ВНИМАНИЕ! наш центр работает в штатном режиме!

Все заявки принимаются и обрабатываются своевременно

Возможны незначительные задержки по срокам доставки оригиналов в связи с перебоями работы курьерских служб.
Лермонтова, 43
Пн-пт: 9:00-19:00
+7 (383) 202-10-77max icon
info@gortestsibir.ru
-15% для новых клиентов
*Скидка действует в течение 30 дней после обращения для новых клиентов
Забрать скидку

Защита и обработка конфиденциальной информации

Защита и обработка конфиденциальной информацииЗащита конфиденциальной информации — обязательный элемент деятельности любой организации. Утечка сведений приводит к финансовым потерям, спорам с контрагентами, снижению доверия. По этой причине требуется выстроить систему контроля, хранения.

Защита — совокупность мер, направленных на сохранение целостности, ограничение доступа, предотвращение утраты. Работа с такими материалами охватывает весь жизненный цикл — от получения до уничтожения носителей.

Сведения используются в двух форматах:

  • бумажный носитель;
  • электронная форма в информационной системе.

Каждый вариант требует отдельного подхода. Для физического документа важна охрана и учет, для цифровых ресурсов — контроль авторизации, применение технических средств.

Обработка включает этапы:

  • получение сведений;
  • систематизация;
  • использование;
  • передача;
  • удаление.

Нарушение порядка на любом этапе создает риск утечки. Для снижения угроз применяется сочетание правовых, организационных, технических решений.

Виды конфиденциальных сведений

Конфиденциальный статус присваивается сведениям, распространение которых ограничено. Основанием служат нормы закона или внутренние документы организации.

К таким сведениям относятся:

  • персональные данные физических лиц;
  • коммерческие материалы, включая договоры, финансовые показатели;
  • служебная информация внутреннего характера;
  • сведения, составляющие государственную тайну;
  • технологические разработки, результаты исследований;
  • управленческая документация.

Степень защиты зависит от возможного ущерба. Чем выше ценность сведений, тем жестче требования к их обработке, хранению.

Для упорядочивания доступа применяется разграничение:

  • базовый уровень для сотрудников;
  • ограниченный по подразделениям;
  • закрытый для отдельных должностей.

Такой подход снижает вероятность несанкционированного использования. Даже отдельные элементы могут иметь ценность, а совокупность формирует критически важный ресурс.

Законодательные требования к защите информации

Правовое регулирование устанавливает обязательные правила работы с конфиденциальными сведениями. Требования распространяются на обработку, хранение, передачу, уничтожение.

Основные нормативные акты:

  • Конституция Российской Федерации;
  • Федеральный закон №152-ФЗ «О персональных данных»;
  • Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон №98-ФЗ «О коммерческой тайне»;
  • Федеральный закон «О безопасности»;
  • Федеральный закон «О связи»;
  • Федеральный закон «О государственной тайне».

Ответственность за нарушения установлена:

  • статьями 13.11 и 13.14 Кодекса об административных правонарушениях Российской Федерации;
  • статьями 183 и 272.1 Уголовного кодекса Российской Федерации.

Требования к обработке персональных данных формируются профильными органами:

  • Федеральная служба по техническому и экспортному контролю (ФСТЭК);
  • Федеральная служба безопасности (ФСБ).

Для отдельных категорий сведений действуют дополнительные нормы (международные соглашения по передаче информации).

Закон обязывает обеспечить должный уровень безопасности. Несоблюдение требований приводит к санкциям, проверкам.

Система защиты в организации

Система защиты строится как набор взаимосвязанных процессов. Основная задача — предотвратить утечку, обеспечить контроль, сохранить целостность.

Ключевые элементы:

  • внутренние регламенты работы со сведениями;
  • назначение ответственных лиц;
  • классификация по уровням подключения;
  • учет носителей;
  • контроль операций.

Документооборот включает два формата:

  • бумажные документы;
  • электронные файлы.

Для бумажных носителей применяются меры:

  • передача под роспись с указанием цели;
  • использование грифов конфиденциальности;
  • ограничение копирования;
  • маркировка копий;
  • хранение в защищенных местах.

Материалы, утратившие актуальность, передаются в архив. Используются специализированные хранилища с контролем допуска.

Требования к таким объектам:

  • учет посетителей;
  • ограничение входа;
  • наличие замков;
  • защита оконных конструкций.

Передача персональных данных сопровождается установлением ответственности за сохранность.

Для электронных ресурсов применяются другие меры:

  • присвоение уровней конфиденциальности;
  • журналирование действий;
  • разделение хранилищ по уровням доступа;
  • резервное копирование.

Ответственное лицо должно отслеживать местонахождение каждого документа, операции с ним. Такой контроль снижает риск утраты, облегчает выявление нарушений.

