Какие информационные системы используются в компании для обмена конфиденциальной информацией

Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные. Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.

Что такое ИСПДн: раскладываем по полочкам

ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

1. Сами персональные данные: имена, фамилии, почтовые адреса, номера телефонов, а также другую информацию, которую вы можете спрашивать у клиентов, чтобы предлагать им определенные товары и скидки, например, дату рождения или данные о семейном положении и наличии детей.
2. Базы данных, в которых эти данные записаны.
3. Серверы, то есть физическое оборудование, на котором хранятся базы.
4. Программы, где данные обрабатываются, например CRM менеджеров.
5. Компьютеры, на которых сотрудники работают с персональными данными.
6. Защитные программы: антивирусы, межсетевые экраны и другое подобное ПО.

ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

Какие бывают виды ИСПДн

Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

Общий уровень защищенности считается так:

1. Если у 70% критериев системы высокий уровень защищенности, а у остальных — средний, то уровень защищенности всей ИСПДн высокий.
2. Если у 70% критериев системы высокий или средний уровень защищенности, а у остальных низкий — уровень защищенности всей системы средний.
3. В остальных случаях уровень защищенности системы низкий.

Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

Группы ИСПДн по территориальному размещению:

1. Распределенные, которые находятся в разных регионах и городах России. Например, ИСПДн облачного провайдера распределенная, так как серверы и клиенты находятся по всей стране.
2. Городские, все части которых находятся в пределах одного города.
3. Корпоративные распределенные, все части которой принадлежат одной компании. Они могут находиться как в одном, так и в нескольких городах. Например, если у компании много филиалов по всей стране, ее ИСПДн считается корпоративной распределенной.
4. Кампусные, все части которых находятся в пределах близко расположенных зданий. Так, ИСПДн завода будет кампусной.
5. Локальные, все части которых находятся в одном здании. Обычно это ИСПДн небольших локальных фирм.

Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

Группы ИСПДн по наличию выхода в интернет:

1. Многоточечный выход в сеть, когда выход в интернет есть у нескольких компьютеров и серверов.
2. Одноточечный выход в интернет, когда все компьютеры и серверы выходят в интернет через один общий шлюз.
3. Выхода в интернет нет, например, если на заводе построена закрытая сеть.

Группы ИСПДн по доступным операциям с данными:

1. Разрешены только чтение и поиск — база сформирована, дополнять и изменять ее нельзя.
2. Дополнительно разрешена запись данных, их удаление и сортировка.
3. Дополнительно разрешена модификация и передача данных — так работают практически все системы.

Группы ИСПДн по разграничению доступа к персональным данным:

1. Доступ к персональным данным есть только у их субъекта и у отдельных сотрудников оператора персональных данных.
2. Доступ к персональным данным есть у всех сотрудников оператора.

Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

Группы ИСПДн по уровню обезличивания данных:

1. Пользователи ИСПДн получают только обезличенные данные, их нельзя связать с конкретным человеком. При этом в самой системе данные хранятся в необезличенном виде, поэтому остаются персональными.
2. Данные обезличивают при передаче в другие организации, но сотрудники внутри организации могут получить их необезличенными.
3. Данные не обезличивают даже для передачи.

Группы ИСПДн по объему предоставления базы данных другим компаниям:

1. По запросу оператор предоставляет другой компании полный доступ к базе персональных данных.
2. По запросу оператор выдает доступ только к части данных, например, к информации об отдельных пользователях.
3. Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.

Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

Когда общий уровень защищенности подсчитан, его используют для оценки угроз, актуальных для ИСПДн. Это нужно сделать, чтобы понять, как защищать персональные данные. Оценка угроз — сложная процедура со множеством технических тонкостей, которая подробно описана в двух документах ФСТЭК: «Методике определения актуальных угроз» и «Базовой модели угроз безопасности». Оценку проводит IT-специалист компании: штатный или на аутсорсе.

Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.

Уровни защищенности персональных данных и классы защищенности ИСПДн

До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.

Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.

Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.

Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК. В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным. По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.

В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что нужно знать про ИСПДн

1. ИСПДн — это информационные системы персональных данных. В ИСПДн входят как сами персональные данные, так и ПО для их обработки и защиты.
2. ИСПДн делят на группы по нескольким критериям: территориальному, наличию выхода в интернет и другим.
3. У разных групп разная базовая защищенность — она нужна, чтобы определить актуальные для системы угрозы и понять, как именно защищать персональные данные.
4. Классы защищенности ИСПДн упразднены с 2013 года. Теперь есть уровни защищенности самих персональных данных — они зависят от типа данных и актуальных угроз.

Вопросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

• коммерческая тайна;
• производственная документация секретного характера;
• ноу-хау компании;
• клиентская база;
• персональные данные сотрудников;
• другие данные, которые компания считает нужным защитить от утечки.

