"Kadrovi. Zakon o radu za kadrovskog referenta", 2011, N 10
ZAŠTITA INFORMACIJA U ORGANIZACIJI
Autor se bavi problemom osiguranja informacione sigurnosti organizacije. Glavna pažnja posvećena je poslovnim i službenim tajnama, kao i posebnostima rada sa osobljem koje posjeduje povjerljive informacije.
Osiguravanje informacione sigurnosti organizacije jedno je od prioritetnih oblasti administracije kompanije u ovom trenutku. Očigledno je da pouzdanost zaštite informacija direktno zavisi od njene vrednosti. Da bi se zaštitile informacije kompanije, potreban je set mjera za formiranje sistema. U teoriji, sistem informacione bezbednosti shvata se kao racionalna kombinacija pravaca, metoda, sredstava i mera koje smanjuju ranjivost informacija i sprečavaju neovlašćeni pristup informacijama, njihovo otkrivanje ili curenje. Elementi takvog sistema su mjere pravne, organizacione, tehničke i druge prirode.
Pravni element je obavezan za bilo koju vrstu organizacije i za svaki čak i najjednostavniji sistem sigurnosti informacija. U njegovom nedostatku, organizacija neće biti u mogućnosti da pravilno zaštiti povjerljive informacije, kao ni da krivično goni one koji su odgovorni za njihovo otkrivanje i gubitak.
Pravni element, odnosno mjere pravne prirode, uglavnom su usmjerene na pravilno izvršenje dokumenata, kao i na kompetentan rad sa osobljem organizacije, budući da ljudski faktor leži u srcu sistema zaštite informacija. Generalno, u rješavanju problema informacione sigurnosti organizacije značajno mjesto zauzima izbor efektivnih metoda rada sa kadrovima, a pitanja upravljanja kadrovima su uključena u broj glavnih pitanja u obezbjeđivanju sigurnosti informacija.
U radnom odnosu poslodavac i zaposleni razmjenjuju veliku količinu informacija različite prirode, uključujući i povjerljive informacije. Na primjer, poslodavac dobija pristup ličnim podacima zaposlenog, a zaposleni postaje svjestan tajnih podataka poslodavca. Ovaj članak se posebno bavi povjerljivim informacijama poslodavca.
Osoblje organizacije
kao objekat i subjekt ugrožavanja bezbednosti
U modernim kompanijama gotovo svaki zaposlenik postaje nosilac vrijednih informacija koje su od interesa za konkurente, a ponekad i za kriminalne strukture. Otkrivanje povjerljivih informacija može uzrokovati značajnu ekonomsku štetu organizaciji. Očigledno je da se tajno prikupljanje informacija, informacija, krađa dokumenata, materijala, uzoraka koji predstavljaju poslovnu, industrijsku, službenu tajnu, organizira sa ciljem osvajanja tržišta, uštede na sticanju znanja i sl. Nažalost, nije neuobičajeno da zaposlenik ili organizacija, u želji da poveća platu, predloži svoju kandidaturu konkurentskoj firmi i istovremeno obećava da će sa sobom ponijeti baze podataka stare kompanije. Prema nezvaničnim podacima, oko 80% organizacija pati od "industrijske špijunaže" u ovom ili onom obliku.
Dakle, u pitanju zaštite povjerljivih informacija organizacije od raznih vrsta prijetnji, značajno mjesto zauzima osoblje preduzeća koje može postati i objekt i predmet takvih prijetnji. Neophodno je uvesti takav sistem upravljanja kadrovima koji bi pomogao u obezbjeđivanju informacione sigurnosti, imao preventivnu ulogu u odnosu na navedene prijetnje.
Oblici implementacije pretnji informacionoj bezbednosti preduzeća su raznovrsni po prirodi i sadržaju, što objektivno otežava proces njihovog suprotstavljanja. Istovremeno, motivacija zaposlenih prilikom odavanja povjerljivih informacija može biti različita. Sprovođenje mjera kadrovske službe za zaštitu informacija kompanije podrazumijeva planiranje, organizovanje, motivisanje i praćenje osoblja u cilju kreiranja sistema informacione sigurnosti. Zapadni stručnjaci za osiguranje ekonomske sigurnosti smatraju da sigurnost povjerljivih informacija za 80% zavisi od pravilnog odabira, rasporeda i edukacije kadrova.
Tipične greške preduzeća
Melnikova E.I. navodi podatke istraživanja na temu "Metode i sredstva zaštite komercijalnih tajni u preduzeću", koje je sprovedeno u Uljanovsku. Učestvovalo je 40 gradskih preduzeća iz reda velikih, srednjih i malih preduzeća, a konstatovano je da ne postoji efikasan sistem upravljanja kadrovima koji bi svuda obezbedio informacionu bezbednost preduzeća.
Prema ovoj studiji, 65% svih preduzeća ne kontroliše unos i iznošenje papirne dokumentacije, diskova, elektronskih drajvova i drugih medija, kao i video i fotografske opreme od strane zaposlenih sa teritorije preduzeća. U 33,5% svih slučajeva u preduzećima, prostorije u kojima se nalaze računari nisu zaštićene od neovlašćenog pristupa. U 55% preduzeća pri otpuštanju zaposleni ne uzimaju potvrdu o neotkrivanju povjerljivih informacija. U 55% svih preduzeća u preduzeću nije imenovano lice odgovorno za računovodstvo zaposlenih koji imaju pristup informacijama koje sadrže podatke koji predstavljaju poslovnu tajnu, čime se obezbeđuje čuvanje dokumentacije, izdavanje zaposlenima uz potpis i kontrola blagovremenosti. vraćanje navedene dokumentacije na skladištenje. U 47,5% svih preduzeća ne postoje posebno organizovana mesta za prijem posetilaca. U 3/4 preduzeća zabeleženi su slučajevi odavanja podataka koji predstavljaju poslovnu tajnu prilikom kretanja kadrova (zapošljavanje, preseljenje, otpuštanje).
Vrste povjerljivih informacija
Povjerljive informacije su nesumnjivo klasificirane kao informacije s ograničenjem. Inače, pravni režim potonjeg nije dovoljno definisan u normativnim pravnim aktima. Koje informacije se mogu klasifikovati kao poverljive u poslovanju? Kako imenovati ovu informaciju? Kako dokumentirati obavezu zaposlenika da čuva tajne podatke o poslodavcu?
Za definiranje povjerljivih informacija koriste se različiti pojmovi, od kojih svaki nije tačan i tačan: "poslovna tajna", "službena tajna", "insajderska informacija", "profesionalna tajna" itd. O svakom od iznad pojmova.
Njegovi subjekti mogu biti isključivo državni ili opštinski službenici;
Može uključivati samo one povjerljive informacije koje postaju poznate licima na osnovu obavljanja profesionalnih poslova u državnoj ili opštinskoj službi;
Ima posebnu kvalitetnu kompoziciju.
Treba napomenuti da u važećem zakonodavstvu ne postoje jasne smjernice za utvrđivanje suštine službene tajne i da se mora voditi naučnim pristupima.
Ovaj izraz nije prikladan za korištenje pri definiranju povjerljivih informacija komercijalne kompanije, kao ni državne organizacije u kojoj se ne pruža državna usluga.
Pojam "insajderske informacije" u doslovnom prijevodu znači insajderske informacije kompanije.
Rečnik radnog prava. Insajder (inside English - inside) je osoba koja na osnovu službenog položaja ima povjerljive informacije o poslovima kompanije.
Tačka 1. čl. 1 Direktive 2003/6 / EZ insajderske informacije definiraju kao informacije koje nisu javno objavljene, poznate vrijednosti, a koje se odnose na jednog ili više emitenata finansijskih instrumenata ili na jedan ili više takvih instrumenata, a koje će, ako budu objelodanjene, sigurno imati značajan utjecaj na kotacije finansijskih instrumenata ili odgovarajućih derivata.
Za razliku od zemalja sa razvijenim tržištima hartija od vrijednosti, Rusija još nije uvela termin „insajderske informacije“ na zakonodavnom nivou. Predlog zakona "O insajderskim informacijama" je odbijen. Termin nije bio uključen u normativni vokabular. Umjesto koncepta "insajderske informacije" u Federalnom zakonu od 22. aprila 1996. N 39-FZ "O tržištu hartija od vrijednosti" (sa izmjenama i dopunama od 11. jula 2011.), fiksiran je koncept "zvanične informacije". Priznaje: 1) sve informacije koje nisu javno dostupne o izdavaocu i vlasničkim hartijama od vrednosti koje on izdaje; 2) podatak kojim se lica koja po službenom položaju, radnoj dužnosti ili ugovoru zaključenom sa izdavaocem te informacije stavljaju u povoljan položaj u odnosu na druge subjekte tržišta hartija od vrednosti.
V. I. Dobrovolskiy napominje da u svjetskoj praksi koncept "zvanične informacije" odgovara konceptu "insajderske informacije", budući da je ovaj koncept najuniverzalniji, uključujući službene, komercijalne, povjerljive itd. informacije.
U Rusiji, termin "vlasničke informacije" takođe znači poverljive informacije, ali se koristi u oblasti berze. Termin "insajderske informacije" se općenito koristi neformalno.
Da li informacije treba klasifikovati kao povjerljive?
Pravna definicija ima pojam "poslovne tajne". To je, prvo, režim povjerljivosti informacija, koji omogućava njegovom vlasniku, u postojećim ili mogućim okolnostima, da poveća prihode, izbjegne neopravdane troškove, zadrži poziciju na tržištu roba, radova, usluga ili ostvari druge komercijalne koristi; i drugo, same informacije, odnosno informacije bilo koje prirode (proizvodne, tehničke, ekonomske, organizacione i druge) imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog činjenice da su nepoznate trećim licima, kojima treća lica nemaju slobodan pristup po pravnoj osnovi.na osnovu iu odnosu na koji je vlasnik takvih informacija uveo režim poslovne tajne.
Vlasnik informacije ima pravo da je klasifikuje kao poslovnu tajnu ako ta informacija ispunjava gore navedene kriterijume i nije uvrštena u listu podataka koji ne mogu predstavljati poslovnu tajnu iz čl. 5 Saveznog zakona od 29. jula 2004. N 98-FZ "O poslovnoj tajni" (sa izmjenama i dopunama od 11. jula 2011. godine, u daljem tekstu - Zakon o poslovnoj tajni). Ova lista nije zatvorena, jer se u odnosu na druge podatke koji podliježu otkrivanju, Zakon o poslovnoj tajni poziva na druge propise.
Dakle, ako se zaposleni požalio nekome da mu kasni plata ili je nekome rekao o slobodnim radnim mjestima u organizaciji, onda takve radnje neće biti odavanje poslovne tajne.
U cilju zaštite informacija, često se prilikom sklapanja ugovora o radu zaposleni mora pridržavati uslova kao što je neotkrivanje poslovne tajne organizacije. Pored uslova o poslovnoj tajni, ugovor o radu ne isključuje mogućnost potpisivanja posebnog dokumenta o zaštiti podataka koji čine poslovnu tajnu, što je u svojoj suštini logičan zaključak pravne registracije zaštite informacija na nivou privrednog subjekta. GM Kolebošin s pravom ističe da u literaturi postoji predlog konkretno o uputnosti zaključenja dodatnog ugovora o tajnosti podataka sa zaposlenim, koji može biti sadržan kao uslov u ugovoru o radu ili postojati kao poseban dokument. Dakle, organizacija može imati lokalni normativni akt posvećen poslovnoj tajni - propis o poslovnoj tajni (u daljem tekstu Uredba). Prilikom zapošljavanja zaposlenog koji će imati pristup tajnim podacima, poslodavac ga mora po prijemu upoznati sa lokalnim propisima koji su na snazi u organizaciji, a koji su direktno povezani sa radnom funkcijom ovog zaposlenog (član 68. Zakona o radu). Ruske Federacije; član 11. Zakona o poslovnoj tajni), uključujući Pravilnik. Može sadržavati listu povjerljivih informacija, koju utvrđuje rukovodilac na osnovu specifičnosti rada kompanije. Odnosno, zaposleni mora biti upoznat sa spiskom podataka koji čine poslovnu tajnu poslodavca, kao i sa utvrđenim režimom poslovne tajne i mjerama odgovornosti za njeno kršenje.
Ukoliko organizacija nije usvojila lokalne propise koji regulišu rad sa povjerljivim informacijama, zaposleni sa njima nisu upoznati, sigurnost takvih informacija nije osigurana, ne treba govoriti o odavanju poslovne tajne, što znači da će biti nikakvi pravni zahtjevi protiv zaposlenika koji je otkrio takve informacije ne mogu, osim u slučaju kada je prikupljanje takvih informacija izvršeno kroz krađu dokumenata, podmićivanje ili prijetnje.
Takođe, uprava je dužna da stvori neophodne uslove da zaposleni poštuje režim poslovne tajne (npr. obezbijedi sef za čuvanje povjerljivih materijala).
Dakle, zaposleni mora jasno znati šta spada u poslovnu tajnu organizacije, kako je zaštićena i biti u stanju da je čuva.
Odgovornost za obelodanjivanje
U čl. 14. Zakona o poslovnoj tajni navodi da lice koje je koristilo podatke koji predstavljaju poslovnu tajnu, a nije imalo dovoljno osnova da smatra da je upotreba tih informacija nezakonita, uključujući i pristup njima kao rezultat nesreće ili greške, ne može u u skladu sa Zakonom o poslovnoj tajni, tajno odgovarati. Ukoliko zaposleniku koji nije upoznat sa spiskom povjerljivih dokumenata slučajno dođe u ruke dokument iz čijeg oblika i teksta mu nije jasno da taj podatak pripada poslovnoj tajni, neće snositi odgovornost za bilo njegovo otkrivanje.
Ne treba zaboraviti da ne bi trebalo postojati slobodan pristup tajnim informacijama. Na primjer, ako je zaposlenik neke kompanije nekome prenio informacije o aktivnostima kompanije, koje se mogu naći i na web stranici kompanije, to nije nedolično ponašanje.
Odavanje poslovne tajne povlači disciplinsku, građansku, administrativnu ili krivičnu odgovornost u skladu sa zakonodavstvom Ruske Federacije. Prilikom odavanja podataka koji predstavljaju poslovnu tajnu, zaposleni može dobiti otkaz na jednostranu inicijativu poslodavca, u skladu sa čl. 81 Zakona o radu Ruske Federacije.
Sporovi koji nastanu u vezi sa odavanjem poslovne tajne, po pravilu se razmatraju u okviru građanskih i radnih odnosa i veoma retko dolaze do krivičnog gonjenja. Rješenje građanskih i radnih sporova zavisi od toga kako je poslodavac organizovao zaštitu povjerljivih podataka – poslovne tajne. Sudska praksa po ovom pitanju je veoma oskudna.
Radnje poslodavca za zaštitu informacija
Rješenje građanskih i radnih sporova zavisi od toga kako je poslodavac organizovao zaštitu povjerljivih podataka – poslovne tajne. Poslodavac treba:
Izraditi listu informacija koje se odnose na poslovne tajne;
Ograničiti i regulisati pristup nosiocima informacija;
Odrediti krug lica koja imaju pravo na pristup informacijama;
Na dokumentima koji predstavljaju poslovnu tajnu staviti natpis "Povjerljive informacije" (u ovom slučaju potrebno je navesti vlasnika informacije, njegovu lokaciju i ime);
Upoznavanje zaposlenih sa lokalnim aktima o poslovnoj tajni;
U ugovore o radu, posebno sa novozaposlenim licima, uvesti klauzulu o obavezi radnika da poslodavcu ne saopštava određene podatke.
Prilikom formulisanja sporazuma (ugovorne obaveze) o obavezi neotkrivanja informacija ili Uredbe o poslovnim tajnama može se uzeti u obzir iskustvo američkih kompanija, gde su u ugovoru uključene sledeće tačke:
Detaljna izjava o principima za određivanje specifičnih informacija koje čine tajnu kompanije;
Sažetak postupka zaštite povjerljivih informacija;
Izjava o mjerama koje će sam zaposlenik preduzeti kako bi se osigurala sigurnost ovih informacija;
Spisak kazni koje mogu uslijediti za otkrivanje povjerljivih informacija.
Očigledno, takva pismena obaveza da se ne otkrivaju tajne kompanije ne daje pune garancije za očuvanje ovih informacija, ali, kako praksa pokazuje, značajno smanjuje rizik od otkrivanja takvih informacija od strane osoblja.
U dokumentima se ponekad nalazi i klauzula o obavezi zaposlenog da obavesti službu obezbeđenja kompanije ili neposrednog rukovodioca o pokušaju neovlašćenog lica da dobije bilo kakvu informaciju o organizaciji, uključujući i poverljivu, kao i o slučajevima gubitka nosilaca informacija.
