранения, передачи, обработки. Базовое определение независимо от формы представления закреплено в ФЗ № 149 (защита информации, инфотехнологии).

Речь идет об элементах структуры предприятия, доступ к которым ограничивается:

• персональные данные;
• коммерческая тайна;
• внутренние документы фирмы;
• информация о клиентах, финансах, кадрах, контрагентах, бизнес-процессах;
• результаты разработок, другие материалы, которые имеют ценность для компании / затрагивают права конкретных лиц.

Справка! Персональные данные регулируются № 152-ФЗ, а режим коммерческой тайны — ФЗ № 98.

На практике конфиденциальные сведения существуют в двух основных формах:

• на бумажных носителях;
• в электронном виде внутри информационных систем.

Это могут быть оригиналы и копии документов, личные дела, договоры, отчеты, переписка, базы клиентов, файлы в локальной сети / облаке. Для каждой формы нужны свои меры защиты, потому что риски утечки и способы несанкционированного доступа здесь разные. Это прямо связано с тем, как организация хранит, обрабатывает свои данные в текущей работе.

Чем точнее компания разделяет сведения по категориям и уровням доступа, тем проще выстроить реальную защиту, а не формальный набор документов. Обычно проблемы начинаются там, где все важные файлы и документы считаются “просто рабочими”, без понятного статуса, режима конфиденциальности.

Защита и обработка конфиденциальной информации в организации

Внутри компании защита конфиденциальной информации начинается не с покупки программ, а с определения правил обработки и доступа. Организация должна понимать, какие именно данные она собирает, на каком основании их обрабатывает, где они хранятся, кто с ними работает и какие риски возникают на каждом этапе. Такой подход прямо соответствует логике № 149-ФЗ, который требует принимать правовые, организационные, технические меры по защите информации, а для персональных данных — требованиям № 152-ФЗ.

Для бумажных носителей важны учет, физическая сохранность, контроль передачи. Документы с ограниченным доступом обычно передают под роспись, маркируют по внутренним правилам, копируют только с разрешения, хранят в условиях, исключающих несанкционированный доступ. Такой режим особенно важен для кадровых дел, договоров, финансовых материалов, архивов. Это помогает защищать не только сам документ, но и цепочку его движения внутри компании.

Электронная обработка требует более детального отслеживания. Когда сведения загружены в локальную сеть, облачное хранилище / иную инфосистему, предприятие должно разграничить права пользователей, вести журналы действий, использовать шифрование там, где это необходимо, обеспечивать резервное копирование. Для персональных данных состав, содержание таких мер определяет нормативные акты ФСБ, ФСТЭК РФ, в т.ч. Приказ № 21.

Отдельная задача — назначить ответственных. Лицо, которое курирует систему защиты, должно в любой момент понимать:

• где находится конкретный носитель;
• кто имеет к нему доступ;
• какие действия выполнялись с файлом / бумажным экземпляром;
• какие меры приняты на случай сбоя / утраты.

Без такого управления режим конфиденциальности быстро становится формальным. Это особенно заметно на предприятиях, где документы одновременно хранятся в бумажном архиве, на рабочих компьютерах и в облаке без единой учетной схемы.

Угрозы безопасности конфиденциальности

Для бизнеса основная проблема в том, что любая информация проходит через людей, документы, программы, каналы связи, устройства. На каждом этапе возникает угроза утечки, подмены, уничтожения / блокировки сведений. Закон № 152-ФЗ прямо требует обеспечивать безопасность при обработке персональных сведений, а меры защиты должны учитывать актуальные угрозы, возможный вред для субъектов данных.

На практике риски делят на несколько групп:

1. Человеческий фактор - ошибки сотрудников, передача файла не тому адресату, слабые пароли, работа с приватной информацией без разграничения прав, использование личных устройств, копирование материалов на внешние носители.
2. Технические риски: вредоносное ПО, несанкционированный доступ в информационный контур, сбои оборудования, отсутствие резервного копирования, уязвимость удаленного подключения.
3. Организационные проблемы: нет режима коммерческой тайны, ответственных сотрудников, отсутствуют правила доступа, не ведется учет носителей, действий пользователей.