Какие сведения составляют коммерческую тайну и как их обезопасить? Подробнее… 

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

• определение перечня активов, подлежащих защите;
• разработка документации, регламентирующей и ограничивающей доступ к данным компании;
• определение круга лиц, которым будет доступна КИ;
• определение процедур реагирования;
• оценка рисков;
• внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

• при каких условиях информация относится к служебной, коммерческой, другой тайне;
• обязательность соблюдения условий конфиденциальности;
• ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Полный перечень документов, которые регламентируют подходы к безопасности информации. Смотреть.

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-систему «КИБ СёрчИнформ» можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

• USB-разъемы;
• локально функционирующие и подключенные к сети принтеры;
• внешние диски;
• сеть Интернет;
• почтовые сервисы;
• аккаунты и др.

Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

• частных сведений;
• интеллектуальной собственности;
• финансовых данных;
• медицинской информации;
• данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу SIEM (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример – неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

Регистрация на выбранную
вами дату завершена

В этой статье мы приведём наш топ-9 программ и сервисов для обеспечения полной кибербезопасности вашего бизнеса, включая SIEM и DLP системы, программу для предотвращения утечки файлов, корпоративные антивирусы и систему учёта рабочего времени.

«Противостояние брони и снаряда» — выражение, когда-то введённое в обиход теоретиками войны и конструкторами оружия. Его суть – как только появляется новая, более прочная и надёжная броня, сразу начинается разработка снаряда, способного её пробить. И наоборот. Впрочем, это правило работает не только в оружейной среде, но и в других сферах. В том числе в секторе обеспечения информационной безопасности компаний и предприятий.  

Базовый постулат обеспечения корпоративной цифровой безопасности в современных реалиях – принцип «нулевого доверия», Zero Trust. Он заключается в том, что киберзащита компании должна быть тотальной, и охватывать не только попытки взлома извне, но и потенциальные недружественные действия изнутри. Основывается такая система на использовании комбинации из разных программных решений.

В этой статье мы расскажем, какое ПО лучше использовать, чтобы создать «киберброню», способную защитить корпоративную информацию от «снарядов» преступников, мошенников, конкурентов, недоброжелателей и прочих инсайдеров. Рассмотрим комплекс из SIEM и DLP-систем, программ для защиты документооборота, антивирусов и СУРВ.

SIEM (Security Information and Event Management) – системы сбора и управления информацией о безопасности, а также анализа событий информационной безопасности открывают наш Топ-9 лучших программ для обеспечения информационной безопасности. Само это ПО не предназначено для защиты и предотвращения утечек данных и иных кибер-проблем. Его задача – собирать информацию от DLP, IDS, антивируса, маршрутизатора и проч., анализировать её и сообщать об отклонениях, подозрительных действиях и т.п. 

Подобных программ достаточно много, поэтому мы выбрали сразу несколько вариантов для рассмотрения.

IBM QRadar Security Intelligence

IBM QRadar Security Intelligence – платформа, в рамках которой реализовано сразу несколько продуктов для обнаружения угроз сетевой безопасности, оценки и противодействия им. ПО обеспечивает возможность управления событиями, интеграции информации о безопасности, обнаружения аномальных ситуаций, управления журналами и реализации других задач. Именно комплексность и большое количество возможностей – главные достоинства данной системы.

Основные возможности:

• Единая архитектура анализа угроз, журналов, событий и других маркеров.
• Расчёт корреляции, а также аномальных событий фактически в режиме реального времени.
• Обширные возможности анализа сетевой активности.
• Обширные возможности анализа действий пользователей и запущенных приложений.
• Определение инцидентов с высоким уровнем приоритетности.
• Автоматизированная система составления отчётов.
• Сбор и обобщение информации о зафиксированных угрозах.
• Масштабированный контроль активности в рамках предприятия.
• Проведение детального анализа на основании технологий больших данных.

Недостатки:

• Некоторым регистрируемым событиям не присваивается категория.
• Это масштабная система, что может повлечь некоторые сложности с интеграцией.

Стоимость:

Доступен 14-дневный пробный период, а также возможность бесплатного использования ПО с ограниченным функционалом. Стоимость лицензии – от 800$ в месяц.

Splunk Enterprise Security

Splunk Enterprise Security – ещё один мощный инструмент, предназначенный для аналитики событий информационной безопасности на предприятиях. Его основная отличительная черта – ориентированность в первую очередь на современные угрозы и адаптивность с новыми программно-аппаратными решениями. Благодаря этому ПО отличается высокой оперативностью обнаружения угроз и оповещения о них. 

Основные возможности:

• Мониторинг угроз в режиме реального времени.
• Проверка пользователей, программ и сетевых ресурсов.
• Обнаружение сложных угроз, в том числе определение взаимосвязей между разными событиями.
• Обнаружение внутренних угроз, в том числе касающихся злонамеренных действий со стороны сотрудников.
• Расследование инцидентов, в том числе установление их масштабов.
• Автоматизация управления и выгрузки данных.
• Обнаружение мошенничества на основании выявления аномалий в действиях.

Недостатки:

• Корпоративная версия отличается определённой сложностью установки.
• Отсутствует русскоязычная локализация новых версий ПО.

Стоимость:

Стоимость лицензии – от 1800$ в год в зависимости от конфигурации.

McAfee Enterprise Security Manager

Разработчики McAfee Enterprise Security Manager называют свою систему одним из лидеров по скорости и полноте обработки информации. Это ПО доступно для развёртывания, как в облачных, так и в локальных сетях. Хорошо подходит для предприятий и организаций, где требуется обработка больших объёмов данных. Также продукт отличается высоким уровнем интеграции с ПО сторонних разработчиков без API, что позволяет создавать корпоративные системы информационной безопасности, используя наиболее подходящее с собственной точки зрения программное обеспечение.

Основные возможности:

• Наличие готовых конфигураций с предварительно настроенными сценариями.
• Встроенные пакеты материалов по базовым поведениям пользователей.
• Отдельный пакет функций для мониторинга внутренних служб ОС Windows.
• Обнаружение угроз в режиме реального времени.
• Система информирования об угрозах.
• Мониторинг данных в облачных и локальных сетях.
• Сбор и кластеризация событий.
• Формирование автоматических отчётов о событиях.

Недостатки:

• Система требовательна к объёму вычислительных ресурсов.
• Не всегда оперативное устранение обнаруженных багов.

Стоимость:

Стоимость одной бессрочной лицензии – от 1400 рублей. Для всех новых пользователей доступен 14-дневный бесплатный тестовый период.

DLP-системы

DLP-система (расшифровка аббревиатуры – Data Leak Prevention) – специализированное ПО, предназначенное для защиты от утечек и кражи конфиденциальной корпоративной информации. Такие программы используют технологии блокировки передачи информации через разные каналы, предлагают функционал для мониторинга поведения сотрудников и всех участников сети, предоставляют некоторые возможности отслеживания активностей персонала.

Рынок DLP-систем обширен, но на нем можно выделить два лидирующих продукта.

InfoWatch Traffic Monitor

Система InfoWatch Traffic Monitor разработана для работы под большими нагрузками при необходимости обработки значительных объёмов информации. Это масштабируемое ПО, которое одинаково хорошо подходит для крупных организаций и небольших офисов. Основные функции – мониторинг и блокировка данных. Особенность – способность обнаруживать документы и мультимедийные данные, блокировать их даже в случае их значительного видоизменения пользователем.

Основные возможности:

• Обнаружение трафика конфиденциальной информации всех типов.
• Блокировка передачи конфиденциальной информации.
• Обнаружение недобросовестных сотрудников.
• Обнаружение мошеннических схем.
• Обнаружение неочевидных угроз.
• Контроль путей распространения информации внутри компании.

Недостатки:

• Недостаточный функционал контроля активности пользователей.
• Отсутствие кейлоггера.
• Модульная инфраструктура с размещением модулей на отдельных серверах.

Стоимость:

Продукт продаётся с годичной возобновляемой лицензией. Стоимость зависит от выбранной конфигурацией и предоставляется разработчиком по запросу.

DeviceLock DLP

DeviceLock DLP – хостовая DLP-система, предназначенная для мониторинга информации и блокировки её несанкционированного распространения. Предоставляет обширные возможности настройки сценарий и политик контроля, что позволяет интегрировать её в организациях разных типов для решения большинства задач, связанных с защитой конфиденциальных данных. 

Основные возможности:

• Блокировка доступа пользователей к данным.
• Блокировка доступа пользователей к серверам и периферийным устройствам.
• Индивидуальная настройка параметров мониторинга и блокировки.
• Контроль доступа и взаимодействия пользователей с сетевыми сервисами.

Недостатки:

• Ограниченные возможности мониторинга сотрудников.
• Необходимость точной настройки сценариев для корректного срабатывания блокировки.

Стоимость:

Стоимость годичной лицензии – от 4 275 рублей. Точная цена зависит от выбранной версии и конфигурации.

Решения для защиты документов

Ещё одна категория полезных программ – ПО, позволяющее обнаружить человека, похитившего документы. В разных решениях реализованы различные методы достижения такого результата. Но действительно эффективной можно назвать только одну систему. 

EveryTag

EveryTag – программа, которая позволяет с очень высокой вероятностью обнаружить сотрудника, похитившего информацию. ПО особым образом маркирует документы, причём маркировка визуально незаметна. В случае утечки информации и появления несанкционированной копии, её достаточно загрузить в систему чтобы узнать, кто из сотрудников совершил хищение. Подход простой, но эффективный.

