Кибербезопасность №4. Сохранение конфиденциальности
Сохранение конфиденциальности — это комплекс мер, направленных на защиту информации от несанкционированного доступа, утечки, искажения или уничтожения. Конфиденциальность означает, что доступ к определённым данным имеют только уполномоченные лица, а информация не передаётся третьим лицам без согласия её обладателя. Виды конфиденциальной информации К конфиденциальным данным могут относиться: Персональные данные — информация, которая прямо или косвенно относится к конкретному человеку (ФИО, адрес, номер телефона, email и т. д.). Коммерческая тайна — сведения, которые имеют коммерческую ценность и недоступны для третьих лиц. Для их защиты необходимо ввести режим коммерческой тайны, ограничить доступ к информации, вести учёт лиц, имеющих к ней доступ, и маркировать документы грифом «Коммерческая тайна». Служебная тайна — внутренняя информация государственных органов или коммерческих организаций, доступ к которой ограничен. Профессиональные тайны — информация, которую обязаны хранить представители определённых профессий (врачебная, адвокатская, нотариальная тайна и т. д.). Правовые основы В России защита конфиденциальной информации регулируется несколькими федеральными законами: ФЗ №149 «Об информации, информационных технологиях и о защите информации» — определяет понятие конфиденциальности, устанавливает требования к защите информации и ответственность за нарушения. ФЗ №152 «О персональных данных» — регулирует работу с персональными данными, обязывает собирать их только с конкретной целью и защищать от посторонних. ФЗ №98 «О коммерческой тайне» — определяет, что относится к коммерческой тайне, и устанавливает меры по её защите. За разглашение конфиденциальной информации законодательство предусматривает дисциплинарную, гражданско-правовую, административную и уголовную ответственность. Меры по сохранению конфиденциальности Технические меры: Шифрование данных — превращение информации в нечитаемый код для тех, кто не имеет ключа. Полнодисковое шифрование (например, BitLocker в Windows, FileVault в macOS) — защищает данные при хранении на устройствах. DLP-системы (Data Loss Prevention) — отслеживают и блокируют подозрительные действия с данными, контролируют передачу информации через email, USB, облака. Межсетевые экраны (файрволы) — фильтруют входящий и исходящий трафик. Антивирусные программы — идентифицируют и удаляют потенциально опасные программы. Резервное копирование — регулярное создание копий данных с их хранением в защищённом месте. Организационные меры: Разработка политики информационной безопасности и политики обработки персональных данных — задают рамки и стандарты для всех сотрудников. Разграничение доступа — сотрудники должны иметь доступ только к тем данным, которые нужны для работы. Обучение сотрудников — регулярные тренинги по информационной безопасности, напоминания о правилах работы с данными. Контроль использования устройств — учёт устройств с доступом к корпоративным данным, мониторинг их использования. План реагирования на инциденты — определение ответственных лиц, порядка уведомления соответствующих органов и анализа ситуации при утечке данных. Правовые меры: включение в договоры с подрядчиками условий о конфиденциальности, ответственности за утечки и праве на проверки; заключение с сотрудниками соглашений о неразглашении (NDA). Эффективная система защиты строится на сочетании правовых, организационных и технических мер. Важно регулярно проводить аудит состояния защиты данных и обновлять меры в соответствии с изменениями законодательства и появлением новых угроз.
![Иконка канала Veritasium [RU]](https://pic.rtbcdn.ru/user/2025-03-21/8e/08/8e084014e2df59bf75b37c4c9ea66b3b.jpg?size=s)
Сохранение конфиденциальности — это комплекс мер, направленных на защиту информации от несанкционированного доступа, утечки, искажения или уничтожения. Конфиденциальность означает, что доступ к определённым данным имеют только уполномоченные лица, а информация не передаётся третьим лицам без согласия её обладателя. Виды конфиденциальной информации К конфиденциальным данным могут относиться: Персональные данные — информация, которая прямо или косвенно относится к конкретному человеку (ФИО, адрес, номер телефона, email и т. д.). Коммерческая тайна — сведения, которые имеют коммерческую ценность и недоступны для третьих лиц. Для их защиты необходимо ввести режим коммерческой тайны, ограничить доступ к информации, вести учёт лиц, имеющих к ней доступ, и маркировать документы грифом «Коммерческая тайна». Служебная тайна — внутренняя информация государственных органов или коммерческих организаций, доступ к которой ограничен. Профессиональные тайны — информация, которую обязаны хранить представители определённых профессий (врачебная, адвокатская, нотариальная тайна и т. д.). Правовые основы В России защита конфиденциальной информации регулируется несколькими федеральными законами: ФЗ №149 «Об информации, информационных технологиях и о защите информации» — определяет понятие конфиденциальности, устанавливает требования к защите информации и ответственность за нарушения. ФЗ №152 «О персональных данных» — регулирует работу с персональными данными, обязывает собирать их только с конкретной целью и защищать от посторонних. ФЗ №98 «О коммерческой тайне» — определяет, что относится к коммерческой тайне, и устанавливает меры по её защите. За разглашение конфиденциальной информации законодательство предусматривает дисциплинарную, гражданско-правовую, административную и уголовную ответственность. Меры по сохранению конфиденциальности Технические меры: Шифрование данных — превращение информации в нечитаемый код для тех, кто не имеет ключа. Полнодисковое шифрование (например, BitLocker в Windows, FileVault в macOS) — защищает данные при хранении на устройствах. DLP-системы (Data Loss Prevention) — отслеживают и блокируют подозрительные действия с данными, контролируют передачу информации через email, USB, облака. Межсетевые экраны (файрволы) — фильтруют входящий и исходящий трафик. Антивирусные программы — идентифицируют и удаляют потенциально опасные программы. Резервное копирование — регулярное создание копий данных с их хранением в защищённом месте. Организационные меры: Разработка политики информационной безопасности и политики обработки персональных данных — задают рамки и стандарты для всех сотрудников. Разграничение доступа — сотрудники должны иметь доступ только к тем данным, которые нужны для работы. Обучение сотрудников — регулярные тренинги по информационной безопасности, напоминания о правилах работы с данными. Контроль использования устройств — учёт устройств с доступом к корпоративным данным, мониторинг их использования. План реагирования на инциденты — определение ответственных лиц, порядка уведомления соответствующих органов и анализа ситуации при утечке данных. Правовые меры: включение в договоры с подрядчиками условий о конфиденциальности, ответственности за утечки и праве на проверки; заключение с сотрудниками соглашений о неразглашении (NDA). Эффективная система защиты строится на сочетании правовых, организационных и технических мер. Важно регулярно проводить аудит состояния защиты данных и обновлять меры в соответствии с изменениями законодательства и появлением новых угроз.