Как защитить конфиденциальную информацию

Меры защиты конфиденциальной информации: правовые, организационные, технические и способы их реализации

10 000 000 000 долларов за 5 лет. Таков урон компаний в мировом масштабе от хищения данных согласно исследованиям Cyentia Institute. Во многих случаях потери компаний из-за таких инцидентов — в 100 раз больше их годового дохода. Уберечься от подобных рисков помогут правильно выбранные и реализованные меры защиты конфиденциальной информации.

В п.1 ст.16 Федерального закона 149-ФЗ от 27.07.2006 в редакции от 29.12.2020 упоминаются 3 вида мер. Согласно этому документу «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на»:

• Защиту важной для компании информации от несанкционированного доступа и модифицирования, блокирования, умышленного или неумышленного уничтожения, распространения и других действий.
• Соблюдение конфиденциальности для данных, которые отнесены к категории имеющих ограниченный доступ.
• Реализацию для заинтересованных (и допущенных) лиц прав на доступ к защищаемым конфиденциальным данным.

Давайте рассмотри эти 3 вида мер, и разберемся, как они реализуются.

Правовые меры

Под правовыми мерами стоит понимать международные и местные законы, указы, а также иные нормативные акты. Это — основа для построения системы информационной безопасности в компании, на предприятии или в государственном учреждении. Они регламентируют обращение с конфиденциальной и другими видами информации, дают рекомендации по организации системы защиты данных и другим вопросам. На основе этой группы мер разрабатываются мероприятия в рамках двух других групп.

При выработке мер по защите конфиденциальной информации рекомендуем опираться на следующие нормативные акты:

• Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными.
• 152-ФЗ. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR.
• 17, 21 приказы ФСТЭК, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах». Касается в большей степени государственных учреждений, но и коммерческие организации (особенно использующие ГИС) смогут почерпнуть отсюда массу полезных сведений.
• Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность.
• 98-ФЗ. Здесь вы найдете критерии, по которым информацию можно отнести к коммерческой тайне, и сможете принять эффективные меры к ее защите.

Организационные меры защиты конфиденциальной информации

Разрабатываются внутри компании на основе правовых норм (мер), а также с учетом эффективных практик, методологий, исследований, отчетов и других документов по защите данных (например, OWASP TOP10).

Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т.д.

К этой категории мер стоит отнести:

• Подготовку политики безопасности (информационной безопасности). Она строится на основе анализа рисков и включает в себя вопросы экономической, информационной, технической, кадровой, юридической безопасности компании. Еще одна функция ПБ — обоснование применяемых защитных мер. Причем политика должна включать только цели информационной безопасности, методы их достижения и ответственность. Детализация — в других мерах (см. ниже).
• Регламентацию допуска сотрудников к информации, документам и ресурсам информационной системы.
• Разработку системы и мероприятий по допуску посторонних лиц на объект, к элементам IT-инфраструктуры, документации.
• Создание системы учета средств вычислительной техники, носителей информации, средств аутентификации, авторизации.
• Разработку и планирование мероприятий по обучению персонала, аттестации и контроля знаний в области работы с конфиденциальной информацией.
• Определение ответственности за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.

Получается, что организационные меры — это набор внутренних документов (приказов, регламентов, инструкций) регулирующих вопросы работы с конфиденциальной информацией и ее защиту.

Технические меры защиты конфиденциальной информации

Эта категория мер дополняет организационные и устраняет их недостатки. Реализуются путем использования технических решений.

Для их реализации могут использоваться такие решения, как:

• Антивирусы для защиты отдельных компьютеров и целых сетей.
• Межсетевые экраны для фильтрации трафика.
• Системы предотвращения вторжений (IPS).
• Системы обнаружения вторжений (IDS).
• Системы предотвращения утечек (DLP).
• Решения для мониторинга IT-инфраструктур.
• VPN.
• SIEM-системы для сбора и анализа сведений от различных компонентов системы информационной безопасности.
• СКУД и их отдельные компоненты (видеонаблюдение, сигнализация и т.д.).
• Аппаратные и программные средства для аутентификации и авторизации пользователей.