Основные возможности:

• Защита документов в электронном формате.
• Защита от несанкционированного фотографирования распечатанных документов.
• Защита от кражи методом несанкционированных снимков экрана.
• Защита от хищения распечатанных документов.

Недостатки:

• Это целевое ПО, функционал которого позволяет только обнаруживать сотрудников, похищающих документы.

Стоимость:

Стоимость зависит от приобретаемой конфигурации ПО. Прайс-лист разработчик предоставляет только по запросу клиента.

Корпоративные антивирусы

Система информационной безопасности компании не будет полной без внедрения хорошего корпоративного антивируса. Это ПО для защиты информации и оборудования от вредоносного программного обеспечения, вирусных угроз и кибер-атак. Рынок предлагает достаточно много хороших программ такого типа. Рассмотрим некоторые из них.

Kaspersky Small Office Security

Kaspersky Small Office Security – надёжный антивирус с быстрым обновлением баз данных и хорошим уровнем защиты от угроз. ПО оптимально подходит для небольших компаний, но может использоваться и в крупных организациях. Несомненное достоинство – расширенный функционал, охватывающий практически все аспекты цифрового взаимодействия компании с внешними сетями.

Основные возможности:

• Файловый антивирус.
• Веб-антивирус.
• Защита от сбора данных.
• Контроль обновления программ.
• Защита веб-камер.
• Фильтрация активности пользователей.
• Контроль установленных программ.
• Защита финансовой информации.
• Блокировка рекламы.
• Шифрование информации.

Недостатки:

• ПО в большей степени ориентировано на малые офисы.
• Ограниченный функционал управления в веб-панели.

Стоимость:

Стоимость годичной лицензии – от 3900 рублей для конфигурации с защитой до 5 ПК.

McAfee Endpoint Protection Essential

McAfee Endpoint Protection Essential – ещё один популярный корпоративный антивирус. Также отличается хорошим набором инструментов для защиты от сетевых и программных угроз. Оптимизирован для решения задач компаний и организаций, отличается простотой настройки и управления, а также высокой частотой обновления баз данных. Ключевые достоинства – высокая эффективность обнаружения угроз и противодействия им, обширные возможности настройки отчётов.

Основные возможности:

• Брандмауэр.
• Мониторинг в режиме реального времени.
• Защита от вирусов-вымогателей.
• Сетевая защита ПК.
• Контроль веб-трафика.
• Автоматическая реакция на вероятные угрозы.

Недостатки:

• Усложнённая установка и настройка.
• Требовательность к ресурсам оборудования при полном сканировании системы.

Стоимость:

Стоимость годичной лицензии – от 6000 рублей. Точная цена зависит от выбранной конфигурации.

Системы учёта рабочего времени (Kickidler)

Системы учета рабочего времени (СУРВ) – еще одна категория ПО, без которого не обойтись, налаживая комплексную защиту корпоративных данных. Правда, здесь следует рассматривать только СУРВ, функционал которых дополнен инструментами контроля сотрудников, работающих за ПК. И здесь вне конкуренции программа Kickidler, поскольку среди всего доступного на рынке ПО именно у неё наиболее обширный набор инструментов для мониторинга работников и их действий.

Изобретательность недобросовестных сотрудников в стремлении к совершению корпоративных преступлений нельзя недооценивать. Они регулярно изобретают новые методы обхода внимания ПО для контроля и блокировки движения информации. Но возможные бреши в защите можно закрыть, контролируя не только движение корпоративных данных, но и действия самого работника.

Kickidler с его функциями записи видео с мониторов сотрудников, кейлоггера, онлайн-мониторинга и контроля времени пребывания за ПК в этом отношении очень хорош. К слову, у компании есть реальный кейс по обнаружению инсайдера, ворующего клиентскую базу, подтверждающий эффективность такого контроля. 

К слову, сотрудник, зная, что каждое его действие регистрируется и сохраняется, с гораздо меньшей вероятностью попытается похитить данные или совершить другое корпоративное преступление. Особенно с учётом того, что противоречивые или спорные моменты можно уточнить на основании показателей сразу нескольких инструментов (например, проверив данные кейлоггера и запись видео с экрана).

Основные возможности:

• Онлайн-мониторинг ПК работников – возможность смотреть экраны сотрудников в реальном времени.
• Кейлоггер – запись всех нажатий на клавиатуру.
• Запись видео – в непрерывном режиме записывается видеосигнал с экрана сотрудника.
• Регистрация времени начала и завершения работы, а также пауз и простоев.
• Удалённый доступ к ПК сотрудников.
• Автоуведомления о нарушениях на рабочем месте – напоминания о постоянном контроле для предупреждения серьёзных проступков.

Недостатки:

• Отсутствие мобильных версий.
• Отсутствие интеграции с облачными сервисами.

