SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Конфиденциальная информация

Конфиденциальная информация
11.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

В повседневной жизни и в работе, связанной с информационными технологиями, часто можно встретить использование термина конфиденциальная информация. При этом зачастую точное определение конфиденциальной информации затрудняются дать даже ИТ-специалисты. В этой статье мы выясним, что такое конфиденциальная информация, как она определяется и что к ней относится.


Итак, для того чтобы понять, что такое конфиденциальная информация, необходимо обратиться к ключевому нормативно-правовому акту, содержащему основные определения и перечисляющему типы информации - к Федеральному Закону №149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации». Данный документ содержит в себе основные понятия и термины, которые используются во всех официальных документах, касающихся информационных технологий и защиты информации. В частности, в нем дано определение конфиденциальности информации как требования не передавать определенную информацию третьим лицам без согласия ее обладателя, при этом данное требование является обязательным для получивших доступ к такой информации. Таким образом, по смыслу законодательного определения, конфиденциальная информация - это та, владелец которой установил в отношении неё обязательное требование по неразглашению (без согласия владельца) для всех лиц, получивших к ней доступ.


В Федеральном Законе №149 дано определение информации как сведений (сообщений, данных) независимо от формы их представления, а обладателю информации дано определение как лицу, которое самостоятельно создало информацию либо получило право разрешать или ограничивать доступ к информации на основании закона или договора. В 149-ФЗ также указано, что в зависимости от категории доступа информация подразделяется на общедоступную информацию и на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. Также в законе подчеркивается, что для информации, доступ к которой ограничен федеральными законами, соблюдение её конфиденциальности является обязательным. Например, персональные данные классифицируются как информация ограниченного доступа, поскольку доступ к такой информации ограничен Федеральным Законом №152 от 27.07.2006 «О персональных данных»; соответственно, соблюдение конфиденциальности персональных данных является обязательным, а государство устанавливает обязательные нормы и правила их обработки. Аналогичная ситуация и с многими другими типами информации, отнесенных к категории ограниченного доступа теми или иными Федеральными Законами: в настоящий момент в РФ насчитывается 122 вида сведений, относящихся к категории ограниченного доступа, в том числе:

  • Государственная тайна

  • Коммерческая тайна

  • Персональные данные

  • Налоговая тайна

  • Банковская тайна

  • Врачебная тайна

  • Нотариальная тайна

  • Адвокатская тайна

  • Аудиторская тайна

  • Тайна страхования

  • Тайна ломбарда

  • Тайна связи

  • Тайна завещания

  • Тайна усыновления

  • Тайна исповеди

  • Тайна следствия

  • Тайна совещания судей

  • и т,д.

 

Кроме того, существует Указ Президента РФ №188 от 06.03.1997 «Об утверждении Перечня сведений конфиденциального характера», последняя редакция которого была утверждена в 2015 году. В соответствии с данным Указом, определен перечень сведений конфиденциального характера, состоящий из 7 пунктов:

  • Персональные данные;

  • Тайна следствия и судопроизводства, а также сведения о лицах, которые находятся под государственной защитой;

  • Служебная тайна;

  • Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с законодательством;

  • Коммерческая тайна;

  • Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;

  • Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными.


Таким образом, если компания подпадает под действие федерального законодательства о защите того или иного типа информации, то выполнение требований конфиденциальности информации продиктовано обязательными законодательными требованиями - это характерно для персональных данных, банковской тайны, врачебной тайны и т.д., в зависимости от сферы деятельности конкретной организации. Однако у любой компании есть законодательно предусмотренная возможность защищать свои интересы для обеспечения конфиденциальности информации - это можно реализовать, введя в компании режим коммерческой тайны в соответствии с требованиями 98-ФЗ «О коммерческой тайне» и сформировав список сведений, составляющих коммерческую тайну в компании.


На практике обеспечение конфиденциальности информации означает выполнение организационных, технических, физических мероприятий по обеспечению защиты информации от несанкционированного доступа к ней. Несанкционированный доступ (сокр. НСД) - это доступ субъекта (пользователя, сервиса, программы) к объекту (документу, файлу, записи в базе данных) в нарушение установленных в информационной системе правил разграничения доступа. Напомним определение, приведенное в предыдущей статье: конфиденциальность информации - это состояние информации, при котором доступ к ней имеют только те, кто обладает на это правами. Таким образом, обеспечение конфиденциальности информации означает пресечение несанкционированного доступа к ней, что на практике реализуется формированием и установкой правил разграничения доступа к данным. Для защиты конфиденциальной информации могут быть реализованы дискреционная, мандатная, ролевая модели доступа, цель которых - формирование списка субъектов доступа с указанием их прав на доступ к тем или иным данным (т.е. к объектам доступа). Пример: к файлу «Клиенты.xlsx» на сетевой папке полный (административный) доступ имеет только ИТ-администратор, доступ на чтение и изменение - руководитель отдела продаж, а на чтение - все сотрудники этого отдела. При реализации мероприятий по защите конфиденциальной информации принципиальное значение имеет соблюдение принципа минимизации полномочий, предоставление доступа только при наличии служебной необходимости и с согласования руководителя субъекта, а также гранулированное разделение прав доступа пользователей к разным данным. Принцип минимизации полномочий подразумевает предоставление пользователю только такого ограниченного набора прав доступа, которые нужны ему для выполнения своих служебных обязанностей: например, рядовому сотруднику отдела продаж не нужны права на изменение списка клиентов или на удаление файлов на сетевой папке, поэтому будет корректно дать ему права только на чтение соответствующих файлов. Гранулированное разделение прав доступа особенно целесообразно применять в случае разветвленных иерархических структур в компании. Пример: когда компания работает только в одном городе и в отделе продаж всего 2-3 сотрудника, которые занимаются всеми клиентами сразу, то в таком случае всем работникам отдела можно дать одинаковые права на чтение файла со списком клиентов. Однако, если компания является крупным федеральным ретейлером и работает по всей территории страны, то в ней, скорее всего, будет целый департамент продаж, разделенный на дивизионы по различным федеральным округам, в каждом из которых будут отдельные менеджеры по продажам. В последнем случае корректно будет разделить список клиентов по федеральным округам и предоставить сотрудникам доступ только к тем записям, которые относятся к их зоне ответственности (их дивизиону). В приведенном примере давать всем сотрудникам департамента продаж доступ на чтение данных всех клиентов - это прямой путь к возможной утечке информации.


Как мы уже подчеркивали, мероприятия по обеспечению конфиденциальности информации могут быть организационными, техническими, физическими. В приведенном примере с отделом продаж организационными мерами защиты конфиденциальной информации (в примере - данные клиентов) будут введение и поддержание в компании режима коммерческой тайны, разделение зон ответственности менеджеров по продажам по различным регионам (в результате чего, например, замещение одного менеджера другим будет возможно только в переделах одного дивизиона), а также формирование и ознакомление всех сотрудников под роспись с набором внутренних нормативных документов (сокр. ВНД), в которых будет прописаны правила обработки конфиденциальной информации и ответственность за их нарушение. Техническими мероприятиями по обеспечению конфиденциальности информации будут формирование групп доступа в корпоративной службе каталогов (например, в Active Directory), назначение прав доступа для папок с клиентскими данными на сетевых ресурсах, настройка разграничения прав доступа в используемой в компании CRM-системе, а также внедрение системы защиты от утечек данных (DLP-системы, от англ. Data Leak Prevention, предотвращение утечек данных). Мероприятиями физической защиты конфиденциальной информации будут, например, настройка системы СКУД (система контроля и управления доступом) для исключения доступа посторонних лиц в помещения, где обрабатывается конфиденциальная информация, настройка видеонаблюдения для контроля происходящего в кабинетах (в том числе, на рабочих местах сотрудников), а также контроль работы с бумажными носителями информации - например, часто встречается ситуация, когда после рабочих встреч в переговорных комнатах остаются распечатки конфиденциальных документов, которые не уничтожают в шредере или не уносят с собой присутствовавшие на встрече.


Еще одна немаловажная задача - обеспечение безопасности конфиденциальной информации при обмене данными с контрагентами (поставщиками, подрядчиками, аутсорсерами, партнерами): важно не только юридически грамотно составить соглашение об обеспечении конфиденциальности, предусмотреть ответственность за нарушение конфиденциальности информации и соблюсти требования законодательства по защите коммерческой тайны, но и выполнить проверку состояния системы управления информационной безопасностью в компании-контрагенте. На практике часто случается, что компания-контрагент готова подписать любые документы о защищенном обмене и обработке конфиденциальной информации, но при этом не обеспечивает адекватной защиты полученных сведений, что может в конечном итоге привести к несанкционированному доступу и возможной утечке информации.

Управление ИБ Практика ИБ DLP ИБ для начинающих Защита персональных данных (ИСПДН) Подкасты ИБ

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Конфиденциальная информация
Конфиденциальная информация
SOAR-системы
SOAR-системы
Геймификация SOC
Геймификация SOC
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Конфиденциальная информация
Конфиденциальная информация
SOAR-системы
SOAR-системы
Геймификация SOC
Геймификация SOC
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1

Похожие статьи

Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"

Похожие статьи

Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"