В некоторых источниках встречается упоминания про морально-этические меры защиты конфиденциальной информацию. К ним относят устоявшиеся в обществе нормы поведения. Понятно, что об эффективности таких мер говорить не приходится, ведь здесь все держится, можно сказать, на доверии и принятии человеком сложившихся общественных норм. Но все равно, некоторые компании умудряются использовать их в своей работе, даже оформляя в письменном виде (например, в форме кодекса чести и подобных документов).

Защита от утечки конфиденциальной информации

Защита от утечки корпоративной конфиденциальной информации — это построение безопасной информационной инфраструктуры, которая способна отразить попытки кражи, несанкционированного изменения и уничтожения данных.

Согласно перечню сведений, утверждённому Указом Президента РФ от 6 марта 1997 г. N 188, к конфиденциальной информации относятся:

• персональные данные, позволяющие идентифицировать человека;
• сведения, составляющие тайну следствия и судопроизводства;
• сведения, составляющие служебную тайну;
• сведения, составляющие коммерческую тайну;
• данные о профессиональной деятельности, доступ к которым ограничен Конституцией РФ и федеральными законами;
• сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
• сведения из личных дел осужденных.

Технические каналы информационной утечки

Утечка конфиденциальной информации возможна через следующие технические каналы связи:

• Визуально-оптический. Это могут быть доступные к просмотру документы (на столе, на экране). Их можно увидеть, сфотографировать или просто унести. Чтобы этого риска избежать, необходимо ставить перегородки рабочих мест, не устанавливать рабочие столы у открытых окон, понижать уровень отражаемого света от источника информации. Для предупреждения физического хищения документов, копирования информации и фотографирования, необходимо проводить административно-организационные меры и устанавливать программы, не позволяющие копировать текст и делать скриншоты.
• Акустический. Это звук, содержащий конфиденциальную информацию. Для ее перехвата достаточно применить специальные устройства. Повысить информационную безопасность акустического канала можно при помощи звукоизоляционных материалов, используемых при отделке помещений, а также генераторов шума. Во время переговоров возможна утечка данных при помощи средств записи разговоров. Для исключения такого сценария применяются специальные приборы, которые выявляют такой способ кражи данных. Чтобы избежать перехвата информации через телефонные переговоры, необходимо разработать регламент обсуждения информации, представляющей коммерческую тайну, через мессенджеры и телефон.
• Электромагнитный канал. Это поток электромагнитных волн, проходящий через оптоволоконные источники, микрофоны мобильных устройств, источники питания и аналоговые телекоммуникационные линии. Его можно перехватить и расшифровать. Для предотвращения кражи информации таким путём, производят заземление проводов, используют специальные приборы для обнаружения утечек и экранируют источники излучения.

Средства защиты информации от утечек

Для обеспечения безопасности применяются организационные меры и технические средства защиты информации.

Организационные меры

Применяются меры административно-технического характера во избежание корпоративного шпионажа, составляется нормативно-правовая документация о неразглашении коммерческой тайны. Также создаётся пропускной режим для сотрудников компании, ограничивается доступ сотрудников к конфиденциальной корпоративной информации.

Технические средства

Для осуществления безопасности корпоративной конфиденциальной информации используются аппаратные, программные и аппаратно-программные, криптографические, инженерные средства.

Аппаратные

Приборы и устройства обнаружения каналов утечек информации: индикаторы, локаторы, радиочастотомеры, детекторы.

Программные и аппаратно-программные

К таким средствам можно отнести:

• системы DLP (Data Leak Prevention) и SIEM (Security Information and Event Management),
• межсетевые экраны, блокирующие нежелательный трафик,
• средства защиты от несанкционированного доступа,
• средства защиты виртуальной среды,
• антивирусные программы.

Криптографические

Шифрование информации, передаваемой по сетям и хранящейся на серверах, при помощи алгоритмов.

