Способы сокращения детализации для защиты конфиденциальных данных

Способы сокращения детализации для защиты конфиденциальных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Способы сокращения детализации для защиты конфиденциальных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Система Crypton Sigma-это программный комплекс, предназначенный для защиты данных на персональном компьютере. По своим возможностям он во многом аналогичен системе Secret Disk.

Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название – брандмауэр или firewall). Брандмауэр — в информатике — программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения.
Правильное конфигурирование и сопровождение брандмауэра — обязанность опытного системного администратора.

Дипломная работа: Защита конфиденциальной информации на предприятии

С флешками и внешними дисками все просто: для них можно использовать сервис самой операционной системы Windows (для Windows Vista и новее) под названием Bitlocker.

Эти меры применяются к таким областям, как безопасность персонала, безопасность сети и административная безопасность. Протоколы и меры безопасности определяют, что вы хотите защитить и от чего. Чтобы разработать сильные и законные политики безопасности, вы должны определить свои цели безопасности, которые помогут вам составить план безопасности для безопасной системы.

И безопасность, и конфиденциальность взаимозависимы, и они часто являются синонимами друг друга. Многие из нас могут полагать, что оба являются близкими терминами, и один не может иметь одного без другого, в то время как некоторые будут утверждать, что можно обеспечить безопасность без конфиденциальности, но не наоборот. Оба термина являются синонимами технологий и сетей.

В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Пожалуйста, скопируйте нижеприведённую ссылку в вашу программу для чтения РСС-лент. Спасибо.

Компания должна защищать от утечки информацию трех основных типов — сводную информацию, конфиденциальные документы и интеллектуальную собственность.

Все конфиденциальные ИР подлежат обязательной регистрации в журнале учета конфиденциальных ИР Организации, создаваемые путем сбора, ввода, приема информации, обрабатываемая конфиденциальная информация путем вывода (отображения, печати), передачи, записи, хранения, а также уничтожаемые в ИС ИР.

Средства защиты конфиденциальной информации

После этого запускается процесс шифрования. По его завершении флешка или диск станут доступными для записи и у них появится вот такой значок.

Все остальные документы, содержащие неструктурированную конфиденциальную информацию, можно отнести к оперативному документообороту. Это приказы по компании, внутренняя электронная переписка. Информация, находящаяся в них, имеет оперативный интерес для конкурентов и партнеров компании, и ее похищение также может привести к моральным и материальным потерям.
Если печатать цветные документы не требуется, а минимальная себестоимость копий имеет первостепенное значение, то логичным выбором будут лазерные устройства.

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

См., например: Ожегов С.И. Словарь русского языка: 70000 слов / Под ред. Н.Ю. Шведовой. М.: Рус.яз., 1991. С. 293; Словарь иностранных слов.

Запланированные дважды товарные поставки, вложения в уже отпечатанные каталоги и рекламные конструкции, а также все потери во времени (за которое конкурент получил преимущество в продажах) можно было бы оценить в десятки миллионов рублей.

Совсем недавно компания Cougar представила новую серию блоков питания для традиционных ПК — VTX, ориентированную на пользователей с ограниченным бюджетом.

Запланированные дважды товарные поставки, вложения в уже отпечатанные каталоги и рекламные конструкции, а также все потери во времени (за которое конкурент получил преимущество в продажах) можно было бы оценить в десятки миллионов рублей.

Компания Thermaltake представила обновленную версию корпуса Core P3 TG, который был представлен летом 2016 года. Главное отличие новинки от предыдущей модификации заключается в том, что вместо плоского листа из закаленного стекла в комплект поставки входит изогнутая Г-образная панель толщиной 5 мм, изготовленная из того же материала.

Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности.

Инструкция по защите конфиденциальной информации при обработке с помощью СВТ

Основными целями безопасности являются конфиденциальность, целостность и доступность. Цель состоит в том, чтобы усилить внутренний контроль и ограничить несанкционированный доступ как от внутренних, так и от внешних факторов, тем самым защищая конфиденциальность и целостность ресурсов и активов.