Стоимость:

ПО доступно в бесплатной версии (подключение до 6 ПК). Доступен 2-недельный бесплатный тестовый период для полной версии. Стоимость лицензии – 220 рублей в месяц за каждый подключенный ПК.

Выводы

SIEM-система контролирует информацию, ищет угрозы и предупреждает о них. DLP-система контролирует обмен данными и препятствует их краже. ПО для защиты документов исключает вероятность их кражи любым способом. Корпоративный антивирус противодействует вредоносному ПО. СУРВ контролирует поведение и действия сотрудников. А вместе все эти системы составляют надёжный контур кибер-безопасности, который в такой конфигурации пробить практически невозможно.

Система учёта рабочего времени Kickidler

Понравилась статья? Подпишитесь на нас в соцсетях.

Угрозы безопасности персональных данных зависят от вида информационной системы персональных данных (ИСПДн). Нормативными правовыми актами в области защиты персональных данных определены виды ИСПДн, которые различаются теми или иными характеристиками.

Характеристики информационных систем персональных данных

По структуре ИСПДн подразделяются:

• на автономные (не подключенные к иным ИСПДн) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
• на комплексы автоматизированных рабочих мест, объединенных в единую ИСПДн средствами связи без использования технологии удаленного доступа (локальные ИСПДн);
• на комплексы автоматизированных рабочих мест и (или) локальных ИСПДн, объединенных в единую ИСПДн средствами связи с использованием технологии удаленного доступа (распределенные ИСПДн).

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ИСПДн подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

ИСПДн имеет подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, если вся система или ее элементы пересылают данные по электронным каналам связи в другие системы или имеют подключение к сети Интернет.

По режиму обработки персональных данных в ИСПДн. ИСПДн подразделяются на однопользовательские и многопользовательские.

ИСПДн является однопользовательской, когда один сотрудник сочетает в себе роли Администратора и Пользователя ИСПДн, и единолично осуществляет обработку персональных данных на одном автоматизированном рабочем месте. Во всех других случаях, ИСПДн является многопользовательской.

По разграничению прав доступа пользователей. ИСПДн подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

ИСПДн является системой с разграничением прав, если в ней присутствуют разные группы пользователей с разными правами. ИСПДн является системой без разграничения прав, когда все пользователи имеют одинаковые права на действия с персональными данными.

ИСПДн в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

Основные виды информационных систем персональных данных

Исходя из характеристик ИСПДн, ФСТЭК России, выделило 6 видов ИСПДн [1]:

1. автоматизированные рабочие места, не имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
2. автоматизированные рабочие места, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
3. локальных ИСПДн, не имеющих подключения к сетям связи
   общего пользования и (или) сетям международного
   информационного обмена;
4. локальных ИСПДн, имеющих подключения к сетям связи
   общего пользования и (или) сетям международного
   информационного обмена;
5. распределенных ИСПДн, не имеющих подключения к сетям связи
   общего пользования и (или) сетям международного
   информационного обмена;
6. распределенных ИСПДн, имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена.

Виды информационных систем персональных данных в сфере здравоохранения, социальной сферы, труда и занятости

Минздравсоцразвития России,с учетом основных видов ИСПДн от ФСТЭК России и характеристик ИСПДн, определило 10 типов ИСПДн для учреждений здравоохранения, социальной сферы, труда и занятости [2]. А именно:

Вывод

Из вышеизложенного следует вывод, что для всех организаций, которые не являются учреждениями здравоохранения, социальной сферы, труда и занятости, используют 6 основных видов информационных систем персональных данных определенных ФСТЭК России.

Учреждения здравоохранения, социальной сферы, труда и занятости, используют 10 видов информационных систем персональных данных определенных Минздравсоцразвития России.

Источники:

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка), утверждена ФСТЭК России, 15.02.2008;
2. Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утверждена Департаментом информатизации Минздравсоцразвития России, 23.12.2009 

Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Скрыть содержание

• Что это такое государственные и частные ИСПДн?
• Государственные
• Обработка ПДн
• Аттестация
• Матрица доступа
• Инструкция пользователя
• Как происходит обработка личных сведений?

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

1. Совокупности сведений, которые хранятся в базе.
2. Технических средств, применяющихся для работы с данными сведениями.
3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).

К персональной относится информация, касающаяся конкретного лица или субъекта. В это понятие входят такие сведения:

• Фамилия, имя, отчество.
• Дата рождения.
• Адрес прописки и фактического проживания.
• Материальное, семейное и социальное положение.
• Размеры доходов.
• Профессия.
• Иные данные.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

• зарплате сотрудников;
• пенсионных, страховых налоговых отчислений;
• социальных пособиях;
• добровольных взносах (к примеру, негосударственное страхование пенсионеров);
• принудительных платежах (например, алиментах).

Практически у каждой серьезной компании имеется автоматизированная система учета кадров: самостоятельная или являющаяся составляющей ERP-системы.

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

1. автоматизированные банковские системы;
2. биллинговые системы или абонентские базы;
3. базы страховых компаний;
4. системы, хранящие данные коллекторских агентств;
5. бюро кредитных историй с информацией о гражданах;
6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

Государственные

Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Внимание! Каждая ИСПДн должна иметь администратора безопасности. Это лицо, в чьи рабочие обязанности входит обеспечение защиты ПДн в системе.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Внимание! По результатам оценки выдается либо Аттестат, либо рекомендации по устранению недочетов системы защиты ПДн. Чтобы пройти аттестацию, организация должна тщательно подготовиться к процедуре или поручить этот процесс компетентным лицам.

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

• К чтению.
• Для записи.
• На исполнение и другие.

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:

1. R – чтение.
2. CR – создание объекта.
3. W – запись внутри объекта.
4. D – избавление от объекта.
5. Знак «+» определяет доступность для конкретного субъекта.
6. Знак «-» определяет недоступность для субъекта.

Состояние информационной системы будет считаться безопасным, если, согласно ее политике, субъекты имеют право только на определенные виды доступа к объектам и предусматривается запрет доступа.

На примере предприятия объектами будут:

• Технические средства, обрабатывающие, принимающие и передающие информацию.
• Коммерческая тайна.
• Личные данные клиентов.
• ПДн работников.
• Документация.
• Личные дела сотрудников.
• Электронные БД персонала и клиентуры.
• Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
• Средства защиты данных: антивирусы, сигнализационная система и др.
• Личные данные бывших сотрудников и клиентов.

В роли субъектов доступа к данным выступают:

1. Директор (S1).
2. Главбух (S2).
3. Специалист (S3).

Скачать образец матрицы доступа к информационным системам персональных данных

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:

1. Обязанности пользователя ИСПДн.
2. Запрещенные для пользователя ИСПДн действия.
3. Права оператора ИСПДн.
4. Ответственность пользователя.
5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
6. Перечень документации, использованной при разработке инструкции.

• Скачать бланк инструкции пользователя информационных систем персональных данных
• Скачать образец инструкции пользователя информационных систем персональных данных

Как происходит обработка личных сведений?

Процесс обработки ПДн в системе должен соответствовать следующим принципам:

1. Обработка данных выполняется только на законных основаниях.
2. Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
3. Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
4. Обрабатываются только те ПДн, которые соответствуют целям обработки.
5. Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.

Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

Практической
реализацией политики (концепции)
инфор­мационной безопасности фирмы
является технологическая систе­ма
защиты информации.
Защита информации представляет собой
жестко
регламентированный и динамический
технологический про­цесс,
предупреждающий нарушение доступности,
целостности, достоверности
и конфиденциальности ценных информационных
ресурсов
и, в конечном счете, обеспечивающий
достаточно надеж­ную
безопасность информации в процессе
управленческой и произ­водственной
деятельности фирмы.

Система
защиты информации — рациональная
совокупность на­правлений,
методов, средств и мероприятий, снижающих
уязви­мость
информации и препятствующих
несанкционированному дос­тупу
к информации, ее разглашению или утечке.

Главными
требова­ниями
к организации эффективного функционирования
системы яв­ляются: персональная
ответственность руководителей и
сотрудников за сохранность носителя и
конфиденциальность информации,
рег­ламентация
состава конфиденциальных сведений и
документов, подлежащих
защите, регламентация порядка доступа
персонала к конфиденциальным
сведениям и документам, наличие
специали­зированной службы безопасности,
обеспечивающей практическую реализацию
системы защиты и нормативно-методического
обеспе­чения
деятельности этой службы.

Собственники
информационных ресурсов, в том числе
государ­ственные учреждения, организации
и предприятия, самостоятельно определяют
(за исключением информации, отнесенной
к государ­ственной
тайне) необходимую степень защищенности
ресурсов и тип
системы, способы и средства защиты,
исходя из ценности ин­формации.
Ценность информации и требуемая
надежность ее защиты находятся
в прямой зависимости. Важно, что структура
системы защиты должна охватывать не
только электронные информацион­ные
системы, а весь управленческий комплекс
фирмы в единстве его
реальных функциональных и производственных
подразделений, традиционных
документационных процессов. Отказаться
от бумаж­ных документов и часто
рутинной, исторически сложившейся
уп­равленческой
технологии не всегда представляется
возможным, осо­бенно
если вопрос стоит о безопасности ценной,
конфиденциаль­ной
информации.

Основной
характеристикой системы является ее
комплексность, т.е. наличие в ней
обязательных элементов, охватывающих
все на­правления
защиты информации. Соотношение элементов
и их со­держания
обеспечивают индивидуальность построения
системы за­щиты информации конкретной
фирмы и гарантируют неповтори­мость
системы, трудность ее преодоления.