Инженерные

Системы охраны, видеонаблюдения, сигнализации и прочие устройства, которые препятствуют физическому проникновению на территорию коммерческой организации посторонних людей.

Средства защиты конфиденциальной информации

Ключевые производители решений для обеспечения корпоративной информационной безопасности:

• «Код безопасности»,
• «КриптоПро»,
• «ИнфоТеКС»,
• Eltex (ООО «Предприятие «Элтекс»),
• Positive Technologies,
• Fortinet,
• «АЛТЭКС-СОФТ»,
• «Конфидент»,
• «ОКБ САПР»,
• «Лаборатория Касперского»,
• Check Point Software Technologies Ltd.

Получить консультацию

Отправьте описание ИТ-задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей. Оказываем услуги по проектированию, внедрению и обслуживанию средств защиты конфиденциальной информации.

Как защитить конфиденциальную информацию на предприятии

Конфиденциальная информация может быть разной в разных организациях. Первыми на ум приходят организации, работающие с гостайной, но на практике «секретить» приходится и несекретную информацию: персональные данные работников и клиентов, важные для ведения бизнеса сведения, разработки и проекты, на которые еще не получен патент и прочие данные, которые имеют ценность в силу своей неизвестности широкому кругу лиц.

Обеспечение защиты конфиденциальной информации — это не просто право, но в ряде случаев и обязанность ее держателя. Так, фирмы с лицензией ФСБ на работу с гостайной обязаны пройти проверку ФСБ и использовать особые правила секретного документооборота в ходе работы. Все без исключения организации обязаны хранить в тайне персональные данные (работников, контрагентов, клиентов). При необходимости фирма может ввести правила о неразглашении коммерческой тайны.

Способы защиты сведений ограниченного доступа

Прежде чем организовывать систему защиты информации на предприятии, нужно определить базовые правила защиты информации в компании, а затем планомерно разработать локальные правовые основания и внедрить их. План действий может быть примерно такой:

Определение категорий информации, подлежащей защите

В большинстве случаев под особый режим обращения попадут персональные данные и секретная документация, сведения разработки (результаты исследований, изобретения, промышленные образцы и прототипы), базы данных (база клиентов, база контактов потенциальных клиентов, внутренняя отчетность и т.д.), иногда — маркетинговые стратегии.

Регламентирование защиты конфиденциальной информации в организации

Проще говоря, это разработка, принятие и внедрение локальных нормативных актов, инструкций, договоров и доп. соглашений, положений и порядков, определяющих правила и требования для работы сотрудников с информацией ограниченного доступа. Список-минимум документов выглядит так:

• Положение о защите персональных данных;
• Политика защиты и обработки персональных данных;
• Соглашение о неразглашении конфиденциальной информации;
• Положение о коммерческой тайне и конфиденциальной информации;
• Журнал ознакомления с Положением о коммерческой тайне и конфиденциальной информации;
• Конкретные Инструкции по работе с конфиденциальной информацией, в т.ч. в локальной информационной системе и в интернете.

Разграничение категорий сотрудников и уровней их доступа к конфиденциальной информации

Перечень доступных сведений для каждого сотрудника будет зависеть от характера его трудовой функции. Работников нужно под роспись ознакомить с документами из п. 2. Например, специалисты кадровой службы ознакомятся с положением о ПД и Политикой защиты ПД и конфиденциальной информации, т.к. по роду работы им приходится иметь дело с персональными данными. А для работников, имеющих доступ к разработкам, предусмотрено ознакомление с Положением о коммерческой тайне.

Организация и техническое обеспечение защиты конфиденциальной информации

Организационные мероприятия предполагают:

• постоянные инструктажи персонала о правилах работы с секретными данными;
• установление персональной ответственности за разглашение информации ограниченного доступа;
• фиксирование самого доступа лиц к защищаемым сведениям;
• разработка нормативной базы, создание отдела безопасности;
• организация пропускного режима и видеонаблюдения в организации;
• повышение компьютерной грамотности сотрудников и т.д.

