Доля случайных и умышленных утечек

Виновники утечек

Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (23,4%). В 6,7% случаев виновными оказались высшие руководители организаций (топ-менеджмент, главы отделов и департаментов). В половине случаев виновниками утечек информации были сотрудники компаний настоящие или бывшие.

 

 

 

 

Каналы утечек информации

Отраслевая карта

Статистика 2013 года показывает, что государственные органы не изменили своего неуважительного отношения к проблеме утечек информации.

 

Типы данных

Утечки по отраслям

Соотношения количества утечек и объема утекших данных позволяет судить о том, в какой отрасли информацию защищают лучше, а в какой хуже.

 

Защита информации – прямая обязанность госорганов, однако справляются они с этой задачей плохо, причем по всему миру. Огромное число утечек происходит из организаций среднего размера. Это говорит о том, что вопрос защиты информации от утечек для среднего бизнеса сегодня столь же актуален, как и для крупного.

Утечки по странам

В распределении утечек по регионам в 2013 году США традиционно заняли первую позицию по количеству утечек (679 или 59,41% от всех произошедших). На третьем месте оказалась Великобритания (80 утечек). В первую пятерку впервые попала Германия с 48 утечками, и Канада, где зарегистрировано 33 утечки. По итогам года подтвердилось второе место России (134 утечки), которое досталось нашей стране еще по итогам I полугодия 2013 года.

Выводы

В 2013 году Аналитическим Центром InfoWatch зафиксирован самый большой (с 2008 года) рост числа сообщений об утечках конфиденциальной информации.

Впервые за годы наблюдений число утечек превысило отметку в 1000 случаев. Этот рост авторы исследования традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. И этого внимания в 2013 году было более чем достаточно, как в мире, так и в России.

Однако в истекшем году проявился еще один существенный фактор – снижение доли скрытых утечек информации.

В результате зафиксированный рост утечек в большей степени обязан своим появлением как раз тому, что скрытых утечек стало меньше, а прозрачность темы утечек информации, наоборот, выросла.

Также следует отметить, что у компаний, заинтересованных в защите собственной информации, изменилось отношение к средствам защиты.

Теперь технические решения применяются не только для того, чтобы выполнить требования регуляторов, но и для реального обеспечения информационной безопасности. В итоге это позволяет компаниям все лучше детектировать утечки, определять их тип, выявлять виновных.

Главной целью обеспечения безопасности компании является достижение максимальной стабильности функционирования, а также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости от объективных и субъективных угрожающих факторов (негативных воздействий, факторов риска).

Рис. 1.1. Экономическая безопасность компании

Экономическая безопасность компании включает:

· кадровая безопасность –это процесс предотвращения негативных воздействий на экономическую безопасность компании за счет рисков и угроз, связанных с персоналом сотрудников, его интеллектуальным потенциалом и трудовыми отношениями в целом;

· финансовая безопасность рассматривает и регулирует вопросы финансово-экономической состоятельности компании, устойчивости к банкротству, определяет параметры платежеспособности и другие “денежные” характеристики;

· силовая безопасность занимается режимами, физической охраной объектов компании, личной охраной руководства и сотрудников, противодействием криминалу, взаимодействием с правоохранительными и другими государственными органами;

· информационная безопасность основана на защите различной информации компании, в том числе конфиденциальной, проводит деловую разведку, информационно-аналитическую работу с внешними и внутренними субъектами и т.д.;

· техническая безопасность предполагает создание и использование такой технической базы, оборудования и основных средств производства, таких технологий и процессов в бизнесе, которые усиливают конкурентоспособность компании;

· правовая безопасность подразумевает всестороннее юридическое обеспечение деятельности компании, грамотную правовую работу с контрагентами и властью, решения различных правовых вопросов.

Виды информации

В Федеральном законе «Об информации, информационных технологиях и защите информации» от 27.7.2006 г. № 149-ФЗ, определяется, что информация подразделяется на общедоступную информацию и информацию ограниченного доступа.

Разберем эти понятия.

Общедоступная информация – это информация, которую согласно Закону нельзя скрывать от общества. К ней относится:

· информация о состоянии окружающей среды;

· информация о деятельности органов государственной власти и органов местного самоуправления;

· документы, накапливаемые в открытых фондах библиотек и архивов;

· нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина;

· правовое положение организаций и полномочия государственных органов, органов местного самоуправления.

Информация ограниченного доступа – это информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании.

Информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и конфиденциальную информацию.

Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства.

В целях борьбы с разглашением государственной тайны установлен определенный порядок пользования сведениями, составляющими государственную тайну. За нарушение установленного порядка виновные привлекаются к уголовной ответственности

“Перечень сведений, отнесенных к государственной тайне” опубликован в законе Российской Федерации 1993 г. № 5485 “О государственной тайне”.

Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и охраняется её владельцем.

Перечень сведений конфиденциального характера опубликован в Указе Президента Российской Федерации от 6.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера»

Согласно Перечня сведений конфиденциального характера, к конфиденциальной информации относятся:

1. Персональные данные – (согласно Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”) любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2. Тайна следствия и судопроизводства – сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации.

3. Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

4. Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.).

5. Сведения о сущности изобретения – сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

6. Коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг, и получить иную коммерческую выгоду.

Перечень сведений, составляющих коммерческую тайну разрабатывается в организации.

Согласно Федерального закона "О коммерческой тайне" от 29.07.2004г.№98-ФЗ, к информации, составляющей коммерческую тайну (секрет производства) относятся:

1. Сведения производственные, технические, экономические, организационные и другие.

2. Сведения о результатах интеллектуальной деятельности в научно-технической сфере.

3. Сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, в отношении которых обладателем таких сведений введён режим коммерческой тайны.