| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В повседневной жизни и в работе, связанной с информационными технологиями, часто можно встретить использование термина конфиденциальная информация. При этом зачастую точное определение конфиденциальной информации затрудняются дать даже ИТ-специалисты. В этой статье мы выясним, что такое конфиденциальная информация, как она определяется и что к ней относится.
Итак, для того чтобы понять, что такое конфиденциальная информация, необходимо обратиться к ключевому нормативно-правовому акту, содержащему основные определения и перечисляющему типы информации - к Федеральному Закону №149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации». Данный документ содержит в себе основные понятия и термины, которые используются во всех официальных документах, касающихся информационных технологий и защиты информации. В частности, в нем дано определение конфиденциальности информации как требования не передавать определенную информацию третьим лицам без согласия ее обладателя, при этом данное требование является обязательным для получивших доступ к такой информации. Таким образом, по смыслу законодательного определения, конфиденциальная информация - это та, владелец которой установил в отношении неё обязательное требование по неразглашению (без согласия владельца) для всех лиц, получивших к ней доступ.
В Федеральном Законе №149 дано определение информации как сведений (сообщений, данных) независимо от формы их представления, а обладателю информации дано определение как лицу, которое самостоятельно создало информацию либо получило право разрешать или ограничивать доступ к информации на основании закона или договора. В 149-ФЗ также указано, что в зависимости от категории доступа информация подразделяется на общедоступную информацию и на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. Также в законе подчеркивается, что для информации, доступ к которой ограничен федеральными законами, соблюдение её конфиденциальности является обязательным. Например, персональные данные классифицируются как информация ограниченного доступа, поскольку доступ к такой информации ограничен Федеральным Законом №152 от 27.07.2006 «О персональных данных»; соответственно, соблюдение конфиденциальности персональных данных является обязательным, а государство устанавливает обязательные нормы и правила их обработки. Аналогичная ситуация и с многими другими типами информации, отнесенных к категории ограниченного доступа теми или иными Федеральными Законами: в настоящий момент в РФ насчитывается 122 вида сведений, относящихся к категории ограниченного доступа, в том числе:
-
Государственная тайна
-
Коммерческая тайна
-
Персональные данные
-
Налоговая тайна
-
Банковская тайна
-
Врачебная тайна
-
Нотариальная тайна
-
Адвокатская тайна
-
Аудиторская тайна
-
Тайна страхования
-
Тайна ломбарда
-
Тайна связи
-
Тайна завещания
-
Тайна усыновления
-
Тайна исповеди
-
Тайна следствия
-
Тайна совещания судей
-
и т,д.
Кроме того, существует Указ Президента РФ №188 от 06.03.1997 «Об утверждении Перечня сведений конфиденциального характера», последняя редакция которого была утверждена в 2015 году. В соответствии с данным Указом, определен перечень сведений конфиденциального характера, состоящий из 7 пунктов:
-
Персональные данные;
-
Тайна следствия и судопроизводства, а также сведения о лицах, которые находятся под государственной защитой;
-
Служебная тайна;
-
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с законодательством;
-
Коммерческая тайна;
-
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
-
Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными.
Таким образом, если компания подпадает под действие федерального законодательства о защите того или иного типа информации, то выполнение требований конфиденциальности информации продиктовано обязательными законодательными требованиями - это характерно для персональных данных, банковской тайны, врачебной тайны и т.д., в зависимости от сферы деятельности конкретной организации. Однако у любой компании есть законодательно предусмотренная возможность защищать свои интересы для обеспечения конфиденциальности информации - это можно реализовать, введя в компании режим коммерческой тайны в соответствии с требованиями 98-ФЗ «О коммерческой тайне» и сформировав список сведений, составляющих коммерческую тайну в компании.
На практике обеспечение конфиденциальности информации означает выполнение организационных, технических, физических мероприятий по обеспечению защиты информации от несанкционированного доступа к ней. Несанкционированный доступ (сокр. НСД) - это доступ субъекта (пользователя, сервиса, программы) к объекту (документу, файлу, записи в базе данных) в нарушение установленных в информационной системе правил разграничения доступа. Напомним определение, приведенное в предыдущей статье: конфиденциальность информации - это состояние информации, при котором доступ к ней имеют только те, кто обладает на это правами. Таким образом, обеспечение конфиденциальности информации означает пресечение несанкционированного доступа к ней, что на практике реализуется формированием и установкой правил разграничения доступа к данным. Для защиты конфиденциальной информации могут быть реализованы дискреционная, мандатная, ролевая модели доступа, цель которых - формирование списка субъектов доступа с указанием их прав на доступ к тем или иным данным (т.е. к объектам доступа). Пример: к файлу «Клиенты.xlsx» на сетевой папке полный (административный) доступ имеет только ИТ-администратор, доступ на чтение и изменение - руководитель отдела продаж, а на чтение - все сотрудники этого отдела. При реализации мероприятий по защите конфиденциальной информации принципиальное значение имеет соблюдение принципа минимизации полномочий, предоставление доступа только при наличии служебной необходимости и с согласования руководителя субъекта, а также гранулированное разделение прав доступа пользователей к разным данным. Принцип минимизации полномочий подразумевает предоставление пользователю только такого ограниченного набора прав доступа, которые нужны ему для выполнения своих служебных обязанностей: например, рядовому сотруднику отдела продаж не нужны права на изменение списка клиентов или на удаление файлов на сетевой папке, поэтому будет корректно дать ему права только на чтение соответствующих файлов. Гранулированное разделение прав доступа особенно целесообразно применять в случае разветвленных иерархических структур в компании. Пример: когда компания работает только в одном городе и в отделе продаж всего 2-3 сотрудника, которые занимаются всеми клиентами сразу, то в таком случае всем работникам отдела можно дать одинаковые права на чтение файла со списком клиентов. Однако, если компания является крупным федеральным ретейлером и работает по всей территории страны, то в ней, скорее всего, будет целый департамент продаж, разделенный на дивизионы по различным федеральным округам, в каждом из которых будут отдельные менеджеры по продажам. В последнем случае корректно будет разделить список клиентов по федеральным округам и предоставить сотрудникам доступ только к тем записям, которые относятся к их зоне ответственности (их дивизиону). В приведенном примере давать всем сотрудникам департамента продаж доступ на чтение данных всех клиентов - это прямой путь к возможной утечке информации.
Как мы уже подчеркивали, мероприятия по обеспечению конфиденциальности информации могут быть организационными, техническими, физическими. В приведенном примере с отделом продаж организационными мерами защиты конфиденциальной информации (в примере - данные клиентов) будут введение и поддержание в компании режима коммерческой тайны, разделение зон ответственности менеджеров по продажам по различным регионам (в результате чего, например, замещение одного менеджера другим будет возможно только в переделах одного дивизиона), а также формирование и ознакомление всех сотрудников под роспись с набором внутренних нормативных документов (сокр. ВНД), в которых будет прописаны правила обработки конфиденциальной информации и ответственность за их нарушение. Техническими мероприятиями по обеспечению конфиденциальности информации будут формирование групп доступа в корпоративной службе каталогов (например, в Active Directory), назначение прав доступа для папок с клиентскими данными на сетевых ресурсах, настройка разграничения прав доступа в используемой в компании CRM-системе, а также внедрение системы защиты от утечек данных (DLP-системы, от англ. Data Leak Prevention, предотвращение утечек данных). Мероприятиями физической защиты конфиденциальной информации будут, например, настройка системы СКУД (система контроля и управления доступом) для исключения доступа посторонних лиц в помещения, где обрабатывается конфиденциальная информация, настройка видеонаблюдения для контроля происходящего в кабинетах (в том числе, на рабочих местах сотрудников), а также контроль работы с бумажными носителями информации - например, часто встречается ситуация, когда после рабочих встреч в переговорных комнатах остаются распечатки конфиденциальных документов, которые не уничтожают в шредере или не уносят с собой присутствовавшие на встрече.
Еще одна немаловажная задача - обеспечение безопасности конфиденциальной информации при обмене данными с контрагентами (поставщиками, подрядчиками, аутсорсерами, партнерами): важно не только юридически грамотно составить соглашение об обеспечении конфиденциальности, предусмотреть ответственность за нарушение конфиденциальности информации и соблюсти требования законодательства по защите коммерческой тайны, но и выполнить проверку состояния системы управления информационной безопасностью в компании-контрагенте. На практике часто случается, что компания-контрагент готова подписать любые документы о защищенном обмене и обработке конфиденциальной информации, но при этом не обеспечивает адекватной защиты полученных сведений, что может в конечном итоге привести к несанкционированному доступу и возможной утечке информации.