Техническая защита конфиденциальной информации предполагает:

• установка антивирусного ПО, межсетевых экранов и других программ для противодействия несанкционированного доступа к ПК;
• установка софта, регистрирующего действия пользователей в локальной информационной системе;
• установка софта, делающего копирование, рассылку, скачивание конфиденциальной информации невозможными;
• обязательная аутентификация и идентификация пользователя перед входом в систему и доступом к данным ограниченного доступа;
• установка систем оповещения и сигнализации, камер видеонаблюдения;
• создание условий для безопасного хранения физических носителей конфиденциальной информации (сейфы и запираемые металлические шкафы, отдельные охраняемые помещения для работы с информацией и т.д.);
• подключение защищенных каналов для пересылки файлов, содержащих конфиденциальную информацию.

Самые строгие меры принимаются, если организация работает со сведениями, содержащими гостайну. В этом случае придется получить лицензию ФСБ и работать с секретными документами либо через собственное режимно-секретное подразделение, либо через сторонний 1 отдел по договору о режимно-секретном обслуживании. В этом случае никакой самодеятельности — требования к защите информации четко прописаны ФСБ и ФСТЭК, а их соблюдение проверяется при выдаче лицензии и в ходе контрольных проверок ФСБ.

Нужно подготовиться к лицензированию деятельности по работе с государственной тайной? Мы поможем правильно выполнить все требования ФСБ и получить лицензию с первого раза. Звоните!

Нужна косультация по готовым фирмам с лицензией ФСБ?

Оставить комментарий

Главный офис 127055, ул. Новослободская, д.45, к.Б
Понедельник — Пятница: 10:00 — 20:00
Суббота — Воскресенье: 11:00 — 20:00
Санкт-Петербург
Представительство
Понедельник – Пятница: 10:00 – 20:00
Суббота — Воскресенье 11:00 — 20:00
Оставьте заявку

© 2014-2023 licenziya-fsb.com
Все права защищены

• На строительство
• На гостайну
• На криптографию
• На защиту конфиденциальной информации
• Для первого отдела (РСП)
• На создание средств защиты информации

• Для негласного получения информации
• По выявлению электронных устройств
• Ходатайство ФСБ
• Допуск к государственной тайне
• Обучение по защите государственной тайны
• Секретный документооборот

• На техническую защиту информации (ТЗКИ)
• По защите информации (СЗКИ)
• По защите гостайны
• Разовая лицензия ФСТЭК
• Генеральная лицензия ФСТЭК

• Разрешение ФСТЭК на экспорт и импорт
• Аттестация объектов информатизации ФСТЭК
• Специальная проверка технических средств ФСТЭК
• ФСТЭК обучение
• Поставка и аренда оборудования ФСТЭК

Политика конфиденциальности персональных данных

Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую сайт , (далее – Сайт ) расположенный на доменном имени https://licenziya-fsb.com/ (а также его субдоменах), может получить о Пользователе во время использования сайта https://licenziya-fsb.com/ (а также его субдоменов), его программ и его продуктов.

Определение терминов
1.1 В настоящей Политике конфиденциальности используются следующие термины:
1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом , действующие от имени , которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.5. «Сайт » — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): https://licenziya-fsb.com/, а также его субдоменах.
1.1.6. «Субдомены» — это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту , а также другие временные страницы, внизу который указана контактная информация Администрации
1.1.5. «Пользователь сайта » (далее Пользователь) – лицо, имеющее доступ к сайту , посредством сети Интернет и использующее информацию, материалы и продукты сайта .
1.1.7. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.1.8. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на сайт
Общие положения 2.1. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта .
2.3. Настоящая Политика конфиденциальности применяется к сайту Сайт не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте
2.4. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

Предмет политики конфиденциальности

3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации при регистрации на сайте , при подписке на информационную e-mail рассылку или при оформлении заказа.
3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
3.2.1. Имя Пользователя;
3.2.2. контактный телефон Пользователя;
3.2.3. адрес электронной почты (e-mail)
3.3. Сайт защищает Данные, которые автоматически передаются при посещении страниц:
IP адрес
информация из cookies
информация о браузере
время доступа
реферер (адрес предыдущей страницы).
3.3.1. Отключение cookies может повлечь невозможность доступа к частям сайта , требующим авторизации.
3.3.2. Сайт осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.
3.4. Любая иная персональная информация неоговоренная выше (история посещения, используемые браузеры, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.

