Сохранение конфиденциальной информации

Содержание

NDA: нужно ли вам такое соглашение и как правильно его заключать, чтобы не столкнуться с проблемами

Сохранение конфиденциальной информации

Это соглашение о неразглашении — от английского non‑disclosure agreement. Оно помогает предотвратить утечку значимой информации, которая не должна попасть в чужие руки.

Например, компания нанимает менеджера по продажам. Ему предоставляется доступ к клиентской базе, которая нарабатывалась годами. Сотрудник может завтра уволиться и унести данные к конкурентам. Чтобы этого не произошло, подписывается NDA.

Соглашение может быть заключено и с контрагентом. Скажем, организация находит компанию‑подрядчика. Та должна разработать рекламную кампанию для нового, пока секретного продукта. Исполнитель получит данные о товаре, но распространять их раньше времени не должен. Мотивировать сотрудников подрядчика молчать опять же должно NDA.

Какую информацию можно защитить NDA

В России к конфиденциальной информации относится несколько видов сведений. Это может быть государственная или служебная тайна, персональные данные и так далее. Они охраняются соответствующими нормативными актами. Что касается NDA, речь, как правило, идёт о коммерческой тайне .

По закону защитить можно информацию, которая ценна именно за счёт того, что неизвестна третьим лицам. Например, организация планирует выпустить на рынок уникальный продукт.

Если технология его разработки станет известна, аналогичный товар могут сделать конкуренты — причём одновременно с оригиналом. Значит, компания рискует упустить прибыль.

Потому технология разработки определённо может быть коммерческой тайной.

При этом существует довольно большой список данных, которые нельзя засекречивать. Это, например, информация о численности и составе персонала, системе оплаты и условиях труда. Подробнее можно почитать в материале Лайфхакера о коммерческой тайне. Если вы попытаетесь в NDA запретить разглашение этих сведений, документ легко будет оспорить через суд.

В NDA можно вписать обязательство держать в тайне и другую информацию, которую стороны сочли конфиденциальной, даже если её не охраняют законы. Но только в случае, если нормативные акты этого не запрещают.

Что нужно сделать перед тем, как составлять NDA

Документ будет бесполезным, если не соблюсти всю процедуру введения режима коммерческой тайны в организации. Любая мелочь может привести к тому, что суд не найдёт нарушений конфиденциальности. А потому сначала нужно создать инфраструктуру для заключения соглашения о неразглашении.

Определите, какую информацию будете защищать

Здесь нужно тщательно всё обдумать, чтобы получить конкретный список данных, которые нельзя разглашать. Не стоит отделываться общими формулировками вроде «всё, что станет известно в процессе работы» — суд подобным не удовлетворится . Вам нужна конкретика вроде такой:

  • информация о производственных возможностях предприятия;
  • данные о резервах сырья;
  • планы развития предприятия;
  • планы закупок и продаж.

Впоследствии результаты размышлений должны быть оформлены в перечень сведений, составляющих коммерческую тайну.

Установите порядок обращения с конфиденциальными данными

Чтобы привлечь за нарушение каких‑то правил, эти правила надо ввести. Вам нужно определить, как будет передаваться секретная информация, где её хранить, на каких условиях её можно передавать третьим лицам и так далее. Всё это надо оформить в соответствующий документ, а его утвердить приказом или распоряжением.

Вот для примера распоряжение губернатора Ярославской области об утверждении Инструкции о порядке обращения с информацией, составляющей коммерческую тайну, и условиях её хранения — с текстом самой инструкции.

Организуйте учёт лиц, допущенных к коммерческой тайне

Представьте журнал вахтёра. Сотрудник берёт ключ, пишет свои данные и время в специальной книге, ставит подпись. Сдаёт ключ — делает то же самое. Аналогично работает учёт лиц, допущенных к конфиденциальной информации. Правда, взять и сдать можно только документы на материальных носителях. Для электронных версий достаточно указать дату получения доступа.

Используйте гриф «Коммерческая тайна»

Он должен содержать собственно эту надпись, а также реквизиты владельца конфиденциальной информации. Для юридических лиц это полное наименование и место нахождения. Для ИП — фамилия, имя, отчество, место жительства.

Гриф необходимо нанести на материальные носители секретных данных: документы, диски и так далее.

