Информация, которую необходимо контролировать «изнутри»

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(8)
()
Опубликовано в:

При внедрении DLP часто возникает такой вопрос: а какую именно информацию надо защищать? Эксперты рекомендуют опираться на следующий список классов наиболее уязвимой информации:

Информация, составляющая коммерческую тайну

Это объект интеллектуальной собственности, неизвестный третьим лицам на законном основании, к которому нет свободного доступа, и в отношении которого обладатель ввел режим коммерческой тайны. Он составляет секрет производства или коммерческую тайну. Здесь следует обратить внимание на два момента: «нет доступа на законном основании». Значит надо ограничить доступ, надо создать разрешительную систему доступа и контролировать её реализацию. Второй момент: «в отношении которого обладатель установил режим коммерческой тайны». Проблема в том, что большинство обладателей не понимают, что такое режим, как он устанавливается, выполнение каких мер он требует, и в каких случаях можно доказать выполнение этой нормы закона. Бытует ошибочное мнение, что информация, находящаяся в режиме коммерческой тайны и ограниченная с точки зрения возможности доступа к ней в информационной системе, автоматически подпадает под правовую защиту государственных институтов. Это не так! Суд будет защищать права только тех компаний, которые выполнили формальные требования 1 части 10 статьи закона «О коммерческой тайне».

Персональные данные

Существует целый ряд компаний, объектом интеллектуальной деятельности которых в первую очередь являются персональные данные (банки, страховые, туристические компании и т.д). Они собирают, систематизируют и принимают в отношении этих данных решения. Кроме того, что персональные данные – основной инструмент бизнеса таких компаний, для них это ещё и коммерческая тайна: ведь за персональные данные в тюрьму не посадишь и убытки не возместишь.

Инсайдерская информация

Абсолютно новый для России класс информации, эффективно защитить которую способны только DLP-системы.  Государство обязало все организации, подпадающие под требования федерального закона принять меры к выявлению незаконных действий инсайдеров и предоставлять об этом информацию органам мониторинга. Как правильно реализовать это требование? Как в огромном массиве информации, которая исходит, скажем, от финансового брокера банка в течение дня во вне, найти ту, которая рассматривается законом, как манипулирование рынком? Нижний порог штрафа за нарушение этого вида тайны, меж тем, определяется российским законодательством в 500 тыс. рублей.

Врачебная тайна в МИС

Это колоссальная проблема. Россия вступает в ту стадию, в которой находится большинство стран мира: из всех видов информации на медицинскую информацию самый высокий спрос. У нас к этой проблеме добавляется еще и российская специфика: малоэффективная бесплатная медицина, отчаявшиеся люди, продвижение платных медуслуг, БАДов, чёрные риелторы, представители ритуальных агентств. Всё это порождает ситуацию, когда информация бесконтрольно продаётся в очень больших количествах. Большинству бесплатных ЛПУ не по карману контролировать ее циркуляцию.

Служебная тайна органов государственной власти и местного самоуправления

Эта информация есть, и, одновременно, её нет. С одной стороны: закон «О служебной тайне» окончательно отвергнут Думой по требованию Правительства. А раз закона нет ‒ нет и тайны. С другой стороны, ситуация с индексированием информации на сайтах госорганов при создании системы межведомственного информационного обмена говорит о том, что через пару лет проблема утечки информации станет просто бичом органов власти в нашей стране. Совершено не понимая особенности функционирования информационных систем, создания и управления сайтами госорганы провоцируют колоссальные утечки информации в своих информационных системах.
Российское законодательство определяет около 50 видов тайн, подлежащих защите. Универсального ответа на вопрос, какой именно вид информации нужно контролировать на данном конкретном предприятии не существует: в каждом отдельном случае при внедрении DLP-системы необходимо решать этот вопрос совместно с заказчиком.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.