Цели сбора персональной информации пользователя

4.1. Персональные данные Пользователя Администрация может использовать в целях:
4.1.1. Идентификации Пользователя, зарегистрированного на сайте для его дальнейшей авторизации, оформления заказа и других действий.
4.1.2. Предоставления Пользователю доступа к персонализированным данным сайта.
4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта, оказания услуг и обработки запросов и заявок от Пользователя.
4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.
4.1.6. Создания учетной записи для использования частей сайта , если Пользователь дал согласие на создание учетной записи.
4.1.7. Уведомления Пользователя по электронной почте.
4.1.8. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта .
4.1.9. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта .
4.1.10. Осуществления рекламной деятельности с согласия Пользователя.

Способы и сроки обработки персональной информации

5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
5.2. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи (в том числе электронной), операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте , включая доставку Товара, документации или e-mail сообщений.
5.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
5.4. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
5.5. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
5.6. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

Права и обязанности сторон

6.1. Пользователь вправе:
6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта , и давать согласие на их обработку.
6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
6.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Администрация обязана:
6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.
6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2 и 5.3. настоящей Политики Конфиденциальности.
6.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

Ответственность сторон

7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:
7.2.1. Стала публичным достоянием до её утраты или разглашения.
7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.
7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта , несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта , может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте .
Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте ) допускается их распространение при условии, что будет дана ссылка на Сайт .
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте , включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.

Разрешение споров

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
8.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
8.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда г. Москва.
8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

Защита конфиденциальной информации: основные способы и мероприятия

Что это? Конфиденциальная информация – это любые данные, не подлежащие разглашению: личные контакты и переговоры, финансовое положение компании, секреты производства и т.д. Они могут относиться к личным, рабочим, корпоративным.

Для чего нужно? Защита конфиденциальной информации обеспечивает личную и экономическую безопасность, способствует честной конкурентной борьбе, сохраняет позиции компании на рынке. Для этого есть конкретные средства и способы.

В статье рассказывается:

1. Что такое конфиденциальная информация
2. Каналы утечки конфиденциальной информации
3. 4 способа защиты конфиденциальной информации
4. Основные мероприятия по защите конфиденциальной информации

Пройди тест и узнай, какая сфера тебе подходит:
айти, дизайн или маркетинг.
Бесплатно от Geekbrains

Что такое конфиденциальная информация

Чем бы не занималась компания, в качестве одной из самых ценных областей бизнес-интереса выступает защита конфиденциальной информации (КИ).

Чтобы обеспечить высокий уровень безопасности, организация должна понять, насколько важны те или иные разновидности информации, в каком месте они хранятся, как происходит обработка и кто этим занимается, а также как их утилизируют по завершении жизненного цикла. Все это необходимо знать, иначе вы рискуете безопасностью КИ. Кроме того, если не вы не будете знать ответы на вышеперечисленные вопросы, то не сможете обосновать денежные траты на обеспечение сохранности данных.

Перечислим статьи и законы, которые представляют собой правовую базу защиты конфиденциальной информации:

• статьи 23, 24 Конституции РФ;
• статья 727 Гражданского кодекса РФ;
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 152-ФЗ «О персональных данных»;
• Федеральный закон № 98-ФЗ «О коммерческой тайне»;
• ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

Узнай, какие ИТ — профессии
входят в ТОП-30 с доходом
от 210 000 ₽/мес
Павел Симонов
Исполнительный директор Geekbrains

Команда GeekBrains совместно с международными специалистами по развитию карьеры подготовили материалы, которые помогут вам начать путь к профессии мечты.

Подборка содержит только самые востребованные и высокооплачиваемые специальности и направления в IT-сфере. 86% наших учеников с помощью данных материалов определились с карьерной целью на ближайшее будущее!

Скачивайте и используйте уже сегодня:

Павел Симонов
Исполнительный директор Geekbrains

Топ-30 самых востребованных и высокооплачиваемых профессий 2023

Поможет разобраться в актуальной ситуации на рынке труда

Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка

Только проверенные нейросети с доступом из России и свободным использованием

ТОП-100 площадок для поиска работы от GeekBrains

Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽

Получить подборку бесплатно
Уже скачали 23672

Сведения, которые применяются в предпринимательской и иной деятельности, бывают очень разными. При этом любые хранимые данные важны для компании. Если они попадут в руки третьих лиц, то это может грозить потерей экономической безопасности. Вследствие того, что многие организации опасаются такого сценария развития событий, были разработаны различные формы системы защиты. К таковым, помимо прочих, можно отнести организационную и, что наиболее ценно, правовую.

Таким образом, информацию можно условно разделить на три категории:

1. Открытая/несекретная. Ее можно использовать не только внутри компании, но и за ее пределами.
2. Для служебного пользования (ДСП). Такие данные можно использовать лишь внутри компании. В рамках этой группы выделяют две подгруппы:
   • данные, доступ к которым имеют все работники компании;
   • данные, доступ к которым есть лишь у некоторых категорий работников фирмы (при этом они могут передаваться между работниками для выполнения трудовых задач).
3. Информация ограниченного доступа. Ее могут использовать лишь отдельные ответственные лица, которые имеют соответствующие полномочия. Такие сведения нельзя передавать работникам другого уровня компетенций (даже частично). Именно эту информацию называют конфиденциальной.

Приведем более конкретные примеры данных из третьей группы:

• Коммерческая тайна. Речь идет об информации самого разного вида (производственной, технической, экономической, организационной и т.д.). В частности, сюда можно отнести результаты интеллектуальной деятельности в научно-технической области, а также сведения о методах ведения профессиональной деятельности, которые важны (действительно или потенциально) с коммерческой точки зрения в связи неосведомленностью третьих лиц.
• Банковская тайна. Это информация об операциях, счетах и инвестициях компании (данные клиентов, банковских организаций, корреспондентов и пр.).
• Иные разновидности тайн. К примеру, адвокатская тайна, нотариальная тайна, тайна переписки и т.п.
• Сведения, которые имеют интеллектуальную ценность для бизнеса. Сюда можно отнести техническую/ технологическую информацию, а также деловую. В первую группу входят способы создания продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.д. К деловой информации относятся стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.д.

Каналы утечки конфиденциальной информации

Чтобы обеспечить защиту конфиденциальных данных, необходимо выполнять действия, направленные на физическую и техническую защиту данных. В частности, следует ограничить доступ к засекреченным сведениям, охранять их подлинность и целостность.

Есть множество путей, по которым конфиденциальная информация может попасть в руки злоумышленников. Выделяют прямые и косвенные каналы. В первом случае речь идет о копировании ценных файлов или пренебрежении правилами коммерческой тайны.

В группу косвенных каналов утечки КИ входят:

• утрата или кража устройств, которые выступают в качестве носителей данных;
• нарушение правил утилизации сведений, которые подлежат уничтожению;
• удаленное прослушивание или фотографирование файлов с КИ;
• перехват сообщений по линям радиосвязи.

Кроме того, одним из путей утечки секретных данных являются социальные сети. Известно множество случаев, когда в Интернет просачивались сведения о личной жизни пользователей. Злоумышленники могут взломать электронные кошельки. Для обеспечения безопасности люди вынуждены придумывать сложные пароли и использовать другие способы защиты.

Есть несколько методов перехвата данных: акустический (подслушивание), оптический (видеосъемка). Более того, в целях кражи личных сведений могут применяться электромагнитные, электронные и иные приборы.

