Объекты информационной безопасности на предприятии

Объекты критической инфраструктуры организации и обеспечение их безопасности

Обеспечение информационной безопасности (ИБ) — одна из ключевых мер по поддержанию стабильной работы компаний и промышленных предприятий, государственных органов и общественных организаций, функционирования экономики и государства в целом. Учитывая ее все возрастающее значение, ИБ регламентируется на уровне федерального законодательства и по праву считается одним из элементов национальной безопасности. Основным законодательным актом в этой сфере является федеральный закон № 187-ФЗ.

Критические объекты ИБ: что это?

В законе, помимо прочего, дается определение критической информационной инфраструктуре. К информационной инфраструктуре в целом относятся информационные системы и сети телекоммуникации, АСУ и линии связи, которые обеспечивают их взаимодействие.

Для отнесения объекта информационной безопасности к «критической инфраструктуре» он должен использоваться государственным органом или учреждением, российской компанией или организацией в следующих отраслях:

  • наука и здравоохранение;
  • транспорт и связь;
  • энергетическая сфера (в том числе атомная энергетика и ТЭК);
  • банковский сектор;
  • металлургия;
  • химическая, горнодобывающая промышленность;
  • ракетно-космическая отрасль;
  • оборонная промышленность.

Также к критическим объектам защиты в области информационной безопасности причисляют системы, которые обеспечивают взаимодействие вышеперечисленных организаций и компаний. Важно, что они тоже должны принадлежать российским компаниям или предпринимателям.

Основные объекты защиты при обеспечении информационной безопасности

Информационная безопасность направлена на обеспечение защиты от внешних и внутренних угроз целого комплекса объектов. От их типа зависит подбор методов и средств защиты.

Существует множество объектов защиты. Их можно разбить на следующие основные категории:

  • информация;
  • ресурсные объекты;
  • физические объекты;
  • пользовательские объекты.

Рассмотрим подробнее, что относится к каждой из этих категорий основных объектов защиты при обеспечении информационной безопасности.

Информация

К числу основных объектов, нуждающихся в защите, относится непосредственно информация, которая хранится, обрабатывается и передается в информационных и телекоммуникационных системах. В зависимости от формы представления она может быть таких видов:

  • в форме аналоговых сигналов;
  • в форме цифровых сигналов;
  • в виртуальной форме и т. д.

Защите подлежит информация с ограниченным доступом, которая делится на сведения, составляющие государственную тайну и конфиденциальная информация. Отнесение информации к гостайне и порядок использование таких сведений регламентируются законодательством. К конфиденциальной информации относят персональные данные, коммерческую и профессиональную тайну, сведения об изобретениях и т. д.

Ресурсные объекты

К ресурсным объектам защиты в области информационной безопасности относятся технические, программные средства, организационные процедуры, которые применяются для обработки, хранения и передачи информации.

В том числе к таким объектам относятся:

  • аппаратное обеспечение информационных и телекоммуникационных систем;
  • программное обеспечение;
  • процедуры и процессы обработки данных и т. д.

Физические объекты

К этой категории относится широкий перечень объектов, составляющих основные фонды предприятий, организаций и учреждений, в том числе:

  • здания и сооружения;
  • помещения;
  • территории;
  • технологическое оборудование;
  • средства и каналы связи.

Главным критерием отнесения этих объектов к числу подлежащих информационной защите является задействованность в процессах хранения, передачи, обработки данных. Например, сюда относятся здания и помещения, в которых физически размещены информационные системы, помещения для ведения конфиденциальных переговоров и т. д.

Пользовательские объекты

К пользовательским объектам защиты от угроз информационной безопасности относятся:

  • непосредственно пользователи сведений, подлежащих защите;
  • субъекты информации, например, лица, чьи персональные данные обрабатываются системой;
  • владельцы информации;
  • персонал, обслуживающий информационные системы.

В качестве объектов защиты выступают граждане, организации и предприятия, государственные учреждения и органы, а также непосредственно государство.

Сферы защиты

В соответствии с действующей в России Доктриной информационной безопасности выделяются следующие сферы защиты:

  • Экономическая. Деятельность предприятий и компаний, рынок ценных бумаг, финансовый и кредитный сектор.
  • Сфера технологии, науки, образования.
  • Внутриполитическая. Охватывает вопросы, нацеленные на предотвращение экстремизма, сепаратизма, национальной розни.
  • Внешнеполитическая. Сфера, которая охватывает интересы России в международных отношениях и имидж страны на международном уровне.
  • Правоохранительная и судебная сферы.
  • Духовная. Охватывает вопросы деятельности религиозных организаций на территории РФ.

Обеспечение эффективной информационной безопасности в этих сферах направлено на поддержание полноценной деятельности государства и государственных органов, нацелено на защиту интересов системообразующих организаций и предприятий, а также других компаний. Кроме того, информационная безопасность во включенных в доктрину сферах защиты, предотвращает внешнее и внутреннее деструктивное воздействие на сознание граждан.

Средства защиты информации

Средства защиты информации обычно делят на нормативные и технические. Обе группы — сборные, в них входит множество конкретных инструментов, методик, подходов, применяемых для защиты данных.

Нормативные средства защиты

В категорию нормативных включают законодательные, административно-организационные и морально-этические средства (документы, правила, мероприятия и т. п.).

  • Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
  • Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации, поскольку несанкционированное использование конфиденциальных часто осуществляется людьми и никак не зависит от техники. Причем не всегда по злому умыслу — часто ценные данные попадают в общий доступ по неосторожности и небрежности. Чтобы исключить или хотя бы свести к минимуму вероятность подобных ситуаций нужны понятные правила работы с данными внутри организации. Нужно регламентировать работу персонала с интернетом, электронной почтой и другими необходимыми ресурсам. Отдельный пункт — получение электронной цифровой подписи и правила работы с ней.
  • К морально-этическим средствам можно отнести сложившиеся в обществе или конкретном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Технические средства защиты

Технические средства защиты можно разделить на физические, аппаратные, программные и криптографические.

  • Физические средства защиты информации функционируют независимо от информационных систем и создают препятствия для доступа к ним. Электронные экраны, жалюзи, видеокамерами, видеорегистраторами, датчиками.
  • Аппаратные средства защиты — устройства, которые встраиваются в информационные и телекоммуникационные системы. Специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. К аппаратным средствам относятся генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств.
  • Программные средства защиты информации — здесь речь идет о разнообразном ПО. Имейте ввиду, что программные средства требовательны к мощности аппаратных устройств — проще говоря под них стоит выделить отдельный и хороший компьютер.
  • Математический (криптографический) — внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети. Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, формирования и проверки ключей, электронной цифровой подписи.

Обеспечение информационной безопасности — это всегда комплекс мер, включающий все аспекты защиты информации, от внутреннего регламента по аутентификации до шлюзов безопасности. К созданию и обеспечению работоспособности таких комплексов нужно подходить серьезно и кропотливо. И главное — соблюдайте «золотое правило» — это комплексный подход.

Вместо заключения

Нужно признать, что мы уже живем в цифровом мире и будущее, каким его видели фантасты, действительно наступило. Производство стремительно автоматизируется, компьютеры управляют электростанциями и заводскими конвейерами, личные данные миллионов людей курсируют по сети, камеры научились распознавать лица в толпе, а на улицах вот-вот появятся автомобили без водителей.

Современная цифровая инфраструктура, огромная и невероятно сложная, связывающая самые разные стороны жизни, требует особенно тщательной защиты. Хакер в нашем мире перестал быть хулиганом, который рисует на стенах в подъезде — ему вполне по силам обрушить весь дом и оставить жильцов без крыши над головой. Информационная безопасность теперь не менее (а возможно и более) важна, чем экономическая, военная или любая другая.

Основные объекты обеспечения информационной безопасности

Защита данных
с помощью DLP-системы

В России в области обеспечения информационной безопасности действует Доктрина, представляющая совокупность официальных взглядов на ситуацию с угрозами информационной безопасности в современном мире в целом и отдельные законы и подзаконные нормативные акты, которые концентрируются на конкретных аспектах общей системы. Изучая существующие меры безопасности, необходимо понимать, не только от каких угроз необходимо защищаться, но и кто или что подлежит защите. В зависимости от нормативного акта, объекты, требующие обеспечения информационной безопасности, могут несущественно различаться.

Система информационной безопасности

Доктрина информационной безопасности РФ, утвержденная Указом президента в 2016 году, призвана минимизировать или исключить вред, причиненный интересам личности, общества и государства угрозами, существующими в информационном поле, как технологическими, так и идеологическими. Органы государственного управления ставят своей целью не только обеспечение информационной безопасности государства в части обороны, внутренней и внешней политики, но и заботу о защите от посягательств на интересы граждан и бизнеса.

Виды угроз

Разработчики документа не ранжируют угрозы в зависимости от того, направлены они против личности или против порядка государственного управления, а просто называют их. Национальные интересы являются приоритетными, но при этом доктрина уделяет существенное внимание и защите интересов личности, гражданского общества, бизнеса. Среди основных можно назвать угрозы:

  • обороноспособности;
  • государственной целостности;
  • порядку управления;
  • международному имиджу России, деятельности отечественных СМИ за рубежом;
  • критически важным объектам информационной инфраструктуры;
  • кредитно-финансовой сфере.
Читайте также  Медиаконвертер оптический что это такое?

Кроме того, технологическая слабость страны, невысокое качество или отсутствие национальных разработок в области информационной безопасности, зависимость от систем связи или коммуникаций, управляемых на международном уровне, являются самостоятельными угрозами. При направлении усилий стратегическим противником в эту сторону целью может стать и бизнес, который потеряет возможность управлять своими промышленными объектами или проводить платежи в случае отключения сети Интернет.

Сферы защиты

Опасность направленного информационного воздействия на объекты защиты, по мнению разработчиков доктрины, связана не только с возможностью повлиять на объекты инфраструктуры или системы платежей, взломать сайт государственной организации или вмешаться через Сеть в работу систем жизнеобеспечения города или всего государства. Существенная опасность связана с информационным воздействием на нематериальные ценности, такие как имидж России на международной арене, суверенитет, понятие о нерушимости государственной целостности, общие понятия о нравственности. Нацеленное информационное воздействие на эти сферы способно подорвать внутреннюю стабильность, привести к беспорядкам.

Обеспечение информационной безопасности нематериальных объектов касается не только государства. Касательно гражданина или бизнеса риски могут возникнуть в части вовлечения детей в деструктивные культы, организации погромов торговых точек, протестов против строительства значимых для экономики объектов. При этом субъектами информационного влияния на сознание граждан, не подготовленных к защите против направленного воздействия, становятся экстремистские, религиозные, этнические, правозащитные организации. Государственная концепция разъяснения гражданам принципов информационной безопасности, умения разделять истинные новости и специально сгенерированные в деструктивных целях фейки, пока не разработана.

В концепции обеспечения информационной безопасности выделяются следующие сферы защиты:

  • экономическая сфера, включая денежно-кредитную и рынок ценных бумаг. Направленное информационное воздействие может влиять на репутацию банка или курс ценных бумаг;
  • внешнеполитическая. Интересы России на международной арене ущемляются за счет направленного ухудшения ее имиджа;
  • внутриполитическая. Вопросы информационной безопасности связаны в основном с недопущением сепаратизма, экстремизма, национальной розни;
  • область образования, науки, технологий. Информационные атаки могут привести и к миграции ученых за рубеж и снижению репутации российских научных институтов в мире;
  • духовная. Ситуация с попыткой создания Украинской автокефальной церкви показывает, насколько важно для стратегического противника информационное доминирование и в этой сфере;
  • судебная и правоохранительная.

Интересно, что изложенные в Доктрине постулаты в области обеспечения информационной безопасности России не полностью коррелируют с теми, которые изложены в принятой чуть позже Стратегии национальной безопасности, также рассматривающей вопросы защиты от информационных угроз. Однако в целом направления защиты по сферам и объектам совпадают.

Объекты-лица

Концепция обеспечения информационной безопасности, называет основные сферы общественной и политической жизни, в которых возможно причинение ущерба действиями внутренних агентов или правительствами иностранных государств, международными террористическими организациями. Документ предполагает, что ущерб наносится законным правам, свободам или интересам тех или иных субъектов. Конкретные субъекты в доктрине прямо не названы, использовано общее упоминание личности, общества и государства, но на практике выделяются следующие лица и организации, чьим интересам может быть причинен вред направленным информационным воздействием и которые подлежат защите:

  • Россия как государство;
  • органы государственной власти, действующие на внешнеполитической и внутриполитической арене, дипломатические и консульские представительства, такие организации, как «Русский Мир»;
  • субъекты федерации, муниципальные органы;
  • отечественные СМИ, информационные агентства, телеканалы;
  • российские бизнес-структуры, в том числе работающие или размещающие ценные бумаги на иностранных организованных рынках;
  • общественные организации, включая церковь;
  • граждане. Здесь отдельно можно выделить должностных лиц и судей, чья репутация неотделима от репутации государства.

Степень вреда, причиненного интересам субъектов, может разниться, но направленная информационная атака способна обвалить курс акций на несколько миллиардов, и сорвать выборы в муниципальном образовании. Степень защиты в каждом случае будет разной, но осознание существенности информационных угроз помогает обезопасить от них государство и общество. Проблемой может стать то, что оппонировать угрозам приходится только в информационном поле, противопоставляя свои аргументы и возражения чужим, выявляя некорректные сведения или затрудняя распространение ложной информации.

Объекты – предметы и явления

Помимо лиц, информационные атаки могут быть направлены на определенные объекты и явления. Здесь обеспечение информационной безопасности будет достигнуто легче, так как оптимальная защита может достигаться не только информационным противодействием, но и объективно реализованной системой технических мер. В качестве материальных объектов называются:

  • помещения, в которых размещается оборудование систем информационной безопасности, находятся серверы, в том числе банковские, хранятся данные на бумажных носителях. Степень защиты таких помещений, в зависимости от класса охраняемых информационных массивов, определяется нормативными актами ФСБ РФ и ВСТЭК РФ;
  • серверы и информационные массивы органов государственной власти и управления;
  • НИИ и организации разработчиков, обеспечивающих проведение исследований в области информационной безопасности;
  • информационно-телекоммуникационные сети и системы;
  • массивы конфиденциальных сведений;
  • информационные технологии, как имеющиеся в распоряжении предприятия, так и вновь разрабатываемые;
  • системы обеспечения информационной безопасности;
  • системы управления производственными объектами;
  • банковские системы.

В области защиты этих объектов государство устанавливает стандарты технологического и программного оснащения, которое должно исключить возможность любого несанкционированного вмешательства, нарушения их независимости и целостности. Закон отдельно называет объекты критической информационной инфраструктуры, относительно которых установлен особый режим защиты и определены специальные средства защиты информации. Им присваивается категория защищенности, такие объекты вносятся в государственный реестр. При определении категории учитывается политическая, экономическая и экологическая значимость.

Обеспечение информационной безопасности различных объектов является совместной задачей государственных органов, бизнеса и граждан. Заинтересованность каждого в обеспечении собственной защиты важна для функционирования общей системы.

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

Читайте также  Network boot ipv4 что это?

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

Читайте также  На какой частоте работает роутер?

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.