Защита конфиденциальной информации

Эффективность бизнеса во многих случаях зависит от сохранения конфиденциальности, целостности и доступности информации. В настоящее время одной из наиболее актуальных угроз в области информационной безопасности является утечка конфиденциальных данных от несанкционированных действий пользователей. Это обусловлено тем, что большая часть традиционных средств защиты, таких как антивирусы, межсетевые экраны и системы аутентификации не способны обеспечить эффективную защиту от внутренних нарушителей. Целью такого рода нарушителей (инсайдеров) является передача информации за пределы Компании с целью её последующего несанкционированного использования – продажи, опубликования её в открытом доступе и т.д.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Защита конфиденциальной информации осуществляется на основании Федерального закона Российской Федерации от 27 июля 2006г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указа Президента Российской Федерации от 06.03.97г. № 188 «Перечень сведений конфиденциального характера», «Доктрины информационной безопасности Российской Федерации», утвержденной Президентом Российской Федерации 09.09.2000г. № Пр.-1895, «Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденного постановлением Правительства Российской Федерации от 03.11.94г. № 1233, других нормативных правовых актов по защите информации (приложение № 8), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях.

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в соответствии с установленным руководящими документами порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Региональный сервисный центр «Инфо-Бухгалтер» предлагает услуги по проведению мероприятий по защите информации, обрабатываемой техническими средствами, от утечки по техническим каналам (ПЭМИН, НСД, внедрение электронных устройств перехвата информации), а также по защите информации, обсуждаемой в выделенных помещениях, от утечки по техническим каналам (акустический, виброакустический, электроакустические преобразования, внедрение закладок).

Основные этапы мероприятий:

  • Проведение анализа (аудита) состояния защиты информационных ресурсов объекта информатизации и инструментальной оценки возможных каналов утечки информации;
  • Проектирование, поставка, монтаж и ввод в эксплуатацию сертифицированных средств и систем защиты информации на различных объектах информатизации;
  • Гарантийное и послегарантийное сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • Проведение информационно-аналитической работы и консультирование по всему спектру вопросов защиты объектов информатизации.





  • Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.

    К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и др.

    К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и т.п.

    К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль за разработчиками и пользователями компьютерных систем и программ.

    Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.