Конфиденциальность данных и защита инфраструктуры

Мы используем технические и практические методы защиты в соответствии с законодательством и реальными угрозами безопасности вашей компании

КонсультацияКак защитим
30+ летна рынке ИБ, с 1993 года
ФСТЭК + ФСБлицензии на деятельность по защите информации
ТОП-100ИБ-компаний РФ по версии TAdviser
2 дняна расчёт и коммерческое предложение

Что такое конфиденциальная информация?

Под данными конфиденциального характера подразумевают сведения, которые неизвестны посторонним, и имеют реальную или опосредованную коммерческую ценность. К ним относят информацию экономического, технического, организационного, промышленного и иного характеров. Также конфиденциальными являются данные об интеллектуальной работе в области науки и техники, о вариантах ведения профессиональной деятельности.

Понятие «конфиденциальности» нормируется в рамках статей 23, 24 Конституции РФ, положений ГК РФ, а также регламентируется:

  • российскими государственными стандартами;
  • федеральным законом № 149-ФЗ, который касается непосредственно информации;
  • законом № 98-ФЗ, касающимся коммерческой тайны.

Утечка КИ возможна по прямым и косвенным каналам. В первом случае — это непосредственное копирование документации на бумажных или цифровых носителях. А косвенная утечка происходит при:

  • краже или потере устройств с информацией;
  • неверной утилизации данных;
  • намеренном дистанционном фотографировании, прослушивании и ином перехвате информации.

Чтобы сохранить эту уязвимую информацию от посягательства посторонних лиц, к ней ограничивают доступ, используют системы защиты класса DLP и принимают иные меры защиты.

Какие конфиденциальные данные нужно защищать

Банковская тайна

Сведения о личности клиентов кредитного учреждения, по их расчетным операциям, депозитным вкладам, кредитовании, наличии счетов. Это информация касается частных лиц и корпоративных пользователей банка

Адвокатская тайна

Информация, полученная доверенным адвокатом при оказании юрпомощи. Это личные данные, аудио- и видеоматериалы, сопутствующая документация, сформированная линия защиты, правовые советы клиенту

Коммерческая тайна

Ценные сведения о программном обеспечении, производственных процессах, результаты испытаний, контрольные показатели, экономические параметры, стратегия и другие материалы

Персональные данные

Все, что позволяет идентифицировать личность человека, его паспортные сведения, адрес, место работы и другая информация. Смежная услуга — защита персональных данных

Профессиональная тайна

Все, что получено специалистом в ходе выполнения рабочих обязанностей и частично или полностью не должно иметь доступа для посторонних

Изобретения

Это информация о разработках и изобретениях, которые не должны распространяться до момента фактического объявления общественности о них

Ноу-хау

Специфические материалы, полученные в процессе производственной деятельности: например, секреты производства, методы менеджмента, знания для повышения эффективности бизнеса

Служебная тайна

Материалы, имеющие особую ценность. Используются только внутри компании и маркируются специальной отметкой. Распространяются под расписку, копируются исключительно с согласия руководства

Получить защиту

Последствия недостаточной защищенности конфиденциальных данных

Экономические риски

Из-за коммерческой информации, попавшей в руки конкурентов, можно проиграть битву на рынке и недополучить прибыль

Штрафы от регуляторов

Некоторые данные, например, персональные, нужно хранить в соответствии с законом. Иначе последуют санкции от регулятора

Репутационные риски

Утечка данных клиентов или партнеров наносит непоправимый вред репутации бизнеса

Простои в работе

Попадание вирусов в критически важную инфраструктуру может привести к остановке работы всей компании

Получить консультацию

Защитим вашу информацию от:

УтечкиПерехватаПодмены данныхРазглашенияНесанкционированного доступаМодификации
Узнать подробнее

