Что помимо компьютера может выдать конфиденциальную информацию

Обновлено: 07.07.2024

Конфиденциальная информация, циркулирующая на предприятии, играет важную роль в его функционировании. Под конфиденциальной информацией понимают документированную информацию, доступ к которой ограничен законодательством Российской Федерации. Соответственно, эти данные могут стать объектом интереса злоумышленников. Поэтому необходимо создавать условия, при которых возможность утечки конфиденциальной информации будет минимизирована.

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации может осуществляться по различным каналам. Каналом утечки информации называют канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. Утечка информации может происходить в трех формах:

  • • разглашение информации;
  • • утечка по техническим каналам;
  • • несанкционированный доступ к информации.

Все каналы проникновения в систему и каналы утечки информации подразделяют на прямые и косвенные. Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы (например, утеря носителей информации, дистанционное прослушивание, перехват ПЭМИ). Для использования прямых каналов необходимо проникновение (это могут быть действия инсайдеров, несанкционированное копирование и т.д.).

Утечка конфиденциальной информации может произойти при наличии интереса к ней у организации-конкурента, а также при наличии условий, позволяющих злоумышленнику овладеть информацией.

Возникновение таких условий возможно как при случайном стечении обстоятельств, так и при умышленных действиях противника. Основными источниками конфиденциальной информации являются:

Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате:

  • • утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей;
  • • невыполнения работником требований по защите конфиденциальной информации;
  • • излишней разговорчивости персонала в местах общего пользования;
  • • работ с конфиденциальной информацией в присутствии посторонних лиц;
  • • несанкционированной передачи конфиденциальной информации другому работнику;
  • • отсутствия грифов секретности на документах, нанесения маркировки на носителях.

В условиях жесткой конкуренции большое внимание организа- ций-конкурентов, конечно же, привлекает конфиденциальная информация. Ведь чем больше информации доступно, тем больше шансов найти уязвимости соперника. Поэтому каналы передачи и обмена конфиденциальной информации в процессе их функционирования могут быть подвергнуты атакам со стороны злоумышленников, что, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации.

Существуют специальные технические средства, которые позволяют получить информацию без непосредственного контакта с персоналом, документами, базами данных. При их использовании возникают технические каналы утечки информации. Под техническим каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования технического канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. Основными техническими каналами утечки информации являются электромагнитный, электрический, акустический, визуально-оптический и др. Такие каналы прогнозируемы и прерываются стандартными средствами противодействия.

К основным угрозам конфиденциальной информации относятся разглашение, утечка, несанкционированный доступ. Под угрозой безопасности конфиденциальной информации понимают совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее.

Результатом противоправных действий может стать нарушение конфиденциальности, достоверности, полноты информации, что, в свою очередь, может нанести материальный ущерб организации.

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на внутренние и внешние. Внутренними нарушителями могут стать администрация, сотрудники предприятия, имеющие доступ к информационной системе, персонал, обслуживающий здание. Источниками внешних угроз являются клиенты, посетители, представители конкурентных организаций, лица, нарушившие пропускной режим предприятия, а также любые лица, находящиеся за пределами контролируемой территории.

Статистика показывает, что большинство угроз совершается собственными сотрудниками организации, в то время как доля внешних угроз сравнительно мала (рис. 3.26).

Статистика угроз информационной безопасности

Рис. 3.26. Статистика угроз информационной безопасности

Самыми частыми и опасными по размерам ущерба являются непреднамеренные ошибки пользователей информационных систем. Особую опасность представляют «обиженные сотрудники», действия которых связаны с желанием нанести вред организации. Таковыми могут оказаться как нынешние, так и бывшие сотрудники. Поэтому необходимо следить за тем, чтобы при увольнении сотрудника его доступ к информационным ресурсам прекратился.

Стихийные источники угроз весьма разнообразны и непредсказуемы. Возникновение подобных источников сложно предусмотреть и им тяжело противодействовать. К ним относятся пожары, землетрясения, ураганы, наводнения и другие природные катаклизмы. Наступление таких событий может привести к нарушению функционирования предприятия и, соответственно, к нарушению обеспечения безопасности информации в организации.

Для защиты информации, хранимой в компьютере, необходимо использовать программные и аппаратные средства защиты. Рекомендуется использовать такие типы программных средств защиты персонального компьютера:

  • • средства, обеспечивающие защиту от несанкционированного доступа в компьютер;
  • • средства защиты диска от несанкционированных записей и чтения;
  • • средства контроля за обращениями к диску;
  • • средства удаления остатков секретной информации.

Основными мерами по предотвращению НСД к ПК являются

физическая защита ПК и носителей информации, аутентификация пользователей, разграничение доступа к защищаемой информации, криптографическая защита, регистрация обращений к защищаемой информации. Так как существует вероятность заражения компьютера вирусами, не стоит забывать оснастить каждый ПК специальными противовирусными программами.

При обработке конфиденциальной информации в информационных системах предприятий возникает вероятность ее утечки. Утечка конфиденциальной информации может нанести серьезный материальный ущерб. Поэтому необходимо принимать меры по ее предотвращению. Для этого следует проанализировать все возможные источники и угрозы и в соответствии с этим принимать решение о комплексном применении средств защиты информации.

В современных условиях, информация – важный корпоративный актив. Значительная ее часть является объектом интеллектуальной собственности. Значительная, но не вся: подавляющее большинство коммерчески ценных сведений не защищены законом автоматически. Все что остается бизнесу, это хранить важные корпоративные сведения в тайне, что с учетом их нематериального характера и неоднородности очень сложно.

Маркетинговые идеи, клиентские базы, технологические стратегии, решения, технологии производства и рецептуры – все это является неохраняемыми объектами коммерческого интереса со стороны конкурентов. Так как исключительных прав на такую информацию не возникает, бизнесу приходится искать иные пути ее защиты. Что говорит закон о конфиденциальной информации? Каков режим ее защиты и как ее отнести к коммерческой тайне? Разбираемся в сложностях законодательства.

Что такое конфиденциальная информация?

Вообще, конфиденциальной считается любая информация, которой обладает какое-либо лицо, если это лицо предъявило к другим лицам, которым эта информация стала известна, требование о ее неразглашении (п. 7 ст. 2 ФЗ № 149 «Об информации, ИТ, защите информации»). Сведениями конфиденциального характера, например, может быть (Указ Президента № 188 от 06.03.1997):

  • сведения о частной жизни лица;
  • адвокатская, врачебная, иная профессиональная тайна;
  • тайна следствия и судопроизводства;
  • служебные сведения;
  • сведения из личных дел осужденных;
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен, то есть коммерческая тайна.

То есть, конфиденциальность – это правовой режим неразглашения сведений. Любых сведений любого характера. Это обобщенное понятие: положение о конфиденциальной информации предполагает, что конфиденциальность может быть установлена в отношении информации, которую ее обладатель почитает конфиденциальной. И если они имеют отношение к предпринимательской деятельности, их следует рассматривать как коммерческую тайну.

Коммерческая тайна и ее отличие от конфиденциальной информации

Согласно ст. 3 ФЗ «О коммерческой тайне» (далее – ФЗ № 98), коммерческая тайна (КТ) – это режим конфиденциальности корпоративных сведений, который, в существующих или возможных обстоятельствах, позволяет получить коммерческую выгоду – увеличить прибыль, сократить расходы, улучшить положение на рынке и т.д.

Такой информацией могут быть любые сведения (производственные, технические, организационные и иные), которые имеют действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой третьи лица не имеют доступа в силу введенного в ее отношении режима КТ (п. 2 ст. 3 ФЗ № 98).

Иными словами, КТ – это разновидность конфиденциальной информации, в отношении которой специальным образом введен режим ограниченного доступа. Получается, что любая КТ – это конфиденциальная информация. Но не любая конфиденциальная информация является коммерческой. Признаки КТ:

  • имеет коммерческий характер, потенциально приносящий организации прибыль или иную выгоду;
  • ограниченность информации – ее открытое использование наносит ущерб коммерческим интересам компании;
  • возможность организации защиты конфиденциальной информации со стороны ее обладателя;
  • не относится к сведениям, в отношении которых не может быть установлен режим КТ – сведения из учредительных документов, сведения о загрязнении окружающей среды, о задержках зарплаты и иные, указанные в ст. 5 ФЗ № 98;
  • нуждается в защите, так как доступ к ней не имеет ограничений по закону, а сама она не требует регистрации;
  • сокрытие этой информации не наносит вред обществу.

Ограниченность информации, содержащей КТ, является условной, так как такая информация может вполне законно использоваться и третьими лицами, если между этими лицами и ее обладателем достигнуто соответствующее соглашение и подписан договор.

Организация вправе самостоятельно определять перечень сведений коммерческой тайны и вводить его в отношении конкретной информации (ч. 1 ст. 4 ФЗ № 98). Да, автоматически конфиденциальные сведения не приобретают характер КТ – для этого на предприятии должен быть введен режим КТ, который предполагает целый комплекс мер.

Способы защиты коммерческой тайны


Сведения, в отношении которых предприятие намерено установить режим конфиденциальности, приобретают статус коммерческой тайны, если администрация предприятия предприняла меры, оговоренные ч. 1 ст.10 ФЗ № 98, а именно:

  1. Определила и утвердила перечень данных, составляющих коммерческую тайну.
  2. Установила порядок и алгоритмы обращения с такой информацией, тем самым ограничила к ней доступ. Приняла положение о КТ.
  3. Определила перечень должностей и работников, имеющих доступ к конфиденциальным сведениям, а также ведет и учет.
  4. Включила обязательство о неразглашении тайны в трудовой договор и типовой гражданско-правовой договор с контрагентами. Порядок обращения с конфиденциальными сведениями также включен в должностные инструкции.
  5. Нанесла на все материальные носители информации, где содержится КТ, гриф «Коммерческая тайна».

