Защита от утечки информации из компании

Защищаемая информация — сведения, являющиеся предметом собственности компании и подлежащие защите согласно требованиям правовых документов или их собственников. Как правило, доступ к ней ограничен. Защита информации от утечки осуществляется на основании Конституции РФ и требований следующих законов:

— «Об информации, информатизации и защите информации»;
— «О коммерческой тайне»;
— «О государственной тайне».

Конфиденциальность (в переводе с английского – «доверие») означает необходимость предотвращения разглашения (утечки) информации. Режим защиты такой информации, имеющей ограниченный доступ, но не содержащей сведений, составляющих государственную тайну, устанавливается владельцем информационных ресурсов. Все негосударственные предприятия (фирмы, организации, компании), собственники конфиденциальной информации, разрабатывают мероприятия по ее защите от утечки. Она осуществляется при помощи выполнения целого комплекса технических и организационных мероприятий, которые входят в систему технической защиты информации (СТЗИ). Она дифференцируется в зависимости от определенной категории объекта защиты.

Организационные мероприятия, связанные с защитой информации основываются на учете рекомендаций по выбору помещений, где установлены технические средства обработки конфиденциальной информации и проводятся конфиденциальные переговоры. Также они включают ограничения на использование техсредств, содержащих конфиденциальную информацию. Организационные мероприятия включают и введение определенного режима, ограничивающего доступ сотрудников в защищаемые помещения и на объект информатизации.

Любая компания должна иметь такие организационные документы, как правила внутреннего распорядка, трудовые договора, должностные инструкции и обязательства по неразглашению конфиденциальной информации. Сотрудники должны знать о правовой ответственности за разглашение конфиденциальной информации.

В компании должны быть разработаны следующие документы:

— Положение о коммерческой тайне и защите персональных данных.
— Политика информационной безопасности.
— Перечень сведений, которые составляют конфиденциальную информацию.
— Правила допуска сотрудников к конфиденциальной информации.
— Положение о специальном документообороте и делопроизводстве.

Технические мероприятия от утечки информации основываются на реализации спецпроектов или конструкторских решений и использовании различных техсредств защиты. Как правило, в компаниях техническую защиту информации осуществляют специальные подразделения или отдельные специалисты, назначаемые руководителями. Для разработки мероприятий по защите привлекаются сторонние организации, которые имеют лицензии ФСБ России или ФСТЭК (Федеральная служба по техническому и экспортному контролю) на проведение таких работ. Для охраны информации рекомендуют использовать сертифицированные техсредства защиты.

Чтобы установить перечень всех необходимых мер компании проводят специальное обследование объекта защиты, сертификационные испытания и исследования техсредств. Уровень защиты конфиденциальной информации должен полностью соответствовать соотношению расходов на организацию охраны информации и размера предполагаемого ущерба от ее утечки. Защищаемые объекты аттестуются в соответствии с требованиями защиты информации по нормативным документами ФСТЭК. По результатам проведенной аттестации выдается разрешение на работу с конфиденциальной информацией. Ответственность за обеспечение защиты информации возлагается на руководство компании.