|
|
@@ -0,0 +1,86 @@
|
|
|
+# Правила работы с конфиденциальной информацией
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Данные, нуждающиеся в защите
|
|
|
+Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
|
|
|
+
|
|
|
+- коммерческая тайна;
|
|
|
+- производственная документация секретного характера;
|
|
|
+- ноу-хау компании;
|
|
|
+- клиентская база;
|
|
|
+- персональные данные сотрудников;
|
|
|
+- другие данные, которые компания считает нужным защитить от утечки.
|
|
|
+
|
|
|
+Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
|
|
|
+
|
|
|
+- определение перечня активов, подлежащих защите;
|
|
|
+- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
|
|
|
+- определение круга лиц, которым будет доступна КИ;
|
|
|
+- определение процедур реагирования;
|
|
|
+- оценка рисков;
|
|
|
+- внедрение технических средств по защите КИ.
|
|
|
+Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).
|
|
|
+
|
|
|
+Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:
|
|
|
+
|
|
|
+- при каких условиях информация относится к служебной, коммерческой, другой тайне;
|
|
|
+- обязательность соблюдения условий конфиденциальности;
|
|
|
+- ответственность за разглашение КИ.
|
|
|
+Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Защита конфиденциальной информации на практике
|
|
|
+В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
|
|
|
+
|
|
|
+Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
|
|
|
+
|
|
|
+Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.
|
|
|
+
|
|
|
+## Защита информации на предприятии
|
|
|
+При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
|
|
|
+
|
|
|
+Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
|
|
|
+
|
|
|
+Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
|
|
|
+
|
|
|
+В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
|
|
|
+
|
|
|
+## IT-защита информации
|
|
|
+Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
|
|
|
+
|
|
|
+Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
|
|
|
+
|
|
|
+Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
|
|
|
+
|
|
|
+Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
|
|
|
+
|
|
|
+Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
|
|
|
+
|
|
|
+## DLP-системы для предотвращения утери данных
|
|
|
+Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
|
|
|
+
|
|
|
+- USB-разъемы;
|
|
|
+- локально функционирующие и подключенные к сети принтеры;
|
|
|
+- внешние диски;
|
|
|
+- сеть Интернет;
|
|
|
+- почтовые сервисы;
|
|
|
+- аккаунты и др.
|
|
|
+Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
|
|
|
+
|
|
|
+DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
|
|
|
+
|
|
|
+Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.
|
|
|
+
|
|
|
+Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
|
|
|
+
|
|
|
+- частных сведений;
|
|
|
+- интеллектуальной собственности;
|
|
|
+- финансовых данных;
|
|
|
+- медицинской информации;
|
|
|
+- данных кредитных карт и др.
|
|
|
+
|
|
|
+### <h1 align="center">Список литературы</h1>
|
|
|
+https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/
|
|
|
+https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/dokumenty-po-informatsionnoj-bezopasnosti/
|
