|
@@ -1,86 +1,86 @@
|
|
|
-# Правила работы с конфиденциальной информацией
|
|
|
|
|
|
|
+# Правила работы с конфиденциальной информацией
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-## Данные, нуждающиеся в защите
|
|
|
|
|
-Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
|
|
|
|
|
|
|
+## Данные, нуждающиеся в защите
|
|
|
|
|
+Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
|
|
|
|
|
|
|
|
-- коммерческая тайна;
|
|
|
|
|
-- производственная документация секретного характера;
|
|
|
|
|
-- ноу-хау компании;
|
|
|
|
|
-- клиентская база;
|
|
|
|
|
-- персональные данные сотрудников;
|
|
|
|
|
-- другие данные, которые компания считает нужным защитить от утечки.
|
|
|
|
|
|
|
+- коммерческая тайна;
|
|
|
|
|
+- производственная документация секретного характера;
|
|
|
|
|
+- ноу-хау компании;
|
|
|
|
|
+- клиентская база;
|
|
|
|
|
+- персональные данные сотрудников;
|
|
|
|
|
+- другие данные, которые компания считает нужным защитить от утечки.
|
|
|
|
|
|
|
|
-Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
|
|
|
|
|
|
|
+Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
|
|
|
|
|
|
|
|
-- определение перечня активов, подлежащих защите;
|
|
|
|
|
-- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
|
|
|
|
|
-- определение круга лиц, которым будет доступна КИ;
|
|
|
|
|
-- определение процедур реагирования;
|
|
|
|
|
-- оценка рисков;
|
|
|
|
|
-- внедрение технических средств по защите КИ.
|
|
|
|
|
-Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).
|
|
|
|
|
|
|
+- определение перечня активов, подлежащих защите;
|
|
|
|
|
+- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
|
|
|
|
|
+- определение круга лиц, которым будет доступна К�;
|
|
|
|
|
+- определение процедур реагирования;
|
|
|
|
|
+- оценка рисков;
|
|
|
|
|
+- внедрение технических средств по защите К�.
|
|
|
|
|
+Федеральные законы устанавливают требования Рє ограничению доступа Рє информации, являющейся конфиденциальной. Рти требования должны выполняться лицами, получающими доступ Рє таким данным. РћРЅРё РЅРµ имеют права передавать эти данные третьим лицам, если РёС… обладатель РЅРµ дает РЅР° это своего согласия (СЃС‚. 2 Рї. 7 ФЗ Р Р¤ «Об информации, информационных технологиях Рё Рѕ защите информации»).
|
|
|
|
|
|
|
|
-Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:
|
|
|
|
|
|
|
+Федеральные законы требуют защитить РѕСЃРЅРѕРІС‹ конституционного строя, права, интересы, Р·РґРѕСЂРѕРІСЊРµ людей, нравственные принципы, обеспечить безопасность государства Рё обороноспособность страны. Р’ СЃРІСЏР·Рё СЃ этим необходимо РІ обязательном РїРѕСЂСЏРґРєРµ соблюдать РљР�, Рє которой доступ ограничивается федеральными законами. Рти нормативные акты определяют:
|
|
|
|
|
|
|
|
-- при каких условиях информация относится к служебной, коммерческой, другой тайне;
|
|
|
|
|
-- обязательность соблюдения условий конфиденциальности;
|
|
|
|
|
-- ответственность за разглашение КИ.
|
|
|
|
|
-Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).
|
|
|
|
|
|
|
+- при каких условиях информация относится к служебной, коммерческой, другой тайне;
|
|
|
|
|
+- обязательность соблюдения условий конфиденциальности;
|
|
|
|
|
+- ответственность за разглашение К�.
|
|
|
|
|
+�нформация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении К�, выявлении случаев хищения и др.).
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-## Защита конфиденциальной информации на практике
|
|
|
|
|
-В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
|
|
|
|
|
|
|
+## Защита конфиденциальной информации на практике
|
|
|
|
|
+В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
|
|
|
|
|
|
|
|
-Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
|
|
|
|
|
|
|
+Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
|
|
|
|
|
|
|
|
-Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.
|
|
|
|
|
|
|
+Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту К�, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности К� вопросы управления должны находиться в числе приоритетных.
|
|
|
|
|
|
|
|
-## Защита информации на предприятии
|
|
|
|
|
-При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
|
|
|
|
|
|
|
+## Защита информации на предприятии
|
|
|
|
|
+При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
|
|
|
|
|
|
|
|
-Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
|
|
|
|
|
|
|
+Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
|
|
|
|
|
|
|
|
-Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
|
|
|
|
|
|
|
+Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы К� должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
|
|
|
|
|
|
|
|
-В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
|
|
|
|
|
|
|
+В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
|
|
|
|
|
|
|
|
-## IT-защита информации
|
|
|
|
|
-Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
|
|
|
|
|
|
|
+## IT-защита информации
|
|
|
|
|
+Важное место в защите К� занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к К� предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
|
|
|
|
|
|
|
|
-Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
|
|
|
|
|
|
|
+Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
|
|
|
|
|
|
|
|
-Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
|
|
|
|
|
|
|
+Хакерство, �нтернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
|
|
|
|
|
|
|
|
-Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
|
|
|
|
|
|
|
+Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
|
|
|
|
|
|
|
|
-Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
|
|
|
|
|
|
|
+Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
|
|
|
|
|
|
|
|
-## DLP-системы для предотвращения утери данных
|
|
|
|
|
-Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
|
|
|
|
|
|
|
+## DLP-системы для предотвращения утери данных
|
|
|
|
|
+Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения К�. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
|
|
|
|
|
|
|
|
-- USB-разъемы;
|
|
|
|
|
-- локально функционирующие и подключенные к сети принтеры;
|
|
|
|
|
-- внешние диски;
|
|
|
|
|
-- сеть Интернет;
|
|
|
|
|
-- почтовые сервисы;
|
|
|
|
|
-- аккаунты и др.
|
|
|
|
|
-Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
|
|
|
|
|
|
|
+- USB-разъемы;
|
|
|
|
|
+- локально функционирующие и подключенные к сети принтеры;
|
|
|
|
|
+- внешние диски;
|
|
|
|
|
+- сеть �нтернет;
|
|
|
|
|
+- почтовые сервисы;
|
|
|
|
|
+- аккаунты и др.
|
|
|
|
|
+Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
|
|
|
|
|
|
|
|
-DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
|
|
|
|
|
|
|
+DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
|
|
|
|
|
|
|
|
-Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.
|
|
|
|
|
|
|
+Р�спользование этой программы позволяет РЅРµ только сохранять данные, РЅРѕ Рё определять того, кто РёС… выслал. Если, Рє примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие Рё направит эти данные РІ архив РЅР° хранение. Рто позволит проанализировать информацию, РІ любой момент РІР·СЏРІ ее РёР· архива, обнаружить отправителя, установить, РєСѓРґР° Рё СЃ какой целью эти данные отправлялись.
|
|
|
|
|
|
|
|
-Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
|
|
|
|
|
|
|
+Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. �х целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
|
|
|
|
|
|
|
|
-- частных сведений;
|
|
|
|
|
-- интеллектуальной собственности;
|
|
|
|
|
-- финансовых данных;
|
|
|
|
|
-- медицинской информации;
|
|
|
|
|
-- данных кредитных карт и др.
|
|
|
|
|
|
|
+- частных сведений;
|
|
|
|
|
+- интеллектуальной собственности;
|
|
|
|
|
+- финансовых данных;
|
|
|
|
|
+- медицинской информации;
|
|
|
|
|
+- данных кредитных карт и др.
|
|
|
|
|
|
|
|
-### <h1 align="center">Список литературы</h1>
|
|
|
|
|
|
|
+### <h1 align="center">Список литературы</h1>
|
|
|
https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/
|
|
https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/
|
|
|
https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/dokumenty-po-informatsionnoj-bezopasnosti/
|
|
https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/dokumenty-po-informatsionnoj-bezopasnosti/
|
