Компании, работающие с конфиденциальной информацией и имеющие доступ в интернет, должны разработать и использовать пакет нормативной документации, IT-решения для обеспечения безопасности на всех уровнях.
Конфиденциальной считается информация:
- личная;
- служебная (служебная тайна);
- судебная (сведения о судьях, осужденных, свидетелях и т.п.);
- коммерческая (в т.ч. ноу-хау, технологии, промышленные образцы);
- профессиональная (адвокатская, врачебная и пр. тайна).
Работа по защите данных включает три уровня:
- предотвращение несанкционированного доступа к информации (физические и технические методы);
- уровень доступ для персонала со стороны организации-клиента;
- уровень права доступа для сотрудников предприятия.
В целях защиты конфиденциальной информации используют IT-решения для:
- обнаружения несанкционированного проникновения (доступа);
- снижения уязвимостей при обработке и хранении информации;
- быстрого восстановления измененной или поврежденной информации;
- предупреждения об ответственности за несанкционированный доступ.
Средства и меры по защите конфиденциальной информации
Выделяют три уровня защиты. Правовой и организационные уровни – неформальные, граничащие с морально-этическими нормами и пресекающими халатность и небрежность по отношению к информации. Технический уровень защиты подразумевает обеспечение безопасности за счет софта и «железа».
Правовой. Определяет единые госстандарты информационной защиты. На нем выстраивается информационная система и определяются регламенты, решения, не ущемляющие права пользователей и соответствующие нормам обработки конфиденциальных данных.
Организационный. Упорядочивает работу, определяет уровни доступа. На этом этапе сокращается утечка сведений до минимума.
Технический. Включает четыре типа решений.
- Физическая защита. Поддержание и контроль за работой механизмов и устройств, работающих независимо и ограничивающих доступ к информации (замки, датчики, видеокамеры).
- Аппаратная защита. К ней относятся приборы для информационных и телекоммуникационных систем (шумогенераторы, системы контроля, серверы, спецкомпьютеры), обнаруживающих утечки информации и перекрывающие слабые каналы.
- Программная защита. Комплексные решения, обеспечивающих безопасность работы. DLP система предотвращает утечку данных, перенаправление потоков и модификацию информации. SIEM система управляет событиями и информбезопасностью, в режиме реального времени анализируя угрозы и создавая отчеты.
- Криптографическая защита. Основывается на математическом преобразовании каналов. Данная защита считается оптимальной, хотя стопроцентную гарантию не дает и она. Шифрование защищает физические и виртуальные носители информации (от файлов до серверов).
Средства криптографии обязательно должны использовать программные компоненты шифрования, VPN, ЭЦП и быть совместимыми с другими системами организации.
Техническая защита не может быть реализована без аттестации, основанной на требованиях ФСТЭК для автоматизированных систем и защищаемых помещений.
На предприятии в равной мере должно уделяться внимание всем составляющим защиты конфиденциальных данных. Только наличие всех компонент способно обеспечить информационную безопасность и предотвратить утечку информации.
Подробнее: https://integrus.ru/blog/it-decisions/zashhita-konfidentsialnoj-informatsii-v-organizatsii.html
