Информационная безопасность и хранение данных

На практике, множество организаций продолжают хранить в открытых файлах Excel и Word различную информацию и сведения, такую как:

• Персональные данные собственных сотрудников и анкеты кандидатов. подробнее
• Персональные данные работников партнеров (поставщиков и покупателей). Данная информация попадает через обмен реквизитами, паспортными данными руководителей в процессе согласования договоров или работы с прочими документами.
• Договоры и первичные документы с финансовой информацией.
• Финансовые отчеты.
• Кадровые документы и отчеты.
• Документы и корреспонденцию с персональными данными.

Если сотрудники хранят перечисленную выше информацию в открытом виде, то важно, чтобы эти данные не попали в открытый доступ для злоумышленников.Чтобы минимизировать потери важной информации и исключить посторонний доступ к персональным данным, необходимо ответить на вопрос – как в организации обеспечивается информационная безопасность, хотя бы на минимальном базовом уровне.

Утечка информация – серьезная проблема и реальная угроза для большинства предприятий, представляющих различные отрасли. Данные могут быть утеряны по причине злого умысла третьих лиц, по неосторожности сотрудников. При умышленной организации наносится серьезный ущерб. В условиях конкуренции такой прием используют многие сторонние организации, чтобы получить преимущество над конкурентами, пусть и таким незаконным способом.

Информационная безопасность, или ИБ, — это комплекс мер, предпринимаемых для защиты от утечки или взлома программ, компьютерных систем и данных. Средства информационной безопасности защищают данные от утечки, программы, системы и сети — от взлома, несанкционированного доступа, порчи файлов или других видов атак.  За утечку конфиденциальных данных пользователей предусмотрена ответственность по закону. Так что меры по безопасности — это еще и способ избежать проблем с законодательством и потери доверия клиентов.

Четыре базовых меры организации информационной безопасности:

1. Установка антивирусов на рабочие компьютеры.
2. Установка паролей для входа на рабочие компьютеры
3. Применение специального программного обеспечения для работы и хранения информации по сотрудникам, договорам, документам и клиентам. Например, можно не отказываться от работы с файлами Word и Excel, но хранить их не в открытом доступе во множестве папок, а хранить эти файлы внутри специальных программ. Доступ к данным программам осуществляется по логинам и паролям, которые известны пользователям данной программы.
4. Если на данный момент в Вашей организации не существует регламентов и правил по информационной безопасности, но применяете отдельное программное обеспечение, в котором хранится финансовая информация и персональные данные, то проверьте, каким образом программа хранит эти сведения в своей базе данных:
   1. Удаленно на сторонних серверах (например, облачные веб-сервисы).
   2. Или все данные хранятся в рамках Вашей инфраструктуры (локальная сеть, сервер, рабочие компьютеры). Данный вариант более предпочтителен. Контролировать собственные компьютеры, серверы и свою локальную сеть проще на базовом уровне информационной безопасности.

В зависимости от формата и способа хранения персональных данных различают правила:

1. Для бумажных документов с персональными данными: хранение в сейфах или металлических несгораемых шкафах. Для доступа к документам устанавливается определенный список сотрудников. Данные сотрудники должны подписать письменное обязательство о неразглашении персональных данных.
2. Для электронных документов: необходимо запретить доступ к ним сторонних лиц. Для этого нужно решить вопросы информационной безопасности и резервного копирования баз данных сотрудников. Хранить электронные копии личных документов сотрудников в открытых файлах закон также не позволяет. Если Роскомнадзор при проверке обнаружит сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге. 

Подробнее об информационной безопасности

Как было сказано выше, информационная безопасность – это набор мер, осуществляемых для исключения несанкционированного доступа, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или по е-мейл переписке.

Объектом защиты информационной безопасности могут быть любые данные, от секретных разработок до важной переписки в смартфоне с упоминанием финансовой информации.

Прежде всего, нужно защищать критическую инфраструктуру, то, без чего невозможна деятельность организации, компании, государства. Это, конечно же, компьютеры, серверы, локальные сети средства телекоммуникации, через которые обычно и происходит утечка данных.

Информацию можно получить не только из телефона и компьютера, но и путем старой доброй «прослушки», поэтому серьезные организации разрабатывают комплексную систему обеспечения информационной безопасности, включающую в себя защиту зданий и сооружений, занимаемых организацией, от постороннего проникновения и «прослушки».

Существуют следующие категории объектов защиты:

• Информация (цифровые и аналоговые сигналы, электронные данные).
• Ресурсные объекты (системы программно-аппаратного обеспечения).
• Физические объекты (постройки, оборудование, территории, коммуникации, прочее).
• Пользовательские объекты, субъекты и владельцы информации.

Основные виды конфиденциальной информации

Персональные данные. Сведения о физическом лице: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. 152-ФЗ — закон, который обязывает охранять эту информацию. Сотрудник, работающий с персональными данными, несет ответственность за их защиту и не должен передавать данные третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна.  Этовнутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Организация сама решает, что отнести к коммерческой тайне, а что можно публиковать в отрытом виде. При этом не вся сведения могут быть коммерческой тайной — например, нельзя закрыть доступ к ФИО учредителей юридического лица, условия труда или факты нарушения законов. Вопросы коммерческой тайне регулирует закон 98-ФЗ.

Профессиональная тайна. К данной информации относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. Профессиональную тайну регулируют несколько специальных законов.

Служебная тайна. Сведения, которые известны специальным службам и ведомствам, например, налоговой или ЗАГС. Такие данные обычно хранят государственные органы, они отвечают за их безопасность и предоставляют только по официальному запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, применять специальное программное обеспечение.

В итоге необходимо помнить, когда дело касается безопасности электронных (цифровых) данных (к которым относятся также файлы Word и Excel), то в данном случае к техническим средствам реализации относятся компьютеры, сервер и программное обеспечение. Информационная безопасность организации подразумевает хранение данных на собственном или арендованном и защищенном от постороннего проникновения сервере, использование для обмена данными защищенного соединения и все, о чем мы говорили выше.