Конкретная
система защиты
представляет собой комплексную
взаимосвязанную структуру элементов.

Элементами си­стемы
являются: правовой, организационный,
инженерно-техни­ческий,
программно-аппаратный и криптографический.
Мы в данной лекции будем рассматривать
только первые три элемента.

Правовой
элемент
системы
защиты информации основывается на
нормах информационного права и
предполагает юридическое закрепление
взаимоотношений фирмы и государства
по поводу правомерности
использования системы защиты информации,
фирмы и
персонала по поводу обязанности персонала
соблюдать установ­ленные
собственником информации ограничительные
и техноло­гические
меры защитного характера, а также
ответственности пер­сонала
за нарушение порядка защиты информации.
Этот элемент включает:

• наличие
в организационных документах фирмы,
правилах внутреннего
трудового распорядка, контрактах,
заключаемых с
сотрудниками, в должностных и рабочих
инструкциях положений и обязательств
по защите конфиденциальной ин­формации;

• формулирование
  и доведение до сведения всех сотрудни­ков
  фирмы (в том числе не связанных с
  конфиденциаль­ной информацией)
  положения о правовой ответственнос­ти
  за разглашение конфиденциальной
  информации, не­санкционированное
  уничтожение или фальсификацию
  до­кументов;

• разъяснение лицам,
  принимаемым на работу, положения о
  добровольности принимаемых ими на себя
  ограничений, связанных с выполнением
  обязанностей по защите инфор­мации.

Организационный
элемент
системы
защиты информации содер­жит меры
управленческого, ограничительного
(режимного) и тех­нологического
характера, определяющие основы и
содержание сис­темы защиты, побуждающие
персонал соблюдать правила защиты
конфиденциальной информации фирмы. Эти
меры связаны с ус­тановлением режима
конфиденциальности в фирме. Элемент
вклю­чает в себя регламентацию:

• формирования и
  организации деятельности службы
  безопас­ности и службы конфиденциальной
  документации (или ме­неджера по
  безопасности, или референта первого
  руководи­теля), обеспечения деятельности
  этих служб (сотрудника) нормативно-методическими
  документами по организации и технологии
  защиты информации;

• составления и
  регулярного обновления состава (перечня,
  списка, матрицы) защищаемой информации
  фирмы, со­ставления и ведения перечня
  (описи) защищаемых бумаж­ных,
  машиночитаемых и электронных документов
  фирмы;

• разрешительной
  системы (иерархической схемы)
  разграни­чения доступа персонала к
  защищаемой информации;

• методов отбора
  персонала для работы с защищаемой
  информа­цией, методики обучения и
  инструктирования сотрудников;

• направлений и
  методов воспитательной работы с
  персона­лом, контроля соблюдения
  сотрудниками порядка защиты информации;

• технологии защиты,
  обработки и хранения бумажных,
  ма­шиночитаемых и электронных
  документов фирмы (дело­производственной,
  автоматизированной и смешанной
  тех­нологий); внемашинной технологии
  защиты электронных документов;

• порядка защиты
  ценной информации фирмы от случайных
  или умышленных несанкционированных
  действий персонала;

• ведения всех видов
  аналитической работы;

• порядка защиты
  информации при проведении совещаний,
  за­седаний, переговоров, приеме
  посетителей, работе с предста­вителями
  рекламных агентств, средств массовой
  информации;

• оборудования
  и аттестации помещений и рабочих зон,
  вы­деленных
  для работы с конфиденциальной информацией,
  лицензирования
  технических систем и средств защиты
  ин­формации
  и охраны, сертификации информационных
  сис­тем,
  предназначенных для обработки защищаемой
  инфор­мации;

• пропускного
  режима на территории, в здании и
  помещениях фирмы,
  идентификации персонала и посетителей;

• системы
  охраны территории, здания, помещений,
  оборудо­вания,
  транспорта и персонала фирмы;

• действий персонала
  в экстремальных ситуациях;

• организационных
  вопросов приобретения, установки и
  эксп­луатации технических средств
  защиты информации и охраны;

• организационных
  вопросов защиты персональных компью­теров,
  информационных систем, локальных сетей;

• работы по управлению
  системой защиты информации;

• критериев и порядка
  проведения оценочных мероприятий по
  установлению степени эффективности
  системы защиты информации.

Элемент организационной
защиты является стержнем, основ­ной
частью рассматриваемой комплексной
системы. По мнению большинства
специалистов, меры организационной
защиты инфор­мации
составляют 50—-60% в структуре большинства
систем защи­ты
информации. Это связано с рядом факторов
и также с тем, что важной составной
частью организационной защиты информации
является
подбор, расстановка и обучение персонала,
который будет
реализовывать на практике систему
защиты информации. Сознательность,
обученность и ответственность персонала
можно с
полным правом назвать краеугольным
камнем любой даже самой технически
совершенной системы защиты информации.
Организационные меры защиты отражаются
в нормативно-мето­дических
документах службы безопасности, службы
конфиден­циальной
документации учреждения или фирмы. В
этой связи часто
используется единое название двух
рассмотренных выше элементов
системы защиты — «элемент
организационно-право­вой защиты
информации».

Инженерно-
технический элемент
системы
защиты информа­ции
предназначен для пассивного и активного
противодействия средствам
технической разведки и формирования
рубежей охра­ны территории, здания,
помещений и оборудования с помощью
комплексов технических средств. При
защите информационных систем этот
элемент имеет весьма важное значение,
хотя стоимость средств технической
зашиты и охраны велика. Элемент включает
в себя:

• сооружения
  физической (инженерной) защиты от
  проник­новения посторонних лиц на
  территорию, в здание и поме­щения
  (заборы, решетки, стальные двери, кодовые
  замки, идентификаторы, сейфы и др.);

• средства защиты
  технических каналов утечки информации,
  возникающих при работе ЭВМ, средств
  связи, копироваль­ных аппаратов,
  принтеров, факсов и других приборов и
  офис­ного оборудования, при проведении
  совещаний, заседаний, беседах с
  посетителями и сотрудниками, диктовке
  докумен­тов и т.п.;

• средства защиты
  помещений от визуальных способов
  техни­ческой разведки;

• средства обеспечения
  охраны территории, здания и помеще­ний
  (средства наблюдения, оповещения,
  сигнализирования, информирования и
  идентификации);

• средства
  противопожарной охраны;

• средства обнаружения
  приборов и устройств технической
  раз­ведки (подслушивающих и передающих
  устройств, тайно уста­новленной
  миниатюрной звукозаписывающей и
  телевизион­ной аппаратуры и т.п.);

• технические
  средства контроля, предотвращающие
  вынос пер­соналом из помещения
  специально маркированных предме­тов,
  документов, дискет, книг и т.п.

В
каждом структурном элементе комплексной
системы защиты
могут быть реализованы на практике
только
отдельные составные части в зависимости
от поставлен­ных
задач защиты в крупных и некрупных
фирмах различного профиля,
малом бизнесе. Структура системы, состав
и содержа­ние
элементов, их взаимосвязь зависят от
объема и ценности за­щищаемой
информации, характера возникающих угроз
безопас­ности
информации, требуемой надежности защиты
и стоимости системы.
Например, в некрупной фирме с небольшим
объемом защищаемой
информации можно ограничиться
регламентацией технологии обработки
и хранения документов, доступа персонала
к
документам и делам. Можно дополнительно
выделить в отдель­ную
группу и маркировать ценные бумажные,
машиночитаемые и
электронные документы, вести их опись,
установить порядок подписания сотрудниками
обязательства о неразглашении тайны
фирмы,
организовывать регулярное обучение и
инструктирова­ние
сотрудников, вести аналитическую и
контрольную работу. Применение
простейших методов защиты, как правило,
дает зна­чительный
эффект.

В
крупных производственных и исследовательских
фирмах с мно­жеством
информационных систем и значительными
объемами защи­щаемых сведений
формируется многоуровневая система
защиты ин­формации,
характеризующаяся иерархическим
доступом к инфор­мации.
Однако эти системы, как и простейшие
методы защиты, не должны создавать
сотрудникам серьезные неудобства в
работе, т.е. они должны быть «прозрачными».

Содержание составных
частей элементов, методы и средства
за­щиты информации в рамках любой
системы защиты должны регу­лярно
изменяться с целью предотвращения их
раскрытия заинтере­сованным лицом.
Конкретная система защиты информации
фирмы всегда является строго
конфиденциальной, секретной. При
практи­ческом использовании системы
следует помнить, что лица, проек­тирующие
и модернизирующие систему, контролирующие
и анали­зирующие ее работу не могут
быть пользователями этой системы.

Следовательно,
безопасность информации в современных
ус­ловиях компьютеризации информационных
процессов имеет прин­ципиальное
значение для предотвращения незаконного
и часто преступного использования
ценных сведений. Задачи обеспечения
безопасности информации реализуются
комплексной системой за­щиты информации,
которая по своему назначению способна
ре­шить множество проблем, возникающих
в процессе работы с конфи­денциальной
информацией и документами. Основным
условием безопасности информационных
ресурсов ограниченного доступа от
различных видов угроз является прежде
всего организация в фирме аналитических
исследований, построенных на современ­ном
научном уровне и позволяющих иметь
постоянные сведения об эффективности
системы защиты и направлениях ее
совершенствования в соответствии с
возникающими ситуационными проблемами.

Соседние файлы в папке ИБИС гр.445зс 2015

• #
• #
• #
• #
• #
• #
• #
• #