В современном мире каждая организация имеет дело с конфиденциальной информацией (КИ). Компания должна защитить такие данные от утечки, несанкционированного доступа или других противозаконных действий.
Что относится к КИ
Сначала следует определиться, что является конфиденциальной информацией. Для этого обратимся к Указу Президента РФ «Об утверждении перечня сведений конфиденциального характера». Там представлен следующий список:
- персональные данные, которые позволяют определить личность человека;
- тайна следствия или судебного производства, данные о защищаемых гражданах;
- служебная тайна;
- профессиональные сведения: врачебная тайна, адвокатская тайна и т.д.;
- коммерческая тайна;
- данные об изобретении компании до официального объявления о нем.
Действия по защите конфиденциальной информации
Чтобы защитить секретные сведения, предприятию следует:
- четко установить, какая информация должна быть защищена;
- разработать документацию, регламентирующую порядок доступа к секретным сведениям;
- определить сотрудников, которые могут использовать такие данные;
- определить возможные угрозы;
- разработать план действий при несанкционированном доступе к информации;
- установить средства технической защиты конфиденциальной информации (СЗКИ).
Важно уделить этим процедурам пристальное внимание: малейшее упущение может привести к утечке. Сотрудники при приеме на работу должны подписать соглашение о неразглашении. Документы, содержащие коммерческую тайну, необходимо соответствующе пометить и указать владельца сведений. Обязательно грамотно разработать документацию о защите информации. Иначе в случае утечки предприятие не будет иметь законных оснований для возбуждения дела. А чтобы утечки не случилось, следует позаботиться о СЗКИ.
Системы защиты конфиденциальной информации
Информационное пространство наполнено вирусными, шпионскими и киберпрограммами. Даже средний и малый бизнес чувствуют угрозу и стараются всячески защитить конфиденциальные сведения. Среди современных надежных средств защиты можно выделить DLP-системы и SIEM-системы. Первые анализируют всю исходящую, иногда и входящую, информацию и препятствуют ее утечке. Кроме того, они могут вести учет рабочего времени и ресурсов работниками. SIEM-системы собирают сведения из разных источников (DLP-системы, серверы и другие). После чего анализируют их и заносят в журнал событий, где можно увидеть слабые места защиты, попытки несанкционированного доступа, вирусы, погрешности в работе систем.
Требования по защите конфиденциальной информации
Правила работы с конфиденциальной информацией регламентированы Решением Коллегии Гостехкомиссии России №7.2 от 2 марта 2001г. Там же описаны требования и рекомендации по защите сведений.
- составить перечень помещений и сотрудников, которые имеют доступ к КИ;
- составить перечень сведений, которые являются конфиденциальными;
- вести работы в помещении, находящемся в пределах зоны, куда воспрещен вход посторонним лицам;
- проводить работы в помещении, которое не примыкает к помещениям других организаций;
- по возможности расположить помещение выше первого этажа, а окна закрыть жалюзи;
- оборудовать помещения сертифицированными СЗКИ;
- вести учет съемных, бумажных, магнитных носителей информации;
- передачу данных осуществлять только по защищенным каналам связи;
- во время совещаний исключить использование сотовых телефонов, диктофонов, магнитофонов и т.д.;
Это самые основные требования. На самом деле их гораздо больше, но для каждого предприятия требования могут быть разными. Это зависит от деятельности фирмы и типа защищаемой информации. Так, существуют отдельные требования для защиты речевой информации и данных, обрабатываемых автоматизированными системами. Поэтому так сложно привести предприятие в соответствие со всеми нормами. Но сделать это необходимо, чтобы получить аттестат соответствия.
Аттестат соответствия
Для работы с КИ нужно получить аттестаты соответствия на помещения, оборудование, автоматизированные системы, которые будут задействованы в обработке защищаемых сведений. При подготовке к процедуре нужно провести проверку техники, установить сертифицированные ФСТЭК СЗКИ. Аттестация проходит в несколько этапов:
- проверка объекта и оценка рисков утечки КИ;
- установка сертифицированных СЗКИ;
- специальная проверка техники;
- выполнение испытаний объектов.
Если проверяемый объект соответствует всем требованиям, на него выдается Аттестат соответствия.