Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

Содержание
  1. Нормативная база для работы с конфиденциальными документами #законодательство #СЭД #ECMJ
  2. Нормативная база для работы с конфиденциальными документами
  3. Законодательство РФ в области государственной тайны и конфиденциальной информации
  4. Виды конфиденциальной информации
  5. Нормативно-правовые акты
  6. Гост р 53114-2008 защита информации. обеспечение информационной…
  7. Предисловие
  8. 1 Область применения
  9. 2 Нормативные ссылки
  10. 3.1 Общие понятия
  11. Обеспечение конфиденциальности информации
  12. Конфиденциальная информация: как защитить корпоративные данные
  13. Источники конфиденциальной информации
  14. Угрозы конфиденциальной информации
  15. Каналы утечки конфиденциальной информации (через организацию деятельности)
  16. Каналы утечки конфиденциальной информации (через технические средства)
  17. Каналы утечки конфиденциальной информации (через человеческий фактор)
  18. 7 важных мер по защите информации
  19. Подготовительные мероприятия: что нужно сделать для настройки системы защиты
  20. На что обратить внимание
  21. 5 принципов информационной безопасности
  22. Запомнить
  23. Защита конфиденциальных данных, средства защиты конфиденциальной информации
  24. Средства защиты конфиденциальной информации
  25. Организация защиты конфиденциальных данных
  26. Техническая защита конфиденциальных сведений

Нормативная база для работы с конфиденциальными документами #законодательство #СЭД #ECMJ

Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

Конфиденциальность информации – понятие объемное. Оно охватывает разные отрасли экономики и сферы общественной жизни, для каждой из которых есть свои особенности правового регулирования.

Предлагаем вашему вниманию обзор российского законодательства, который поможет разобраться в том, какие данные следует отнести к конфиденциальной информации и какие законы определяют сохранность конфиденциальности.

Нормативная база для работы с конфиденциальными документами

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в широком понимании информация подразделяется на общедоступную информацию и информацию ограниченного доступа. В зависимости от порядка ее предоставления или распространения она подразделяется на:

●   информацию, свободно распространяемую;

●   информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

●   информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

●   информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Говоря о нормативном регулировании работы с информацией ограниченного доступа, важно помнить, что ограничения на доступ к такой информации устанавливаются только федеральными законами (ст. 5, п. 2 Закона об информации). Законодательно установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.

Законодательство РФ в области государственной тайны и конфиденциальной информации

Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне».

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В Законе об информации дается определение конфиденциальности информации, под которым понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Виды конфиденциальной информации

Виды конфиденциальной информации установлены Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К ней относятся:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Секрет производства (ноу-хау), то есть сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности.

Нормативно-правовые акты

●   Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

●   Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

●   Трудовой кодекс Российской Федерации

●    Федеральный закон от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»

●   Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ

В соответствии с Федеральным законом от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных», персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (глава 14), где, в частности, говорится, что работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Положение о неразглашении персональных данных содержится и в Федеральном законе «Об актах гражданского состояния» от 15 ноября 1997 г.

№ 143-ФЗ, где говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат (ст. 12).

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (ст.

137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Гост р 53114-2008 защита информации. обеспечение информационной…

Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

ГОСТ Р 53114-2008

Группа Т00

ОКС 35.020

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением “Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю” (ФГУ “ГНИИИ ПТЗИ ФСТЭК России”), Обществом с ограниченной ответственностью “Научно-производственная фирма “Кристалл” (ООО “НПФ “Кристалл”)

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ “О стандартизации в Российской Федерации”.

Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе “Национальные стандарты”, а официальный текст изменений и поправок – в ежемесячном информационном указателе “Национальные стандарты”.

В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя “Национальные стандарты”.

Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, – светлым, а синонимы – курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.

02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ “О техническом регулировании” [3], Федерального Закона Российской Федерации от 27 июля 2006 г.

N 149-ФЗ “Об информации, информационных технологиях и защите информации” [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 22.0.

02 Безопасность в чрезвычайных ситуациях. Термины и определения

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология.

Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922 Защита информации.

Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0 Защита информации. Система стандартов.

Основные положения

Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю “Национальные стандарты”, который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя “Национальные стандарты” за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3.1 Общие понятия

3.1.1

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.[ГОСТ Р 50922-2006, статья 2.4.5]

3.1.2

безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.[Р 50.1.056-2005]

3.1.3

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895]

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

3.1.5

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.[ГОСТ Р 51275-2006, пункт 3.1]

3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание – К активам организации могут относиться:

– информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.

) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

– ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

– процессы (технологические, информационные и пр.);

3.1.7

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.Примечание – Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.[ГОСТ 19781-90, статьят 93]

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

3.1.9

3.1.10

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.[ГОСТ Р 34.003-90*, статья 2.5]

_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. – Примечание изготовителя базы данных.

Источник: http://docs.cntd.ru/document/gost-r-53114-2008

Обеспечение конфиденциальности информации

Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

ТОО «Научно-технический инженерный центр» (далее – ТОО) обеспечивает конфиденциальность своей деятельности, информации, полученной от Заявителей/Заказчиков, за исключением случаев, когда продукция по результатам подтверждения соответствия (испытаниям) представляет опасность для жизни, здоровья, имущества людей и окружающей среды.

Результаты деятельности ТОО, выполненные по заявке предприятий, организаций и физических лиц, являются собственностью этих лиц и подлежат регистрации и защите от преждевременной публикации и разглашения.

Типы информации

В ТОО определены следующие типы информации:

– информация общего пользования (без указания ограничений);

информация ограниченного пользования (ограничение указывается в обязательном порядке), которая может быть:

– информацией на рабочем месте сотрудника ТОО;

– информацией для внутреннего пользования;

– информацией, касающейся второй стороны (Заявители/Заказчики и партнеры).

К конфиденциальной информации в ТОО относятся:

– коммерческая тайна;

– служебная тайна;

– персональные данные работников ТОО;

– научно-техническая, технологическая, организационная или иная информация, используемая в деятельности ТОО, которая обладает действительной или потенциальной коммерческой ценностью в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании, и по отношению к которой ТОО принимает правовые, организационные, технические меры защиты.

https://www.youtube.com/watch?v=24QQXONSClc

Конфиденциальная информация фиксируется на бумажных (документы, издания, книги, брошюры, буклеты и т.п.), магнитных (дискеты, аудио, – видео пленки и др.), оптических (лазерные диски) и других носителях (далее – документы). Таким документам присваивается ограничительный гриф «Конфиденциально».

Объектом конфиденциальности в работе ТОО по отношению к Заявителю/Заказчику является следующая информация:

– объем производимой продукции, ее стоимость, поставщики сырья, место хранения;

– технологические инструкции и регламенты, применяемое оборудование;

– сведения об учредителях и собственниках;

– прочая информация, особо оговоренная Заявителем/Заказчиком.

Обеспечение конфиденциальности

Конфиденциальность информации обеспечивается:

– персональной ответственностью лиц, имеющих доступ к данной информации;

– запретом доступа в ТОО (к информации) посторонних лиц.

К работе со сведениями, содержащими конфиденциальную информацию, допускаются работники ТОО, заключившие трудовой договор, содержащий соответствующее условие о неразглашении конфиденциальной информации, которое обязывает соблюдать практику целевого использования ресурсов (ресурсы Интернет, электронная почта) и позволяет им работать с информацией общего и ограниченного пользования.

Отнесение сведений к категории конфиденциальной информации осуществляется в соответствии с Перечнем сведений,

При возникновении необходимости направления конфиденциальной информации за пределы ТОО, либо в случае установления исполнителем документа особого порядка его обращения внутри ТОО, на документе (его электронном аналоге) проставляется гриф «Конфиденциально».

Отправка документов, содержащих конфиденциальную информацию, средствами факсимильной связи допускается только после получения на это разрешения Начальника органа по подтверждению соответствия, Заведующего испытательной лабораторией или Директора ТОО.

Передача сведений, содержащих конфиденциальную информацию, третьим лицам (юридическим и физическим лицам, не являющимся работниками ТОО) запрещается, за исключением случаев, когда они предоставляются:

– органам законодательной и исполнительной власти, контролирующим органам, имеющим право получать такую информацию в соответствии с законодательством Республики Казахстан – на основании письменного запроса;

– сторонним организациям – при условии наличия в договоре (соглашении) с ними требований о соблюдении конфиденциальности.

Использование сведений с грифом «Конфиденциально» в открытых выступлениях, публикациях, интервью, на конференциях, презентациях и т.п. без разрешения Директора ТОО запрещено.

В случае наличия разрешения Директора ТОО на передачу сведений, содержащих конфиденциальную информацию, для публикации (оглашения) в открытых источниках, гриф конфиденциальности снимается, а о факте их передачи ставится в известность Управляющий Совет ТОО, с последующим уведомлением об этом заинтересованных структурных подразделений ТОО и Заявителей/Заказчиков (при необходимости).

В случае утраты документа или установленного факта утечки сведений, содержащих конфиденциальную информацию, об этом ставится в известность Директор ТОО.

Для расследования обстоятельств утраты (утечки) сведений, содержащих конфиденциальную информацию, и определения возможного ущерба, Директор ТОО назначает заседание Управляющего Совета ТОО по данному вопросу.

Комиссия, проводящая расследование, может обратиться к Директору ТОО с предложением о снятии грифа «Конфиденциально» с информации, содержавшейся в утраченном документе, и в случае принятия положительного решения обязана проинформировать об этом все структурные подразделения ТОО, использующие соответствующую информацию, а также Заявителя/Заказчика ТОО, с которыми имеется соответствующее соглашение (договор).

Размножение документов, содержащих конфиденциальную информацию

Распечатывание конфиденциальных документов в электронном виде, сканирование (печатание) конфиденциальных документов на бумажных носителях производится самим исполнителем. На обороте или внизу последнего листа каждого экземпляра документа, либо в электронном документе, указывается фамилия исполнителя, его контактный телефон, дата распечатывания или сканирования (печатания).

После распечатывания (сканирования) конфиденциального документа исполнитель должен убедиться в невозможности получения повторных несанкционированных копий.

Копирование (размножение) конфиденциальных документов осуществляется уполномоченным сотрудником ТОО с письменного разрешения Директора ТОО, с указанием количества экземпляров (копий).

Представители сторонних организаций имеют право делать выписки и снимать копии с конфиденциальных документов только с разрешения Директора ТОО (с указанием конкретного материала, количества копий) и на основании письменных запросов руководителей сторонних организаций, при условии совместной работы с использованием конфиденциальной информации, а также при условии подписания с ними соглашения о конфиденциальности или заключения договора, содержащего условие о конфиденциальности.

Учет конфиденциальных документов в этих случаях производится на общих основаниях, а предоставление выписок, копий – под роспись, с указанием организации и основания для передачи информации

Ограничения доступа и пересылка конфиденциальной информации

Сотрудники ТОО обязаны на время отсутствия на своем рабочем месте вне зависимости от длительности периода отсутствия блокировать доступ к ресурсам своего рабочего места (политика «чистого экрана»); В конце рабочего дня вся документация убирается в рабочий стол.

В нерабочее время конфиденциальные документы и электронные носители, содержащие конфиденциальную информацию, должны находиться в запирающихся на ключ секциях рабочих столов или в металлических шкафах.

Перемещение лиц, не являющихся сотрудниками в помещениях ТОО возможно только в сопровождении сотрудника ТОО. Перемещение материальных ценностей за пределы ТОО производится только после разрешения Директора и оформления письменного разрешения.

Ограничение доступа к электронным записям заключается в определении такого местоположения документа, которое дает права на доступ к документу только сотрудникам, работающим с документом. Не разрешается работать на компьютере кому-либо, кроме сотрудников ТОО. Каждый компьютер оснащается паролем, известным только его пользователям.

Сотрудник ТОО, получивший конфиденциальный документ, обязан принимать меры для обеспечения его сохранности и не разглашать содержащиеся в нем сведения в беседах с посторонними лицами, а также с сотрудниками ТОО, если этого не требуется для исполнения им своих служебных обязанностей.

Работник ТОО, получивший для работы конфиденциальный документ на бумажном носителе, обязан располагать его так, чтобы исключить возможность ознакомления с ним других лиц.

При увольнении, переводе в другое подразделение ТОО сотрудник обязан сдать все числящиеся за ним конфиденциальные документы. Работник также обязан сдать либо уничтожить электронную документацию, содержащую конфиденциальную информацию, находящуюся в его распоряжении.

Пересылка конфиденциальных документов осуществляется заказными почтовыми отправлениями, спецсвязью, или с нарочным.

Передача конфиденциальной информации с использованием средств факсимильной связи допускается в исключительных случаях с письменного разрешения Директора ТОО.

Разрешается передача конфиденциальных документов посредством электронной почты, иных средств передачи электронной информации только при наличии специальных средств защиты каналов передачи.

В рамках обеспечения конфиденциальности информации в ТОО проводятся следующие мероприятия:

– идентификация наиболее конфиденциальной информации;

– оценка рисков, связанных с потерями информации;

– принятие управленческих решений о защите информации;

– регистрация и контроль инцидентов по разглашению конфиденциальной информации;

– предоставление отчетности о деятельности процесса управления конфиденциальной информацией;

– проведение руководством ТОО анализа отчетов с целью улучшения процесса.

Ответственность

Ответственность за соблюдение требований настоящей процедуры несут все сотрудники ТОО.

Работники ТОО, допустившие утечку сведений, содержащих конфиденциальную информацию, либо нарушившие требования настоящей процедуры и других распорядительных документов, устанавливающих порядок обращения со сведениями, содержащими конфиденциальную информацию, а также работники, по вине которых произошла утрата носителей конфиденциальной информации, несут ответственность, предусмотренную законодательством Республики Казахстан, внутренними документами ТОО, ОПС и условиями трудового договора.

Ответственность лиц, не являющихся работниками ТОО, за утечку или утрату сведений, содержащих конфиденциальную информацию, доверенных им в связи с участием в деятельности ТОО, устанавливается соглашениями о взятии ими на себя таких обязательств и законодательством Республики Казахстан.

Запрещается размещать сведения, содержащиеся в Перечне (Приложение 1), на не предназначенных для этой цели носителях, использовать в открытых публикациях, в интервью или каким-либо иным способом предавать их огласке без письменного разрешения Директора ТОО.

Все сотрудники ТОО имеют право вносить руководству ТОО обоснованные предложения о запрете на работу с конфиденциальной информацией или с техническими средствами обработки данной информации в отношении тех или иных работников ТОО, нарушивших установленный порядок и правила сохранности сведений, содержащих конфиденциальную информацию.

Приложение 1.

ПЕРЕЧЕНЬ

сведений, содержащих конфиденциальную информацию в ТОО «Научно-технический инженерный центр»

1. Сводные сведения об исполнении планов производства.

2. Сведения о создании и функционировании корпоративной информационной системы управления ТОО.

3. Сведения о планируемых изменениях в структуре управления ТОО .

4. Сведения о цели командирования сотрудников ТОО .

3. Бизнес-планы ТОО и Заявителей/Заказчиков.

4. Сведения, содержащие плановые и итоговые показатели по расчету тарифов за услуги.

5. Сведения об остатках на счетах ТОО в банках.

6. Сведения о путях и способах получения информации из бухгалтерской автоматизированной базы данных.

7. Сведения о поступлении денежных средств на расчетные счета ТОО.

8. Сведения о списании денежных средств с расчетных счетов ТОО.

9. Сведения, связанные с функционированием системы «Банк-Клиент».

10. Сведения о Заказчиках услуг ТОО, условиях и ценах по договорам, которые заключаются ТОО или ведутся переговоры об их заключении.

11. Сведения о результатах анализа финансово-хозяйственной деятельности ТОО.

12. Сведения, содержащие прогнозные оценки (маркетинговые исследования).

13. Сведения в области науки и техники (в том числе открытия, изобретения, промышленные образцы, полезные модели, рационализаторские предложения, научно-технические решения, технологические разработки или другие объекты интеллектуальной собственности), позволяющие повысить возможности или приводящие к усовершенствованию существующих технологических процессов.

14. Сведения по анализу состояния используемых ТОО испытательного оборудования и средств измерения, и перспективах применения новых технологических процессов и оборудования.

15. Сведения о планируемых закупках на сумму, превышающую двадцать тысяч тенге, за исключением сведений, предназначенных для проведения конкурсов (торгов) по выбору поставщиков/субподрядчиков.

16. Сведения о плане технического перевооружения ТОО.

17. Сведения о результатах встреч и переговоров, если это предусмотрено в ходе встреч (переговоров).

18. Сведения о планируемых программах совместных действий с Заявителями/Заказчиками и партнерами ТОО .

19. Сведения об участниках совместных проектов.

20. Персональные данные работников ТОО и Заявителей/Заказчиков.

21. Сведения о содержании трудовых договоров.

22. Штатное расписание работников ТОО.

23. Сведения о действующей системе по оплате и мотивации труда, льготах, компенсациях, медицинском обслуживании, страховании работников ТОО.

24. Сведения о методах и способах реализации обеспечения информационной безопасности.

25. Сведения по актам расследования технологических нарушений и охране труда.

Источник: http://ntic.remade.kz/page2

Конфиденциальная информация: как защитить корпоративные данные

Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд.

Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру.

Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
  • Документы материальные и представленные в электронном виде.
  • Технические средства носителей информации и их обработки.
  • Выпускаемая продукция.
  • Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.
  • Искажение информации.
  • Утеря информации.
  • Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.
  • Запросы из государственных органов.
  • Проведение переговоров с потенциальными контрагентами.
  • Посещения территории предприятия.
  • Документооборот.
  • Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

  • Акустический канал утечки информации.
  • Визуальный канал.
  • Доступ к компьютерной сети.
  • Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
  • Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.
  • Оптимизировать защищаемые информационные потоки.
  • Определить формы представляемой информации.
  • Установить виды угроз защищаемой информации и варианты их реализации.
  • Установить, кому может быть интересна защищаемая информация.
  • Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
  • Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
  • Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.
  • Удаленный доступ к информации.
  • Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
  • Настройка программного оборудования (особенно после обновления).
  • Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
  • Разграничение доступа к информации.
  • Дробление информации на части.

5 принципов информационной безопасности

  1. «Принцип системности».

    К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

  2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

  3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

  4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

  5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Источник: https://uprav.ru/blog/konfidentsialnaya-informatsiya-kak-zashchitit-korporativnye-dannye/

Защита конфиденциальных данных, средства защиты конфиденциальной информации

Что относится к конфиденциальным сведениям. Перечень конфиденциальной информации. Процедуры обеспечения информационной безопасности

ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий. Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

  • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
  • служебные – то, что можно отнести к категории служебной тайны;
  • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
  • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
  • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

  • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
      • замки, двери, решетки на окнах, сигнализация и т.д. – любые средства, ограничивающие физический доступ к носителям информации;
      • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
  • разграничение доступа для сотрудников (персонала) организации клиента;
  • реализация прав доступа для работников предприятия.

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации.

Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила.

Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

Источник: https://integrus.ru/blog/it-decisions/zashhita-konfidentsialnoj-informatsii-v-organizatsii.html

О законе
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: