Источник: Секретарское дело
Виктор Росляков, консалтинговая компания Pointlane
Информация, обрабатываемая любой организацией, может делиться на несколько категорий с точки зрения ее значимости и необходимости защиты. Некоторая информация нуждается в защите в силу сохранения какихлибо конкурентных преимуществ компании (уникальные разработки, сведения о бизнеспроцессах), а некоторую нужно защищать в соответствии с требованиями законодательства Российской Федерации.
Если говорить о защите информации для сохранения конкурентоспособности, то все большее распространение в мире получают системы защиты от утечек конфиденциальной информации (так называемые DLPрешения).
DLPрешения позволяют отслеживать и предотвращать передачу конфиденциальной информации за пределы компании, отслеживая исходящий трафик. Однако такие системы не в полной мере эффективны без использования таких, уже ставших традиционными, средств защиты как, например, межсетевые экраны и антивирусы. Защищая информацию также нельзя забывать и о внешних угрозах безопасности. Выстраивая защиту информации, которую организация сама определила для себя как критичную, можно ориентироваться на широкий спектр средств защиты, ориентируясь только на свои внутриорганизационные требования.
Немного иначе дело обстоит в том случае, если необходимость защиты регламентирована законодательством РФ. В 2006 году был принят ФЗ152 «О персональных данных», который призван защищать персональные данные, обрабатываемые в организации. Под действие данного закона попадают фактически все юридические лица (а иногда и физические лица), так как минимум в любой организации имеются сведения о собственных сотрудниках. Для выполнения всех требований законодательства необходимо провести ряд мероприятий, как организационных, так и технических. Необходимо определить перечень персональных данных, способы их обработки, построить для каждой информационной системы персональных данных частную модель угроз, на ее основе разработать систему защиты. При этом придется существенно доработать нормативную базу, выпустив новые приказы и регламенты или доработав существующие. Не обладая необходимым опытом и специалистами в данной области, компаниям неизбежно приходится привлекать для выполнения таких работ сторонние организации, что порой весьма недешево, но зато дает гарантию корректности проделанной работы.
Любые мероприятия по обеспечению сохранности информации должны проходить при непосредственном участии и поддержке руководства организации, в тесном взаимодействии со всеми заинтересованными подразделениями.