Пишите нам: Вконтакте | Телеграм | Сайт
Мы живем в эпоху, когда информация дороже золота и нефти. Это может быть некий секрет фирмы, благодаря которому вы обходите конкурентов, данные судебного дела, профессиональные тайны (врачебная, нотариальная, адвокатская) и т.п. Все это — конфиденциальная информация.
Будучи надежно защищенной, она — ваша главная ценность. Однако попав в руки злоумышленников, она становится главной угрозой для ваших финансов, репутации и безопасности. И в наши дни, такие случаи становятся все более частыми.
Число зафиксированных Роскомнадзором утечек данных выросло со 140 в 2022 году до 168 в 2023-м. Об этом свидетельствуют данные, которые пресс-служба ведомства обнародовала 9 января 2024 года. По данным Роскомнадзора, в результате утечек данных в 2023 году в открытый доступ попало более 300 млн записей.
Согласно принятым нормам, конфиденциальная информация — это данные, доступ к которым ограничен законом РФ и которые не являются государственной тайной.
Последствия для рядовых специалистов и потребителей цифровых услуг невозможно переоценить после расширения сферы применения статуса конфиденциальности. Все, кто имеет доступ к секретным данным в отечественных и международных компаниях, юридических агентствах, исследовательских организациях и других зарегистрированных организациях, теперь несут ответственность за предотвращение несанкционированного использования или распространения этих секретов. Не менее важно и то, что новые правила уведомления об утечке данных требуют быстрого раскрытия информации пострадавшим сторонам и регулирующим комиссиям, готовым расследовать инциденты и выписывать штрафы за выявленные существенные нарушения.
Современные технологии не только дают возможность работать с данными более эффективно, но также и больше путей для незаконного доступа к этим данным — чем активно пользуются хакеры. Именно поэтому защита конфиденциальной информации сегодня актуальна как никогда.
В этой статье мы рассмотрим основные методы защиты конфиденциальной информации и почему она так необходима в наше время.
Типы конфиденциальных данных
Новые законы справедливо признают, что конфиденциальные данные поставляются в различных форматах и имеют разный уровень секретности. Основные категории, на которые распространяется расширенная защита, включают:
Персональные данные
Имена частных лиц, контактные данные, финансовые или личные особенности (вплоть до вероисповедания и семейного положения).
Коммерческая тайна
Непубличные финансовые показатели, списки клиентов, спецификации продукции и запатентованные методики дают конкурентные преимущества и должны быть доступны только доверенным лицам.
Обсуждение судебных дел
Засекреченные судебные разбирательства, сведения, составляющие тайну следствия и судопроизводства и опечатанные материалы доказательных дел.
Интеллектуальная собственность
Патенты, торговые марки, авторские права, промышленные образцы и задокументированные творческие работы создают инвестиционную ценность и требуют распоряжений о неразглашении.
Информация о клиентах
Такие сведения о клиентах, как схемы покупок, технические конфигурации и назначенные контакты — это ценные корпоративные активы, требующие защиты от внешних лиц.
Обратите внимание на широкий диапазон данных, охватывающий как отдельные личности, так и корпоративные сделки — все они требуют защиты.
Основные уязвимости
Несмотря на самые благие намерения, огромные массивы конфиденциальной информации, распределенные по повседневным платформам, все равно несут в себе угрозу компрометации через непреднамеренные бреши в системе безопасности или откровенную кражу. К числу распространенных проблемных зон относятся:
Повсеместная переписка по электронной почте
Эксперты ИБ советуют избегать незашифрованной электронной почты для конфиденциальных сделок, однако в рабочих процессах постоянно передаются данные о клиентах с ограниченным доступом, предложения с элементами служебной информации и частные юридические вопросы.
Сетевые диски общего доступа
Предназначенные для совместной работы, общие диски способствуют распространению конфиденциальных документов без тщательного ограничения доступа. Финансовые документы, проектные чертежи и конфиденциальные кадровые вопросы - все это часто попадает на серверы с открытым доступом и требует защиты.
Базы данных бизнес-приложений
Структурирование веб-платформ и внутренних баз данных для разграничения доступа к публичным и конфиденциальным данным остается обязательным, но часто откладывается на потом в условиях быстрого развертывания и обновления функций. Лучшее решение для защиты - воспользоваться средствами WAF, которые заточены именно на защиту в сети. Подробней о них вы можете прочитать на нашем сайте.
Когда происходят утечки последствия включают в себя расходы на расследование, требования по уведомлению, репутационный ущерб и потерю конкурентных преимуществ в случае кражи коммерческой тайны или стратегических планов.
Основные принципы защиты конфиденциальной информации
Защита конфиденциальной информации осуществляется на основании федеральных законов и нормативных актов, основными из которых являются:
- Закон № 149-ФЗ «Об информации, информационных технологиях и защите информации». Содержит рекомендации по безопасному обмену информации, ограничению доступа к ней, требования по ее защите, а также меры ответственности за нарушение порядка взаимодействия с конфиденциальной информации.
- Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
- Закон № 98-ФЗ «О коммерческой тайне». Касается коммерческой тайны. Содержит критерии, по которым информацию можно отнести к коммерческой тайне.
- Закон № 152-ФЗ «О персональных данных». Обязывает защищать обрабатываемые персональные данные в информационных системах персональных данных.
В 149-ФЗ упоминаются 3 вида мер для защиты информации — правовые, организационные и технические меры. Данные меры направлены на:
- Защиту информации от несанкционированного доступа и последующих действий с ней.
- Соблюдение конфиденциальности данных с ограниченным доступом.
- Реализацию прав на доступ к защищаемым конфиденциальным данным.
Независимо от возможных векторов угроз, защита конфиденциальных сведений должна решаться комплексно. Следует понимать, что защищать свои информационные системы согласно требованиям закона и регуляторов невозможно без внедрения сертифицированных средств защиты информации (СЗИ) и без проведения организационных работ внутри предприятия.
На основе правовых мер, разрабатываются остальные действия по защите конфиденциальной информации.
В ходе организационных мер разрабатываются:
- Политика информационной безопасности. Представляет собой обоснование применяемых защитных мер. Политика ИБ должна включать цели информационной безопасности, методы их достижения и ответственность.
- Регламентация допуска сотрудников к информационной системе.
- Система допуска посторонних к элементам информационной инфраструктуры и документации.
- Мероприятия по обучению персонала основам работы с конфиденциальной информацией.
- Ответственность за нарушение правил работы с важной информацией и порядка привлечения к ней сотрудников.
После правильно выстроенной организации процессов внутри предприятия, следуют технические меры. Они реализуются путем внедрения и настройки различных технических средств защиты информации.
На этом этапе используются такие средства, как:
- SIEM-системы — собирают и анализируют данные из разных источников и предоставляют полную картину об уровне информационной безопасности.
- Средства защиты от НСД — программные и аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа
После реализации всех вышеперечисленных мер, необходимо пройти аттестацию объектов информатизации. Аттестация— это оценка соответствия системы защиты информации требованиям ФСТЭК России по ИБ. Аттестацию может проводить только лицензиат ФСТЭК России по технической защите конфиденциальной информации. Аттестацию проходят автоматизированные системы и помещения, предназначенные для проведения мероприятий конфиденциального характера.
Заключение
Меры по защите конфиденциальной информации — от разработки документации до выбора и правильной установки СЗИ — довольно сложно, а порой и невозможно выполнить своими силами. При данной процедуре необходимо четко знать все нормативные требования, а также обладать опытом и ресурсами для создания системы защиты информации. Именно поэтому существуют специализированные компании — системные интеграторы, которые берут весь цикл работ на себя и позволяют забыть о лишней трате сил и ресурсов в решении вопросов информационной безопасности.