Составьте расписку

Вообще всё, что связано с коммерческой тайной, можно прописать в трудовом договоре или договоре ГПХ. Но можно составить и NDA. Как это сделать, поговорим чуть позже.

Пока же важно знать, что сотрудник должен подписать не только документ, в котором он обязуется хранить корпоративные секреты.

Понадобится также расписка, что человек ознакомлен с положением о коммерческой тайне и другими связанными с ней документами.

Издайте приказ о введении в компании режима коммерческой тайны

В нём вы легитимируете всё, что делали до этого. Приказ может выглядеть примерно так:

В целях установления в *название компании* коммерческой тайны приказываю:

  1. Утвердить Положение о коммерческой тайне *компании*.
  2. Ознакомить с Положением всех сотрудников *компании* в срок до *дата*.

  3. Утвердить форму учёта сотрудников, получивших доступ к коммерческой тайне.
  4. Утвердить форму соглашения о неразглашении коммерческой тайны.

  5. Принять к исполнению Положение и руководствоваться им начиная с даты настоящего Приказа.

Приложения:

  • Положение о коммерческой тайне.
  • Форма соглашения о неразглашении коммерческой тайны.
  • Форма учёта сотрудников, получивших доступ к коммерческой тайне.

Как составить NDA

У соглашения о неразглашении нет жёсткой формы. Вот что стоит в нём учесть:

  • Определите владельца конфиденциальных данных. Договор заключается от его имени.
  • Укажите стороны, которые подписывают NDA, и определите порядок, как конфиденциальные данные передаются третьим лицам. Например, договор заключается с компанией в лице её гендиректора. Но информация попадёт к сотрудникам, которые будут с ней работать. Поэтому одним из обязательств может быть «довести до сведения всех лиц, имеющих доступ к конфиденциальным данным, положения настоящего соглашения».
  • Пропишите, что подразумевается под разглашением информации. Это может быть использование в корыстных целях, передача третьим лицам и так далее.
  • Отметьте, какие данные, не относящиеся к коммерческой тайне, в рамках соглашения считаются конфиденциальными.
  • Укажите, что получатель информации обязан предпринимать все усилия для её защиты.
  • Определите способы передачи конфиденциальных сведений: на материальных носителях, через мессенджер, почтовыми голубями.
  • Установите срок действия NDA. Даже если вы перестанете сотрудничать, данные останутся конфиденциальными в течение этого периода.
  • Определите санкции за нарушение договора о неразглашении. Лучше прописать фиксированный штраф, чем обязанность возместить ущерб. Доказать последний будет сложно, для этого нужны веские основания. Например, от вас после распространения информации ушёл клиент. Но «после» не значит «вследствие». Чтобы доказать ущерб, нужно получить от клиента признание, что он сделал так из‑за слитых данных. А для выплаты фиксированного штрафа достаточно самого факта распространения информации.

В итоге соглашение о неразглашении может выглядеть, например, так или так.

Что запомнить

  • NDA — соглашение о неразглашении. Им можно защитить данные, которые вы хотите держать в секрете от третьих лиц.
  • В основном NDA ориентировано на сохранение коммерческой тайны. Но можно защитить им и другие сведения, которые не запрещено скрывать по закону.
  • Чтобы документ, который обязывает хранить коммерческую тайну, имел силу, нужно правильно ввести в компании соответствующий режим в рамках закона. Иначе любое наказание можно будет легко оспорить через суд.
  • Лучше назначить фиксированный штраф за разглашение секретных данных, чем возмещение ущерба.

Источник: https://Lifehacker.ru/soglashenie-nda/

Личная жизнь в cети: как сохранить конфиденциальность данных пользователя без риска утечки информации — Личный опыт на vc.ru

Сохранение конфиденциальной информации

Как СЕО VeePN, сервиса для онлайн-защиты конфиденциальности, делюсь в материале лайфхаками по технике безопасности в интернете и сохранности личных данных.

Мы существуем одновременно в нескольких измерениях. Нет, это не синопсис «Аватара», а жизнь как она есть. VR/AR, AI, machine learning — все это развивается в геометрической прогрессии, стирая грань между реальным и виртуальным мирами.

Сегодня мы проводим много времени в интернете, многим пришлось перевести в онлайн и работу. Для выполнения разного рода задач мы делимся с интернетом своими личными данными, а взамен получаем сервисы, «заточенные» под нас.

Они знают, что мы любим, не любим, где находимся, что читаем, покупаем, носим, едим, сколько шагов проходим, сколько часов спим и как у нас обстоят дела со здоровьем.

Другими словами, пользователи — открытая книга. Личные данные представляют ценность как для нас, законопослушных людей, так и для хакеров. Конфиденциальную информацию можно украсть и неплохо на ней заработать. Рабочих схем много, злоумышленники непрерывно трудятся над новыми сценариями. Изоляция «оголила» наши слабые места, сделала более уязвимыми. А этим можно воспользоваться.

Возникает вопрос: есть ли личная жизнь в интернете? Да, есть. Расскажу как ее защитить.

Для начала нужно иметь четкое понимание, что относится к личным данным. Ваша конфиденциальная информация — это все, что может быть связано с вами как физическим лицом, и включает в себя:

❏ Адрес (текущий и предыдущий)

❏ Адрес электронной почты

❏ Данные о здоровье, включая сканы, рентгены, результаты анализов, диагнозы

❏ Удостоверения личности: паспорт, водительские права

❏ Банковские реквизиты и другие финансовые детали

❏ Информация о ваших политических или религиозных взглядах.

Что делают киберпреступники с нашими данными:

❏ Продают для мошеннического оформления кредита

❏ Создают фейковые аккаунты

❏ Осуществляют незаконные платежи

❏ Шантажируют и вымогают деньги

❏ Задействуют для фишинговых атак.

Другими словами, речь не только о финансовом уроне. Все может дойти до невосполнимого ущерба репутации и уголовных дел. Важно понимать всю ответственность, которая лежит на нас, как пользователях: кибербезопасность только в наших руках. И в наших силах защитить себя от кражи данных. Пройдемся по чек-листу.

Конечно, лучший вариант — уникальный код для каждого сайта и приложения. Если хакер украл один пароль, он не имеет доступа к остальным учетным записям. Разумеется, держать в голове пару десятков паролей сможет не каждый.

Наилучший вариант — найти надежную систему управления паролями. К примеру, есть такие сервисы, как Bitwarden, Lastpass, DashLane или 1Password. Понадобится не больше 15 минут, чтобы начать ими пользоваться — все просто и понятно.

Эти инструменты генерируют сложные, безопасные пароли для каждой учетной записи.

Сохранить тайну браузинга

Находясь в хот-спотах бесплатного Wi-Fi в общественных местах, используйте VPN. Сервис скроет вашу личную информацию в сети, которая ничем не защищена. Убедитесь, что это законный VPN-сервис, за который вы платите и которому вы доверяете. Вернувшись домой, держите ваш интернет-серфинг в секрете: просматривайте страницы в приватном режиме или инкогнито.

Минимизируйте свое присутствие в сети — очистите свои данные и настройки конфиденциальности на сайтах, используемых чаще всего. Многие из них позволяют вам удалять данные через определенное время.

Также вы можете просто выключить устройство, чтобы остановить сбор данных для личных помощников, или отключить файлы cookie. Не регистрируйтесь на сервисах с помощью аккаунтов в соцсетях. Так вы убережете свои данные от третьих лиц.

Рекомендую воспользоваться инструментами DeleteMe, Safe Shepherd и Catalog Choice.

Научиться распознавать фишинг

Если вы получаете фишинговое письмо с прикрепленным вредоносным ПО, вам даже не нужно загружать вложение, чтобы повредить домашнюю сеть. Это происходит даже без вашего согласия. У фишинговых писем множество обличий.

Мошенники могут «приходить» к вам в ящик под видом известных брендов, стриминговых сервисов, любимых интернет-магазинов, заботливых специалистов по кибербезопасности. Они будут предлагать вам бесплатные ваучеры, скидки до 90%, товары и услуги по нереально низкой цене.

Во-первых, не будем забывать, что бесплатный сыр в мышеловке — пословица актуальна во все времена. Я советую углубиться в эту тему, прочесть статьи о фишинге, посмотреть видеоуроки, изучить характерные черты таких писем.

Шифрование электронной почты помогает убедиться, что все, что вы отправляете, попадает в нужные руки. Как и зашифрованные текстовые сообщения, это двухточечная передача — никто, кроме вас и получателя, не сможет видеть письма. Это особенно важно в переписке с бухгалтером или врачом. Здесь вам помогут такие сервисы как Virtru, ProtonMail, Tutanota или Hushmail.

Создать резервные копии данных

Допустим, вы все же стали жертвой мошенников. Вы не сможете вернуть украденные личные данные, если не создали резервную копию. Бэкап важной информации значительно снизит вашу уязвимость. Например, хакер может зашифровать ваши данные и потребовать выкуп для расшифровки. Это не станет большей проблемой, если вы сделали резервную копию неделю назад.

Если вы покупаете и продаете вещи через интернет или сидите на сайтах знакомств, не сообщайте свой личный номер первому встречному. Такие приложения как Burner скрывают ваш настоящий номер и заменяет его другим. Настоятельно рекомендую и здесь изучить матчасть — как работают приложения для скрытия номеров, какие из них самые удобные, в каких случаях они незаменимы.

Отключить уведомления на экране блокировки

На экране блокировки вашего телефона появляется много личной информации в виде уведомлений и сообщений, а ее могут видеть злоумышленники. Есть простой шаг, который не даст этому случиться.

Чтобы отключить уведомления приложений на iOS:

— Настройки > Уведомления

— Выбираем приложение и отключаем настройку «Показать на экране блокировки». Также отключите предварительный просмотр для всех приложений, выбрав «Когда разблокировано» или «Никогда».

— Настройки > Экран блокировки и безопасность > Уведомления.

— Активируем «Скрыть содержимое».

Отключите предварительный просмотр сообщений, чтобы вы могли видеть только имя человека, который вам пишет.

— Настройки > Уведомления > Сообщения

— Деактивируйте «Показать на экране блокировки»

— Сообщения > Настройки > Просмотр сообщений

— Либо отключите предварительный просмотр, либо отключите уведомления.

Мы, как любящие дети и внуки хотим, чтобы наши родные не отставали от жизни. Нам приятно наблюдать, как они осваивают новые технологии, общаются с Siri, вежливо просят Google найти нужную информацию, записывают видео, не подозревая об этом.

Познакомив их с интернетом, мы обязаны обеспечить их защитой, сделать все возможное, чтобы члены семьи не стали жертвами плохих людей. Постоянно мониторьте новости кибербезопасности и передавайте знания мамам, папам, детям — всем, кто пользуется интернетом.

Объясните, почему это важно, к чему приводит беспечность и излишнее доверие. Бдительность — мощная защита вашей личной жизни в сети, особенно сегодня.

Источник: https://vc.ru/life/130088-lichnaya-zhizn-v-ceti-kak-sohranit-konfidencialnost-dannyh-polzovatelya-bez-riska-utechki-informacii

Сохранение конфиденциальности вашей информации

Сохранение конфиденциальной информации

Эксплуатация современного компьютера не похожа на то, что было раньше; компьютеры сейчас более взаимосвязаны, чем когда-либо; интернет-приложения сделали шаг вперед, они стали более интеллектуальными, поэтому разные приложения собирают пользовательскую информацию.

Эта информация собирается и отправляется периодически, небольшими порциями без участия пользователя. Некоторая передаваемая информация может быть конфиденциальной, а некоторая информация может иметь мало отношения к личности пользователя.

Тем не менее, передаваемая информация, хоть ее и немного, все же имеет некоторое значение, и именно поэтому передается.

Сам процесс записи и передачи информации не представляет какой-либо проблемы. Сложности возникают, когда информация используется против пользователя и/или передается серверу через Интернет и хранится ненадежным способом.

Конфиденциальность и содержательность рассматриваемой информации тоже должны приниматься во внимание, однако это не всегда так. Информацией часто делятся маркетинговые группы, что со временем выливается в огромную рекламную сеть или даже хуже, находясь в руках фишеров и прочих злоумышленников.

Существуют различные законы и указы, регулирующие такую передачу данных, а также правила, как нужно хранить и обрабатывать полученные данные.

Компьютерные профессионалы и пользователи должны обращать внимание на этот аспект, так как речь о репутации и нормальной работе пользователей и организаций.

Приложения, Троянский конь

Некоторые проигрыватели медиа следят за тем, какие DVD вы просматриваете, а затем отправляют эту информацию на центральный сервер. Эта информация принимается во внимание и может быть использована для прямого маркетинга.

Некоторые приложения управляют компьютером пользователя и проникают в браузер, перенаправляя трафик на те сайты, на которые пользователь никогда бы не зашел.

Большинство пользователей не знают о таком поведении, и могут только заметить ухудшение производительности системы.

https://www.youtube.com/watch?v=ZGtoqXcPDz4

Некоторые приложения не влияют на работу системы, и их намного сложнее обнаружить из-за незаметности изменений, осуществляемых ими в системе.

Так что же нужно делать с вашими данными? Все данные, созданные пользователем, являются собственностью пользователя.

Личные данные также являются собственностью пользователя, и хранить их необходимо согласно законам о собственности, регулирующим субъекты права, хранящие информацию.

Шифрование данных будет способствовать сохранению конфиденциальности информации

Все данные, которые необходимо держать в тайне, нужно зашифровывать. Это касается и резервных копий и архивных данных. Надежность также требуется при хранении ключей шифров, которые ни в коем случае не должны храниться на том же жестком диске, что и данные.

Антишпионское, Антивирусное и прочее ПО для защиты от вредоносных программ

Набор средств, позволяющих пользователю обнаруживать и контролировать вредоносные программы, был бы очень полезен. Установка приложений из источников, которым вы не доверяете, также может вызвать проблемы.

Вирусы довольно хорошо контролируются современными антивирусными программами, уже много времени прошло с момента последней большой эпидемии, и, по-видимому, производители антивирусных программ уже блокировали большинство точек входа.

Однако появляются другие сильные вредоносные программы, использующие уязвимости, которые пока еще не закрыты производителями антивирусов. В результате становится необходимой большая защита для пользователей и организаций при попытках иметь дело с этим новым сложным кругом вредоносных программ.

Необходимы полномасштабные наборы средств, выявляющих и изолирующих приложения, которые вмешиваются в настройки системы и перенаправляют трафик.

Сейчас происходит замена старых технологий хранения документов и файлов. Из-за этого документы, хранящиеся в компьютере, более содержательны и хранят больше пользовательской информации.

Распространяется все больше приложений, просматривающих систему пользователя в поисках важной информации и ссылок, которые могут быть использованы для прямых маркетинговых целей. Такие приложения потребляют ресурсы компьютера и разглашают конфиденциальную информацию пользователя. Все это надо прекращать.

Единственная возможность для этого — контролировать информацию, приходящую и выходящую из компьютера. Что делает полиция, когда им нужно контролировать входы и выходы из города? Они устанавливают пропускные пункты.

Брандмауэры для пользователей и для корпоративных сетей становятся частью компьютерной жизни.

Пользователи и организации все больше беспокоятся о потенциальных угрозах и уязвимостях, которые вредят пользователю.

Брандмауэры помогают пользователям и организациям отслеживать входящий и исходящий трафик, а также выполняют сложные техники проверки, которые позволяют обнаружить волков в овечьей шкуре.

Анонимный Web-серфинг

Анонимная работа в Интернете предотвращает отслеживание привычек пользователя и его личных данных рекламными и прочими организациями.

Многие сайты проверяют IP адрес и ID браузера пользователя при помощи технологии cookie, что упрощает собирать данные пользователя.

Эти данные затем используются для прямой рекламы и в техниках социальной инженерии, в том случае, если данные собираются злоумышленниками.

Обмен данными и важность шифрования

Шифрование обмена данными между пользователем и сервером является ценной технологией безопасности. Трафик, передаваемый через сеть, вне зависимости от того, является ли сеть публичной или приватной, может быть захвачен и позднее проанализирован.

Находясь в руках злоумышленника, этот трафик может быть использован для восстановления ых передач и передач данных, и складывание этих разрозненных кусочков в единую картину не заставит себя ждать.

Технология, позволяющая автоматизировать этот процесс, доступна любому, кто готов потратить на поиски в Интернете некоторое время. Есть технологии для шпионской деятельности против пользователей.

Менее чем за $100 злоумышленник может скачать такое ПО и использовать его для сбора информации о ничего не подозревающей жертве. Такие приложения нужно держать под контролем, если нужно сохранить в неприкосновенности чью-то собственность.

Беспроводная связь

Не так давно было осуществлено беспроводное сканирование в течение 1 часа в деловом районе города, возле которого я живу. Мы проехали вокруг с беспроводным сканером и просканировали надежные и ненадежные точки доступа.

Это было поверхностное тестирование на шифрование данных, такое как WPA и WEP, а результаты были представлены общественности IT безопасности для комментариев.

Из 1367 найденных точек доступа более половины вообще не использовало шифрование! Некоторые точки доступа имели WEP ключи в качестве публичных, предоставляя их всем желающим.

Простые процедуры вроде изменения пароля по умолчанию беспроводного маршрутизатора, MAC фильтрация и включение шифрования WPA PSK с ключом определенной длины, отпугнули бы простого злоумышленника. Это простые механизмы, добавляющие слои безопасности системе.

19 важных советов по безопасности, которые нужно помнить

  1. Регулярно обновляйте ваши приложения и операционную систему
  2. Делайте резервные копии данных и храните их в зашифрованном состоянии
  3. Зашифровывайте всю важную информацию, а также информацию, передаваемую кому-либо
  4. Убедитесь, у вас установлены и обновлены что антивирусные и антишпионские программы
  5. Регулярно сканируйте систему на предмет поиска вирусов и другого вредоносного ПО
  6. Всегда используйте анонимный доступ к Интернету
  7. Не храните пароли на локальном компьютере
  8. Не разделяйте свои ресурсы со стороной, которой вы не доверяете
  9. Используйте только зашифрованные или безопасные сети для беспроводной связи
  10. Не соединяйтесь с иностранными или неизвестными сетями
  11. Не устанавливайте неизвестное или ненадежное ПО
  12. Убедитесь, что все cookies удалены из истории браузера
  13. Установите и включите персональный брандмауэр
  14. Не разделяйте такие ресурсы как жесткий диск, USB устройства, ноутбуки и компьютеры, так как это дает возможность вмешаться в работу вашего компьютера
  15. Никому не давайте свои пароли
  16. Используйте двухфакторную аутентификацию: то, что у вас есть, то, что вы знаете, то, что вы собой представляете
  17. Обеспечьте свой компьютер техническим контролем, который сделает физический доступ к машине бесполезным для мошенника
  18. Не вводите свою личную информацию в непроверенные источники и сайты, которые могут быть взломаны; если вы не уверены, не отправляйте информацию
  19. Пользуясь беспроводным оборудованием, применяйте шифрование и строгую фильтрацию, так чтобы только авторизованные пользователи могли получить доступ к оборудованию (эта рекомендация относится и к клавиатуре и мыши).

Цифровая связь может быть записана

Чем сложнее зашифрована связь и данные, тем сложнее прочитать передаваемую информацию. Помните, что все созданное в электронном виде может быть записано и копировано. Если передача зашифрована, будут собраны зашифрованные данные, и полезная информация останется конфиденциальной.

Заключение

Новые технологии приносят новые проблемы. Миллионы людей взаимодействуют через Интернет. Часть этого взаимодействия производится с благоразумием при хранении важной и содержательной информации.

Поддержание безопасности наших данных является следующей задачей, с которой сталкиваются пользователи и организации, так как множество злонамеренных и спекулятивных компаний пытаются украсть и злоупотребить пользовательской информацией, которая находится в свободном доступе. Если вы не следите за своей электронной личностью, этим займутся другие.

Источник: winsecurity.ru

Источник: https://www.windxp.com.ru/pubsec.htm

Организация защиты конфиденциальной информации

Сохранение конфиденциальной информации

Защите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов.

Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам.

Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.

Информационная безопасность и ее особенности

Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.

Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов.

 Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.

Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.

К косвенным относят:

  • потерю или кражу устройств – носителей информации;
  • неправильную утилизацию данных, подлежащих уничтожению;
  • дистанционное прослушивание или фотографирование документов с секретной информацией;
  • радиоперехват сообщений.

Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.

Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства. 

Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.

Как обеспечивается безопасность 

Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:

1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.

2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3.

 Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4.

 Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.

Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.

Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты.

При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия.

Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.

Элементы информационной безопасности

Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий. 

Правовые действия

Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом. 

Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.

Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.

Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.

Организационные меры 

Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:

  • Создание службы безопасности. Назначение конкретного лица, ответственного за выдачу материалов сотрудникам, пользующимся конфиденциальной информацией. Обеспечение охранных служб необходимыми программами защиты информации;
  • Составление списка особо важных бумажных и электронных документов, а также перечня материалов с ценной информацией;
  • Введение разрешительной системы допуска сотрудников к материалам разной степени секретности, осуществление контрольных проверок обращения с засекреченной информацией;
  • Разработка методик отбора персонала для работы с секретами, знакомство работников с инструкциями по использованию и защите секретной информации;
  • Предупреждение возможности случайного или умышленного нарушения сотрудниками установленного порядка работы с конфиденциальной информацией;
  • Разработка системы защиты важных сведений во время проведения совещаний, мероприятий по обмену информацией с представителями другой организации, встреч со СМИ и т. д.;
  • Проверка помещений, предназначенных для работы, требующей обмена секретной информацией, проведение лицензирования средств, обеспечивающих конфиденциальность, сертификация средств обработки конфиденциальных данных;
  • Введение пропускного режима, внедрение методик идентификации сотрудников и посетителей. Обеспечение охраны территории, оборудования и персонала, владеющего ценной информацией;
  • Создание инструкций по защите секретных материалов при возникновении экстремальных ситуаций;
  • Организация эффективной защиты компьютеров, локальных сетей, а также управление всей системой информационной безопасности и оценка эффективности принятых мер.

Инженерно-технические мероприятия

Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.

К инженерно-техническим мерам безопасности относятся:

  • Установка ограждений, решеток, стальных дверей с кодовыми замками, а также использование идентификационных карт, оборудование сейфов;
  • Устройство сигнализации (в том числе противопожарной). Установка электронных средств оповещения о проникновении на объект посторонних лиц и попытке завладения секретной информацией;
  • Применение аппаратуры для обнаружения подслушивающих устройств, скрытых видеокамер и других разведывательных приспособлений;
  • Установка приспособлений, обеспечивающих защиту важных документов и материалов при попытке их выноса за территорию предприятия;
  • Использование программно-аппаратных способов защиты информации, хранящейся в компьютерах и других электронных устройствах. При этом используются программы идентификации, аутентификации, аудита и специальные методики передачи информации (туннелирование, шифрование). Программы позволяют входить в информационную систему только тем сотрудникам, которые владеют специальными кодами и паролями. Проводится биометрическая идентификация. Фиксируется время входа в систему и пользования секретной информацией. В случае обнаружения несанкционированного проникновения в информационную систему программа автоматически перекрывает доступ к материалам.

Криптографические приемы

Производится разработка секретных кодов и паролей доступа в информационную систему предприятий, имеющих дело с особо ценной информацией. При передаче сведений используется специальный криптографический ключ. Он представляет собой последовательность символов, которые используются для шифрования и расшифровки цифровых подписей, тайных сообщений и кодов.

Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия. 

Пример

Лицо А по интернет-переписке общается с лицом Б. При этом Б должен быть уверен, что сообщения с интересующей его информацией приходят именно от А. Они договариваются о секретном пароле – слове, которое должно содержаться в тексте сообщения. Посторонний человек не знает о договоренности, поэтому его сообщениям Б не доверяет.

При обмене служебной информацией пароль для входа в информационную систему передается с помощью специальных криптографических методов и программ. Такая методика может быть использована также при сообщении сведений по телефону или радио.

К криптографическим мерам обеспечения информационной безопасности относятся также:

  • Создание идентификационных магнитных карт или устройств биометрической идентификации сотрудников, имеющих разрешение на знакомство с секретной информацией;
  • Разработка методик подтверждения подлинности идентификационных данных (аутентификации) посредством использования пин-кодов, смарт-карт, личных цифровых подписей;
  • Внедрение методов экранирования сообщений. Из всего объема засекреченной информации работникам предоставляется доступ только к определенным сведениям, а остальные «экранируются»;
  • Разработка системы ограничения посещаемости помещений, в которых находятся документы с секретной информацией.  Устанавливаются кодовые замки, используются личные магнитные карты.

Выбор методик 

Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.

В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации.

Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией.

Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.

В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.

В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ. 

Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.

Порядок обеспечения информационной безопасности

При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:

  1. Составляется перечень коммерческих тайн и сведений, не подлежащих разглашению. При этом учитывается необходимость проведения охранных мероприятий в смежной организации, имеющей доступ к подобным сведениям;
  2. Разрабатываются способы хранения информации (использование электронных носителей, бумажных документов, технических средств обработки). Выделяются помещения и оборудование для хранения документов с ценной информацией, составляется список ответственных лиц;
  3. Проверяется эффективность принятых мер.

***

Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств.

Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях.

 Важно постоянно анализировать эффективность информационной защиты и совершенствовать  методику ее проведения. 

27.03.2020

Источник: https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/organizatsiya-zaschity-konfidentsialnoj-informatsii/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.