Комплекс мер защиты информации

Организационные меры включают:

  • утверждение политики информационной безопасности;
  • разработку регламентов работы с документами;
  • обучение сотрудников установленным требованиям;
  • разграничение прав доступа;
  • фиксацию действий пользователей;
  • внутренний контроль соблюдения правил.

Такие меры задают основу. При их отсутствии любые технические средства теряют эффективность.

Технические решения направлены на устранение конкретных угроз.

Физический уровень:

  • системы видеонаблюдения;
  • сигнализация;
  • ограничение доступа в помещения;
  • защита от пожара, аварий.

Программный уровень:

  • антивирусные решения;
  • системы управления доступом;
  • DLP-системы для предотвращения утечки;
  • SIEM-системы для анализа событий;
  • межсетевые экраны;
  • многофакторная аутентификация.

Аппаратный уровень:

  • устройства хранения паролей;
  • системы доверенной загрузки;
  • генераторы цифрового шума.

Криптографические методы:

  • шифрование сведений;
  • применение сертифицированных СКЗИ (средства криптографической защиты информации).

Сетевой уровень:

  • фильтрация трафика;
  • контроль маршрутов передачи;
  • проверка прав доступа внутри сети.

Дополнительные меры:

  • передача сведений в зашифрованном виде;
  • контроль обмена между системами;
  • ограничение копирования на внешние носители;
  • изоляция подозрительных программ.

Комплексный подход снижает вероятность утечки, повышает устойчивость системы.

Ответственность за нарушение конфиденциальности

Нарушение установленного режима приводит к юридическим последствиям. Вид ответственности зависит от характера нарушения, последствий.

К типовым нарушениям относятся:

  • утрата сведений;
  • незаконная обработка персональных данных;
  • разглашение коммерческой тайны;
  • предоставление доступа посторонним;
  • нарушение правил хранения.

Дополнительно применяется компенсация:

  • возмещение прямого ущерба;
  • компенсация упущенной выгоды;
  • возмещение морального вреда.

Контроль за документами обязателен. Отсутствие учета местонахождения и операций усложняет выявление источника утечки.

Контроль и аудит обработки информации

Аудит используется для оценки состояния системы безопасности. Проверка позволяет выявить слабые места, своевременно устранить нарушения.

Основные направления контроля:

  • устойчивость к несанкционированному доступу;
  • меры от технических каналов утечки;
  • сохранность структуры сведений;
  • доступность ресурсов;
  • корректность применения шифрования;
  • разграничение прав доступа;
  • журналирование действий.

Дополнительно оцениваются:

  • устойчивость к DDoS-атакам;
  • минимизация рисков от электромагнитных, акустических каналов;
  • применение сертифицированных СКЗИ.

Проверяется наличие документации:

  • сертификаты соответствия средств защиты;
  • документы аттестации объектов информатизации;
  • заключения по результатам специальных исследований технических средств;
  • лицензия ФСТЭК на деятельность по технической безопасности конфиденциальной информации.

Аудит охватывает процессы обработки, хранение, порядок предоставления доступа. Результаты фиксируются в отчетных документах.

В практике выделяются отдельные области защиты, требующие самостоятельного регулирования:

  • корпоративные сведения;
  • коммерческая тайна;
  • служебная информация.

Для каждого направления устанавливаются собственные правила, уровень доступа, перечень мер безопасности.

В центре сертификации помогут провести процедуру. Также эксперты предоставляют дополнительные услуги:

  • организация защиты коммерческой и служебной информации, корпоративных данных;
  • подготовка заключений по результатам специальных исследований технических средств, подтверждающих отсутствие каналов утечки;
  • оформление сертификатов соответствия на средства защиты информации (системы криптографической защиты, решения от несанкционированного доступа);
  • составление, оформление документов по аттестации объектов информатизации (протоколы, акты, аттестаты);
  • сопровождение при получении лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.

Обращение к экспертам центра позволяет выстроить корректную работу с документацией, соблюсти требования законодательства и избежать ошибок на этапе оформления. Консультации предоставляются бесплатно.

Вопрос-ответ

На чем базируется разработка документации по защите информации?

Разработка документации по защите конфиденциальной информации осуществляется на основе действующего законодательства Российской Федерации. В основу закладываются требования Федерального закона №152-ФЗ, Федерального закона №149-ФЗ, а также иных нормативных актов. Дополнительно учитываются отраслевые стандарты ФСТЭК, ФСБ.

Похожие статьи
Участие в тендере
Поверка оборудования (весом до 5-7 кг)
Реестр Минпромторга по Постановлению №878
Задать вопрос специалисту
Марина Дудкина
Эксперт по сертификации
8 800 200 51 81
MAX
Telegram
WhatsApp
Заказать звонок

    Ваше имя*
    Ваш телефон*
    ×

    Мы используем файлы cookie для аналитики и улучшения работы сайта. Оставаясь здесь, вы даете согласие на обработку данных согласно Политике конфиденциальности