Если вам понадобится сменить пароль или отключить шифрование — на подключенной флешке нажать правую кнопку мыши и там «Управление Bitlocker».

Передача и запись конфиденциального ИР должна регистрироваться в журналах учета. Передача и запись КИ должна осуществляться только с АРМ, предназначенных для обработки КИ. При смене администратора, составляется акт приема-сдачи носителей, содержащих КИ, который утверждается руководителем Организации.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации.

2.1. Регистрация конфиденциальных ИР

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого — это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета.

Поскольку такая информация разрознена, хранение ее никак обычно не регламентировано, защита ее от утечек особо затруднена.

И по статистике, чаще всего конфиденциальные данные (и людей, и компаний) «утекают» через веб-сервисы (21,9% случаев), и чуть реже — из мобильных компьютеров и планшетов (14,1%).

Как защитить конфиденциальные данные

Лекция 5 Идентификации субъекта. Понятие протокола идентификации. Идентифицирующая информация. Пароли.

В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.

В качестве такого идентификатора может использоваться обычный электронный ключ для параллельного порта, карточка PCMCIA для ноутбуков или смарт-карта (в этом случае необходимо установить в компьютер специальный считыватель смарткарт).

Это слабое звено может даже не работать на вас, а быть из «смежников» — логист, типограф, сотрудник фурнитурной мастерской. Всегда можно найти того, кто жаднее других или не выплатил ипотеку. И это касается и модного дома, и гаражной мастерской.

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

На носителях информации, содержащих КИ, проставляется штамп, в котором указывается наименование организации, регистрационный номер документа, гриф конфиденциальности, дата регистрации, количество файлов и общий занятый объем. Носители КИ подлежат инвентарному учету в журналах учета.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения.

Многие пользователи не связываются с защитой и шифрованием, потому что считают, что это все делается как-то очень сложно. Между тем существуют очень простые и даже элементарные способы сделать защищенную флешку (папку, целый диск).

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Применение лишь одного из названных способов защиты информации не решает проблемы — необходим комплексный подход. Обычно используют два основных метода: преграда и управление доступом.

Защита конфиденциальной информации в организации

ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий. Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

  • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
  • служебные – то, что можно отнести к категории служебной тайны;
  • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
  • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
  • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

  • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
      • замки, двери, решетки на окнах, сигнализация и т.д. — любые средства, ограничивающие физический доступ к носителям информации;
      • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
  • разграничение доступа для сотрудников (персонала) организации клиента;
  • реализация прав доступа для работников предприятия.

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации. Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила. Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

Правовое регулирование конфиденциальной информации

Защита данных
на базе системы

И нформация представляет собой сведения, которые регламентированы правовыми нормами. Существует два вида информации: сведения, находящиеся в открытом и в ограниченном доступе. Между открытой и конфиденциальной информацией имеются принципиальные различия. Распространение конфиденциальной информации создает угрозу экономической безопасности и наказывается в соответствии с действующим законодательством.

Понятие и виды конфиденциальной информации

Согласно Федеральному закону Российской Федерации «Об информации, информационных технологиях и о защите информации» № 149-ФЗ, сведения делятся на два вида:

  • информация для общего пользования. Вид данных, находящихся в открытом доступе для всех граждан РФ;
  • данные с закрытым доступом. Вид сведений, которые ограничены нормативно-правовыми актами РФ и доступны только определенным категориям лиц, которые получают доступ к информации в связи со своими служебными полномочиями.

Понятие конфиденциальной информации

В широком смысле слова, конфиденциальная информация – это сведения с ограниченным доступом. В узком смысле, конфиденциальная информация имеет особую ценность для лиц, пребывающих на государственной службе или работающих в организации.
Законодатель раскрывает понятие «конфиденциальность информации» в Федеральном законе «Об информации» № 149-ФЗ. Согласно ст. 2 закона, к данным ограниченного доступа относятся сведения, которые не могут быть переданы третьим лицам без согласия на это обладателя данных.

Конфиденциальная информация представляет собой определенную тайну, поскольку она доступна только нескольким категориям лиц, имеющим право и доступ на работу с ней. Охрана и правовая защита конфиденциальных данных гарантирована государством и закреплена в Конституции РФ. В основном законе РФ указано, что гражданин, организация и государство, имеют право на тайну.

Основными источниками правового регулирования конфиденциальной информации в РФ являются:

  • международные договоры и соглашения;
  • конституция РФ;
  • федеральные законы;
  • законы субъектов;
  • локальные акты.

Виды конфиденциальной информации

Конфиденциальная информация делится на несколько видов в зависимости от содержания и от того, в каком кругу используется:

1. Служебная тайна.

Согласно Указу Президента № 188 «Об утверждении Перечня сведений конфиденциального характера», под служебной тайной понимают информацию, имеющую особую ценность, доступ к которой ограничивается государственными органами РФ в соответствии с действующим законодательством.

Информация, являющаяся служебной тайной, также регулируется положениями Постановления Правительства РФ № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

В указанном Постановлении закреплены правовые положения о работе с информацией, составляющей служебную тайну:

  • обязательное проставление отметки «Для служебного пользования»;
  • передача сотрудникам информации, содержащей служебную тайну, только под расписку;
  • хранение сведений «Для служебного пользования» в сейфах;
  • уничтожение документов, содержащих служебную тайну только по акту;
  • копирование документов со служебной тайной с письменного согласия руководителя.

2. Коммерческая тайна.

В соответствии со ст. 3 Федерального закона «О коммерческой тайне» № 98-ФЗ, под коммерческой тайной понимается режим ограничения использования, передачи и распространения информации, которая позволяет ее обладателю получить материальную или нематериальную выгоду.

Обладание чужой коммерческой тайной позволяет конкурентам увеличить прибыль, избежать лишних расходов, получить привилегии на рынке товаров и услуг.

Согласно закону № 98-ФЗ, сведениями, составляющими коммерческую тайну, могут быть результаты интеллектуальной деятельности, научно-техническая информация, которая представляет собой особую коммерческую ценность для организации.

Ценность коммерческой тайны заключается в том, что она известна лишь определенному кругу лиц и недоступна третьим лицам. Примером коммерческой тайны может служить производство по уникальной технологии какой-либо продукции.

Законодатель, помимо прочего, указывает, какие сведения не могут признаваться коммерческой тайной:

  • сведения из единого государственного реестра юридических и физических лиц, подтверждающие факт внесения записи в реестр;
  • лицензии и сертификаты, которые дают право заниматься предпринимательской деятельностью;
  • сведения о количестве сотрудников и размере заработной платы на предприятии;
  • информация, касающаяся задолженности или невыплаты заработной платы и любых социальных выплат;
  • сведения о нарушении законов и привлечении к юридической ответственности;
  • информация, касающаяся безопасности граждан, общества в целом и окружающей среды;
  • список лиц, имеющих право совершать юридические действия без доверенности;
  • информация о проведении конкурсов или аукционов по приватизации государственной или муниципальной недвижимости.

3. Персональные данные.

Федеральный закон «О персональных данных» № 152-ФЗ поясняет, что можно считать персональными данными. Исходя из ст. 3 закона, персональные данные – это любые сведение относящиеся (прямо или косвенно) к субъекту персональных данных, то есть физическому лицу.

Согласно закону, получение, обработка, хранение и иные действия с персональными данными физического лица, производятся только с согласия последнего.

При этом лицо, которое занимается обработкой персональных данных, не имеет права разглашать сведения, которые ему предоставляет гражданин. В исключительных случаях допускается передача таких данных, если физическое лицо лично дает на это согласие, либо это предусмотрено действующим законодательством.

4. Тайна уголовного судопроизводства.

В Уголовно-процессуальном кодексе РФ (УПК РФ), закреплено положение, которое запрещает разглашать сведения, касающиеся уголовного дела на стадии предварительного расследования.

Следователь или дознаватель обязан сообщить участникам уголовного судопроизводства о недопустимости разглашении сведений по уголовному делу, о чем составляется соответствующая расписка.

Однако в ст. 161 УПК РФ говорится о том, что в исключительных случаях данные предварительного расследования могут предать гласности с разрешения лиц, ведущих расследование. Также, законодатель отмечает, что информация, которая может быть оглашена, не должна противоречить интересам следствия и участников уголовного судопроизводства.

При этом запрещается разглашение сведений, которые содержат информацию о частной жизни участников уголовного дела, а также несовершеннолетних граждан, которые не достигли возраста 14 лет.

5. Судебная тайна.

В судопроизводстве также существует конфиденциальная информация, которая называется судебная тайна. В любой отрасли права (административной, гражданской и уголовной) законодатель закрепляет принцип ее соблюдения.

Сущность данного принципа состоит в следующем:

  • судья или коллегия судей выносят решение только в совещательной комнате;
  • никто, кроме судей, не имеет право участвовать при вынесении решения, за исключением присяжных заседателей;
  • при участии в судебном разбирательстве присяжные заседатели не имеют права разглашать решения суда;
  • неразглашение информации по делам особой категории. Несмотря на то, что в РФ одним из принципов судопроизводства является гласность, то есть открытость судебного заседания, имеется ряд дел, по которым заседание в обязательном порядке должно быть закрытым. К таким делам, например, относятся все дела, касающиеся защиты прав и интересов несовершеннолетних.

6. Профессиональная тайна.

Профессиональная тайна есть практически в каждой профессии: врач, адвокат, нотариус, психолог. Для каждого специалиста существует особое понятие профессиональной тайны, которая регламентированное в различных правовых актах.

Например, адвокаты руководствуются Федеральным законом № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». В ст. 8 закона указано, что адвокатской тайной признаются сведения, которые стали известны адвокату при оказании юридической помощи своему доверителю. При этом недопустим допрос адвоката по обстоятельствам, которые стали ему известны в ходе профессиональной деятельности.

Аналогичные правовые положения закреплены для нотариусов, врачей и иных специалистов, получающих сведения, которые не подлежат разглашению. Каждый сотрудник, который получает доступ к данным, подписывает документ о неразглашении сведений.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149.

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации.

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

  • обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
  • соблюдение режима ограниченного доступа к ограниченным данным;
  • принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

  • предотвращение утечки информации;
  • своевременное обнаружение попытки незаконно получить доступ к информации;
  • предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
  • постоянный мониторинг уровня защиты информации;
  • возможность восстановить данные, которые были уничтожены;
  • размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

  • Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
  • Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
  • Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
  • Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность.

Правовые нормы закрепляют следующие виды ответственности:

  • Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
  • Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
  • Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
  • Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
  • Владельцам бизнеса;
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Средства защиты конфиденциальной информации, передаваемой по открытым каналам передачи данных

Этой статьёй мы открываем новую рубрику нашего сайта, в которой будут публиковаться научные материалы по направлениям повышения квалификации и профессиональной переподготовки, осуществляемым в Приволжском институте повышения квалификации ФНС России.

Одной из программ повышения квалификации и программой профессиональной переподготовки является «Информационная безопасность». По этим программам предусмотрено изучение криптографических средств защиты информации (СКЗИ), их установка, настройка и практическое использование. Чтобы читатель имел представление о современных наиболее популярных СКЗИ, рассмотрим назначение и принципы функционирования виртуальных частных сетей (VPN). Тем более, что на практических занятиях по программе профессиональной переподготовки «Информационная безопасность» слушатели имеют возможность настроить и научится использовать средство для организации виртуальных частных сетей VipNet Custom (Coordinator + Client).

Пожалуй, самым эффективным средством защиты передаваемой информации от несанкционированного доступа (НСД) в настоящее время считается виртуальная частная сеть. Термин VPN обозначает взаимосвязанную совокупность технологий, которые обеспечивают сетевое соединение, или так называемую логическую сеть, функционирующую поверх какой-либо другой сети, как правило, Интернет. То есть, передача данных в VPN производится по незащищённым (открытым) сетям, но, весь траффик между абонентами и их идентификационная информация шифруется. Таким образом, благодаря использованию криптографии, защита передаваемых данных по технологии VPN может быть очень надёжна. Кроме непосредственно шифрования данных, среди используемых в VPN средств криптографии применяются средства для защиты от изменений передаваемых сообщений, инфраструктура открытых ключей и надёжная аутентификация.