Для вас подарок! В свободном доступе до 05.11 —>
Скачайте ТОП-10 нейросетей, которые помогут облегчить
вашу работу
Чтобы получить подарок, заполните информацию в открывшемся окне

Организации, которые хотят обеспечить защиту конфиденциальных данных, используют специальные системы защиты информации класса DLP (Data Loss Prevention). Такие технологии позволяют отследить, какие люди совершали операции с КИ и как они ею распорядились. Плюс ко всему, можно дать оценку уровню защиты данных и риску перехвата.

4 способа защиты конфиденциальной информации

В целях защиты конфиденциальной информации в организации от воздействия со стороны третьих лиц применяются следующие методы:

1. Сертификация данных. Формирование комплекса мероприятий по обеспечению безопасности личных данных происходит с учетом правил, предусмотренных в нормативных документах. В них прописаны средства, которые позволяют сохранить секретную информацию. При сертификации проверяется соответствие охранных мероприятий имеющимся нормам использования КИ.
2. Лицензирование. Этот метод подразумевает получение разрешения на конкретный тип деятельности или применение изобретения. Если речь идет о данных, доступ к которым должен быть ограничен, то контролируется соблюдение требований, прописанных в лицензии.
3. Категорирование. При применении этого способа материалы подразделяются на категории секретности. Учитывается степень угрозы перехвата информации в процессе работы с ней.
4. Аттестация. Осуществляется контроль над помещениями, внутри которых размещается КИ. Они должны соответствовать нормам безопасности и быть оборудованы требуемыми техническими средствами.

Руководителям организаций, работающим с личными данными, необходимо знать список материалов, доступ к которым должен быть ограничен, а также иметь перечень людей, допускающихся к работе с конфиденциальной информацией. Новые сотрудники должны быть ознакомлены со всеми нормами обработки секретных сведений и теми мерами, которые будут приниматься в случае пренебрежения этими требованиями.

Дарим скидку от 60%
на курсы от GeekBrains до 05 ноября
Уже через 9 месяцев сможете устроиться на работу с доходом от 150 000 рублей

Как правило, руководство компании самостоятельно прописывает уровень конфиденциальности данных и подбирает способы и средства обеспечения ее сохранности. Исключением является государственная тайна. Руководители несут личную ответственность за защиту секретных сведений. При этом любые нормы по защите информации должны соответствовать федеральным законам и указам президента страны.

Основные мероприятия по защите конфиденциальной информации

Чтобы обезопасить информацию от разглашения, выполняется целый ряд действий. Перечислим основные.

Правовые действия

Осуществляется контроль над выполнением юридических требований информационной защиты. Определяются правовые отношения между организацией, которая работает с КИ, и государством. Служебные проверки позволяют обнаружить факты разглашений данных сотрудниками компании.

Выявляется отсутствие трудовых договоров, контрактов и инструкций по обработке конфиденциальной информации.

Сотрудников уведомляют об ответственности за своевольное уничтожение ценных сведений, передачу неверных данных, разглашение служебных тайн.

Новый персонал ознакомляется со спецификой обращения с КИ и соответствующими нормами. При заключении договора берется письменное согласие на соблюдение всех требований работы со служебными данными.

Только до 2.11
Скачай подборку материалов, чтобы гарантированно найти работу в IT за 14 дней
Список документов:

ТОП-100 площадок для поиска работы от GeekBrains

20 профессий 2023 года, с доходом от 150 000 рублей

Чек-лист «Как успешно пройти собеседование»

Чтобы зарегистрироваться на бесплатный интенсив и получить в подарок подборку файлов от GeekBrains, заполните информацию в открывшемся окне

Организационные меры защиты конфиденциальной информации

К таковым относятся мероприятия, нацеленные на обеспечение безопасного режима функционирования организации, которая владеет КИ:

• Формирование службы безопасности. Необходимо утвердить конкретное лицо, которое будет отвечать за передачу данных остальным работникам. Кроме того, следует внедрить в охранные службы программы, требуемые для сохранения конфиденциальности.
• Разработка перечня наиболее ценных бумажных и электронных материалов.
• Внедрение разрешительной системы допуска к данным различного уровня конфиденциальности. Контроль над работой с секретной информацией.
• Создание методик подбора сотрудников для работы с КИ, инструктажи по ее применению и защите.
• Профилактика нарушений установленных требований.
• Формирование системы защиты КИ в процессе проведения совещаний, мероприятий, предполагающих обмен данными с другой компанией, встреч со СМИ и т. д.
• Контроль над помещениями, в которых выполняется обработка (с сертификацией соответствующих устройств) и обмен секретными данными, а также осуществление лицензирования средств защиты конфиденциальной информации.
• Внедрение системы пропускного режима и способов идентификации работников/клиентов. Разработка мер по защите территории, оборудования и сотрудников, которые имеют доступ к конфиденциальной информации.
• Формирование инструкций по охране персональных данных в момент возникновения чрезвычайных ситуаций.
• Обеспечение безопасности компьютеров, локальных сетей, контроль над всей системой информационной защиты и анализ результативности проделанной работы.

Инженерно-технические меры

Защита КИ выполняется посредством использования дорогостоящих технических устройств и специализированного оборудования. Таким образом, удается избежать утечек персональных данных. Компании, которые работают с ценными сведениями, должны быть обеспечены техническими средствами слежения и прослушивания.

Перечислим основные инженерно-технические меры:

• Монтаж ограждений, решеток, стальных дверей с кодовыми замками. Применение идентификационных карт, сейфов.
• Обустройство системы сигнализации, включая противопожарную. Монтаж электронных устройств оповещения о проникновении на территорию третьих лиц и попытке несанкционированного использования КИ.
• Использование оборудования для выявления прослушивающих устройств, скрытых видеокамер и т.д.
• Применение средств, которые позволят обезопасить ценные сведения от перемещения за пределы объекта.
• Применение программно-аппаратных средств защиты конфиденциальных данных, размещенных в компьютерах и других электронных носителях, а также средств идентификации, аутентификации, аудита и специализированных способов передачи сведений (туннелирование, шифрование). Программы предоставляют доступ к КИ лишь работникам, имеющим соответствующие пароли. Кроме того, применяется биометрическая идентификация. Контролируется время входа в систему и работы с КИ. При выявлении нарушений программа в автоматическом режиме закрывает доступ к файлам.

Криптографические меры

Создаются секретные пароли, открывающие доступ к информационной системе компании. Для отправки данных понадобится особый криптографический ключ (символы, расположенные в определенном порядке, которые применяются для шифрования и дешифрования цифровых подписей, секретных сообщений и кодов).

Откройте для себя захватывающий мир IT! Обучайтесь со скидкой до 61% и получайте современную профессию с гарантией трудоустройства. Первый месяц – бесплатно. Выбирайте программу прямо сейчас и станьте востребованным специалистом.

В целях защиты КИ, отправляемой открытым методом (факс, почта, незащищенные сетевые каналы), формируются условия взаимодоверия.

Пример. Пользователь А посредством переписки в интернете общается с пользователем Б. В таком случае Б должен удостовериться в том, что сообщения с ценными данными отправляет А, а не какой-то другой человек. Они создают секретный код, который необходимо будет включить в сообщение. Так как третье лицо не может владеть этим кодом, информация останется конфиденциальной.

В процессе обмена служебными данными код доступа к информационной системе отправляется посредством специальных криптографических приемов и программ. То же самое может применяться и при передаче информации по телефону или радио.

Криптографические меры включают в себя:

• Разработку идентификационных магнитных карт или технических средств биометрической идентификации работников, которым доступна КИ.
• Формирование способов подтверждения подлинности идентификационных сведений (аутентификации) с помощью применения паролей, смарт-карт, личных цифровых подписей.
• Применение методик экранирования сообщений. Сотрудники получают возможность использовать лишь часть данных.
• Создание системы, с помощью которой устанавливается максимальной уровень посещаемости помещений, хранящих в себе КИ. Применяются кодовые замки и индивидуальные магнитные карты.