Где хранится конфиденциальная информация

Облачные хранилища

Очень важную КИ не рекомендуют размещать в «облаках». Однако если этого не избежать, то для защиты от несанкционированного доступа наши эксперты контролируют размещение сервиса на российском сервере и создают структурированные БД. Также обязательно используется шифрование данных и предусматривается ответственность дата-центра за утерю информации. Составляется перечень документов с секретными сведениями, отмечается степень конфиденциальности и уровень доступа. Материалы маркируются особыми метками, внедряется программное обеспечение для мониторинга инцидентов. Организуется резервное копирование и система хранения

Серверы

Для IT-безопасности серверного хранения устанавливается надежное программное обеспечение против вирусов, регулярно обновляется операционка и используется фаервол. Кроме того, периодически меняются пароли, используется двухфакторная аутентификация и VPN, ограничивается доступ к серверу. Также мониторится состояние системы, а еще для защиты данных применяется SSL/TLS

Компьютеры

Чтобы предупредить хищение важные данных с настольного ПК создаются надежные пароли, устанавливаются антивирусные программы. Также шифруются массивы по папкам и отдельным файлам. Применяется протокол HTTPS, устанавливается пароль на жесткий диск или на BIOS, внедряется резервное копирование. Для защиты коммуникации по беспроводным сетям включается специальный протокол передачи

Мобильные устройства

В смартфонах, планшетах может храниться разная информация. Она касается личной жизни, коммерческой и иной сферы. И защита таких устройств не менее важна, чем данных на рабочем сервере. Для предупреждения утечек обязательная замена паролей на устройствах не реже, чем раз в полгода. Также предусматривается запрет на установку программ по неизвестным ссылкам. Не рекомендуется подключение по беспроводной сети Wi-Fi к общим точкам. Для входа используется PIN-код на SIM-карте, а также двухфакторная идентификация с помощью смс

Бизнес-приложения

Информация, которая хранится здесь, защищается от копирования исполнительных файлов и данных приложения. Для этого устанавливается запрет на резервное копирование и скачивание с приватными данными

Сетевые папки

Все материалы распределяются по степени секретности, используются средства криптозащиты и специальные операционные системы. Контролируются каналы передачи, а также перемещение документов и файлов с применением DLP-системы. Обязательно внедряются инструкции для сотрудников, которые работают с КИ, техникой и устройствами по обработке секретных данных

Мы знаем, как обеспечить защищенность этих и любых других носителей информации

Записаться на консультацию

Как мы обеспечим защиту конфиденциальной информации

Техническая защита

Поможем выбрать оптимальное техническое решение для защиты и интегрируем его в вашу инфраструктуру

Организационная защита

Разработаем правила и подготовим регламенты, выполнение которых позволит минимизировать риски

Узнать больше

Меры по защите конфиденциальной информации

Доступ для определенных сотрудников

Формируется перечень определенных сотрудников, которым санкционирован доступ к КИ

Специальные помещения с СКЗИ

Обустраиваются специальные помещения с сертифицированными СКЗИ

Запретные зоны и поддержка

Организуются зоны, куда запрещено проникать третьим лицам и их техническая поддержка

Учет носителей информации

Организуется учет всех типов носителей информации – контролируются цифровые съемные, магнитные, бумажные источники

5. Запрет на запись устройствами

При проведении совещаний исключается использование диктофонов, магнитофонов, смартфонов и иных устройств

Получить консультацию

При организации работ по защите конфиденциальной информации установленные требования варьируются. Они дополняются с учетом специфики информационных данных, аспектов работы конкретной компании. Это помогает надежно защищать КИ и эффективно предупреждать риск утечки.

Специалисты оказывают услуги в правовом поле. Для этого проверяют технику и оценивают риски утечки, настраивают автоматизированные системы и сертифицированные сети защиты данных. Также проводя испытания, выдают аттестат соответствия.

Также защита конфиденциальной информации включает:

  • Сертификацию данных по соответствию актуальным правовым требованиям
  • Лицензирование – с разрешением для отдельных видов деятельности, разработок или изобретений
  • Категорирование – распределение данных по отдельным группам, в зависимости от риска от утечки данных

Защита от утечек – многоступенчатый и ответственный процесс. Если вы поручаете работу нашим экспертам, то получаете:

команду специалистов, сконцентрированных на вашей задаче

гибкий и адаптивный подход

удобные способы оплаты услуг

Почему стоит доверить проект «КРЕДО-С»

ТОП-100

Входим в ТОП-100 компаний на рынке информационной безопасности по версии Tadviser

Гарантируем результат

Подходим к задаче комплексно, помогаем выбрать решение, доводим проект до конца и остаемся на связи даже после его завершения

Готовим экспертов для вас

Больше 50 экспертов ежегодно повышают компетенции, чтобы предлагать актуальные решения в сфере информационной безопасности

«Конфиденциальная информация утекает не через «суперхакеров», а через мелочи: общий пароль отдела, флешку без учёта, документ без грифа. Поэтому защита КИ начинается с инвентаризации: что именно охраняем, кто имеет доступ, по каким каналам данные ходят. Технические средства — DLP, шифрование — ложатся уже на эту основу.»

Демьянов Олег Валерьевич Демьянов Олег ВалерьевичРуководитель отдела информационной безопасности

Теоретическая база знаний

Техническая защита информации не может проектироваться в отрыве от правовой классификации данных. Технические меры без правовой основы не имеют юридической силы, а правовые режимы без технической реализации не обеспечивают реальной защиты конфиденциальной информации.

Методы технической защиты информации ограниченного доступа

Защита конфиденциальной информации реализуется через несколько классов технических мер:

Объект защитыВектор угрозыТехнический метод
Каналы передачи данныхПерехват трафикаVPN, ГОСТ-шифрование
Рабочие станцииНесанкционированный доступEDR, СДЗ, контроль целостности
Периметр сетиВнешние вторженияNGFW, IDS/IPS, сегментация
ПользователиКомпрометация учётных данныхPAM, MFA, системы контроля доступа
Документы и файлыУтечка, копированиеDLP, IRM, защищённый документооборот

Шифрование каналов связи через VPN и криптографию

Шифрование каналов связи закрывает угрозу перехвата трафика на промежуточных узлах. Для организаций с регуляторными требованиями обязательно применение ГОСТ VPN с сертификатом ФСБ. Решения: ViPNet Coordinator, Континент 4, КриптоПро NGFW – все реализуют алгоритмы ГОСТ 34.12-2018 и применимы в ГИС, ИСПДн УЗ1–УЗ2 и объектах КИИ. Конфиденциальность данных при передаче зависит не только от алгоритма, но и от корректного управления ключевыми документами: их генерации, хранения и уничтожения по регламенту.

Защита от утечек данных (DLP) и контроль доступа

Защита от утечек данных реализуется через DLP-системы, контролирующие все каналы передачи: почту, веб, USB, принтеры, облачные хранилища. Архитектура включает Network DLP (анализ периметрального трафика), Endpoint DLP (агент на рабочей станции) и модуль Discovery (поиск конфиденциальных данных в хранилищах). Эффективность DLP определяется качеством настройки политик: система «из коробки» генерирует тысячи ложных срабатываний и требует итеративной настройки.

Коммерческая тайна как правовой режим требует параллельного оформления: перечня сведений, соглашений с сотрудниками, маркировки документов. Без этого DLP не обеспечивает юридической защиты при судебных разбирательствах. Для привилегированного доступа применяются PAM-системы: фиксация сессий администраторов, just-in-time доступ, ротация паролей сервисных учётных записей.

Разработка регламентов информационной безопасности для бизнеса

Разработка политик информационной безопасности – обязательный элемент системы защиты. Без формализованных регламентов технические меры теряют управляемость: сотрудники не знают правил работы с конфиденциальными данными, администраторы действуют по собственному усмотрению, а аудитор не может верифицировать соответствие.

Минимальный состав регламентной базы для организации, обрабатывающей конфиденциальность данных:

  • Политика информационной безопасности (верхнеуровневый документ)
  • Регламент управления доступом и парольная политика
  • Регламент работы с конфиденциальными данными и носителями
  • Инструкция по реагированию на инциденты ИБ
  • Регламент резервного копирования и восстановления

Защита информации на предприятии через регламенты работает только при условии регулярного обучения персонала и контроля исполнения. Документ, с которым сотрудник ознакомился под подпись и забыл – не работающий инструмент защиты.

Способы защиты конфиденциальной информации эффективны только в комплексе: шифрование каналов, DLP, контроль доступа и формализованные регламенты работают как единая система. Выбор каждого инструмента должен быть обоснован моделью угроз и требованиями применимых нормативных документов. Защита от кибератак и внутренних угроз не достигается покупкой отдельного продукта – она проектируется как архитектура.

Реализация требований приказа ФСБ № 117 (криптозащита ГИС)

Приказ ФСБ России № 117 от 18.03.2025 (действует с 06.04.2025, ранее — № 524) устанавливает требования к защите информации в ГИС с использованием шифровальных (криптографических) средств. Ключевые требования:

  • Класс СКЗИ определяется по классу защищённости ГИС и модели угроз — по таблице приложения к приказу (чем выше класс ГИС, тем выше требуемый класс СКЗИ)
  • Все СКЗИ учитываются в журнале поэкземплярного учёта
  • Генерация ключей – только сертифицированными средствами, уничтожение – по акту
  • Операторы СКЗИ проходят специальную подготовку

Несоответствие класса СКЗИ классу ГИС выявляется при аттестационных испытаниях и является основанием для отказа в выдаче аттестата.

«Кредо-С» – системный интегратор в Москве, реализующий проекты по технической защите информации любой сложности. Компания располагает лицензиями на работу с криптографическими средствами и конфиденциальной информацией, выполняет ИТ-решения для коммерческих организаций и госсектора.

Обеспечьте сохранность коммерческой тайны, внедрив комплексные юридические и технические меры в рамках нашей услуги организационной защиты.

Часто задаваемые вопросы

Какая ответственность за разглашение коммерческой тайны?
Три вида. Уголовная — статья 183 Уголовного кодекса: до семи лет лишения свободы и штраф до пяти миллионов рублей при отягчающих обстоятельствах. Гражданско-правовая — статья 1472 Гражданского кодекса: возмещение убытков. Дисциплинарная — статья 81 пункт 6«в» Трудового кодекса: увольнение работника.
Какой штраф за разглашение или получение коммерческой тайны?
По статье 183 Уголовного кодекса: за сбор сведений — до пятисот тысяч рублей, за разглашение или использование — до одного миллиона рублей, при отягчающих обстоятельствах — до пяти миллионов рублей. Возможны также принудительные работы и лишение свободы.
Что является коммерческой тайной?
Сведения, которые имеют коммерческую ценность, потому что неизвестны третьим лицам, к ним нет свободного доступа, и компания ввела режим коммерческой тайны (Федеральный закон 98-ФЗ).
Какие сведения нельзя сделать коммерческой тайной?
По статье 5 Федерального закона 98-ФЗ режим нельзя ввести для учредительных документов, разрешений на деятельность, сведений о численности и условиях труда, о задолженности по заработной плате, о нарушениях закона. Полный список — одиннадцать пунктов.
Как ввести режим коммерческой тайны?
По статье 10 Федерального закона 98-ФЗ нужно выполнить пять мер: определить перечень защищаемых сведений, ограничить доступ, вести учёт допущенных лиц, прописать условия в договорах, нанести гриф «Коммерческая тайна». Кредо-С помогает выстроить режим коммерческой тайны под ключ.
Реализованные проекты
2023 Авиакосмическая промышленность

Авиакосмическая промышленность

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва