SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Конфиденциальная информация

Конфиденциальная информация
11.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

В повседневной жизни и в работе, связанной с информационными технологиями, часто можно встретить использование термина конфиденциальная информация. При этом зачастую точное определение конфиденциальной информации затрудняются дать даже ИТ-специалисты. В этой статье мы выясним, что такое конфиденциальная информация, как она определяется и что к ней относится.


Итак, для того чтобы понять, что такое конфиденциальная информация, необходимо обратиться к ключевому нормативно-правовому акту, содержащему основные определения и перечисляющему типы информации - к Федеральному Закону №149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации». Данный документ содержит в себе основные понятия и термины, которые используются во всех официальных документах, касающихся информационных технологий и защиты информации. В частности, в нем дано определение конфиденциальности информации как требования не передавать определенную информацию третьим лицам без согласия ее обладателя, при этом данное требование является обязательным для получивших доступ к такой информации. Таким образом, по смыслу законодательного определения, конфиденциальная информация - это та, владелец которой установил в отношении неё обязательное требование по неразглашению (без согласия владельца) для всех лиц, получивших к ней доступ.


В Федеральном Законе №149 дано определение информации как сведений (сообщений, данных) независимо от формы их представления, а обладателю информации дано определение как лицу, которое самостоятельно создало информацию либо получило право разрешать или ограничивать доступ к информации на основании закона или договора. В 149-ФЗ также указано, что в зависимости от категории доступа информация подразделяется на общедоступную информацию и на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. Также в законе подчеркивается, что для информации, доступ к которой ограничен федеральными законами, соблюдение её конфиденциальности является обязательным. Например, персональные данные классифицируются как информация ограниченного доступа, поскольку доступ к такой информации ограничен Федеральным Законом №152 от 27.07.2006 «О персональных данных»; соответственно, соблюдение конфиденциальности персональных данных является обязательным, а государство устанавливает обязательные нормы и правила их обработки. Аналогичная ситуация и с многими другими типами информации, отнесенных к категории ограниченного доступа теми или иными Федеральными Законами: в настоящий момент в РФ насчитывается 122 вида сведений, относящихся к категории ограниченного доступа, в том числе:

  • Государственная тайна

  • Коммерческая тайна

  • Персональные данные

  • Налоговая тайна

  • Банковская тайна

  • Врачебная тайна

  • Нотариальная тайна

  • Адвокатская тайна

  • Аудиторская тайна

  • Тайна страхования

  • Тайна ломбарда

  • Тайна связи

  • Тайна завещания

  • Тайна усыновления

  • Тайна исповеди

  • Тайна следствия

  • Тайна совещания судей

  • и т,д.

 

Кроме того, существует Указ Президента РФ №188 от 06.03.1997 «Об утверждении Перечня сведений конфиденциального характера», последняя редакция которого была утверждена в 2015 году. В соответствии с данным Указом, определен перечень сведений конфиденциального характера, состоящий из 7 пунктов:

  • Персональные данные;

  • Тайна следствия и судопроизводства, а также сведения о лицах, которые находятся под государственной защитой;

  • Служебная тайна;

  • Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с законодательством;

  • Коммерческая тайна;

  • Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;

  • Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными.


Таким образом, если компания подпадает под действие федерального законодательства о защите того или иного типа информации, то выполнение требований конфиденциальности информации продиктовано обязательными законодательными требованиями - это характерно для персональных данных, банковской тайны, врачебной тайны и т.д., в зависимости от сферы деятельности конкретной организации. Однако у любой компании есть законодательно предусмотренная возможность защищать свои интересы для обеспечения конфиденциальности информации - это можно реализовать, введя в компании режим коммерческой тайны в соответствии с требованиями 98-ФЗ «О коммерческой тайне» и сформировав список сведений, составляющих коммерческую тайну в компании.


На практике обеспечение конфиденциальности информации означает выполнение организационных, технических, физических мероприятий по обеспечению защиты информации от несанкционированного доступа к ней. Несанкционированный доступ (сокр. НСД) - это доступ субъекта (пользователя, сервиса, программы) к объекту (документу, файлу, записи в базе данных) в нарушение установленных в информационной системе правил разграничения доступа. Напомним определение, приведенное в предыдущей статье: конфиденциальность информации - это состояние информации, при котором доступ к ней имеют только те, кто обладает на это правами. Таким образом, обеспечение конфиденциальности информации означает пресечение несанкционированного доступа к ней, что на практике реализуется формированием и установкой правил разграничения доступа к данным. Для защиты конфиденциальной информации могут быть реализованы дискреционная, мандатная, ролевая модели доступа, цель которых - формирование списка субъектов доступа с указанием их прав на доступ к тем или иным данным (т.е. к объектам доступа). Пример: к файлу «Клиенты.xlsx» на сетевой папке полный (административный) доступ имеет только ИТ-администратор, доступ на чтение и изменение - руководитель отдела продаж, а на чтение - все сотрудники этого отдела. При реализации мероприятий по защите конфиденциальной информации принципиальное значение имеет соблюдение принципа минимизации полномочий, предоставление доступа только при наличии служебной необходимости и с согласования руководителя субъекта, а также гранулированное разделение прав доступа пользователей к разным данным. Принцип минимизации полномочий подразумевает предоставление пользователю только такого ограниченного набора прав доступа, которые нужны ему для выполнения своих служебных обязанностей: например, рядовому сотруднику отдела продаж не нужны права на изменение списка клиентов или на удаление файлов на сетевой папке, поэтому будет корректно дать ему права только на чтение соответствующих файлов. Гранулированное разделение прав доступа особенно целесообразно применять в случае разветвленных иерархических структур в компании. Пример: когда компания работает только в одном городе и в отделе продаж всего 2-3 сотрудника, которые занимаются всеми клиентами сразу, то в таком случае всем работникам отдела можно дать одинаковые права на чтение файла со списком клиентов. Однако, если компания является крупным федеральным ретейлером и работает по всей территории страны, то в ней, скорее всего, будет целый департамент продаж, разделенный на дивизионы по различным федеральным округам, в каждом из которых будут отдельные менеджеры по продажам. В последнем случае корректно будет разделить список клиентов по федеральным округам и предоставить сотрудникам доступ только к тем записям, которые относятся к их зоне ответственности (их дивизиону). В приведенном примере давать всем сотрудникам департамента продаж доступ на чтение данных всех клиентов - это прямой путь к возможной утечке информации.


Как мы уже подчеркивали, мероприятия по обеспечению конфиденциальности информации могут быть организационными, техническими, физическими. В приведенном примере с отделом продаж организационными мерами защиты конфиденциальной информации (в примере - данные клиентов) будут введение и поддержание в компании режима коммерческой тайны, разделение зон ответственности менеджеров по продажам по различным регионам (в результате чего, например, замещение одного менеджера другим будет возможно только в переделах одного дивизиона), а также формирование и ознакомление всех сотрудников под роспись с набором внутренних нормативных документов (сокр. ВНД), в которых будет прописаны правила обработки конфиденциальной информации и ответственность за их нарушение. Техническими мероприятиями по обеспечению конфиденциальности информации будут формирование групп доступа в корпоративной службе каталогов (например, в Active Directory), назначение прав доступа для папок с клиентскими данными на сетевых ресурсах, настройка разграничения прав доступа в используемой в компании CRM-системе, а также внедрение системы защиты от утечек данных (DLP-системы, от англ. Data Leak Prevention, предотвращение утечек данных). Мероприятиями физической защиты конфиденциальной информации будут, например, настройка системы СКУД (система контроля и управления доступом) для исключения доступа посторонних лиц в помещения, где обрабатывается конфиденциальная информация, настройка видеонаблюдения для контроля происходящего в кабинетах (в том числе, на рабочих местах сотрудников), а также контроль работы с бумажными носителями информации - например, часто встречается ситуация, когда после рабочих встреч в переговорных комнатах остаются распечатки конфиденциальных документов, которые не уничтожают в шредере или не уносят с собой присутствовавшие на встрече.


Еще одна немаловажная задача - обеспечение безопасности конфиденциальной информации при обмене данными с контрагентами (поставщиками, подрядчиками, аутсорсерами, партнерами): важно не только юридически грамотно составить соглашение об обеспечении конфиденциальности, предусмотреть ответственность за нарушение конфиденциальности информации и соблюсти требования законодательства по защите коммерческой тайны, но и выполнить проверку состояния системы управления информационной безопасностью в компании-контрагенте. На практике часто случается, что компания-контрагент готова подписать любые документы о защищенном обмене и обработке конфиденциальной информации, но при этом не обеспечивает адекватной защиты полученных сведений, что может в конечном итоге привести к несанкционированному доступу и возможной утечке информации.

Управление ИБ Практика ИБ DLP ИБ для начинающих Защита персональных данных (ИСПДН) Подкасты ИБ

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Принципы информационной безопасности
Принципы информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Принципы информационной безопасности
Принципы информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сертификация ФСТЭК
Сертификация ФСТЭК
Динамические плейбуки
Динамические плейбуки
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сертификация ФСТЭК
Сертификация ФСТЭК
Динамические плейбуки
Динамические плейбуки
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре