Меры защиты конфиденциальной информации: правовые, организационные, технические
Дата публикации: 26.07.2024
К конфиденциальной информации относят данные, которые хранятся на цифровых носителях либо в формате бумажной документации, и доступны для передачи кругу лиц, определенному заранее. Утечка или разглашение сведений конфиденциального характера – это не только удар по бизнесу, но и настоящее правонарушение. Чтобы избежать негативных последствий, стоит задуматься об обеспечении защитных мер.

Категории информации по степени конфиденциальности

В любой деятельности используются большие объемы разнообразной информации. Одни сведения вполне безобидны, и их без опасений можно размещать в открытом доступе.

Другие данные организация ценит особенно высоко, потому что их утечка угрожает безопасности компании — экономической, информационной или иной. Защита конфиденциальной информации от несанкционированного доступа становится актуальной проблемой для любого предприятия.

Существует три степени секретности или конфиденциальности:

1. I категория – «Открытая». Это несекретные данные. Их можно распространять и использовать как внутри компании, так и вне ее. Для этой категории ограничений доступа не предусматривают, и ознакомиться с данными может любой желающий — без ущерба организации.

2. II категория – «Служебная» или «Для служебного пользования» (ДСП). Исключительно для внутреннего пользования. Различают два подвида ДСП:
2.1. доступная всем сотрудникам компании
2.3. доступная части сотрудников компании (обычно это определенные категории специалистов или обозначенные структурные подразделения). Эти данные разрешено передавать (частично или полностью) другим сотрудникам организации, если это необходимо им для выполнения должностных обязанностей. Эта категория входит в число конфиденциальных.

3. III категория – «Служебная ограниченного доступа». Конфиденциальная. Доступна только определенным категориям уполномоченных сотрудников. Передавать ее кому бы то ни было (даже неуполномоченным сотрудникам той же компании) нельзя.

Доступ к данным II и III категории должен ограничиваться.

Ключевой пример данных с ограничением доступа – это разные типы тайны:

  • коммерческая – любые данные, являются ценными с коммерческой точки зрения, при условии, что они недоступны неуполномоченным лицам. При этом ценность может быть как действительной (то есть «здесь и сейчас), так и потенциальной (компания полагает, что информация принесет финансовую выгоду когда-нибудь в будущем);
  • банковская, нотариальная, адвокатская и другие (в том числе тайна переписки).
Также конфиденциальными считаются клиентские данные и перечни, стратегические решения, структура определения цены продукта, тех.карты, используемые при производстве, уникальные разработки, ПО, информация о результатах контроля качества.

Особенности защиты

Законодательством РФ предусмотрено несколько типов ответственности за нарушение конфиденциальности данных (несанкционированный доступ):
  • дисциплинарная – пп. «в» п.6 ч.1 Ст.81 ТК РФ;
  • гражданско-правовая – №98-ФЗ от 29.07.2004 г.;
  • административная – ст.13.14 КоАП РФ;
  • уголовная – ст.137, 138, 155, 183, 283, 310 УК РФ.
Ответственность предусмотрена как для лиц, которые распространяют сведения, так и для тех, кто противоправно получил к ней доступ.

Способы, средства и методы защиты конфиденциальной информации компания выбирает самостоятельно. Если речь идет о конфиденциальных сведениях в государственных ИС, то требования к режиму защиты устанавливаются на законодательном уровне.

Меры по защите конфиденциальной информации

Первый шаг на пути обеспечения безопасности конфиденциальных сведений – формирование перечня информации, которую компания относит к этой категории.

Также потребуется установить порядок использования конфиденциальных данных и порядок их защиты.

Компания может использовать несколько уровней защиты информации, которую относят к конфиденциальной:

Технический уровень защиты

Включает в себя следующие подуровни:
  • криптографический;
  • программно-аппаратный;
  • инженерно-технический.
Основные меры защиты этой категории определяет ГОСТ Р 50922-2006, например, защита конфиденциальной информации от:
  • утечки;
  • несанкционированного доступа;
  • непреднамеренного воздействия;
  • преднамеренного воздействия;
  • разглашения.

Организационный уровень защиты

Определяет содержание системы защиты, а также побуждает сотрудников соблюдать меры по обеспечению безопасности конфиденциальных данных. В рамках этой категории предусмотрена реализация мероприятий:
  • технологических;
  • ограничительных;
  • управленческих.
В рамках этого уровня защиты в соответствии с №98-ФЗ от руководителя Организации требуется:
  • определить круг лиц, которым необходим доступ к конфиденциальным данным, оформить с ними соответствующие взаимоотношения;
  • определить состав конфиденциальной информации;
  • организовать систему делопроизводства и создать условия работы, позволяющие сотрудникам соблюдать установленный режим конфиденциальности;
  • обеспечить нанесение грифа «Коммерческая тайна» на материальные носители, содержащие соответствующие данные.
Тщательно проработанные мероприятия организационного характера позволяют существенно снизить риск утечки из-за человеческого фактора.

Правовой уровень защиты

Базируется на правовых нормах и включает в себя юридическое оформление отношений между государством и компанией в части правомерности использования средств защиты информации (СрЗИ).

Информация — один из наиболее ценных ресурсов современного бизнеса. Обеспечение безопасности конфиденциальных сведений требует комплексного подхода. Система защиты должна включать в себя меры разных направлений, не менее создание взаимосвязи между всеми ее уровнями и элементами.

Обеспечить защиту конфиденциальной информации предприятия в соответствии с требованиями 152-ФЗ — услуга КРЕДО-С.

Защита конфиденциальной информации не заканчивается внедрением СЗИ — утечки выявляет постоянный мониторинг. Разбор: что такое SOC-центр и как он защищает данные компании.

Смежная тема: организационная защита персональных данных в компании.

Часто задаваемые вопросы

Что относится к конфиденциальной информации на предприятии?
К конфиденциальной информации предприятия относятся данные, доступ к которым ограничен и разглашение которых может нанести ущерб компании. Это прежде всего сведения, составляющие коммерческую тайну: клиентские базы и перечни контрагентов, стратегические решения и планы развития, структура ценообразования, технологические карты производства, уникальные разработки и собственное ПО, результаты контроля качества. Сюда же относятся банковская, нотариальная и адвокатская тайна, персональные данные сотрудников и клиентов, а также внутренняя служебная документация с грифом «Для служебного пользования» (ДСП). Законодательно основу составляет 98-ФЗ о коммерческой тайне и 152-ФЗ о персональных данных.
Какие меры защиты конфиденциальной информации обязана принять компания?
Система защиты конфиденциальной информации строится на трёх взаимосвязанных уровнях. Технический уровень включает криптографическую защиту данных, программно-аппаратные средства защиты (DLP, SIEM, системы контроля доступа) и инженерно-технические меры — согласно ГОСТ Р 50922-2006. Организационный уровень по требованиям 98-ФЗ предполагает определение перечня конфиденциальных сведений, установление круга допущенных лиц и оформление с ними соответствующих соглашений, организацию режима делопроизводства и нанесение грифа «Коммерческая тайна» на материальные носители. Правовой уровень обеспечивает юридическое оформление использования средств защиты информации и отношений с государством в этой сфере. Первым шагом при выстраивании системы является формирование исчерпывающего перечня конфиденциальной информации компании.
Какова ответственность за разглашение конфиденциальной информации в России?
Российское законодательство предусматривает четыре вида ответственности за нарушение конфиденциальности данных — как для тех, кто разгласил сведения, так и для тех, кто получил к ним несанкционированный доступ. Дисциплинарная — увольнение за разглашение охраняемой тайны (пп. «в» п.6 ч.1 ст.81 ТК РФ). Гражданско-правовая — возмещение убытков (ст.1472 ГК РФ, 98-ФЗ от 29.07.2004). Административная — штраф по ст.13.14 КоАП РФ за разглашение информации с ограниченным доступом. Уголовная — по ст.137, 138, 155, 183, 283, 310 УК РФ в зависимости от вида тайны: за незаконные получение и разглашение коммерческой, налоговой или банковской тайны (ст.183 УК РФ) грозит штраф до 1 млн ₽ или лишение свободы до 4 лет, а при отягчающих обстоятельствах — до 7 лет лишения свободы и штраф до 5 млн ₽. Конкретный вид и размер ответственности зависят от категории информации и характера нарушения.
Чем отличаются категории конфиденциальности информации — ДСП, ограниченного доступа и открытая?
В системе классификации по степени конфиденциальности выделяют три уровня. I категория — «Открытая»: информация без ограничений доступа, доступна любому, в том числе за пределами компании, и не наносит ущерба при распространении. II категория — «Служебная / ДСП»: исключительно для внутреннего пользования; может быть доступна либо всем сотрудникам, либо только определённым подразделениям или специалистам — при необходимости для выполнения ими должностных обязанностей; входит в число конфиденциальных. III категория — «Служебная ограниченного доступа»: строго конфиденциальная, доступна только уполномоченным лицам и не подлежит передаче кому-либо, включая других сотрудников той же организации. Доступ к данным II и III категорий должен быть в обязательном порядке ограничен и задокументирован.
Как правильно ввести режим коммерческой тайны в компании?
Чтобы информация была законодательно защищена как коммерческая тайна, недостаточно просто назвать её таковой — необходимо выполнить требования 98-ФЗ. Руководитель организации обязан: сформировать и утвердить перечень сведений, составляющих коммерческую тайну; определить круг сотрудников, которым необходим доступ к этим данным, и оформить с ними соответствующие соглашения о неразглашении; организовать систему делопроизводства, обеспечивающую соблюдение режима конфиденциальности; нанести гриф «Коммерческая тайна» на все материальные носители с соответствующими сведениями. Только при выполнении всех этих условий компания получает правовую защиту и может привлечь нарушителя к ответственности — вплоть до уголовной.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Надёжная защита конфиденциальной информации возможна только на стыке трёх уровней — правового, организационного и технического: одних технических средств без регламентов и обученных сотрудников всегда недостаточно.