Защита конфиденциальной информации в организации

1.1 Система конфиденциальной информации: понятие и сущность

     Под информацией надо понимать сведения, являющиеся объектом сбора (накопления), хранения, обработки (преобразования),  непосредственного использования  и передачи.

     Определению информации как сведений разного рода, представленных в любой форме и являющихся объектами различных процессов, наиболее соответствует следующая узкая трактовка понятия «защита информации».

     В этом случае под защитой информации понимается совокупность мероприятий  и действий, направленных на обеспечение ее безопасности — конфиденциальности и целостности — в процессе сбора, передачи, обработки и хранения. Это определение подразумевает тождественность понятий «защита информации» и «обеспечение безопасности информации».

     Безопасность  информации — это свойство (состояние) передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз, то есть ее конфиденциальность (секретность, смысловая или информационная скрытность), сигнальная скрытность (энергетическая и структурная) и целостность — устойчивость к разрушающим, имитирующим и искажающим воздействиям и помехам (9).

     Под защитой информации, в более широком  смысле, понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

     Сущность  защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации.

     информационная  безопасность достигается системой мер, направленных:

• на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
• на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
• на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
• на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
• на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

     Предупреждение  возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная  от создания климата глубоко осознанного  отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами

     Предупреждение  угроз возможно и путем получения  информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний.

     В предупреждении угроз весьма существенную роль играет информационно-аналитическая  деятельность службы безопасности на основе глубокого анализа криминогенной  обстановки и деятельности конкурентов и злоумышленников.

     Выявление имеет целью проведение мероприятий  по сбору, накоплению и аналитической  обработке сведений о возможной  подготовке преступных действий со стороны  криминальных структур или конкурентов  на рынке производства и сбыта  товаров и продукции.

     Обнаружение угроз — это действия по определению  конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести  обнаружение фактов хищения или  мошенничества, а также фактов разглашения  конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

     Пресечение  или локализация угроз — это  действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам (11).

     Ликвидация  последствий имеет целью восстановление состояния,предшествовавшего наступлению  угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.

     Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

• предотвращение разглашения и утечки конфиденциальной информации;
• воспрещение несанкционированного доступа к источникам конфиденциальной информации;
• сохранение целостности, полноты и доступности информации;
• соблюдение конфиденциальности информации;
• обеспечение авторских прав.

     Защищаемая  информация включает сведения, составляющие государственную, коммерческую, служебную и иные охраняемые законом тайны. Каждый вид защищаемой информации имеет свои особенности в области регламентации, организации и осуществления этой защиты.

     Наиболее  общими признаками защиты любого вида охраняемой информации являются следующие:                                   

• защиту информации организует и проводит собственник или владелец информации или уполномоченные им на то лица (юридические или физические);
• защитой информации собственник охраняет свои права на владение и распоряжение информацией, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
• защита информации осуществляется путем проведения комплекса мер по   ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

     защита  информации — это деятельность собственника информации или уполномоченных им лиц  по:

• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;
• предотвращению утечки и утраты информации;
• сохранению полноты, достоверности, целостности защищаемой информации, ее     массивов и программ обработки;
• сохранению конфиденциальности или секретности защищаемой информации в  соответствии с правилами, установленными законодательными и другими нормативными актами.

 

1.2 Нормативно-правовая база по защите конфиденциальной информации

     На  сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Персональные данные нуждаются в надежной защите ввиду повсеместно распространившихся краж информации, превратившихся в проблему мирового масштаба.

     Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию. В 2007 году в России вступил в силу Федеральный закон «О персональных данных» (№ 152-ФЗ), направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями.

     В соответствии с 152-ФЗ, каждое предприятие  должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все  необходимые меры во избежание следующих  правонарушений:

-кража  персональных данных;

-изменение;

-блокирование;

-копирование; 

     На  сегодняшней день требования по обеспечению  безопасности конфиденциальных данных устанавливаются следующими основными  документами:

     1.  Федеральный закон от 27 июля 2006 г.  №152-ФЗ «О персональных данных»;

     2. Постановление Правительства Российской  Федерации №781 от 17 ноября 2007 г. «Об  утверждении Положения об обеспечении  безопасности конфиденциальных  данных при их обработке» ;

     3. Приказ Федеральной службы по  техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности Российской Федерации (ФСБ),  Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем конфиденциальных данных»

     4.  Приказ Федеральной службы по  техническому и экспортному контролю (ФСТЭК) России от 05 февраля 2010 г. №158 «Об утверждении Положения  о методах и способах защиты  информации»

     5. Положение о лицензировании деятельности  по технической защите конфиденциальной информации Утвержденное Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504.

        6.  Законом РФ “ О государственной  тайне ” № 5485-1 от 21.07.93

     Существуют  и другие документы обеспечивающие защиту конфиденциальных данных в организации.

     Анализ  законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы  разбросаны по различным нормативным  актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.

     В России в 2005 году было зафиксировано  10214 преступлений в сфере конфиденциальной информации, в 2006 г. – 8889, в 2007 г. – 7236, в 2008 г. – 9010, а в 2009 г. – 11636 преступлений.  Наряду с неправомерным доступом к информации, особую опасность преступные посягательства, совершенные таким незаметным для обладателя информации способом как перехват (6).  

     1.3 Построение эффективной системы управления информационной безопасностью

     Под разглашением конфиденциальной информации понимаются умышленные или неосторожные действия допущенных к этой информации  лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая

работников  АО, которым эта информация не была доведена в официально установленном  порядке; утечка конфиденциальной информации - это несанкционированное распространение информации за пределы установленного физического пространства.

     Комплексная защита конфиденциальной информации имеет  целью решение двух задач: защиту права организации на конфиденциальную информацию, в том числе относящуюся  к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты конфиденциальной информации, образующих систему защиты конфиденциальной информации (СЗКИ)).

          СЗКИ дает возможность укрепления  экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.

     К категории конфиденциальной информации относятся все виды информации ограниченного  доступа, защищаемой законом – 

• коммерческая,
• служебная,
• личная.

     Для того чтобы легально заниматься защитой  конфиденциальной информации нужно  получить лицензию на право осуществления  деятельности по технической защите конфиденциальной информации (в соответствии с положение о лицензировании деятельности по технической защите конфиденциальной информации Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. № 290):

     Для этого нужно выполнить следующие  требования:

     а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности