Šta znače povjerljive informacije. Pojam i vrste povjerljivih informacija, klasifikacija i karakteristike

"Kadrovik.ru", 2012, N 7

U svakoj kompaniji postoje povjerljivi podaci, koji su posebno pažljivo zaštićeni od zaposlenih koji im nemaju pristup, kao i od konkurenata i dobavljača. Istovremeno, prilično je teško odrediti stepen tajnosti podataka. Kao rezultat toga, sve informacije koje se odnose na aktivnosti organizacije smatraju se povjerljivim. Kao rezultat toga, dolazi do sudskih sporova i sa zaposlenima i sa drugim kompanijama.

Lista relevantnih podataka data je u nekoliko zakonskih akata, međutim, kompanija može samostalno ograničiti pristup nekim informacijama. Istovremeno, glavni dokument koji omogućava da se utvrdi da li su informacije klasifikovane kao povjerljive je Federalni zakon br. 98-FZ od 29. jula 2004. „O poslovnim tajnama“ (u daljem tekstu – Zakon br. 98-FZ). Međutim, lista sadržana u ovom zakonu je nepotpuna, a ostale informacije o povjerljivim informacijama sadržane su u drugim regulatornim pravnim aktima.

Spisak povjerljivih podataka definisanih zakonom

Pogled povjerljivo informacije	Spisak informacija	Legislative norma
informacije, komponenta komercijalno tajna	Informacije bilo koje vrste (proizvodni, tehnički, ekonomske, organizacione i drugi), uključujući rezultate intelektualna aktivnost u nauci tehničkoj oblasti, kao i informacije o profesionalnim načinima aktivnosti koje imaju stvarni ili potencijalni komercijalnu vrijednost zbog njihova nepoznatost trećim licima	Član 3 Federalni zakon datiran 29.07.2004 N 98-FZ „Uključeno komercijalno tajna"
bankarstvo tajna	Informacije o transakcijama, računima i depoziti organizacija - klijenata banaka i dopisnici	Član 26 Federalni zakon datiran 02.12.1990 N 395-1 "O banke i bankarstvo aktivnosti"
Advocate tajna, notarski tajna	Informacije vezane za odredbu advokat za pravnu pomoć direktoru; informacije koje su postale poznat notaru u vezi sa njegovim profesionalna aktivnost	Osnove zakonodavstvo ruski Federacija notar (pribl. Oružane snage Ruske Federacije 11.02.1993 N 4462-1); Art. osam Federalni zakon datiran 31.05.2002 N 63-FZ „Uključeno advokat aktivnosti i zagovaranje u ruski Federacija"
inteligencija, povezan sa revizija organizacije	Sve primljene informacije i dokumenti i (ili) sastavljen od strane revizije organizaciju i njene zaposlenike, i individualni revizor i zaposleni, sa kojima imaju ugovore o radu ugovori o pružanju usluga, koje predviđa ovaj Savez zakon, sa izuzetkom: 1) podatke koje je to lice otkrilo, kome su usluge pružene, koje predviđa ovaj Savez po zakonu, ili uz njegovu saglasnost; 2) podatak o zaključku sa revidiranim lice ugovora o držanju obavezna revizija; 3) podatke o visini uplate revizorske usluge	Član 9 Federalni zakon datiran 30.12.2008 N 307-FZ "Uključeno revizija aktivnosti"

U praksi, režim povjerljivosti određuje se:

• spisak podataka koji predstavljaju poslovnu tajnu; spisak povjerljivih informacija u organizaciji;
• ugovorno uređenje odnosa sa zaposlenima;
• ugovorno regulisanje odnosa sa ugovornim stranama uspostavljanjem relevantnih odredbi u ugovoru;
• primjena restriktivnih znakova i žiga povjerljivosti na materijalne nosioce povjerljivih informacija sa naznakom njihovog vlasnika.

Pored ovih mjera, kompanija može, ako je potrebno, primijeniti sredstva i metode tehničke zaštite povjerljivih informacija, kao i druge mjere koje nisu u suprotnosti sa zakonodavstvom Ruske Federacije.

Režim poslovne tajne ne može se uspostaviti u odnosu na sljedeće podatke:

• sadržane u osnivačkim dokumentima pravnog lica i dokumentima koji potvrđuju činjenicu upisa o pravnim licima u državnim registrima;
• sadržane u dokumentima koji daju pravo na obavljanje preduzetničkih aktivnosti;
• o zagađenju životne sredine, stanju požarne bezbednosti, sanitarno-epidemiološkoj i radijacionoj situaciji, bezbednosti hrane i drugim faktorima koji negativno utiču na obezbeđivanje bezbednog rada proizvodnih objekata, bezbednost svakog građanina i bezbednost stanovništva kao cijeli;
• o broju i sastavu zaposlenih, sistemu nagrađivanja, o uslovima rada, uključujući zaštitu rada, o pokazateljima povreda na radu i profesionalnog morbiditeta, dostupnosti slobodnih radnih mjesta;
• o dugovima poslodavaca za plate i druga socijalna davanja;
• o kršenju zakonodavstva Ruske Federacije i činjenicama privođenja odgovornosti za njihovo počinjenje;
• o veličini i strukturi prihoda neprofitnih organizacija, o veličini i sastavu njihove imovine, o njihovim rashodima, o broju i zaradama zaposlenih, o korišćenju neplaćenog rada građana u delatnosti neprofitne organizacije. organizacija profita;
• na spisku lica koja imaju pravo da djeluju bez punomoćja u ime pravnog lica;
• informacije čije je obavezno objavljivanje ili nedopustivost ograničenja pristupa utvrđena saveznim zakonima prije stupanja na snagu Zakona N 98-FZ.

Razmotrite proceduru za uspostavljanje liste u određenom preduzeću.

Kako se ponašati prema zaposleniku koji oda povjerljive informacije?

U mnogim kompanijama prema zaposleniku koji oda povjerljive podatke primjenjuju se sljedeće mjere: izriču disciplinsku kaznu, nadoknađuju štetu na sudu. Neki poslodavci jednostavno otpuštaju prekršioce, vjerujući da je širenje povjerljivih informacija ozbiljan prekršaj. Zaista, postoji takva mogućnost. Prema paragrafima. "c" str.6 č.1 čl. 81. Zakona o radu Ruske Federacije, poslodavac može otkazati ugovor o radu čak i u slučaju samo jednog otkrivanja poslovne tajne koja je postala poznata zaposleniku u vezi sa obavljanjem njegovih radnih obaveza.

U slučaju spora oko vraćanja na posao lica otpuštenog po predmetnom osnovu, teret dokazivanja svih okolnosti odavanja poslovne tajne snosi poslodavac. Potrebno je pažljivo razmotriti sve okolnosti konkretnog slučaja, analizirati postoje li zakonske osnove za otpuštanje zaposlenika osumnjičenog za odavanje povjerljivih informacija, te procijeniti moguće rizike ukoliko zaposleni ospori otkaz.

Uzmimo sljedeći primjer: zaposlenik je koristio fleš disk za štampanje dokumenta na štampaču. Međutim, poslodavac je ove radnje smatrao odavanjem poslovne tajne, budući da je zabrana korištenja fleš diska za prijenos povjerljivih informacija sadržana u lokalnom zakonu. Međutim, organizacija nije imala tačnu listu takvih povjerljivih podataka. Zbog toga se radnik obratio inspekciji rada, te je nakon provjere uspio postići ukidanje disciplinske sankcije.

Dakle, prilikom izricanja disciplinske sankcije poslodavac mora:

• dokazati da je zaposlenik nanio materijalnu štetu organizaciji;
• utvrdi da je zaposleni otkrio povjerljive podatke koji se nalaze na listi;
• potvrditi činjenicu otkrivanja i upoznavanja zaposlenika sa listom povjerljivih informacija.

Ako kompanija želi da nadoknadi štetu na sudu (na primjer, menadžer je dao otkaz i prodao povjerljivu bazu podataka konkurentima), tada će biti potrebno procijeniti materijalnu štetu. Ključni uslov koji omogućava formiranje baze dokaza je dostupnost liste povjerljivih informacija.

Lista povjerljivih informacija u posebnoj organizaciji

Svaka organizacija ima svoju listu povjerljivih informacija. Po pravilu uključuje:

• informacije o proizvodnji i upravljanju;
• podaci o visini zarada zaposlenih;
• lični podaci zaposlenih;
• upravljačke odluke, planovi razvoja proizvodnje, investicioni programi;
• minute za upoznavanje;
• povjerljivi ugovori;
• informacije o pregovorima;
• informacije o osoblju, kadrovskom popunjavanju;
• trošak i cijene;
• finansijski izvještaji, primarna dokumentacija;
• informacije o plaćenim porezima i naknadama;
• izvještaji revizora.

Imajte na umu: lični podaci i povjerljive informacije nisu ekvivalentni koncepti. Ovo posljednje je šire i može uključivati ​​različite finansijske izvještaje, podatke o osoblju organizacije i druge podatke koje kompanija štiti u skladu sa utvrđenim režimom poslovne tajne.

Podaci koji čine poslovnu tajnu (proizvodnu tajnu) su podaci bilo koje prirode (proizvodne, tehničke, ekonomske, organizacione i druge), uključujući rezultate intelektualne djelatnosti u naučno-tehničkoj oblasti, kao i podatke o načinu obavljanja djelatnosti. profesionalne aktivnosti koje imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog toga što su nepoznate trećim licima, kojima treća lica nemaju slobodan pristup po zakonskoj osnovi i u pogledu kojih je vlasnik takvih informacija uveo režim poslovne tajne. Odavanje podataka koji predstavljaju poslovnu tajnu je radnja ili nečinjenje, uslijed koje takve informacije u bilo kojem mogućem obliku (usmeno, pismeno, na drugi način, uključujući korištenje tehničkih sredstava) postaju poznate trećim licima bez pristanka vlasnika ili suprotno radni ili građanskopravni ugovor (Odluka Moskovskog gradskog suda od 14. novembra 2011. u predmetu N 33-36486).

Koncept ličnih podataka uspostavljen je Saveznim zakonom od 27. jula 2006. N 152-FZ "O ličnim podacima". Ovo je svaka informacija koja se direktno ili indirektno odnosi na određenu fizičku osobu koja se može identifikovati (subjekat ličnih podataka).

Odnosno, ako se povjerljive informacije mogu odnositi i na fizička i na pravna lica, lični podaci - samo na pojedince. Spisak povjerljivih podataka koji su klasifikovani kao takvi na zakonodavnom nivou dat je u prilogu.

Potrebno je obratiti pažnju na činjenicu da informacije koje je kompanija prepoznala kao povjerljive ne mogu biti klasifikovane kao takve. Poverljivi dokumenti se mogu klasifikovati kao finansijski izveštaji koji se dostavljaju članovima kompanije samo za informaciju (Rezolucija Federalne antimonopolske službe Volškog okruga od 05.04.2005 N A12-12462 / 04-C56). Sličan zaključak donesen je u Uredbi Federalne antimonopolske službe Dalekoistočnog okruga od 16.05.2007., 05.08.2007. N F03-A73 / 07-1 / 1090 u predmetu N A73-9822 / 2006-9 , u kojem je sud priznao da ni norme Saveznog zakona od 21. 11. 1996. N 129-FZ "O računovodstvu", nema čl. 89 Federalnog zakona od 26. decembra 1995. N 208-FZ "O dioničkim društvima" ne predviđa obavezno davanje dioničaru kopija primarnih računovodstvenih dokumenata, prometnih listova analitičkog računovodstva i elektronske baze podataka računovodstva kompanije. program. Istovremeno, na primjer, podaci o ispunjavanju obaveza poreskih obveznika za plaćanje poreza nisu porezna tajna i mogu se otkriti (Rezolucija Federalne antimonopolske službe Zapadnosibirskog okruga od 27. jula 2010. u slučaju N A27 -25441 / 2009).

Dakle, poslodavac mora samostalno sastaviti listu povjerljivih informacija i utvrditi ih u administrativnom dokumentu, ovisno o važnosti tih informacija. Međutim, priznanje podataka kao povjerljivih može se osporiti na sudu. Pri tome, važna tačka je i ne samo uspostavljanje same liste povjerljivih informacija, već i postupak njihove zaštite.

Procedura za zaštitu povjerljivih informacija

U skladu sa čl. 10 Zakona N 98-FZ, mjere za zaštitu povjerljivosti informacija koje je preduzeo njihov vlasnik trebaju uključivati:

• utvrđivanje liste podataka koji čine poslovnu tajnu;
• ograničavanje pristupa takvim informacijama uspostavljanjem procedure za njihovo postupanje i praćenjem poštovanja ove procedure;
• računovodstvo lica koja su stekla pristup povjerljivim informacijama i (ili) lica kojima su one dostavljene ili prenesene;
• uređenje odnosa o korišćenju podataka koji predstavljaju poslovnu tajnu od strane zaposlenih po osnovu ugovora o radu i ugovarača po osnovu ugovora iz građanskog prava;
• stavljanje na materijalne medije koji sadrže povjerljive informacije, ili uključivanje u detalje dokumenata koji sadrže takve informacije, pečat "Poslovna tajna" koji označava vlasnika tih informacija.

U cilju zaštite povjerljivosti podataka, poslodavac mora:

• da zaposlenog, kome su te informacije neophodne radi obavljanja radnih obaveza, upozna sa spiskom podataka koji predstavljaju poslovnu tajnu, u vlasništvu poslodavca i njegovih saradnika, uz prijem;
• upoznaje zaposlenog uz prijem sa režimom poslovne tajne koji je utvrdio poslodavac i sa merama odgovornosti za njegovo kršenje;
• stvoriti potrebne uslove da se zaposleni pridržava utvrđenog režima (član 11. Zakona N 98-FZ).

Ugovor o radu sa rukovodiocem organizacije treba da predvidi obavezu ovog zaposlenog da obezbedi poverljivost podataka u vlasništvu organizacije i njenih partnera, kao i odgovornost za odgovarajuće mere.

Priznanje podataka kao povjerljivih može se osporiti na sudu

Pri tome kompanija može preduzeti sledeće radnje:

• implementacija sistema dozvola za pristup izvođača (korisnika, osoblja za održavanje) informacijama i povezanim radovima i dokumentima;
• ograničavanje pristupa osoblja i neovlašćenih lica zaštićenim prostorijama i prostorijama u kojima se nalaze sredstva informatizacije i komunikacije, kao i nosioci informacija;
• transkripti sastanaka;
• diferenciranje pristupa korisnika i osoblja za održavanje informacionim resursima, softverskim alatima za obradu (transfer) i zaštitu podataka;
• računovodstvo i sigurno skladištenje papirnih i mašinskih medija, ključeva (ključne dokumentacije) i njihovog prometa, isključujući njihovu krađu, zamjenu i uništavanje;
• redundantnost tehničkih sredstava i dupliranje nizova i medija za skladištenje podataka;
• zaštita od kopiranja informacija, korištenje certificiranih sredstava za njihovu zaštitu;
• korištenje sigurnih komunikacijskih kanala;
• kriptografska transformacija podataka koji se obrađuju i prenose pomoću računarske tehnologije i komunikacija.

Vrlo je važno u lokalnom aktu organizacije utvrditi ne samo listu povjerljivih informacija, već i proceduru za njihovo korištenje.

U odnosima sa zaposlenima, kompanije obično koriste dvije taktike: zaštitu interesa na sudu, zaštitu interesa u pretkrivičnom postupku raskidom ugovora sa zaposlenikom. Hajde da razmotrimo prvi način. Kao primjer možemo navesti odluku Moskovskog gradskog suda od 22.12.2011. u predmetu N 4g / 8-10945 / 11. Rješavanje navedenih potraživanja, rukovodeći se čl. 81. Zakona o radu Ruske Federacije, Federalnog zakona „O poslovnoj tajni“, sud je zaključio da je otkaz tužioca zakonit i opravdan, jer je odao poslovnu tajnu. Tužilac je putem elektronske pošte slao dokumente trećoj organizaciji kojoj treća lica nisu imala slobodan pristup i za koje je poslodavac uveo režim poslovne tajne.

Preduzeće je na sudu dokazalo sledeće činjenice: upoznavanje zaposlenog sa propisom „O poslovnoj tajni“, poštovanje postupka za privođenje disciplinskoj odgovornosti, činjenica slanja dokumenata zameniku generalnog direktora treće strane – podatke o ugovornim stranama, informacije o vremenu i načinu pružanja usluga, visini naknade.

Ali, ako se povjerljive informacije ne prenose trećim licima, činjenica kopiranja informacija bez njihovog prenošenja trećim licima ne može se smatrati otkrivanjem. Dakle, Rešenjem od 12.12.2011. godine u predmetu N 4g / 8-10961 / 2011, Moskovski gradski sud je zaključio da su informacije koje je tužilac kopirao na fleš karticu poslovna tajna kompanije, međutim, dokaz da su ove informacije je prenela njena treća lica, tužena strana se nije izjasnila, a tužilja je negirala izvršenje takvih radnji. Sud takođe nije dobio dokaze da je tužilac navedene podatke prosleđivao na e-mail sandučiće trećih lica, kao i činjenice o postavljanju na Internet. Uvidom u kućni računar tužioca i uklanjanjem kopiranih podataka sa njega, tuženi nije evidentirao takve činjenice. U činu brisanja informacija o tome nije bilo riječi. Radnje zaposlenog, usled kojih navedeni podaci postaju dostupni drugim zaposlenima koji prate poštovanje režima poslovne tajne u organizaciji, ne mogu se kvalificirati prema st. "c" str.6 č.1 čl. 81 Zakona o radu Ruske Federacije. U takvim okolnostima, kada povjerljive informacije nisu otkrivene trećim licima, pojedinac može biti vraćen na posao uz naknadu za vrijeme prisilnog odsustva.

Širenje neklasifikovanih informacija nije otkrivanje poverljivih informacija. Ovaj zaključak proizilazi iz presude Moskovskog gradskog suda od 14. novembra 2011. godine u predmetu br. 33-36486. Sud je došao do zaključka da podaci o dostupnosti opreme, njenoj cijeni, podaci o distributerima ne predstavljaju poslovnu tajnu, jer. u cjenovnicima, katalozima i knjižicama. Dakle, povjerljivost nije narušena. Sličan zaključak je doneo i Moskovski gradski sud u odluci od 18.10.2011. godine u predmetu br. 33-33741. Prilikom rješavanja spora i djelimičnog namirenje tužbenih zahtjeva, sud je osnovano polazio od činjenice da je obaveza dokazivanja postojanja pravnog osnova za otkaz i poštovanje utvrđenog postupka za otkaz na poslodavcu. Poslodavac nije dostavio ni dokaz da B2B sistem sadrži povjerljive informacije, niti dokaz da je tužilac širio podatke koji predstavljaju poslovnu tajnu.

Naravno, mnoge kompanije ne mogu dokazati svoj slučaj na sudu, budući da regulatorni okvir ne sadrži konkretnu listu dokumenata koji se mogu koristiti za potvrdu gubitaka povezanih s nezakonitim otkrivanjem povjerljivih informacija. Osim toga, vrlo je teško procijeniti materijalnu komponentu, na primjer, curenje informacija o ugovornim stranama ili finansijskim pokazateljima, kao i samu činjenicu objelodanjivanja. Na kraju krajeva, otkrivanje se može izvršiti i pismeno i usmeno. U tom smislu, mnoge kompanije su prisiljene koristiti takve metode kažnjavanja nesavjesnih radnika kao disciplinske sankcije.

Međutim, ponekad kompanije radije ne peru prljavo rublje u javnosti i rastaju se s takvim zaposlenima na prijateljski način. U ovakvim situacijama poželjno je izdati otkaz sporazumno između stranaka, predviđenih čl. 78 Zakona o radu Ruske Federacije. Jedna od značajnih prednosti je ta što je skoro nemoguće osporiti ovakav otkaz, jer postoji međusobni dogovor stranaka.

U zaključku, treba napomenuti da integritet poslovne tajne, zaštita interesa organizacije i mogućnost vraćanja pravde na sud zavise od toga koliko jasno kompanija definiše listu povjerljivih informacija, kao i proceduru za njihovu zaštitu.

Dodatak

Primjer lista povjerljivih podataka Spisak podataka klasifikovanih kao povjerljive (službene) informacije u centrali Federalne agencije za željeznički saobraćaj i njoj podređenih preduzeća i ustanova, odobren. Naredba Federalne agencije za željeznički saobraćaj od 24.01.2011. godine broj 18

N p/n	Informacije klasifikovane kao poverljive (zvanične) informacije
I. Informacije o aktivnostima sektorskog upravljanja
1	Odvojeni materijali sa sastanaka Federalne agencije za željeznice transport (u daljem tekstu - Roszheldor) i informacije sadržane u njemu, ograničenje pristupa kojem je utvrđeno odlukom sastanka PDTK-a Roszheldor
2	Informacije (informacije) koje je pripremio Roszheldor za dolazne od organi javne vlasti, preduzeća, ustanove i organizacije, bez obzira na organizaciono-pravnu formu i formu nekretnine sa oznakom "Za službenu upotrebu", "Komercijalni tajno", "Povjerljivo" i drugo u dijelu koji ne sadrži podatke, predstavlja državnu tajnu
3	Informacija koja sadrži pokazatelje državnog naloga odbrane u dio koji ne sadrži podatke koji predstavljaju državnu tajnu
4	Informacije sadržane u materijalima interne revizije (istraga), prije donošenja akta (zaključka) o provjeri, i također ako su informacije dobijene kao rezultat provjere (istraga), može se koristiti u budućnosti za nezakonita radnja (oštećenje)
5	Informacije o organizaciji rada, o konkretnim mjerama ili u toku mjere koje imaju za cilj osiguranje sigurnosti informacija u realizaciji međunarodne saradnje uz učešće predstavnici Roszheldora, kao i oni sadržani u pripremnim ili izvještajna dokumenta (obrasci) o sastanku
II. Informacije o administrativnim i privrednim aktivnostima
6	Informacije o ličnim podacima zaposlenika Roszheldora sadržane u lični dosije zaposlenog, osim u slučajevima predviđenim zakonodavstvo Ruske Federacije
7	Podaci dobijeni prilikom prijema građanina u državu državnu službu, neophodnu za prijem u državna tajna
8	Informacija o svijesti zaposlenika o informacijama koje čine državna tajna
9	Zapisnici sa sjednica tenderskih komisija za održavanje tendera za popunjavanje upražnjenih radnih mjesta u državnoj službi
10	Akti inspekcije aktivnosti teritorijalnih odjeljenja i podređene organizacije
11	Informacije o osoblju Roszheldora
12	Podaci o lokaciji strukturnih jedinica u zgradi
13	Zapisnici sa sjednica stambene komisije
14	Zapisnici sa sjednica konkursne komisije za održavanje kvalifikacioni ispit i certifikaciju
III. Podaci o režimu tajnosti, priprema za mobilizaciju, civilna zaštita, vanredne situacije i sigurnost transporta
15	Akti inspekcije za osiguranje kontrole pristupa u upravnom Roszheldor zgrada
16	Informacija o rezultatima procjene ranjivosti transportnih objekata infrastrukturu i transportna sredstva osim onih koji pružaju čije obezbjeđenje vrši isključivo federalna izvršne vlasti
17	Informacije sadržane u planovima sigurnosti transporta objekat saobraćajne infrastrukture i vozila
18	Informacije koje su informacioni resursi jedinstvene države transportni sigurnosni informacioni sistem, pripremio Roszheldor, sa izuzetkom izvoda iz registra kategorisani objekti saobraćajne infrastrukture i transporta sredstva
IV. Informacije o zaštiti podataka
19	Podaci o organizaciji obrade uslužnih informacija o sredstvima kompjuterska tehnologija Rosheldora
20	Informacije koje otkrivaju organizaciju, stanje zaštite informacija, odn mediji, odnosno informacioni proces
21	Informacije o metodama, sredstvima ili djelotvornosti (status zaštite) povjerljive informacije u automatiziranim informacijama sistemi, računarska oprema, ostalo tehničko znači
22	Generalizovane informacije sadržane u šemi lokalnog računarstva mreže Roszheldora, što ukazuje na organizacione i tehnološke parametri ili tehničke karakteristike i lokacije njegovog odgovorne komponente, informacioni čvorovi (definisani na shema)
23	Informacije o konkretnim tekućim i (ili) planiranim aktivnostima informacijska sigurnost povjerljivih informacija
V. Ostale informacije
24	Informacije o organizaciji, stanju ili lokaciji inženjerskih sistema video nadzor, požarni ili protuprovalni alarm zgrade Roszheldor
25	Informacije koje otkrivaju sadržaj planova i konkretnih mjera za zaštita zgrade Roszheldora, prostorija u kojima se izvode radovi, materijali su pohranjeni, u toku su povjerljivi pregovori
26	Podaci sigurnosnog video nadzora, fiksacija sigurnosnog sistema lokala, elektronski sistem pristupa zgradi

Povjerljivost

Povjerljivost.(engleski) samopouzdanje- povjerenje) - potreba da se spriječi curenje (otkrivanje) bilo koje informacije.

U anglo-američkoj tradiciji postoje dvije glavne vrste povjerljivosti: dobrovoljna (privatnost) i prisilna (tajnost). (Vidi Edward Shiels - Muka tajnosti: Pozadina i posljedice američke sigurnosne politike (Chicago: Dee) Prvi slučaj se odnosi na prerogative pojedinca, drugi se odnosi na informacije za službenu upotrebu, dostupne ograničenom krugu kompanija službenici korporacije, državnog organa, javne ili političke organizacije. Iako su privatnost i tajnost slične po značenju, u praksi su obično kontradiktorne: jačanje tajnosti dovodi do narušavanja i smanjenja privatnosti. U totalitarnim i autoritarnim državama povjerljivost, po pravilu znači samo tajnost.

Definicije

Povjerljivost informacija - princip revizije, koji se sastoji u tome da su revizori dužni osigurati sigurnost dokumenata primljenih ili sastavljenih od njih u toku revizijskih aktivnosti, te nemaju pravo prenositi te dokumente ili njihove kopije bilo kojoj trećoj strani, ili da usmeno otkriju informacije koje se u njima nalaze bez saglasnosti vlasnika privrednog subjekta, osim u slučajevima predviđenim zakonskim aktima.

Povjerljivost informacija - obavezan uslov za lice koje ima pristup određenim informacijama da takve informacije ne prenosi trećim licima bez saglasnosti njihovog vlasnika.

Povjerljiva informacija- informacije čiji je pristup ograničen u skladu sa zakonodavstvom Ruske Federacije i predstavljaju komercijalnu, službenu ili osobnu tajnu, koju štiti njen vlasnik.

Službena tajna- povjerljive informacije zaštićene zakonom, koje su u državnim organima i jedinicama lokalne samouprave postale poznate samo na zakonskim osnovama i zbog vršenja službene dužnosti, kao i službene informacije o aktivnostima državnih organa kojima je pristup ograničen saveznim zakonom ili zbog službene potrebe. U važećem zakonodavstvu Ruske Federacije ne postoji jednoznačna definicija pojma "službena tajna". Službena tajna je jedan od objekata građanskih prava prema građanskom zakonodavstvu Ruske Federacije. Režim zaštite službene tajne je generalno sličan režimu zaštite poslovne tajne. U nekim slučajevima zakon predviđa krivičnu odgovornost za odavanje službene tajne (na primjer, za odavanje tajne usvojenja, ili za odavanje podataka koji predstavljaju poslovnu, poresku ili bankarsku tajnu od strane osobe kojoj su ti podaci postali poznati u službi) .

Službena tajna- informacije sa ograničenim pristupom, izuzev informacija klasifikovanih kao državna tajna i podataka o ličnosti, sadržanih u državnim (opštinskim) informacionim resursima, akumuliranih na teret državnog (opštinskog) budžeta iu vlasništvu države, čija je zaštita sprovodi u interesu države.

Zaštita povjerljivosti jedan je od tri cilja informacione sigurnosti (uz zaštitu integriteta i dostupnosti informacija).

Relevantnost privatnosti

Od početka upotrebe računarske tehnologije u svim oblastima ljudske delatnosti, pojavili su se brojni problemi vezani za zaštitu poverljivosti. To je uglavnom zbog obrade dokumenata korištenjem kompjuterske tehnologije. Mnoge administrativne mjere za zaštitu privatnosti pojedinaca i organizacija izgubile su na snazi ​​zbog prelaska toka posla u potpuno novo okruženje.

Prilikom primanja ličnih pisama, prilikom sklapanja ugovora, poslovne korespondencije, telefonskih razgovora sa poznanicima i nepoznatim osobama, osoba je koristila različita sredstva autentifikacije. Lična pisma su slana sa postojećom poštanskom adresom ili su imala pečat upravo onih poštanskih ureda u kojima su takva pisma obrađena. Prilikom sklapanja ugovora korišćeni su memorandumovi proizvedeni u štamparijama, na kojima je pisaćim mašinama koje su imale jedinstvene serijske brojeve štampan tekst koji je potom potpisao službeno lice i ovjerio pečatom organizacije. Prilikom telefonskog razgovora pouzdano se znalo da se razgovor vodi sa osobom čiji je glas od ranije poznat. Više stotina administrativnih mjera imalo je za cilj zaštitu privatnosti komunikacije ljudi.

Uvođenjem kompjuterske tehnologije u ljudski život mnogo se toga promijenilo. Kada se koristi, na primjer, e-mail, postalo je moguće naznačiti nepostojeću povratnu adresu ili simulirati primanje pisma od poznate osobe. U svakodnevnoj komunikaciji putem interneta mnogi znakovi koji identifikuju određenu osobu u svakodnevnom životu (pol, godine, stepen obrazovanja) prestali su biti takvi. Pojavila se takozvana "virtuelna stvarnost".

Nemoguće je brzo i efikasno rešiti probleme u vezi sa zaštitom poverljivosti u računarskim sistemima. Postoji potreba za integriranim pristupom rješavanju ovih problema. Ovaj pristup bi trebao uključivati ​​korištenje organizacionih i pravnih mjera, kao i softvera i hardvera koji štite povjerljivost, integritet i dostupnost.

Do danas, organizacije imaju skup standarda kako bi osigurale ispravno rukovanje povjerljivim informacijama. Rukovodilac organizacije potpisuje listu informacija povjerljive prirode. U ugovoru koji potpisuju zaposleni i poslodavac postoji klauzula koja govori o odgovornosti za netačan rad sa povjerljivim podacima, zbog čega, ukoliko se ne poštuju standardi rada sa ovim podacima propisanim ugovorom, postoji pravni osnov za privođenje takvih radnika administrativnoj ili krivičnoj odgovornosti. Takođe u organizacijama postoji niz mjera usmjerenih na osiguranje zaštite povjerljivih informacija. Na primjer, takve mjere mogu biti: odabir kvalifikovanog osoblja, predviđanje mogućih prijetnji i provođenje mjera za njihovo sprječavanje, korištenje različitih nivoa kadrovskog pristupa informacijama različite tajnosti.

Kako je ovu oblast nemoguće detaljno proučiti u kratkom vremenu, uveden je pravac za obuku stručnjaka iz oblasti informacione sigurnosti.

Uz pomoć softverskih i hardverskih alata za zaštitu informacija različitih proizvođača moguće je postići veće performanse ako se koriste na složen način. Takvi alati uključuju opremu za kriptografsku zaštitu govornih informacija, programe za kriptografsku zaštitu teksta ili drugih informacija, programe za provjeru autentičnosti e-mail poruka putem elektronskog digitalnog potpisa, programe za pružanje antivirusne zaštite, programe za zaštitu od mrežnih upada. , programi za otkrivanje upada, programi za skrivanje obrnute adrese pošiljaoca e-pošte.

Takvu listu softvera i hardvera, po pravilu, izrađuju stručnjaci iz oblasti informacione bezbednosti, uzimajući u obzir mnoge faktore, na primer, karakteristike automatizovanog sistema, broj korisnika u ovom sistemu, razliku u nivo pristupa ovih korisnika itd.

Povjerljivost u zakonodavstvu Ruske Federacije

Bilješke

Književnost

• Veliki pravni rečnik. 3. izd., dop. i prerađeno. / Ed. prof. A. Ya. Sukharev. - M.: INFRA-M, 2007. - VI, 858 s - (B-ka rječnici "INFRA-M")

Linkovi

• Povjerljive informacije u ruskom zakonu

vidi takođe

Wikimedia fondacija. 2010 .

Sinonimi:

Antonimi:

Pogledajte šta je "Povjerljivost" u drugim rječnicima:

Tajnost, tajnost, povjerljivost, tajnost. Ant. otvorenost, glasnost Rečnik ruskih sinonima. povjerljivost vidi tajnost Rječnik sinonima ruskog jezika. Praktični vodič. M.: Ruski jezik... Rečnik sinonima

povjerljivost- Svojstvo informacija da ih ne mogu pročitati neovlašteni korisnici i/ili procesi. Čuvanje kritičnih informacija u tajnosti; pristup mu je ograničen na uski krug korisnika (pojedinci ... ... Priručnik tehničkog prevodioca

POVJERLJIVO [de], oh, oh; lan, lan (knjiga). Tajno, povjerljivo. K. razgovor. Izvještaj povjerljivo (adv.). Objašnjavajući Ožegovov rječnik. S.I. Ozhegov, N.Yu. Shvedova. 1949 1992 ... Objašnjavajući Ožegovov rječnik

Povjerljivost- Etički zahtjev koji se primjenjuje iu eksperimentalnim istraživanjima i u psihoterapiji. Prema ovom zahtjevu, učesnici ili pacijenti imaju pravo na prikupljanje informacija tokom studija ili tretmana, a ne… Velika psihološka enciklopedija

povjerljivost- 2.6 povjerljivost Svojstvo informacija da bude nedostupno i privatno neovlaštenom pojedincu, entitetu ili procesu. [ISO/IEC 7498-2] Izvor ... Rječnik-priručnik pojmova normativne i tehničke dokumentacije

povjerljivost- ▲ ograničen pristup (predmet), povjerljivost informacija. povjerljivo i ne podliježe širokom publicitetu; dostupno uskom krugu ljudi (# razgovor). povjerljivo. samopouzdanje. povjerenje (# ton). povjerljivo. povjerenje (#… … Ideografski rečnik ruskog jezika

Povjerljive informacije - informacije kojima je pristup ograničen u skladu sa zakonodavstvom zemlje i stepenom pristupa informacijskom resursu. Povjerljive informacije se stavljaju na raspolaganje ili otkrivaju samo ovlaštenim licima, subjektima ili procesima.

Rusko zakonodavstvo razlikuje nekoliko vrsta povjerljivih informacija - državne tajne, službene tajne, poslovne tajne, medicinske (medicinske) tajne, notarske tajne, revizorske tajne, advokatske tajne, bankovne tajne, porezne tajne, lične i porodične tajne, tajne usvojenja, tajne sastanak sudija, tajnost istrage i sudskog postupka, tajnost osiguranja itd. Prema V. A. Kolomiyetsu, oko 50 vrsta povjerljivih informacija trenutno se spominje u regulatornim pravnim aktima različitih nivoa.

Poznata je važnost informacija u životu i aktivnostima svakog modernog čovjeka. Poznato je i kolika je uloga informacija za uspješno rješavanje konkretnog problema, za postizanje ciljeva. Da bi se pronašao tačan odgovor na pitanje koje se rješava, da bi se izbjegle greške u donošenju odluka, bolje je za nekoga ko je jasno orijentisan u informacionom prostoru, ko po potrebi ima mogućnost da lako i blagovremeno dođe do informacija od interesa za njega.

44. Formiranje i savremeno definisanje pojma "državna tajna"

Koncept državne tajne jedan je od najvažnijih u sistemu zaštite državnih tajni u svakoj zemlji. Od njene tačne definicije zavisi i politika rukovodstva zemlje u oblasti zaštite tajni.

Definicija ovog koncepta data je u Zakonu Ruske Federacije "O državnim tajnama": "Državna tajna - informacije koje štiti država u oblasti svojih vojnih, spoljnopolitičkih, ekonomskih, obavještajnih, kontraobavještajnih i operativno-istražnih aktivnosti, čije širenje može štetiti sigurnosti Ruske Federacije."

Ova definicija ukazuje na kategorije informacija koje su zaštićene od strane države, te da širenje tih informacija može biti štetno po interese državne bezbjednosti.

Model za utvrđivanje državne tajne obično uključuje sljedeće bitne karakteristike:

1. Predmeti, pojave, događaji, oblasti delovanja koje čine državnu tajnu.

2. Neprijatelj (dati ili potencijalni), od kojeg se uglavnom vrši zaštita državnih tajni.

3. Navođenje u zakonu, spisku, uputstvu podataka koji predstavljaju državnu tajnu.

4. Šteta za odbranu, spoljnu politiku, ekonomiju, naučno-tehnološki napredak zemlje i dr. u slučaju otkrivanja (curenja) podataka koji predstavljaju državnu tajnu.

Poređenja radi, evo kratkih definicija pojma državne tajne od strane stručnjaka iz drugih zemalja.

Njemački krivični zakon propisuje da su državne tajne činjenice, predmeti ili saznanja koja su dostupna samo ograničenom krugu ljudi i moraju se čuvati u tajnosti od strane vlade kako bi se spriječila opasnost od ozbiljne štete po vanjsku sigurnost Savezne Republike. Njemačke.

Izvršna naredba predsjednika Sjedinjenih Država od 2. aprila 1982. navodi da se informacije o nacionalnoj sigurnosti odnose na određene informacije o nacionalnoj odbrani i međunarodnim poslovima koje su zaštićene od neovlaštenog otkrivanja.

U nekim zemljama ovaj koncept se izražava drugim terminima, na primjer, u Japanu - "tajna odbrane".

Koje informacije se mogu klasifikovati kao državna tajna utvrđeno je Ukazom predsednika Ruske Federacije od 30. novembra 1995. br. 1203. Podaci su klasifikovani kao takvi (navedeni su samo delovi): u vojnoj oblasti; o vanjskoj politici i vanjskoekonomskoj djelatnosti; u oblasti ekonomije, nauke i tehnologije; u oblasti obavještajne, kontraobavještajne i operativno-istražne djelatnosti.

Nemoguće je klasifikovati podatke kao državnu tajnu:

ako njegovo curenje (otkrivanje i sl.) ne nanosi štetu nacionalnoj sigurnosti zemlje;

Kršenje važećih zakona;

Ako će se prikrivanjem informacija povrijediti ustavna i zakonska prava građana;

Za prikrivanje aktivnosti koje štete prirodnoj sredini, ugrožavaju život i zdravlje građana. Ova lista je detaljno opisana u čl. 7 Zakona Ruske Federacije "O državnim tajnama".

Važna karakteristika državne tajne je stepen tajnosti informacija koje se odnose na njih. U našoj zemlji je usvojen sistem označavanja podataka koji čine državnu tajnu: „od posebnog značaja“, „strogo poverljivo“, „tajno“. Ovi pečati se stavljaju na dokumente ili proizvode (njihovu ambalažu ili prateću dokumentaciju). Podaci koji se nalaze pod ovim pečatima su državna tajna.

Po kojim kriterijumima se informacije klasifikuju, prvo, kao državna tajna, a drugo, kao određeni stepen tajnosti?

Odgovor na ovo pitanje daju Pravila za tajnost podataka koji predstavljaju državnu tajnu do različitih stepena tajnosti, navedena u Uredbi Vlade Ruske Federacije br. 870 od 4. septembra 1995. godine.

Informacije od posebnog značaja treba da uključuju informacije čije širenje može štetiti interesima Ruske Federacije u jednoj ili više oblasti.

Strogo povjerljive informacije trebaju uključivati ​​informacije čije širenje može štetiti interesima ministarstva (odjela) ili sektora privrede Ruske Federacije u jednoj ili više oblasti.

Tajni podaci trebaju uključivati ​​sve druge podatke koji predstavljaju državnu tajnu. Šteta se može učiniti interesima preduzeća, institucije ili organizacije.

Iz ovih definicija vidi se relativno visok stepen nesigurnosti znakova koji karakterišu jedan ili drugi stepen tajnosti podataka koji čine državnu tajnu.

Pokušava se izjednačiti stepen tajnosti informacija sa visinom štete (na primjer, u novcu) koja može nastati u slučaju curenja informacija. Međutim, oni nisu dobili nikakvu široku distribuciju i odobrenje.

Nema jasnoće o ovom pitanju u Ukazu predsjednika Sjedinjenih Država "Informacije o nacionalnoj sigurnosti". Konkretno kaže:

1. Strogo povjerljivo se primjenjuje na informacije čije bi neovlašteno otkrivanje moglo, u razumnim granicama, nanijeti izuzetno ozbiljnu štetu nacionalnoj sigurnosti.

2. Klasifikacija "tajna" treba se koristiti u odnosu na informacije čije bi neovlašteno otkrivanje moglo uzrokovati, u razumnim granicama, ozbiljnu štetu nacionalnoj sigurnosti.

3. Oznaka "povjerljivo" je ista, samo je iznos štete označen kao "šteta nacionalnoj sigurnosti".

Kao što se vidi iz prethodnog, razlika između tri stepena tajnosti zavisi od veličine štete koja se označava kao "izuzetno ozbiljna", "ozbiljna" ili jednostavno "šteta".

Ove kvalitativne karakteristike – kriterijumi za stepen tajnosti informacija koje sadrže državnu tajnu – uvek ostavljaju prostor za dobrovoljno ili nevoljno unošenje subjektivnog faktora u proces tajnosti informacija.

Pojam, vrste i visina štete još nisu dovoljno razvijeni i, po svemu sudeći, bit će različiti za svaki konkretni objekt zaštite - sadržaj informacija koje čine državnu tajnu, suštinu činjenica, događaja i pojava stvarnosti koje se odražavaju. u tome. Ovisno o vrsti, sadržaju i

Obim štete se može podijeliti u grupe određenih vrsta štete u slučaju curenja (ili mogućeg curenja) podataka koji predstavljaju državnu tajnu.

Politička šteta može nastati kada procure informacije političke i spoljnopolitičke prirode, o obavještajnim aktivnostima državnih specijalnih službi i sl. Politička šteta se može izraziti u činjenici da kao rezultat curenja informacija dođe do ozbiljnih promjena u međunarodnom situacija se može desiti ne u korist Ruske Federacije, zemlja gubi političke prioritete u nekim oblastima, pogoršanje odnosa sa bilo kojom zemljom ili grupom zemalja, itd.

Ekonomska šteta može nastati kada procure informacije bilo kojeg sadržaja: političke, ekonomske, vojne, naučno-tehničke itd. Ekonomska šteta se može izraziti prvenstveno u novcu. Ekonomski gubici od curenja informacija mogu biti direktni i indirektni.

Dakle, direktni gubici mogu nastati kao rezultat curenja tajnih podataka o sistemima naoružanja, odbrani zemlje, koji su zbog toga praktično izgubili ili izgubili svoju efikasnost i zahtijevaju velike troškove za njihovu zamjenu ili prilagođavanje. Na primjer, A. Tolkachev, agent američke CIA-e, vodeći inženjer na Istraživačkom institutu industrije radiotehnike, dao je Amerikancima mnogo važnih i vrijednih informacija. Amerikanci su vrijednost dobijenih informacija od njega procijenili na oko šest milijardi dolara.

Indirektni gubici se najčešće iskazuju kao veličina izgubljene dobiti: neuspjeh pregovora sa stranim firmama, sa kojima je postojao dogovor o isplativim poslovima; gubitak prioriteta u naučnim istraživanjima, kao rezultat toga, rival je brže završio svoje istraživanje i patentirao ga itd.

Moralna šteta, po pravilu, neimovinske prirode proizilazi iz curenja informacija koje je izazvalo ili pokrenulo nezakonitu propagandnu kampanju protiv države, narušavajući ugled zemlje, što je dovelo do protjerivanja naših diplomata, obavještajnih agenata koji djeluju pod diplomatskim pokrićem itd. iz nekih država.

Povjerljive informacije u svim oblastima pažljivo su zaštićene zakonom. Stoga je dužnost zaposlenih koji imaju pristup zaštiti podataka i sprječavanju otkrivanja. Postoje različite odgovornosti za otkrivanje povjerljivih informacija. Osoba može čak i biti osuđena po članu iz Krivičnog zakonika ako je počinila teži prekršaj. Stoga je u interesu samih zaposlenih da se njihovom krivicom ne procure informacije trećim licima.

Šta je povjerljiva informacija

Povjerljive informacije su lični podaci sa ograničenim pristupom. Takvi podaci su različitih vrsta, ali su svi zaštićeni zakonom. Zaposleni koji imaju pristup njima dužni su da čuvaju tajnost i ne dozvoljavaju publicitet. Štaviše, oni sami ne bi trebali da otkrivaju takve informacije čak ni u krugu porodice.

Vrste povjerljivih informacija:

1. Lični podaci pojedinca. To uključuje sve što se tiče događaja i činjenica iz privatnog života.
2. Službena tajna. Pristup tome imaju samo državni službenici koji imaju određenu funkciju. Ovo može uključivati ​​poreznu tajnu, informacije o usvajanju itd.
3. profesionalna tajna. Zaštićen je Ustavom Rusije, a poznat je ograničenom broju ljudi koji obavljaju svoju profesionalnu dužnost.
4. Lični dosijei osuđenih za zločine.
5. Poslovna tajna. Ove informacije se moraju čuvati kako bi se pravno lice zaštitilo od konkurencije, odnosno radi ostvarivanja pogodnosti.
6. Informacije o sudskim odlukama i njihovom izvršenju u okviru postupka.
7. Tajnost istrage i sudskog postupka. Ovo može uključivati ​​informacije o žrtvama i svjedocima kojima je potrebna zaštita države. Podaci o sudijama i službenicima za provođenje zakona također su tajni.

Ove informacije su povjerljive i ne podliježu otkrivanju. Neophodno je čuvati povjerljivost takvih informacija radi zaštite interesa fizičkih i pravnih lica. Neotkrivanje je neophodno, jer publicitet može dovesti do strašnih posljedica. Na primjer, do bankrota firme, javne osude osobe, opasnosti koja je nastala za svjedoke i žrtve. Ako zaposleni dozvoli širenje informacija, onda ima pravo da ga kazni u zavisnosti od težine prekršaja.

ugovor o neotkrivanju podataka

Da biste zaposleniku omogućili pristup povjerljivim podacima, morat ćete potpisati ugovor o neotkrivanju podataka. Jer na osnovu ovog dokumenta biće moguće pozivati ​​na odgovornost ukoliko zaposleni ne poštuje svoje obaveze u pogledu bezbednosti podataka. Ne postoji poseban obrazac za sporazum, ali sve važne tačke moraju biti prisutne, kao što su obaveze strana i odgovornost za otkrivanje.

Ali također morate shvatiti da bez toga ne možete dobiti pristup povjerljivim informacijama. U svakom slučaju, vrijedi lično razgovarati o situaciji sa nadležnima kako bi se riješio problem sa ugovorom.

Kako dokazati otkrivanje ličnih podataka

Kazna, na primjer, novčana kazna prema ugovoru o tajnosti, bit će izrečena samo ako je moguće potvrditi činjenicu kršenja. Za to će poslužiti svaki dokaz. U pravilu ih nije teško dobiti ako je bilo moguće identificirati nesavjesnog zaposlenika.

Međutim, za početak je potrebno potvrditi činjenicu da su tajni podaci zaista postojali i da je određena osoba imala pristup njima. Da biste to učinili, morate koristiti dokumente, na primjer, ugovor o neotkrivanju podataka. Dokazi će biti potrebni u svakom slučaju, čak i za disciplinske mjere. Štaviše, oni će biti potrebni sudu, jer da bi se smatralo odgovornim po članu, potrebni su značajni razlozi i baza dokaza.

Šta je odgovornost

Zaposleni mora znati koje informacije će biti tajne, a koje javne. Stoga ne može objaviti povjerljive podatke samo iz razloga što nije znao za ograničen pristup njima. U većini slučajeva zaposleni namjerno objavljuju informacije koje će biti zaštićene. Ovo se radi iz ličnih razloga ili u sebične svrhe.

Kazna zavisi od prirode prekršaja. Razmotrite vrste u zavisnosti od odgovornosti do koje se krivac može dovesti.

Šta bi mogla biti kazna?

1. Disciplinska kazna. Imenuje ga menadžment organizacije nakon interne revizije i istrage. Zaposlenik može biti ukoren, ukoren ili čak otpušten. Konkretno rješenje ovisi o situaciji.
2. Administrativna odgovornost. Može nastati kada se otkrivaju lični podaci, kao i kršenje zaštite informacija, pored državne tajne. Krivac može biti kažnjen novčanom kaznom do 10.000 rubalja.
3. Krivična odgovornost. Komponente krivičnih djela su prilično raznolike i određuju se na individualnoj osnovi. Ako je povreda kaznene prirode, onda ih mogu čak i lišiti slobode.
4. Građanska odgovornost. Žrtva može tražiti moralnu štetu.

U Ukrajini postoje približno ista pravila u pogledu kažnjavanja za otkrivanje povjerljivih informacija. Odgovornost se može izbjeći samo u određenim slučajevima.

Bibliografski opis:

Nesterov A.K. Osiguravanje sigurnosti informacija [Elektronski izvor] // Stranica obrazovne enciklopedije

Uporedo sa razvojem informacionih tehnologija i sve većim značajem informacionih resursa za organizacije, raste i broj pretnji njihovoj informacionoj bezbednosti, kao i moguća šteta od njenog kršenja. Postoji objektivna potreba da se osigura informaciona sigurnost preduzeća. U tom smislu, napredak je moguć samo u uslovima ciljane prevencije pretnji informacionoj bezbednosti.

Alati za sigurnost informacija

Osiguravanje sigurnosti informacija provodi se pomoću dvije vrste alata:

• softver i hardver
• sigurnim komunikacijskim kanalima

Softverski i hardverski alati za osiguranje informacione sigurnosti u savremenim uslovima razvoja informacionih tehnologija najčešći su u radu domaćih i stranih organizacija. Pogledajmo bliže glavne softverske i hardverske alate za zaštitu informacija.

Softverska i hardverska zaštita od neovlašćenog pristupa obuhvata mere identifikacije, autentifikacije i kontrole pristupa informacionom sistemu.

Identifikacija je dodjela jedinstvenih identifikatora subjektima pristupa.

To uključuje radiofrekventne oznake, biometrijske tehnologije, magnetne kartice, univerzalne magnetne ključeve, prijave za ulazak u sistem itd.

Autentifikacija - provjera vlasništva subjekta pristupa prikazanom identifikatoru i potvrda njegove autentičnosti.

Procedure autentifikacije uključuju lozinke, pin kodove, pametne kartice, usb ključeve, digitalne potpise, ključeve sesije, itd. Proceduralni dio sredstava identifikacije i autentifikacije je međusobno povezan i, zapravo, predstavlja osnovnu osnovu svih softverskih i hardverskih alata za osiguranje informacione sigurnosti, budući da su svi ostali servisi dizajnirani da opslužuju specifične subjekte koje informacioni sistem ispravno prepoznaje. Generalno, identifikacija omogućava subjektu da se identifikuje u informacionom sistemu, a uz pomoć autentifikacije, informacioni sistem potvrđuje da je subjekt zaista ono za koga se predstavlja. Na osnovu prolaska ove operacije vrši se operacija za omogućavanje pristupa informacionom sistemu. Procedure kontrole pristupa omogućavaju ovlašćenim subjektima da vrše radnje dozvoljene propisima, a informacioni sistem da kontroliše te radnje na ispravnost i ispravnost dobijenog rezultata. Kontrola pristupa omogućava sistemu da sakrije od korisnika podatke kojima oni nemaju pristup.

Sljedeće sredstvo softverske i hardverske zaštite je evidentiranje i revizija informacija.

Logiranje obuhvata prikupljanje, akumulaciju i skladištenje informacija o događajima, radnjama, rezultatima koji su se desili tokom rada informacionog sistema, pojedinačnih korisnika, procesa i svih softvera i hardvera koji su deo informacionog sistema preduzeća.

Kako svaka komponenta informacionog sistema ima unapred određen skup mogućih događaja u skladu sa programiranim klasifikatorima, događaji, radnje i rezultati se dele na:

• vanjski, uzrokovan djelovanjem drugih komponenti,
• unutrašnje, uzrokovano djelovanjem same komponente,
• klijent, uzrokovan radnjama korisnika i administratora.

Revizija informacija se sastoji u provođenju operativne analize u realnom vremenu ili u datom periodu.

Na osnovu rezultata analize, ili se generiše izveštaj o događajima koji su se desili, ili se pokreće automatski odgovor na vanrednu situaciju.

Implementacijom evidentiranja i revizije rješavaju se sljedeći zadaci:

• osiguranje odgovornosti korisnika i administratora;
• omogućavanje rekonstrukcije slijeda događaja;
• otkrivanje pokušaja narušavanja sigurnosti informacija;
• pružanje informacija za identifikaciju i analizu problema.

Često je zaštita informacija nemoguća bez upotrebe kriptografskih alata. Koriste se za pružanje usluga enkripcije, integriteta i autentifikacije kada se sredstva provjere autentičnosti pohranjuju u šifriranom obliku od strane korisnika. Postoje dvije glavne metode šifriranja: simetrična i asimetrična.

Kontrola integriteta vam omogućava da utvrdite autentičnost i identitet objekta, koji je niz podataka, pojedinačni delovi podataka, izvor podataka, kao i da se obezbedi nemogućnost označavanja radnje koja se obavlja u sistemu nizom informacija. Implementacija kontrole integriteta temelji se na tehnologijama konverzije podataka korištenjem enkripcije i digitalnih certifikata.

Drugi važan aspekt je upotreba skrininga, tehnologije koja omogućava, ograničavanjem pristupa subjekata informacionim resursima, kontrolu svih tokova informacija između informacionog sistema preduzeća i eksternih objekata, nizova podataka, subjekata i protivsubjekata. Kontrola toka se sastoji u njihovom filtriranju i, ako je potrebno, transformaciji prenesenih informacija.

Zadatak zaštite je da zaštiti interne informacije od potencijalno neprijateljskih vanjskih faktora i aktera. Glavni oblik implementacije zaštite su zaštitni zidovi ili zaštitni zidovi različitih tipova i arhitektura.

Budući da je jedan od znakova informacione sigurnosti dostupnost informacionih resursa, obezbjeđivanje visokog nivoa dostupnosti je važan pravac u implementaciji softverskih i hardverskih mjera. Posebno su podijeljena dva područja: osiguranje tolerancije grešaka, tj. failover sistema, mogućnost rada kada dođe do grešaka, te obezbjeđenje sigurnog i brzog oporavka od kvarova, tj. servisabilnost sistema.

Glavni zahtev za informacione sisteme je da uvek rade sa zadatom efikasnošću, minimalnim zastojima i brzinom odziva.

U skladu s tim, dostupnost informacionih resursa obezbjeđuje se:

• korištenje strukturalne arhitekture, što znači da se pojedinačni moduli mogu onemogućiti ili brzo zamijeniti ako je potrebno bez uticaja na druge elemente informacionog sistema;
• obezbeđivanje tolerancije grešaka usled: korišćenja autonomnih elemenata prateće infrastrukture, uvođenja viška kapaciteta u konfiguraciju softvera i hardvera, hardverske redundance, replikacije informacionih resursa unutar sistema, backup podataka itd.
• osiguravanje mogućnosti održavanja smanjenjem vremena za dijagnosticiranje i otklanjanje kvarova i njihovih posljedica.

Druga vrsta sredstava za sigurnost informacija su sigurni kanali komunikacije.

Funkcionisanje informacionih sistema neminovno je povezano sa prenosom podataka, stoga je neophodno da preduzeća obezbede zaštitu prenetih informacionih resursa korišćenjem sigurnih kanala komunikacije. Mogućnost neovlaštenog pristupa podacima tokom prenosa saobraćaja kroz otvorene komunikacione kanale je zbog njihove opšte dostupnosti. Budući da se "komunikacije cijelom dužinom ne mogu fizički zaštititi, stoga je bolje u početku poći od pretpostavke njihove ranjivosti i u skladu s tim obezbijediti zaštitu" . Za to se koriste tehnologije tuneliranja čija je suština enkapsulacija podataka, tj. zapakuju ili umotaju prenete pakete podataka, uključujući sve atribute usluge, u sopstvene koverte. Sukladno tome, tunel je sigurna veza putem otvorenih komunikacijskih kanala, preko kojih se prenose kriptografski zaštićeni paketi podataka. Tuneliranje se koristi da bi se osigurala povjerljivost saobraćaja skrivanjem servisnih informacija i osiguravanjem povjerljivosti i integriteta prenesenih podataka kada se koriste zajedno sa kriptografskim elementima informacionog sistema. Kombinacija tuneliranja i enkripcije omogućava implementaciju virtuelne privatne mreže. Istovremeno, krajnje tačke tunela koji implementiraju virtuelne privatne mreže su zaštitni zidovi koji služe za povezivanje organizacija sa eksternim mrežama.

Zaštitni zidovi kao tačke implementacije servisa virtuelnih privatnih mreža

Dakle, tuneliranje i enkripcija su dodatne transformacije koje se izvode u procesu filtriranja mrežnog saobraćaja uz translaciju adresa. Krajevi tunela, pored korporativnih firewall-a, mogu biti lični i mobilni računari zaposlenih, tačnije, njihovi lični firewall i firewall. Zahvaljujući ovakvom pristupu, osigurano je funkcioniranje sigurnih komunikacijskih kanala.

Procedure sigurnosti informacija

Procedure informacione sigurnosti se obično dijele na administrativni i organizacijski nivo.

• Administrativni postupci obuhvataju opšte radnje koje rukovodstvo organizacije preduzima za regulisanje svih poslova, radnji, poslova u oblasti obezbeđivanja i održavanja informacione bezbednosti, koje se sprovode izdvajanjem potrebnih resursa i praćenjem efektivnosti preduzetih mera.
• Organizacioni nivo predstavlja procedure za obezbeđivanje informacione bezbednosti, uključujući upravljanje osobljem, fizičku zaštitu, održavanje zdravlja softverske i hardverske infrastrukture, promptno otklanjanje bezbednosnih propusta i planiranje radova na oporavku.

S druge strane, distinkcija između administrativnih i organizacionih procedura je besmislena, jer procedure jednog nivoa ne mogu postojati odvojeno od drugog nivoa, čime se narušava odnos između zaštite fizičkog nivoa, lične i organizacione zaštite u konceptu informacione bezbednosti. U praksi, prilikom obezbjeđenja informacione sigurnosti, organizacije ne zanemaruju ni administrativne ni organizacione procedure, pa ih je logičnije posmatrati kao integrisani pristup, jer oba nivoa utiču na fizički, organizacioni i lični nivo zaštite informacija.

Osnova složenih procedura za osiguranje informacione sigurnosti je sigurnosna politika.

Politika sigurnosti informacija

Politika sigurnosti informacija u organizaciji, to je skup dokumentovanih odluka koje donosi menadžment organizacije i koji imaju za cilj zaštitu informacija i povezanih resursa.

U organizacionom i upravljačkom smislu, politika sigurnosti informacija može biti jedan dokument ili sastavljena u obliku više nezavisnih dokumenata ili naloga, ali u svakom slučaju treba da obuhvati sljedeće aspekte zaštite informacionog sistema organizacije:

• zaštita objekata informacionog sistema, informacionih resursa i neposrednog poslovanja sa njima;
• zaštita svih operacija u vezi sa obradom informacija u sistemu, uključujući softver za obradu;
• zaštita komunikacijskih kanala, uključujući žičane, radio kanale, infracrvene, hardverske itd.;
• zaštita hardverskog kompleksa od bočnog elektromagnetnog zračenja;
• upravljanje sigurnosnim sistemom, uključujući održavanje, nadogradnje i administrativne radnje.

Svaki od aspekata treba detaljno opisati i dokumentovati u internim dokumentima organizacije. Interni dokumenti pokrivaju tri nivoa procesa zaštite: gornji, srednji i donji.

Dokumenti o politici bezbednosti informacija najvišeg nivoa odražavaju osnovni pristup organizacije zaštiti sopstvenih informacija i usklađenosti sa nacionalnim i/ili međunarodnim standardima. U praksi postoji samo jedan dokument najvišeg nivoa u organizaciji, pod nazivom „Koncept informacione bezbednosti“, „Propis o bezbednosti informacija“ itd. Formalno, ovi dokumenti nisu povjerljive vrijednosti, njihova distribucija nije ograničena, ali se mogu izdati u izdanju za internu upotrebu i javno objavljivanje.

Dokumenti srednjeg nivoa su strogo povjerljivi i odnose se na specifične aspekte informacione sigurnosti organizacije: sredstva zaštite informacija koja se koriste, sigurnost baza podataka, komunikacije, kriptografski alati i druge informacije i ekonomske procese organizacije. Dokumentacija je implementirana u obliku internih tehničkih i organizacionih standarda.

Dokumenti nižeg nivoa dijele se na dvije vrste: pravilnik o radu i uputstvo za upotrebu. Pravilnik o radu je strogo povjerljiv i namijenjen je samo licima koja na dužnosti obavljaju poslove na administraciji pojedinačnih službi zaštite informacija. Uputstva za rad mogu biti povjerljiva ili javna; namijenjeni su osoblju organizacije i opisuju proceduru rada sa pojedinim elementima informacionog sistema organizacije.

Svetsko iskustvo pokazuje da je politika informacione bezbednosti uvek dokumentovana samo u velikim kompanijama koje imaju razvijen informacioni sistem koji nameće povećane zahteve za bezbednost informacija, srednja preduzeća najčešće imaju samo delimično dokumentovanu politiku informacione bezbednosti, male organizacije u velikoj većini uopšte ne brinu o dokumentovanju bezbednosne politike. Bez obzira da li je format dokumentacije holistički ili distribuiran, osnovni aspekt je sigurnosni mod.

Postoje dva različita pristupa koja čine osnovu politika sigurnosti informacija:

1. "Dozvoljeno je sve što nije zabranjeno."
2. "Zabranjeno je sve što nije dozvoljeno."

Osnovni nedostatak prvog pristupa je da je u praksi nemoguće predvidjeti sve opasne slučajeve i zabraniti ih. Bez sumnje, treba koristiti samo drugi pristup.

Organizacioni nivo informacione sigurnosti

Sa stanovišta informacione sigurnosti, organizacione procedure za osiguranje informacione sigurnosti predstavljene su kao „regulacija proizvodnih aktivnosti i odnosa između izvođača na pravnoj osnovi koja isključuje ili značajno otežava prisvajanje povjerljivih informacija i ispoljavanje unutrašnjih i vanjskih prijetnji“. .

Mjere upravljanja kadrovima koje imaju za cilj organizovanje rada sa osobljem u cilju obezbjeđivanja informacione sigurnosti uključuju razdvajanje dužnosti i minimiziranje privilegija. Podjela dužnosti propisuje takvu raspodjelu nadležnosti i područja odgovornosti, u kojoj jedna osoba nije u mogućnosti da poremeti proces koji je ključan za organizaciju. Ovo smanjuje mogućnost grešaka i zloupotreba. Minimiziranje privilegija nalaže da se korisnicima da samo onaj nivo pristupa koji je prikladan za njihovu radnu funkciju. Time se smanjuje šteta od slučajnih ili namjernih pogrešnih radnji.

Fizička zaštita podrazumijeva razvoj i donošenje mjera za neposrednu zaštitu objekata u kojima se nalaze informacioni resursi organizacije, susjednih teritorija, elemenata infrastrukture, računarske opreme, nosača podataka i hardverskih komunikacionih kanala. To uključuje fizičku kontrolu pristupa, zaštitu od požara, zaštitu prateće infrastrukture, zaštitu od prisluškivanja i zaštitu mobilnog sistema.

Održavanje zdravlja softverske i hardverske infrastrukture je sprečavanje stohastičkih grešaka koje prijete da oštete hardverski kompleks, poremete programe i izgube podatke. Glavni pravci u ovom aspektu su pružanje korisničke i softverske podrške, upravljanje konfiguracijom, backup, upravljanje medijima, dokumentacijom i preventivnim održavanjem.

Brzo rješavanje narušavanja sigurnosti ima tri glavna cilja:

1. Lokalizacija incidenata i smanjenje štete;
2. Identifikacija počinioca;
3. Sprečavanje ponovljenih kršenja.

Konačno, planiranje oporavka vam omogućava da se pripremite za nesreće, smanjite štetu od njih i održite barem minimalnu količinu sposobnosti za funkcioniranje.

Korišćenje softvera i hardvera i sigurnih komunikacionih kanala treba da se implementira u organizaciji na osnovu integrisanog pristupa razvoju i odobravanju svih administrativnih i organizacionih regulatornih procedura za obezbeđivanje informacione bezbednosti. Inače, donošenje posebnih mjera ne garantuje zaštitu informacija, a često, naprotiv, izaziva curenje povjerljivih informacija, gubitak kritičnih podataka, oštećenje hardverske infrastrukture i poremećaj softverskih komponenti informacionog sistema organizacije.

Metode sigurnosti informacija

Moderna preduzeća karakteriše distribuirani informacioni sistem koji vam omogućava da uzmete u obzir distribuirane kancelarije i skladišta kompanije, finansijsko računovodstvo i kontrolu upravljanja, informacije iz baze kupaca, uzimajući u obzir odabir indikatora i tako dalje. Dakle, niz podataka je veoma značajan, a velika većina su informacije koje su od prioritetnog značaja za kompaniju u komercijalnom i ekonomskom smislu. Naime, osiguranje povjerljivosti podataka koji imaju komercijalnu vrijednost jedan je od glavnih zadataka osiguranja informacione sigurnosti u kompaniji.

Osiguravanje sigurnosti informacija u preduzeću treba da bude regulisana sledećim dokumentima:

1. Regulativa o sigurnosti informacija. Uključuje formulisanje ciljeva i zadataka za osiguranje informacione bezbednosti, listu internih propisa o alatima za bezbednost informacija i propis o upravljanju distribuiranim informacionim sistemom preduzeća. Pristup propisima ograničen je na rukovodstvo organizacije i šefa odjeljenja za automatizaciju.
2. Propisi za tehničku podršku zaštite informacija. Dokumenti su povjerljivi, pristup je ograničen na zaposlenike odjela za automatizaciju i više rukovodstvo.
3. Propisi za upravljanje distribuiranim sistemom zaštite informacija. Pristup uredbi je ograničen na zaposlene u odeljenju za automatizaciju odgovorne za administriranje informacionog sistema i viši menadžment.

Istovremeno, ove dokumente ne treba ograničavati, već treba razraditi niže nivoe. U suprotnom, ako preduzeće nema druge dokumente koji se odnose na informacionu sigurnost, to će ukazivati ​​na nedovoljan stepen administrativne informacione sigurnosti, jer ne postoje niži dokumenti, posebno uputstva za rad pojedinih elemenata informacionog sistema.

Obavezne organizacione procedure uključuju:

• glavne mjere za razlikovanje osoblja po stepenu pristupa informacijskim resursima,
• fizička zaštita ureda kompanije od direktnog prodora i prijetnji uništenja, gubitka ili presretanja podataka,
• Održavanje funkcionalnosti hardverske i softverske infrastrukture je organizovano u vidu automatizovanog pravljenja rezervnih kopija, daljinske provere medija za skladištenje podataka, pruža se korisnička i softverska podrška na zahtev.

Ovo bi takođe trebalo da uključuje regulisane mere za reagovanje i eliminisanje slučajeva kršenja bezbednosti informacija.

U praksi se često primećuje da preduzeća nisu dovoljno pažljiva prema ovom pitanju. Sve radnje u ovom pravcu provode se isključivo u ispravnom stanju, što povećava vrijeme za otklanjanje slučajeva kršenja i ne garantuje sprečavanje ponovljenih kršenja informacione sigurnosti. Osim toga, potpuno je izostala praksa planiranja akcija za otklanjanje posljedica nakon nesreća, curenja informacija, gubitka podataka i kritičnih situacija. Sve to značajno pogoršava informacionu sigurnost preduzeća.

Na nivou softvera i hardvera treba implementirati trostepeni sistem informacione sigurnosti.

Minimalni kriterijumi za osiguranje informacione sigurnosti:

1. Modul kontrole pristupa:

• implementiran je zatvoren ulaz u informacioni sistem, nemoguće je ući u sistem van verifikovanih radnih mesta;
• implementiran pristup sa ograničenom funkcionalnošću sa mobilnih personalnih računara za zaposlene;
• autorizacija se vrši prema loginovima i lozinkama koje formiraju administratori.

2. Modul za šifriranje i kontrolu integriteta:

• koristi se asimetrična metoda šifriranja za prenesene podatke;
• nizovi kritičnih podataka pohranjeni su u bazama podataka u šifriranom obliku, što im ne dozvoljava pristup čak i ako je informacioni sistem kompanije hakovan;
• kontrola integriteta je obezbeđena jednostavnim digitalnim potpisom svih informacionih resursa koji se čuvaju, obrađuju ili prenose u okviru informacionog sistema.

3. Modul za zaštitu:

• implementirao sistem filtera u zaštitnim zidovima, koji vam omogućava da kontrolišete sve tokove informacija kroz komunikacione kanale;
• eksterne veze sa globalnim informacionim resursima i javnim komunikacionim kanalima mogu se ostvariti samo preko ograničenog skupa verifikovanih radnih stanica koje imaju ograničenu vezu sa korporativnim informacionim sistemom;
• bezbedan pristup sa radnih mesta zaposlenih radi obavljanja službenih dužnosti realizuje se kroz dvostepeni sistem proxy servera.

Konačno, uz pomoć tunelskih tehnologija, virtuelna privatna mreža mora biti implementirana u preduzeću u skladu sa tipičnim modelom izgradnje kako bi se obezbedili sigurni kanali komunikacije između različitih odeljenja kompanije, partnera i klijenata kompanije.

Unatoč činjenici da se komunikacija odvija direktno preko mreža s potencijalno niskim nivoom povjerenja, tehnologije tuneliranja, korištenjem kriptografskih alata, omogućavaju pouzdanu zaštitu svih prenesenih podataka.

zaključci

Osnovni cilj svih mjera koje se preduzimaju u oblasti informacione sigurnosti je zaštita interesa preduzeća, na ovaj ili onaj način vezanih za informacione resurse kojima raspolaže. Iako interesi preduzeća nisu ograničeni na određenu oblast, svi se fokusiraju na dostupnost, integritet i povjerljivost informacija.

Problem osiguranja informacione sigurnosti objašnjava se sa dva glavna razloga.

1. Informacioni resursi koje preduzeće akumulira su dragoceni.
2. Kritična ovisnost o informacionim tehnologijama uzrokuje njihovu široku primjenu.

S obzirom na široku lepezu postojećih pretnji po bezbednost informacija, kao što su uništavanje važnih informacija, neovlašćeno korišćenje poverljivih podataka, prekidi u radu preduzeća usled narušavanja informacionog sistema, možemo zaključiti da sve ovo objektivno dovodi do velikih materijalni gubici.

U osiguranju informacione sigurnosti značajnu ulogu imaju softverski i hardverski alati koji imaju za cilj kontrolu nad računarskim entitetima, tj. hardver, softverski elementi, podaci, koji čine posljednju i najprioritetniju granicu informacione sigurnosti. Prijenos podataka također mora biti siguran u kontekstu održavanja njihove povjerljivosti, integriteta i dostupnosti. Stoga se u savremenim uslovima koriste tehnologije tuneliranja u kombinaciji sa kriptografskim sredstvima za obezbeđivanje sigurnih komunikacijskih kanala.

Književnost

1. Galatenko V.A. Standardi sigurnosti informacija. - M.: Internet univerzitet informacionih tehnologija, 2006.
2. Partyka T.L., Popov I.I. Sigurnost informacija. – M.: Forum, 2012.