С момента принятия указанных мер режим КТ считается введенным. В его рамках компания также обязана (ч. 1 ст. 11 ФЗ № 98):

  • ознакомить работников под расписку с перечнем сведений, которые отнесены к КТ;
  • ознакомить работников под расписку с порядком использования конфиденциальных сведений и ответственностью за нарушение этого порядка;
  • создать работникам все необходимые условия для соблюдения режима КТ.

Этот минимум мер, которые обязана предпринять компания для защиты своей конфиденциальной информации. На практике, ограничиваясь лишь некоторыми из них, организация не только не устанавливает особый режим охраны по закону, но и позволяет лицам, которые нарушают порядок использования конфиденциальной информации, уйти от ответственности.

Например, в Санкт-Петербурге суд не признал разглашением секрета производства публикацию в сети технических данных пароконденсатных систем бывшим работником предприятия, так как агрегаты, чертежи и разработки не были поименованы как такие, что относятся к коммерческой тайне (Апелляционное определение горсуда СПб № 33-17808/2016 от 27.09.2016).

Нужно ли заключать соглашение о неразглашении?

Соглашение о запрете разглашения коммерческой тайны – способ регулирования отношений, возникающих в процессе использования конфиденциальной информации предприятия. Обычно такие соглашения заключаются с работниками, которые получат доступ к данным, содержащим КТ, в качестве дополнения к трудовому договору. Если вопрос неразглашения не урегулирован трудовым договором, заключение такого соглашения обязательно. Без него режим КТ будет недействителен.

Такое соглашение составляется как любой договор и обязательно должно содержать:

  1. Наименование, реквизиты, данные работника и работодателя.
  2. Предмет соглашения: обязательство работника, в связи с доступом к конфиденциальной информации, обеспечить ее неразглашение.
  3. Права и обязанности сторон: обязательство работника охранять вверенную ему информацию, использовать ее только по назначению и защищать от посягательств третьих лиц.
  4. Срок действия: если об этом сказано, может действовать даже после окончания действия трудового договора.
  5. Особые условия: любые другие условия, которые стороны хотят предусмотреть соглашением.
Мы не рекомендуем вам составлять документ самостоятельно. Обратитесь к юристу!

Похожее соглашение следует заключать также и с контрагентами, получающими доступ к конфиденциальным сведениям.

Ответственность за разглашение конфиденциальной информации

Потенциальными субъектами разглашения сведений, содержащих КТ, являются работники организации, у которых есть доступ к таким сведениям. Соглашение о неразглашении, подписанное ими, не регулирует вопрос ответственности, а лишь фиксирует тот факт, что они взяли на себя обязательство об охране тайны. Вместе с тем, работник может понести такие виды ответственности:

  1. Дисциплинарная. За разглашение конфиденциальной информации, содержащей коммерческую тайну, можно уволить работника по инициативе работодателя (пп. «в» п. 6 ст. 81 ТК).
  2. Материальная. В судебном порядке с работника можно взыскать материальный ущерб, недополученную прибыль, иные причиненные компании убытки
  3. Административная. За разглашение информации, доступ к которой ограничен, на работника можно наложить административный штраф до 5 тыс. рублей (ст. 13.14 КоАП).
  4. Уголовная. ЗА разглашение или использование коммерческой тайны без согласия обладателя информации работника можно привлечь к уголовной ответственности по ч. 2 ст. 183 УК. Это угрожает ему штрафом в 1 млн рублей или исправительными работами до 2 лет, принудительными работами или реальным тюремным сроком на срок до 2 лет. Если такие действия повлекли крупный ущерб, тяжкие последствия или были совершены из корыстных побуждений, ответственность усиливается.

Резюме

Итак, конфиденциальной может быть любая коммерческая, важная для компании информация. Но только после принятия указанных в законе мер она приобретает характер коммерческой тайны. Если их не предпринять, существует не только риск распространения важных сведений, но и ухода виновных лиц от ответственности. Важно предпринимать все указанные в законе меры, без выборочного подхода – он результата не дает и охраняемый режим не вводит.


В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

  1. Свободно распространяемую
  2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
  3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
  4. Распространение, которой в Российской Федерации ограничивается или запрещается
  1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
  2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
  3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
  4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

  1. Сведения в военной области.
  2. Сведения в области экономики, науки и техники.
  3. Сведения в области внешней политики и экономики.
  4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

  • Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
  • Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
  • Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
  • Документы всех типов: личные, служебные, государственные;
  • Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
  • Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Классификация средств защиты информации


В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • Соблюдение конфиденциальности информации ограниченного доступа;
  • Реализацию права на доступ к информации.
  • Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • Своевременное обнаружение фактов несанкционированного доступа к информации;
  • Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • Постоянный контроль за обеспечением уровня защищенности информации;
  • Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).
  1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
    Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
  2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
    Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
    Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
  3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

  • Статья 272 «Неправомерный доступ к компьютерной информации»;
  • Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
  • Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.



Рисунок 2. Классификация средства защиты информации.


Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Угрозы конфиденциальной информации

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Читайте также: