Доля случайных и умышленных утечек
Виновники утечек
Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). В 6,7% случаев виновными оказались высшие руководители организаций (топ-менеджмент, главы отделов и департаментов). В половине случаев виновниками утечек информации были сотрудники компаний настоящие или бывшие.
Каналы утечек информации
Отраслевая карта
Статистика 2013 года показывает, что государственные органы не изменили своего неуважительного отношения к проблеме утечек информации.
Типы данных
Утечки по отраслям
Соотношения количества утечек и объема утекших данных позволяет судить о том, в какой отрасли информацию защищают лучше, а в какой хуже.
Защита информации – прямая обязанность госорганов, однако справляются они с этой задачей плохо, причем по всему миру. Огромное число утечек происходит из организаций среднего размера. Это говорит о том, что вопрос защиты информации от утечек для среднего бизнеса сегодня столь же актуален, как и для крупного.
Утечки по странам
В распределении утечек по регионам в 2013 году США традиционно заняли первую позицию по количеству утечек (679 или 59,41% от всех произошедших). На третьем месте оказалась Великобритания (80 утечек). В первую пятерку впервые попала Германия с 48 утечками, и Канада, где зарегистрировано 33 утечки. По итогам года подтвердилось второе место России (134 утечки), которое досталось нашей стране еще по итогам I полугодия 2013 года.
Выводы
В 2013 году Аналитическим Центром InfoWatch зафиксирован самый большой (с 2008 года) рост числа сообщений об утечках конфиденциальной информации.
Впервые за годы наблюдений число утечек превысило отметку в 1000 случаев. Этот рост авторы исследования традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. И этого внимания в 2013 году было более чем достаточно, как в мире, так и в России.
Однако в истекшем году проявился еще один существенный фактор – снижение доли скрытых утечек информации.
В результате зафиксированный рост утечек в большей степени обязан своим появлением как раз тому, что скрытых утечек стало меньше, а прозрачность темы утечек информации, наоборот, выросла.
Также следует отметить, что у компаний, заинтересованных в защите собственной информации, изменилось отношение к средствам защиты.
Теперь технические решения применяются не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. В итоге это позволяет компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.
Главной целью обеспечения безопасности компании является достижение максимальной стабильности функционирования, а также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости от объективных и субъективных угрожающих факторов (негативных воздействий, факторов риска).
Рис. 1.1.Экономическая безопасность компании
Экономическая безопасность компании включает:
· кадровая безопасность –это процесс предотвращения негативных воздействий на экономическую безопасность компании за счет рисков и угроз, связанных с персоналом сотрудников, его интеллектуальным потенциалом и трудовыми отношениями в целом;
· финансовая безопасность рассматривает и регулирует вопросы финансово-экономической состоятельности компании, устойчивости к банкротству, определяет параметры платежеспособности и другие “денежные” характеристики;
· силовая безопасность занимается режимами, физической охраной объектов компании, личной охраной руководства и сотрудников, противодействием криминалу, взаимодействием с правоохранительными и другими государственными органами;
· информационная безопасность основана на защите различной информации компании, в том числе конфиденциальной, проводит деловую разведку, информационно-аналитическую работу с внешними и внутренними субъектами и т.д.;
· техническая безопасность предполагает создание и использование такой технической базы, оборудования и основных средств производства, таких технологий и процессов в бизнесе, которые усиливают конкурентоспособность компании;
· правовая безопасность подразумевает всестороннее юридическое обеспечение деятельности компании, грамотную правовую работу с контрагентами и властью, решения различных правовых вопросов.
Виды информации
В Федеральном законе «Об информации, информационных технологиях и защите информации» от 27.7.2006 г. № 149-ФЗ, определяется, что информация подразделяется на общедоступную информацию и информацию ограниченного доступа.
Разберем эти понятия.
Общедоступная информация– это информация, которую согласно Закону нельзя скрывать от общества. К ней относится:
· информация о состоянии окружающей среды;
· информация о деятельности органов государственной власти и органов местного самоуправления;
· документы, накапливаемые в открытых фондах библиотек и архивов;
· нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина;
· правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
Информация ограниченного доступа – это информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании.
Информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и конфиденциальную информацию.
Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства.
В целях борьбы с разглашением государственной тайны установлен определенный порядок пользования сведениями, составляющими государственную тайну. За нарушение установленного порядка виновные привлекаются к уголовной ответственности
“Перечень сведений, отнесенных к государственной тайне” опубликован в законе Российской Федерации 1993 г. № 5485 “О государственной тайне”.
Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и охраняется её владельцем.
Перечень сведений конфиденциального характера опубликован в Указе Президента Российской Федерации от 6.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
Согласно Перечня сведений конфиденциального характера, к конфиденциальной информации относятся:
1. Персональные данные – (согласно Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”) любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2. Тайна следствия и судопроизводства – сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации.
3. Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
4. Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.).
5. Сведения о сущности изобретения – сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
6. Коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг, и получить иную коммерческую выгоду.
Перечень сведений, составляющих коммерческую тайну разрабатывается в организации.
Согласно Федерального закона "О коммерческой тайне" от 29.07.2004г.№98-ФЗ, к информации, составляющей коммерческую тайну (секрет производства) относятся:
1. Сведения производственные, технические, экономические, организационные и другие.
2. Сведения о результатах интеллектуальной деятельности в научно-технической сфере.
3. Сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, в отношении которых обладателем таких сведений введён режим коммерческой тайны.