Проведём краткий анализ защитных функций VPN. По технологиям VPN, в зависимости от назначения защищаемых соединений, в настоящее время используются три вида соединения: сеть-сеть, узел-сеть и узел-узел.
Защищённое соединение вида сеть-сеть применяется для организации туннеля между несколькими защищёнными сетями или защищёнными сегментами сети. При этом для передачи данных между сетями (сегментами) используются открытые каналы передачи данных, которые необходимо защитить с помощью туннеля.

Защищённые соединения вида узел-сеть и узел-узел применяются для организации защищённого доступа внешних абонентов к защищённой сети или защищённого соединения между абонентами. Все эти виды защищённых соединений необходимы для организации безопасных соединений между сегментами корпоративных сетей и для предоставления защищённого доступа удалённых абонентов к информационным ресурсам государственных органов и иных организаций.
Применение средств криптографии позволяет использовать базовые сетевые протоколы (UDP, TCP и др.) в неизменном виде, и чаще всего для создания VPN применяется инкапсуляция протокола РРР в другой протокол, например, IP или Ethernet. При таком подходе происходит виртуализация всего трафика и адресов оконечных устройств абонентов. В результате применение VPN обеспечивает высокий уровень защиты передаваемых данных даже в открытых общедоступных телекоммуникациях.

Если представить VPN структурно, то она логически состоит из двух функциональных частей: «внутренней» сети (их может быть несколько) и «внешней» сети (обычно это открытые каналы передачи данных). Кроме того, что весь трафик шифруется, в VPN защита реализуется на уровне идентификации и аутентификации зарегистрированных пользователей. То есть, удаленный пользователь подключается к VPN через сервер доступа, включенный как во «внутреннюю», так и во «внешнюю» сеть. При этом сервер требует от пользователя пройти идентификацию, а затем аутентификацию, после чего проверенный таким образом пользователь наделяется предусмотренными полномочиями в сети.
В настоящее время рынок программно-аппаратных и программных средств, основанных на VPN, достаточно разнообразно представлен. Далеко не все VPN имеют достаточный уровень защиты информации, требуемый нормативными документами ФСБ и ФСТЭК России для защиты информации с ограниченным доступом. Поэтому для применения в государственных информационных системах особый интерес представляют сертифицированные ФСБ и ФСТЭК средства.

К таковым относятся следующие средства:
Программно-аппаратный комплекс (ПАК) DioNis-NX (Дионис), который кроме функции криптомаршрутизатора VPN, реализует функции маршрутизатора и межсетевого экрана с системой обнаружения/предотвращения сетевых атак, имеет средства криптографической защиты информации (СКЗИ), позволяет осуществлять мониторинг трафика и обеспечивать качество сервисов, может работать в режиме отказоустойчивого кластера.

ПАК Дионис является российской разработкой (научное производственное предприятие «ФАКТОР-ТС») и имеет сертификаты соответствия ФСБ и ФСТЭК.

Средство комплексной защиты ViPNet CUSTOM (разработчик: ОАО «Инфотекс»).
По информации, предоставленной разработчиком, ViPNet CUSTOM предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности :

  • создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети (VPN);
  • развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины).

Также в ViPNet CUSTOM поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
Все компоненты VipNet CUSTOM 3.2 имеют сертификаты ФСБ и ФСТЭК .
Если сравнивать эти два наиболее популярных в нашей стране сертифицированных средства защиты передаваемых по сетям данных по техническим, экономическим и другим характеристикам, то, предпочтительнее выглядит VipNet CUSTOM. Так как, это более современное средство защиты, чисто программная реализация, несложное в настройке, экономически более выгодное.

Именно поэтому по программе профессиональной переподготовки «Информационная безопасность» основное внимание при изучении уделяется этому средству защиты.

Автор:
Кандидат технических наук доцент Лабутин Н.Г.