Для бумажных носителей риск чаще связан с потерей оригиналов, копий документации. Для электронных сведений — с незаметным копированием, удалением, искажением, массовой утечкой через сеть. Поэтому организация должна отдельно защищать и материальные носители, и электронную среду, где эти сведения обрабатываются.

Организационные и технические меры защиты

В сфере инфобезопасности работает только комплексный подход: нужно одновременно настраивать правила внутри организации, ограничивать доступ, контролировать обработку сведений, использовать подходящие технические средства. Такой принцип следует из № 149-ФЗ и № 152-ФЗ: защита информации обеспечивается правовыми, организационными и техническими мерами, а для личных данных меры должны быть соразмерны угрозам, характеру обрабатываемых материалов.

К организационным мерам относят установление режима конфиденциальности, распределение ролей, фиксацию правил работы с данными.

1. Для бумажных документов базовые правила простые, но обязательные. Конфиденциальную документацию передают под роспись, копируют только по установленному порядку, хранят в закрытых помещениях / шкафах, а круг сотрудников с правом доступа заранее ограничивают. Если часть архива передается на внешнее хранение, компания должна заранее закрепить ответственность за сохранность данных, исключить возможность несанкционированного доступа к носителям.
2. Для электронных систем набор мер шире. Обычно используют разграничение прав доступа, многофакторную аутентификацию, шифрование, журналирование действий пользователей, резервное копирование, антивирусную защиту, межсетевые экраны, контроль внешних носителей, мониторинг инцидентов.

Отдельный блок составляют технические меры для каналов связи и инфраструктуры. Сюда входят криптографические средства защиты информации, системы предотвращения утечек, несанкционированного доступа, фильтрация сетевого трафика, доверенная загрузка, аппаратные носители ключей, контроль подключения внешних устройств.

Работа без соблюдения предписанных правил наказывается по закону. Например, меры наказания за нарушения в части персональных данных приводятся в ст 13.11 КоАП РФ, причем размеры штрафов по отдельным составам достигают нескольких миллионов рублей для юр. лиц. За незаконное получение / разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, санкции вменяются уже по ст. 183 УК РФ.

Порядок построения системы конфиденциальной защиты

Процедура начинается с анализа работы предприятия. Важно понять, какие именно сведения требуют особого режима, где они хранятся, кто их обрабатывает, у кого есть доступ. Без этого нельзя выстроить работающую систему безопасности.

Следующий этап — оформление внутренних правил. Для личных данных подготавливают политику обработки, локальные документы, порядок доступа сотрудников. Для коммерческой тайны вводят отдельный режим: утверждают перечень защищаемых сведений, ограничивают круг допущенных лиц, фиксируют правила обращения с такой информацией.

После этого компания выстраивает организационные процессы. Назначают ответственных, распределяют права доступа, устанавливают порядок работы с бумажными / электронными документами, вводят учет носителей, контроль действий пользователей.

Затем подбирают технические средства защиты. Обычно используют антивирусные решения, шифрование, разграничение прав, многофакторную аутентификацию, межсетевые экраны, средства предотвращения утечки и системы мониторинга событий безопасности. Конкретный набор зависит от того, какие данные обрабатывает организация, какие угрозы для нее актуальны.

После внедрения систему инфобезопасности часто проверяют путем сертификации. В рамках аудита обычно оценивают:

• устойчивость к несанкционированному доступу;
• защиту от утечки по техническим каналам;
• контроль целостности данных;
• доступность информации при сбоях, атаках;
• корректность шифрования;
• протоколирование событий;
• разграничение прав пользователей;
• другие направления, которые актуальны для партнеров, заказчиков.

По итогам оценки сертификационный орган выдает сертификат. Подготовиться к процедуре помогут сотрудники нашего портала.

Дополнительно поможем с защитой корпоративных данных, коммерческой / служебной тайны. Также доступны специальные исследования технических средств для выявления каналов утечки информации, оформление сертификатов соответствия на средства защиты информации, подготовка документов по аттестации объектов информатизации, сопровождение по получению лицензии ФСТЭК, пр. Обращайтесь!