Цикл статей: Информационная безопасность в компании

Этим материалом мы начинаем небольшую тематическую серию статей, касающуюся вопросов обеспечения информационной безопасности в организации и на предприятии.

Тема первой статьи: «Информационная безопасность: что защищать»?

В этой статье мне хотелось бы поговорить о том, что нужно защищать в организации и на предприятии и нужно ли?

Наша сегодняшняя жизнь окружена информацией и информационными потоками: мы получаем зарплату не деньгами, а цифрами на наших карточках и счетах, этими же цифрами мы расплачиваемся в магазинах, берем кредиты, общаемся и совершаем многие другие действия. Наш век – век прорыва информационных технологий, время гаджетов, скорости получения и реагирования на ту или иную информацию. Тезис: «Кто владеет информацией, тот владеет миром», - сегодня актуален с поправкой: «кто первый получил информацию и отреагировал, тот владеет ситуацией». Все это касается не только нашей обыденной жизни, но и деятельности тех организаций, где мы работаем.

Взять, к примеру, бухгалтерию, давно уже вышли из употребления кассы и сейфы, где раньше мы хранили деньги, счета выставляются в электронном виде и закрывающими документами многие обмениваются в электронном виде, и я не говорю уж о такой сфере деятельности как отчетность в государственные органы. В компании, где я работаю, обслуживаются десятки тысяч абонентов, которые сдают отчетность в электронном виде, даже собственноручная подпись теперь стала электронной. И это удобно, это норма сегодняшней жизни.

К чему я веду? Да к тому, что сегодня нам нужно защищать не кассы и сейфы, а цифры. И цифры не на бумаге, а в электронном виде. Мы создаем, обрабатываем и передаем информацию, поэтому ее нам и нужно защищать. Резонный вопрос: от кого и какую? Начнем с его второй части.

Информация в нашем государстве (я буду ссылаться на нормативные акты Российской Федерации) делится на общедоступную информацию и информацию, доступ к которой ограничен федеральными законами (так называемую, информацию ограниченного доступа). Такое разграничение принято в Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». То есть какая-то информация может быть и должна быть доступна всем, а какая-то только тем, кому можно. В свою очередь, есть деление на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Все мы: и физические и юридические лица являемся обладателями очень разных типов информации: сведениями о нас самих – персональными данными, информацией о состоянии здоровья – медицинская тайна, условия заключенного договора между поставщиком и покупателем – коммерческая тайна и т.д.

Рассмотрим организацию, какая информация может обрабатываться в рамках ее деятельности?

Во-первых, это сведения о сотрудниках, то есть все, что хранится в личном деле и в информационной системе бухгалтерии: трудовая книжка, табель, приказы, ведомость на зарплату, копии различных документов и так далее.

Во-вторых, это информация о клиентах – физических лицах, если таковые имеются у организации в силу специфики ее деятельности: фамилия, имя, отчество, контактные данные, возможно, адрес проживания и тому подобное.

Эти сведения относятся к персональным данным граждан и, согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», организация, которая обрабатывает эти сведения, должна принимать меры по их защите.

В-третьих, информация коммерческого характера: бюджеты организации до утверждения, условия заключаемых договоров, агентское вознаграждение, планы развития и так далее. Это коммерческая тайна, стоит ли говорить, что такие сведения являются очень критичными и никому не хотелось бы, чтобы этой информацией владели конкуренты?

В-четвертых, информация о новых разработках, так называемые ноу-хау. Это в большей степени относится к производству, но и новые схемы в работе с клиентами тоже являются критичной информацией, которая требует защита.

В предложенном мною списке представлено четыре типа различной информации в разрезе типовой организации, а если вы работаете в медицинской, банковской, страховой или сфере связи? Перечень очень большой.

В следующей статье мы будем рассматривать ответ на вопрос: от кого и как защищать нашу информацию?

Автор: Эльмира Гатиятуллина,

заместитель генерального директора

по информационной безопасности, ГК "Такснет"