Može se dati niz preporuka u vezi s otpuštanjem zaposlenika koji posjeduje povjerljive informacije. Kada zaposleni napiše otkaz, potrebno je dosljedno obavljati sljedeće korake: prihvatiti sve dokumente, baze podataka, medije za pohranu i sl. koji su evidentirani kod zaposlenog, prihvatiti propusnicu (identifikator), ključeve i pečate, obaviti intervju sa zaposlenikom koji je dao otkaz.
Na razgovoru vrijedi podsjetiti osobu da su potpisali dokumente koji ga obavezuju da čuva tajne kompanije. Neki autori preporučuju sastavljanje drugog sporazuma sa osobom koja podnosi ostavku o neotkrivanju povjerljivih podataka nakon napuštanja organizacije. Opet se okrenemo iskustvu Sjedinjenih Država, nije neuobičajeno da se ugovori o konsaltingu sklapaju sa posebno vrijednim zaposlenima koji odlaze tokom niza godina. Štaviše, sve ovo vrijeme takvoj osobi se isplaćuje plata. Vjeruje se da takva materijalna i moralna povezanost sa bivšim mjestom rada ne daje povoda za odavanje povjerljivih informacija. U našoj zemlji ovakva praksa, iz poznatih razloga, teško da će biti rasprostranjena i biće primenljiva samo na top menadžere velikih kompanija.
Dakle, važeći regulatorni pravni akti ne pružaju efikasnu zaštitu povjerljivih informacija organizacije. Kako bi zaštitio interne informacije, poslodavac mora sam voditi računa o tajnama kompanije, pravilno popunjavajući kako samu povjerljivu informaciju, tako i odnos sa zaposlenikom koji takve podatke posjeduje. Prilikom obavljanja radnji navedenih u ovom članku, organizacija može računati na odluku u svoju korist u slučaju mogućeg sudskog spora.
Bibliografska lista
1. Korneev IK, Stepanov EA Sigurnost informacija u kancelariji. M.: TK Welby, Prospekt, 2010.
2. Melnikova EI Oblici curenja informacija koje predstavljaju poslovnu tajnu i upravljanje osobljem preduzeća u cilju osiguranja informacione sigurnosti // Pravni svijet. 2009. N 12.S. 40 - 43.
3. Sheverdyaev SN Ustavno-pravni režim informacija ograničenog pristupa // Ustavno i opštinsko pravo. 2007. N 1.
4. Yakovets E. N., Smirnova I. N. Normativno uređenje prometa informacija koje predstavljaju službenu tajnu // Informacijsko pravo. 2009. N 4.
5. Direktiva 2003/6 / EC "O insajderskim aktivnostima i tržišnoj manipulaciji, zloupotrebi tržišta". Direktiva 2003/6 / EC Evropskog parlamenta i Vijeća od 28. januara 2003. o insajderskom poslovanju i tržišnoj manipulaciji (zloupotreba tržišta). OJL 096, 12.04.2003. P. 0016 - 0025.
6. Dobrovolskiy V. I. Insajderske informacije u svjetskoj praksi, službene informacije i poslovne tajne u Rusiji // Preduzetničko pravo. 2008. N 4.
7. Kolebošin GM Obaveze radnika u odnosu na poslovnu tajnu poslodavca // Radno pravo. 2007. N 5.
8. Ishcheynov V. Ya. Tehnologija za određivanje informacija klasificiranih kao poslovna tajna i faktori rizika // Uredski rad. 2010. N 2.S. 50.
I. Pogodina
glava stolica
građansko pravo i proces
Vladimir State
Univerzitet po imenu A.G. i N.G. Stoletovs
Potpisan za štampu
Danas prijetnje u vezi sa neovlaštenim pristupom povjerljivim podacima mogu imati značajan uticaj na aktivnosti organizacije. Potencijalna šteta od otkrivanja korporativnih tajni može uključivati i direktne finansijske gubitke, na primjer, kao rezultat prijenosa komercijalnih informacija konkurentima i troškove otklanjanja posljedica, i indirektne - lošu reputaciju i gubitak perspektivnih projekata. Ne mogu se potcijeniti posljedice gubitka laptopa sa detaljima za pristup bankovnim računima, finansijskim planovima i drugim privatnim dokumentima.
Jedna od najopasnijih prijetnji današnjice je neovlašteni pristup. Prema studiji Instituta za kompjutersku sigurnost, 65% kompanija prijavilo je incidente koji uključuju neovlašteni pristup podacima u prošloj godini. Štaviše, zbog neovlašćenog pristupa svaka firma je izgubila u periodu 2014–2015. u prosjeku 353 hiljade dolara Štaviše, u poređenju sa 2012–2013. gubici su se povećali šest puta. Dakle, ukupni gubici koje je pretrpjelo više od 600 anketiranih firmi za godinu premašili su 38 miliona dolara (vidi grafikon).
Problem je otežan činjenicom da neovlašteni pristup povjerljivim informacijama često prati krađa. Kao rezultat ove kombinacije dvije izuzetno opasne prijetnje, gubici kompanije mogu se povećati nekoliko puta (u zavisnosti od vrijednosti ukradenih podataka). Osim toga, firme se često suočavaju s fizičkom krađom mobilnih računara, zbog čega se ostvaruju i prijetnje neovlaštenog pristupa i krađe osjetljivih informacija. Inače, cijena samog prijenosnog uređaja često je neuporediva s cijenom podataka koji se na njemu snimaju.
Problemi sa kojima se preduzeće suočava u slučaju curenja informacija posebno su indikativni za krađu laptopa. Dovoljno je prisjetiti se nedavnih incidenata kada je pet laptopova ukradeno iz Ernst & Young-a tokom nekoliko mjeseci, koji su sadržavali privatne informacije kupaca kompanije: Cisco, IBM, Sun Microsystems, BP, Nokia, itd. kao pogoršanje imidža i smanjenje povjerenja kupaca. U međuvremenu, mnoge kompanije se suočavaju sa sličnim poteškoćama.
Na primjer, u martu 2006. Fidelity je izgubila laptop sa privatnim podacima 200 hiljada zaposlenih u HP-u, a u februaru je revizorska kuća PricewaterhouseCoopers izgubila laptop sa osjetljivim informacijama 4 hiljade pacijenata jedne američke bolnice. Ako se lista nastavi, na njoj će se naći poznate kompanije kao što su Bank of America, Kodak, Ameritrade, Ameriprise, Verizon i druge.
Dakle, osim zaštite povjerljivih informacija od neovlaštenog pristupa, potrebno je zaštititi i sam fizički medij. Treba imati na umu da takav sigurnosni sistem treba da bude apsolutno transparentan i da ne stvara poteškoće korisniku pri pristupu osjetljivim podacima bilo u korporativnom okruženju, bilo kada radi na daljinu (kod kuće ili na službenom putu).
Do sada, ništa efikasnije u zaštiti informacija od neovlaštenog pristupa od enkripcije podataka nije izmišljeno. Pod uslovom da su kriptografski ključevi sačuvani, enkripcija osigurava sigurnost osjetljivih podataka.
Tehnologije šifriranja
Kako bi se informacije zaštitile od neovlaštenog pristupa, koriste se tehnologije šifriranja. Međutim, korisnici koji nemaju odgovarajuće znanje o metodama enkripcije mogu imati pogrešan utisak da su svi osjetljivi podaci sigurno zaštićeni. Razmotrimo glavne tehnologije šifriranja podataka.
- Šifrovanje fajl po fajl. Korisnik sam bira fajlove za šifrovanje. Ovaj pristup ne zahtijeva duboku integraciju alata za enkripciju u sistem, te stoga omogućava proizvođačima kriptografskih alata da implementiraju višeplatformsko rješenje za Windows, Linux, MAC OS X, itd.
- Šifriranje direktorija. Korisnik kreira foldere u kojima se svi podaci automatski šifriraju. Za razliku od prethodnog pristupa, šifriranje se dešava u hodu, a ne na zahtjev korisnika. Općenito, šifriranje direktorija je prilično zgodno i transparentno, iako se temelji na istoj enkripciji datoteka po datoteku. Ovaj pristup zahtijeva duboku interakciju sa operativnim sistemom, stoga zavisi od platforme koja se koristi.
- Šifrovanje virtuelnih diskova. Koncept virtuelnih diskova implementiran je u nekim uslužnim programima za kompresiju kao što su Stacker ili Microsoft DriveSpace. Šifriranje virtuelnih diskova uključuje kreiranje velike skrivene datoteke na vašem tvrdom disku. Ovaj fajl je tada dostupan korisniku kao poseban disk (operativni sistem ga "vidi" kao novi logički disk). Na primjer, pogon X: \. Sve informacije pohranjene na virtualnom disku su šifrirane. Glavna razlika u odnosu na prethodne pristupe je u tome što kriptografski softver ne mora da šifrira svaku datoteku zasebno. Ovdje se podaci automatski šifriraju samo kada se upisuju ili čitaju sa virtualnog diska. U ovom slučaju, rad sa podacima se obavlja na nivou sektora (obično veličine 512 bajtova).
- Šifriranje cijelog diska. U ovom slučaju, apsolutno je sve šifrirano: Windows boot sektor, sve sistemske datoteke i sve druge informacije na disku.
- Zaštita procesa pokretanja. Ako je cijeli disk šifriran, operativni sistem se neće moći pokrenuti dok neki mehanizam ne dešifruje datoteke za pokretanje. Stoga, šifriranje cijelog diska nužno znači zaštitu procesa pokretanja. Obično se od korisnika traži da unese lozinku kako bi se operativni sistem pokrenuo. Ako korisnik ispravno unese lozinku, program za šifriranje će dobiti pristup ključevima za šifriranje, što će omogućiti čitanje daljnjih podataka s diska.
Dakle, postoji nekoliko načina za šifriranje podataka. Neki od njih su manje pouzdani, neki su brži, a neki uopće nisu prikladni za zaštitu važnih informacija. Da biste mogli procijeniti prikladnost određenih metoda, razmotrite probleme s kojima se kriptografska aplikacija suočava prilikom zaštite podataka.
Karakteristike operativnih sistema
Hajde da se zadržimo na nekim karakteristikama operativnih sistema, koji, uprkos svim svojim pozitivnim funkcijama, ponekad samo ometaju pouzdanu zaštitu poverljivih informacija. Ispod su najčešći sistemski mehanizmi koji ostavljaju brojne "rupe" za napadača, a relevantni su i za laptop i PDA.
- Privremeni fajlovi. Mnogi programi (uključujući operativni sistem) koriste privremene datoteke za skladištenje međupodataka dok su pokrenuti. Često se tačna kopija datoteke koju je otvorio program snima u privremenu datoteku, što omogućava potpuni oporavak podataka u slučaju neočekivanih kvarova. Naravno, nosivost privremenih datoteka je velika, međutim, budući da su nešifrirani, takvi fajlovi predstavljaju direktnu prijetnju korporativnim tajnama.
- Zamijenite datoteke (ili zamijenite datoteke). Tehnologija swap datoteka vrlo je popularna u modernim operativnim sistemima, što vam omogućava da bilo kojoj aplikaciji pružite gotovo neograničenu količinu RAM-a. Dakle, ako operativni sistem nema dovoljno memorijskih resursa, on automatski upisuje podatke iz RAM-a na hard disk (u datoteku stranične memorije). Čim postoji potreba za korištenjem pohranjenih informacija, operativni sistem izdvaja podatke iz swap datoteke i, ako je potrebno, stavlja druge informacije u ovu memoriju. Na isti način kao iu prethodnom slučaju, tajne informacije u nešifriranom obliku mogu lako ući u datoteku stranične memorije.
- Poravnanje fajlova. Windows sistem datoteka raspoređuje podatke u klastere koji se mogu prostirati do 64 sektora. Čak i ako je datoteka duga nekoliko bajtova, i dalje će zauzimati cijeli klaster. Veliki fajl će biti podeljen na delove, svaki veličine klastera sistema datoteka. Ostatak podjele (obično posljednjih nekoliko bajtova) će i dalje zauzimati cijeli klaster. Dakle, posljednji sektor datoteke dobija nasumične informacije koje su bile u RAM-u računara u vrijeme kada je datoteka zapisana na disk. Možda postoje lozinke i ključevi za šifriranje. Drugim riječima, posljednji klaster bilo koje datoteke može sadržavati prilično osjetljive informacije, u rasponu od nasumičnih informacija iz RAM-a do podataka iz e-pošte i tekstualnih dokumenata koji su prethodno bili pohranjeni na ovom mjestu.
- Basket. Kada korisnik izbriše datoteku, Windows je premješta u smeće. Sve dok se smeće ne isprazni, fajl se može lako vratiti. Međutim, čak i ako ispraznite smeće, podaci će i dalje fizički ostati na disku. Drugim riječima, obrisane informacije se često mogu pronaći i vratiti (ako preko njih nisu upisani drugi podaci). Za to postoji ogroman broj aplikacija, neke od njih su besplatne i slobodno distribuirane putem interneta.
- Windows registar. Sam Windows sistem, kao i veliki broj aplikacija, pohranjuje svoje specifične podatke u sistemski registar. Na primjer, web pretraživač pohranjuje imena domena stranica koje je korisnik posjetio u registru. Čak i Word uređivač teksta čuva ime posljednje datoteke koja je otvorena u registru. U ovom slučaju, registrator koristi OS u vrijeme pokretanja. Shodno tome, ako se bilo koja metoda šifriranja pokrene nakon što se Windows pokrene, rezultati njegovog rada mogu biti ugroženi.
- Windows NT sistem datoteka (NTFS). Sistem datoteka sa ugrađenom kontrolom pristupa (kao što je Windows NT) smatra se sigurnim. Činjenica da korisnik mora unijeti lozinku da bi dobio pristup svojim ličnim datotekama ostavlja lažan utisak da su lični fajlovi i podaci bezbedno zaštićeni. Međutim, čak ni sistem datoteka sa ugrađenim listama za kontrolu pristupa (ACL), kao što je NTFS, ne pruža apsolutno nikakvu zaštitu od napadača sa fizičkim pristupom čvrstom disku ili administratorskim pravima na računaru. U oba slučaja, kriminalac može dobiti pristup povjerljivim podacima. Da bi to učinio, trebat će mu jeftin (ili općenito besplatan) uređivač diska za čitanje tekstualnih informacija na disku kojem ima fizički pristup.
- Režim spavanja. Ovaj način rada je vrlo popularan na prijenosnim računalima jer štedi energiju baterije kada je računar uključen, ali se ne koristi. Kada laptop uđe u stanje mirovanja, operativni sistem kopira apsolutno sve podatke iz RAM-a na disk. Dakle, kada se računar "probudi", operativni sistem može lako da vrati svoje prethodno stanje. Očigledno, u ovom slučaju osjetljive informacije mogu lako doći do tvrdog diska.
- Skrivene particije tvrdog diska. Skrivena particija je ona koju operativni sistem uopće ne prikazuje korisniku. Neke aplikacije (na primjer, one koje se bave uštedom energije na prijenosnim računalima) koriste skrivene particije za pohranjivanje podataka u njih umjesto datoteka na uobičajenim particijama. Ovim pristupom, informacije smještene na skrivenoj particiji nisu zaštićene ni na koji način i mogu ih lako pročitati bilo tko koristeći uređivač diska.
- Slobodni prostor i razmak između sekcija. Sektori na samom kraju diska ne pripadaju nijednoj particiji, ponekad se prikazuju kao slobodni. Još jedno nezaštićeno mjesto je prostor između pregrada. Nažalost, neke aplikacije, kao i virusi, tamo mogu pohraniti svoje podatke. Čak i ako formatirate čvrsti disk, ove informacije će ostati netaknute. Može se lako obnoviti.
Stoga, za efikasnu zaštitu podataka, nije dovoljno samo ih šifrirati. Mora se voditi računa da kopije povjerljivih informacija ne „cure“ u privremene i swap datoteke, kao i na druga „tajna mjesta“ operativnog sistema, gdje su ranjive na napadača.
Pogodnost različitih pristupa enkripciji podataka
Pogledajmo kako se različiti pristupi enkripciji podataka nose sa specifičnostima operativnih sistema.
Šifrovanje fajla
Ova metoda se uglavnom koristi za slanje šifriranih datoteka putem e-pošte ili interneta. U tom slučaju korisnik šifrira određenu datoteku koju treba zaštititi od trećih strana i šalje je primatelju. Ovaj pristup pati od male brzine rada, posebno kada su u pitanju velike količine informacija (na kraju krajeva, morate šifrirati svaki fajl priložen uz pismo). Drugi problem je što je samo originalni fajl šifrovan, a privremeni fajlovi i fajl stranične memorije ostaju potpuno nezaštićeni, pa je zaštita obezbeđena samo od napadača koji pokuša da presretne poruku na internetu, ali ne i od kriminalca koji je ukrao laptop ili PDA. Dakle, možemo zaključiti: šifriranje fajl-po-datoteka ne štiti privremene datoteke, njegova upotreba za zaštitu važnih informacija je neprihvatljiva. Međutim, ovaj koncept je prikladan za slanje male količine informacija preko mreže s računala na računalo.
Šifriranje foldera
Za razliku od šifriranja fajl-po-fajl, ovaj pristup vam omogućava da prenesete datoteke u fasciklu gde će se automatski šifrovati. Stoga je rad sa zaštićenim podacima mnogo praktičniji. Pošto se šifrovanje foldera zasniva na šifrovanju fajl-po-datoteka, obe metode ne pružaju pouzdanu zaštitu za privremene fajlove, datoteke za pejdžing, ne brišu fizički podatke sa diska itd. Štaviše, šifriranje direktorija je veoma rasipničko za memorijske i procesorske resurse. Procesoru je potrebno vrijeme da konstantno šifrira/dešifruje datoteke, a dodatni prostor se dodjeljuje za svaku zaštićenu datoteku na disku (ponekad više od 2 KB). Sve ovo čini enkripciju direktorija jako intenzivnim i sporim. Ukratko, iako je ova metoda prilično transparentna, ne može se preporučiti za zaštitu osjetljivih informacija. Pogotovo ako napadač može dobiti pristup privremenim datotekama ili stranicama.
Šifrovanje virtuelnih diskova
Ovaj koncept podrazumijeva kreiranje velike skrivene datoteke koja se nalazi na tvrdom disku. Operativni sistem ga tretira kao poseban logički disk. Korisnik može staviti softver na takav disk i komprimirati ga kako bi uštedio prostor. Razmotrimo prednosti i nedostatke ove metode.
Prije svega, korištenje virtuelnih diskova povećava opterećenje na resurse operativnog sistema. Činjenica je da svaki put kada se pristupi virtuelnom disku, operativni sistem mora da preusmeri zahtev na drugi fizički objekat - fajl. To će sigurno imati negativan utjecaj na performanse. Zbog činjenice da sistem ne identifikuje virtuelni disk sa fizičkim, može doći do problema sa zaštitom privremenih datoteka i datoteke stranične memorije. U poređenju sa šifrovanjem direktorijuma, koncept virtuelnih diskova ima i prednosti i nedostatke. Na primjer, šifrirani virtuelni disk štiti imena datoteka koje se nalaze u virtualnim tabelama datoteka. Međutim, ovaj virtuelni disk se ne može proširiti tako lako kao običan folder, što je veoma nezgodno. Da rezimiramo, možemo reći da je šifriranje virtuelnih diskova mnogo pouzdanije od prethodne dvije metode, ali može ostaviti privremene datoteke i datoteke stranične memorije nezaštićene ako programeri ne vode posebnu brigu o tome.
Potpuna enkripcija diska
Ovaj koncept se zasniva na šifrovanju sektor po sektor, a ne fajl po fajl. Drugim riječima, svaka datoteka zapisana na disk bit će šifrirana. Kriptografski programi šifriraju podatke prije nego što ih operativni sistem stavi na disk. Da bi to uradio, kriptografski program presreće sve pokušaje operativnog sistema da upiše podatke na fizički disk (na nivou sektora) i izvršava operacije šifrovanja u hodu. Ovaj pristup također šifrira privremene datoteke, datoteku stranične memorije i sve izbrisane datoteke. Logična posledica ove metode trebalo bi da bude značajno smanjenje ukupnog nivoa performansi računara. Ovo je problem na kojem rade mnogi programeri enkripcije, iako već postoji nekoliko uspješnih implementacija takvih proizvoda. Da rezimiramo: šifriranjem cijelog diska izbjegavaju se situacije u kojima neki dio važnih podataka ili njihova tačna kopija ostane negdje na disku u nešifriranom obliku.
Zaštita procesa pokretanja. Kao što je već napomenuto, preporučljivo je zaštititi proces pokretanja prilikom šifriranja cijelog diska. U ovom slučaju, niko neće moći pokrenuti operativni sistem bez prolaska kroz proceduru provjere autentičnosti na početku pokretanja. A za ovo morate znati lozinku. Ako napadač ima fizički pristup tvrdom disku koji sadrži tajne podatke, tada neće moći brzo odrediti gdje se nalaze šifrirani sistemski fajlovi i gdje se nalaze važne informacije. Imajte na umu da ako kriptografski softver šifrira cijeli disk, ali ne štiti proces pokretanja, onda ne šifrira sistemske datoteke i sektore za pokretanje. To jest, disk nije u potpunosti šifriran.
Dakle, danas, da biste pouzdano zaštitili povjerljive podatke na prijenosnim računalima, trebali biste koristiti tehnologiju šifriranja ili za virtuelne diskove ili cijeli disk u cjelini. Međutim, u potonjem slučaju morate biti sigurni da kriptografski alat ne troši resurse računala toliko da ometa rad korisnika. Imajte na umu da ruske kompanije još ne proizvode alate za potpunu enkripciju diska, iako nekoliko takvih proizvoda već postoji na zapadnim tržištima. Osim toga, zaštita podataka na PDA-u je nešto lakša, jer zbog male količine pohranjenih informacija, programeri mogu priuštiti šifriranje svih podataka općenito, na primjer, na flash kartici.
Šifriranje koristeći jaku autentifikaciju
Sigurno pohranjivanje podataka zahtijeva ne samo moćne i dobro implementirane kriptografske tehnologije, već i sredstva za pružanje personaliziranog pristupa. S tim u vezi, upotreba jake dvofaktorske autentifikacije zasnovane na hardverskim ključevima ili pametnim karticama je najefikasniji način pohranjivanja ključeva za šifriranje, lozinki, digitalnih certifikata itd. kartice) u operativni sistem (na primjer, ubacivanje u jednu USB portova računara ili u čitač pametnih kartica), a zatim dokažite svoje vlasništvo nad ovim elektronskim ključem (tj. unesite lozinku). Dakle, zadatak napadača koji pokušava da dobije pristup osetljivim podacima je veoma komplikovan: ne samo da mora da zna lozinku, već i da ima fizički medij koji imaju samo legalni korisnici.
Unutrašnja struktura elektronskog ključa pretpostavlja prisustvo elektronskog čipa i malu količinu nepromenljive memorije. Uz pomoć elektronskog čipa podaci se šifriraju i dešifriraju na osnovu kriptografskih algoritama ugrađenih u uređaj. Nehlapljiva memorija pohranjuje lozinke, elektronske ključeve, pristupne kodove i druge tajne informacije. Sam hardverski ključ je zaštićen od krađe PIN kodom, a posebni mehanizmi ugrađeni u ključ štite ovu lozinku od grube sile.
Ishodi
Dakle, efikasna zaštita podataka podrazumijeva korištenje snažnih alata za enkripciju (baziranih na tehnologijama virtualnog diska ili pokrivanje cijelog diska u cjelini) i jakih alata za autentifikaciju (tokeni i pametne kartice). Među sredstvima enkripcije fajl-po-datoteka, idealnim za slanje datoteka preko Interneta, valja istaknuti poznati program PGP, koji može zadovoljiti gotovo sve zahtjeve korisnika.
U sadašnjoj fazi razvoja društva najveću vrijednost stječe ne novi, već uvijek vrijedan resurs koji se zove informacija. Informacije danas postaju glavni resurs za naučni, tehnički i društveno-ekonomski razvoj svjetske zajednice. Gotovo svaka aktivnost u današnjem društvu usko je povezana sa primanjem, akumulacijom, skladištenjem, obradom i upotrebom različitih tokova informacija. Integritet savremenog svijeta kao zajednice osigurava se uglavnom intenzivnom razmjenom informacija.
Stoga se u novim uslovima javlja mnogo problema vezanih za osiguranje sigurnosti i povjerljivosti komercijalnih informacija kao oblika intelektualne svojine.
Spisak korišćenih izvora i literature
- V. N. Lopatin Sigurnost informacija.
- Osnove informacione sigurnosti: Tutorijal / V. A. Minaev , S. V. Skryl , A. P. Fisun , V. E. Potanin , S. V. Dvoryankin .
- GOST ST 50922-96. Zaštita podataka. Osnovni pojmovi i definicije.
- www.intuit.ru
U Odnoklassniki
Uvod
Zaključak
Bibliografija
Uvod
U sadašnjoj fazi razvoja našeg društva, mnogi tradicionalni resursi ljudskog napretka postepeno gube svoju izvornu vrijednost. Zamjenjuje ih novi resurs, jedini proizvod koji se ne smanjuje, već vremenom raste, a zove se informacija. Informacije danas postaju glavni resurs za naučni, tehnički i društveno-ekonomski razvoj svjetske zajednice. Što se više i brže kvalitetnije informacije uvode u nacionalnu ekonomiju i posebne aplikacije, to je veći životni standard ljudi, ekonomski, odbrambeni i politički potencijal zemlje.
Integritet savremenog svijeta kao zajednice osigurava se uglavnom intenzivnom razmjenom informacija. Obustava globalnih tokova informacija, čak i na kratko, može dovesti do krize ništa manje od raskida međudržavnih ekonomskih odnosa. Dakle, u novim konkurentskim tržišnim uslovima postoji mnogo problema vezanih ne samo za obezbjeđivanje sigurnosti komercijalnih (preduzetničkih) informacija kao oblika intelektualne svojine, već i fizičkih i pravnih lica, njihove imovinske i lične sigurnosti.
Svrha ovog rada je da se informaciona bezbednost sagleda kao sastavni deo nacionalne bezbednosti, kao i da se utvrdi stepen njene bezbednosti u sadašnjoj fazi, da se analiziraju unutrašnje i spoljašnje pretnje, sagledaju problemi i načini njihovog rešavanja.
S tim u vezi postavljeni su određeni zadaci:
.Utvrditi mjesto i značaj informacione sigurnosti u sadašnjoj fazi razvoja; 2.Razmotriti pravni okvir u oblasti zaštite informacija; .Identifikujte glavne probleme i prijetnje i načine za njihovo rješavanje. Poglavlje 1. Problemi i prijetnje informacione sigurnosti
1.1 Mesto informacione bezbednosti u sistemu nacionalne bezbednosti Rusije
Nacionalna sigurnost Ruske Federacije suštinski zavisi od osiguravanja informacione sigurnosti, a u toku tehnološkog napretka ova zavisnost će se povećavati. U savremenom svijetu informaciona sigurnost postaje vitalni uslov za osiguranje interesa pojedinaca, društva i države i najvažnija, stožerna karika u cjelokupnom sistemu nacionalne bezbjednosti zemlje. Normativno-pravna osnova za regulisanje zaštite informacija postala je Doktrina informacione bezbednosti Ruske Federacije, koju je odobrio predsednik Ruske Federacije 2001. godine.To je skup zvaničnih stavova o ciljevima, ciljevima, principima i glavnim pravci osiguranja informacione sigurnosti u Rusiji. Doktrina se bavi: objekti, prijetnje i izvori prijetnji sigurnosti informacija; moguće posljedice prijetnji sigurnosti informacija; metode i sredstva prevencije i neutralizacije pretnji informacionoj bezbednosti; karakteristike osiguranja informacione sigurnosti u različitim sferama života društva i države; glavne odredbe državne politike o osiguranju informacione sigurnosti u Ruskoj Federaciji. Doktrina ispituje sav rad u informacionoj sferi na osnovu i u interesu Koncepta nacionalne bezbednosti Ruske Federacije. Ona identifikuje četiri glavne komponente ruskih nacionalnih interesa u informacionoj sferi. Prva komponenta uključuje poštivanje ustavnih prava i sloboda čovjeka i građanina u oblasti pribavljanja i korištenja informacija, osiguravanje duhovne obnove Rusije, očuvanje i jačanje moralnih vrijednosti društva, tradicija patriotizma i humanizma, kulturni i naučni potencijal zemlje. Za njegovu implementaciju potrebno je: povećati efikasnost korišćenja informacione infrastrukture u interesu društvenog razvoja, konsolidacije ruskog društva, duhovnog preporoda multinacionalnog naroda zemlje; poboljšati sistem formiranja, očuvanja i racionalnog korišćenja informacionih resursa, koji čine osnovu naučnog, tehničkog i duhovnog potencijala Rusije; obezbjeđuje ustavna ljudska i građanska prava i slobode na slobodno traženje, primanje, prenos, proizvodnju i širenje informacija na bilo koji zakonit način, dobijanje pouzdanih informacija o stanju životne sredine; da obezbjeđuje ustavna prava i slobode čovjeka i građanina na ličnu i porodičnu tajnu, tajnost prepiske, telefonskih razgovora, poštanskih, telegrafskih i drugih poruka, radi zaštite njihove časti i dobrog imena; ojačati mehanizme pravnog uređenja odnosa u oblasti zaštite intelektualne svojine, stvoriti uslove za poštovanje ograničenja pristupa povjerljivim informacijama utvrđenih saveznim zakonodavstvom; garantovati slobodu medija i zabraniti cenzuru; ne dozvoliti propagandu i agitaciju koja doprinosi izazivanju društvene, rasne, nacionalne ili vjerske mržnje i neprijateljstva; zaštita povjerljivih informacija rusija obezbijediti zabranu prikupljanja, čuvanja, korištenja i širenja informacija o privatnom životu osobe bez njegovog pristanka i drugih podataka kojima je pristup ograničen saveznim zakonom. Druga komponenta nacionalnih interesa u informacionoj sferi uključuje informatičku podršku državne politike zemlje, koja je povezana sa donošenjem ruskoj i međunarodnoj zajednici pouzdanih informacija o njenom zvaničnom stavu o društveno značajnim događajima u ruskom i međunarodnom životu, uz osiguranje pristupa građana otvoreni državni informacioni resursi. Ovo zahtijeva: ojačati državne masovne medije, proširiti njihove sposobnosti za blagovremeno dostavljanje pouzdanih informacija ruskim i stranim građanima; intenzivirati formiranje otvorenih državnih informacionih resursa, povećati efikasnost njihovog ekonomskog korišćenja. Treća komponenta nacionalnih interesa u informatičkoj sferi uključuje razvoj savremenih informacionih tehnologija, uključujući industriju informacionih tehnologija, telekomunikacije i komunikacije, obezbjeđivanje potreba domaćeg tržišta ovim proizvodima i izlazak na svjetsko tržište, kao i osiguranje akumulacije. , sigurnost i efektivno korištenje domaćih informacionih tehnologija.resursa. Za postizanje rezultata u ovoj oblasti potrebno je: razvoj i unapređenje infrastrukture jedinstvenog informacionog prostora u Rusiji; razvijati domaću industriju informacionih usluga i poboljšati efikasnost korišćenja državnih informacionih resursa; razviti proizvodnju u zemlji konkurentnih sredstava i sistema informatizacije, telekomunikacija i komunikacija, proširiti učešće Rusije u međunarodnoj saradnji proizvođača ovih sredstava i sistema; pružanje državne podrške fundamentalnim i primijenjenim istraživanjima, razvoju u oblastima informatizacije, telekomunikacija i komunikacija. Četvrta komponenta nacionalnih interesa u informacionoj sferi obuhvata zaštitu informacionih resursa od neovlašćenog pristupa, osiguranje bezbednosti informacionih i telekomunikacionih sistema. Za ove namjene potrebno je: povećati sigurnost informacionih sistema (uključujući komunikacione mreže), prije svega, primarnih komunikacionih mreža i informacionih sistema državnih organa, finansijske i kreditne i bankarske sfere, sfere privredne aktivnosti, sistema i sredstava informatizacije naoružanja i vojne opreme , sistemi komandovanja i upravljanja trupama i oružjem, ekološki opasnim i ekonomski važnim industrijama; intenzivirati razvoj domaće proizvodnje hardvera i softvera za zaštitu informacija i metoda praćenja njihove efikasnosti; da obezbijedi zaštitu podataka koji predstavljaju državnu tajnu; proširiti međunarodnu saradnju Rusije u oblasti bezbednog korišćenja informacionih resursa, suprotstavljajući se pretnji konfrontacije u informacionoj sferi. 1.2 Glavni problemi informacione sigurnosti i načini njihovog rješavanja
Osiguravanje sigurnosti informacija zahtijeva rješavanje čitavog niza zadataka. Najvažniji zadatak u osiguranju informacione sigurnosti Rusije je sprovođenje sveobuhvatnog računa o interesima pojedinca, društva i države u ovoj oblasti. Doktrina definira ove interese na sljedeći način: interesi pojedinca u informacionoj sferi su u ostvarivanju ustavnih prava čoveka i građanina na pristup informacijama, korišćenje informacija u interesu obavljanja delatnosti koje nisu zakonom zabranjene, fizičkog, duhovnog i intelektualnog razvoja, kao i kao u zaštiti informacija koje osiguravaju ličnu sigurnost; interesi društva u informacionoj sferi su da se osiguraju interesi društva u ovoj oblasti, da se konsoliduje demokratija, da se stvori pravna društvena država, da se postigne i održi društveni sklad, u duhovnoj obnovi Rusije; interesi države u informacionoj sferi su stvaranje uslova za harmoničan razvoj ruske informacione infrastrukture, sprovođenje ustavnih prava i sloboda čoveka (građana) u oblasti dobijanja informacija. Istovremeno, potrebno je koristiti ovu sferu samo kako bi se osigurala nepovredivost ustavnog poretka, suverenitet i teritorijalni integritet Rusije, politička, ekonomska i socijalna stabilnost, u bezuslovnom obezbjeđenju reda i zakona i razvoju. ravnopravne i obostrano korisne međunarodne saradnje. Doktrina kombinuje opšte metode za rešavanje ključnih zadataka u obezbeđivanju bezbednosti informacija u tri grupe: pravni; organizacione i tehničke; ekonomski. Pravne metode uključuju izradu normativnih pravnih akata koji regulišu odnose u informacionoj sferi i normativnih metodoloških dokumenata o pitanjima osiguranja informacione sigurnosti Ruske Federacije (detaljno su razmotreni u Poglavlju 4 ovog priručnika). Organizaciono-tehničke metode osiguranja informacione sigurnosti su: stvaranje i unapređenje sistema informacione bezbednosti; jačanje aktivnosti organa vlasti za provođenje zakona, uključujući prevenciju i suzbijanje prekršaja u informacionoj sferi; stvaranje sistema i sredstava za sprečavanje neovlašćenog pristupa informacijama i uticaja koji izazivaju uništavanje, uništavanje, izobličenje informacija, mijenjanje uobičajenih načina rada sistema i sredstava informatizacije i komunikacije; sertifikacija sredstava informacione bezbednosti, licenciranje delatnosti u oblasti zaštite državne tajne, standardizacija metoda i sredstava informacione bezbednosti; kontrola postupanja osoblja u informacionim sistemima, obuka iz oblasti informacione bezbednosti; formiranje sistema praćenja indikatora i karakteristika informacione bezbednosti u najvažnijim sferama života i delatnosti društva i države. Ekonomske metode osiguranja informacione sigurnosti uključuju: izradu programa informacione bezbednosti i utvrđivanje procedure za njihovo finansiranje; unapređenje sistema finansiranja poslova vezanih za primenu pravnih i organizaciono-tehničkih metoda zaštite informacija, stvaranje sistema osiguranja informacionih rizika fizičkih i pravnih lica. Prema Doktrini, država u procesu realizacije svojih funkcija obezbjeđenja informacione sigurnosti: vrši objektivnu i sveobuhvatnu analizu i predviđanje prijetnji informacionoj bezbjednosti, razvija mjere za njeno osiguranje; organizuje rad organa na sprovođenju skupa mjera usmjerenih na sprječavanje, odbijanje i neutralizaciju prijetnji informacionoj bezbjednosti; podržava aktivnosti javnih udruženja u cilju objektivnog informiranja stanovništva o društveno značajnim pojavama javnog života, zaštite društva od iskrivljenih i netačnih informacija; vrši kontrolu razvoja, kreiranja, razvoja, upotrebe, izvoza i uvoza alata za informatičku sigurnost kroz njihovu sertifikaciju i licenciranje djelatnosti informacione sigurnosti; vodi potrebnu protekcionističku politiku u odnosu na proizvođače informatičke tehnologije i zaštite informacija na teritoriji Ruske Federacije i preduzima mjere za zaštitu unutrašnjeg tržišta od prodora nekvalitetnih informacionih tehnologija i informacionih proizvoda; doprinosi obezbjeđivanju pristupa fizičkim i pravnim licima svjetskim informacionim resursima, globalnim informacionim mrežama; formuliše i sprovodi državnu informatičku politiku Rusije; organizuje izradu saveznog programa za osiguranje informacione sigurnosti, objedinjujući napore državnih i nedržavnih organizacija u ovoj oblasti; doprinosi internacionalizaciji globalnih informacionih mreža i sistema, kao i ulasku Rusije u svetsku informatičku zajednicu na bazi ravnopravnog partnerstva. Prilikom rješavanja glavnih zadataka i provođenja prioritetnih mjera državne politike za osiguranje informacione sigurnosti, trenutno dominira želja za rješavanjem uglavnom regulatornih i tehničkih problema. Najčešće je riječ o „razvoju i implementaciji pravnih normi“, „podizanju pravne kulture i informatičke pismenosti građana“, „stvaranju sigurnih informacionih tehnologija“, „osiguranju tehnološke nezavisnosti“ itd. Shodno tome planiran je i razvoj sistema obuke kadrova koji se koriste u oblasti informacione bezbjednosti, odnosno preovlađuje obuka u oblasti komunikacionih sredstava, obrade informacija i tehničkih sredstava njihove zaštite. U manjoj meri se sprovodi obuka stručnjaka iz oblasti informaciono-analitičkih delatnosti, društvenih informacija, informacione bezbednosti pojedinca. Nažalost, mnoge državne institucije smatraju tehničku stranu problema najvažnijom, zanemarujući njegove socio-psihološke aspekte. 1.3 Izvori prijetnji sigurnosti informacija
Prijetnje sigurnosti informacija su korištenje različitih vrsta informacija protiv jednog ili drugog društvenog (ekonomskog, vojnog, naučno-tehničkog i dr.) objekta u cilju promjene njegove funkcionalnosti ili potpunog poraza. Uzimajući u obzir opći fokus, Doktrina dijeli prijetnje sigurnosti informacija na sljedeće vrste: prijetnje ustavnim pravima i slobodama čovjeka i građanina u oblasti duhovnog života i informativnih aktivnosti, individualne, grupne i javne svijesti, duhovnog preporoda Rusije; prijetnje informacionoj podršci državnoj politici Ruske Federacije; prijetnje razvoju domaće informatičke industrije, uključujući industriju informatizacije, telekomunikacija i komunikacija, zadovoljavanje potreba domaćeg tržišta za svojim proizvodima i ulazak ovih proizvoda na svjetsko tržište, kao i osiguranje akumulacije, sigurnosti i efektivno korišćenje domaćih informacionih resursa; pretnje po bezbednost informacionih i telekomunikacionih objekata i sistema, kako već raspoređenih tako i stvorenih na teritoriji Rusije. Prijetnje ustavnim pravima i slobodama čovjeka i građanina u oblasti duhovnog života i informativnih aktivnosti, individualne, grupne i javne svijesti, duhovnog preporoda Rusije mogu biti: donošenje od strane organa pravnih akata kojima se zadire u ustavna prava i slobode građana u oblasti duhovnog života i informativne djelatnosti; stvaranje monopola na formiranje, primanje i distribuciju informacija u Ruskoj Federaciji, uključujući korištenje telekomunikacijskih sistema; protivljenje, uključujući i kriminalne strukture, ostvarivanju od strane građana svojih ustavnih prava na lične i porodične tajne, tajnost prepiske, telefonskih razgovora i drugih poruka; prekomjerno ograničavanje pristupa potrebnim informacijama; nedozvoljena upotreba posebnih sredstava uticaja na individualnu, grupnu i javnu svijest; neispunjavanje od strane organa javne vlasti i lokalne samouprave, organizacija i građana zahtjeva propisa kojima se uređuju odnosi u oblasti informisanja; nezakonito ograničavanje pristupa građanima informacionim resursima državnih organa i organa lokalne samouprave, otvorenoj arhivskoj građi, drugim otvorenim društveno značajnim informacijama; dezorganizacija i uništavanje sistema akumulacije i očuvanja kulturnih dobara, uključujući i arhive; kršenje ustavnih ljudskih i građanskih prava i sloboda u oblasti masovnih medija; istiskivanje ruskih novinskih agencija i masovnih medija sa domaćeg tržišta informacija i povećanje zavisnosti duhovne, ekonomske i političke sfere javnog života u Rusiji od stranih informacionih struktura; devalvacija duhovnih vrijednosti, propaganda modela masovne kulture zasnovane na kultu nasilja, na duhovnim i moralnim vrijednostima koje su u suprotnosti s vrijednostima prihvaćenim u ruskom društvu; smanjenje duhovnog, moralnog i kreativnog potencijala stanovništva Rusije; manipulacija informacijama (dezinformacija, prikrivanje ili iskrivljavanje informacija). Prijetnje informacionoj podršci državne politike Ruske Federacije mogu biti: monopolizacija tržišta informacija u Rusiji, njenih pojedinačnih sektora od strane domaćih i stranih informacionih struktura; blokiranje aktivnosti državnih medija za informisanje ruske i strane publike; niska efikasnost informacione podrške državne politike Ruske Federacije zbog nedostatka kvalifikovanog osoblja, nepostojanja sistema za formiranje i sprovođenje državne informacione politike. Prijetnje razvoju domaće informatičke industrije mogu biti: sprečavanje pristupa najnovijim informacionim tehnologijama, obostrano korisno i ravnopravno učešće ruskih proizvođača u globalnoj podeli rada u industriji informacionih usluga, informacionih tehnologija, telekomunikacija i komunikacija, informacionih proizvoda, stvaranje uslova za jačanje tehnološke zavisnosti Rusije u oblasti informacija tehnologija; nabavka od strane javnih organa uvoznih sredstava informatizacije, telekomunikacija i komunikacija u prisustvu domaćih partnera; istiskivanje sa domaćeg tržišta ruskih proizvođača informacionih tehnologija, telekomunikacija i komunikacija; korištenje necertificiranih domaćih i stranih informacionih tehnologija, sredstava informacione sigurnosti, informacione tehnologije, telekomunikacija i komunikacija; odliv specijalista i vlasnika intelektualne svojine u inostranstvo. Doktrina sve izvore prijetnji sigurnosti informacija dijeli na eksterne i unutrašnje. Doktrina se odnosi na vanjske izvore prijetnji: djelovanje stranih političkih, ekonomskih, vojnih, obavještajnih i informacionih struktura protiv interesa Ruske Federacije; želja jednog broja zemalja da dominiraju globalnim informacionim prostorom, da istisnu Rusiju sa tržišta informacija; aktivnosti međunarodnih terorističkih organizacija; povećanje tehnološkog jaza između vodećih svjetskih sila i jačanje njihovih sposobnosti da se suprotstave stvaranju konkurentnih ruskih informacionih tehnologija; aktivnosti svemirskih, vazdušnih, pomorskih i kopnenih tehničkih i drugih sredstava (vrsta) izviđanja stranih država; razvoj od strane niza država koncepata informacionih ratova, koji predviđaju stvaranje sredstava opasnog uticaja na informacione sfere drugih zemalja, narušavanje funkcionisanja informacionih i telekomunikacionih sistema i dobijanje neovlašćenog pristupa njima. Interni izvori prijetnji, prema Doktrini, uključuju: kritično stanje niza domaćih industrija; nepovoljna kriminalna situacija, praćena tendencijama spajanja državnih i kriminalnih struktura u informacionoj sferi, da kriminalne strukture dobiju pristup poverljivim informacijama, povećavaju uticaj organizovanog kriminala na život društva, smanjuju stepen zaštite legitimni interesi građana, društva i države u informacionoj sferi; nedovoljna koordinacija aktivnosti organa vlasti na svim nivoima u sprovođenju jedinstvene državne politike u oblasti informacione bezbednosti; nedostaci pravnog okvira koji reguliše odnose u informacionoj sferi i praksi sprovođenja zakona; nerazvijenost institucija civilnog društva i nedovoljna kontrola države nad razvojem tržišta informacija u Rusiji; nedovoljno finansiranje mjera za osiguranje informacione sigurnosti; nedovoljan broj kvalifikovanog osoblja u oblasti informacione bezbednosti; nedovoljna aktivnost saveznih organa u informisanju javnosti o svojim aktivnostima, u obrazloženju donesenih odluka, u formiranju otvorenih državnih resursa i razvoju sistema pristupa njima građana; Rusija zaostaje za vodećim državama u svijetu u pogledu informatizacije vlasti i lokalne samouprave, kredita i finansija, industrije, poljoprivrede, obrazovanja, zdravstva, usluga i svakodnevnog života građana. Poglavlje 2. Zaštita povjerljivih informacija
2.1 Klasifikacija informacija koje treba zaštititi
Trenutno različiti regulatorni dokumenti ukazuju na značajan broj (više od 40) vrsta informacija koje zahtijevaju dodatnu zaštitu. Radi lakšeg razmatranja pravnog režima informacionih resursa na osnovu pristupa, oni se uslovno mogu grupisati u četiri grupe: državna tajna; poslovna tajna; povjerljiva informacija; intelektualno vlasništvo. Državna tajna. Zakon o državnim tajnama RF definiše državne tajne na sljedeći način: to su informacije koje štiti država u oblasti vojne, vanjske politike, privrede, obavještajnih, kontraobavještajnih i operativno-istražnih aktivnosti, čije širenje može štetiti sigurnosti Rusija (član 2). Članom 5. ovog zakona definisana je lista podataka koji su označeni kao državna tajna: informacije u vojnoj oblasti - o sadržaju strateških i operativnih planova, o planovima izgradnje Oružanih snaga, razvoju, tehnologiji, proizvodnji, o proizvodnim pogonima, o skladištenju, o zbrinjavanju nuklearne municije, o taktičko-tehničkom karakteristike i mogućnosti borbene upotrebe naoružanja i vojne opreme, o razmeštanju raketnih i kritičnih objekata i dr.; informacije iz oblasti ekonomije, nauke i tehnologije - o sadržaju planova za pripremu Ruske Federacije i njenih pojedinih regiona za moguće vojne operacije, o obimu proizvodnje, o planovima za državne narudžbe, o proizvodnji i nabavci oružja, vojnu opremu, o dostignućima nauke i tehnologije koja imaju važnu odbrambenu ili ekonomsku vrijednost itd.; informacije iz oblasti vanjske politike i ekonomije - o vanjskoj politici i vanjskoekonomskoj aktivnosti Ruske Federacije, čije prerano širenje može naštetiti sigurnosti države itd .; snage i sredstva navedene aktivnosti, njeni izvori, planovi i rezultati; lica koja sarađuju ili su sarađivala na povjerljivoj osnovi sa organima koji obavljaju navedene poslove; sistemi predsjedničke, vladine, šifrirane, uključujući šifrirane i tajne komunikacije; šifre i informaciono-analitički sistemi za posebne namene, metode i sredstva zaštite tajnih podataka i dr. Svaki podatak koji je koristan u poslovanju i daje prednost u odnosu na konkurente koji nema takve podatke može predstavljati poslovnu tajnu. U mnogim slučajevima, poslovne tajne su oblik intelektualnog vlasništva. Prema članu 139, dio 1 Građanskog zakonika Ruske Federacije, informacije koje predstavljaju poslovnu tajnu uključuju informacije koje imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog toga što nisu poznate trećim licima i kojima ne postoji slobodan pristup na pravnoj osnovi. Može uključivati razne ideje, izume i druge poslovne informacije. Uredba Vlade Ruske Federacije od 5.12.1991. br. 35 "O listi podataka koji ne mogu predstavljati poslovnu tajnu." Takve informacije uključuju: organizacione informacije (ustanova i akti o osnivanju preduzeća, potvrde o registraciji, licence, patenti); finansijske informacije (dokumenti o obračunu i plaćanju poreza, druga plaćanja predviđena zakonom, dokumenti o stanju solventnosti); podaci o osoblju i uslovima obavljanja delatnosti (broj i sastav zaposlenih, njihove plate, dostupnost slobodnih radnih mesta, uticaj proizvodnje na prirodnu sredinu, prodaja proizvoda koji štete zdravlju stanovništva, učešće funkcionera u preduzetništvu). aktivnosti, kršenje antimonopolskog zakonodavstva); informacije o imovini (veličina imovine, sredstva, ulaganja plaćanja u hartije od vrijednosti, obveznice, zajmovi, statutarni fondovi zajedničkih ulaganja). Povjerljiva informacija. Povjerljivost informacija je karakteristika informacija koja ukazuje na potrebu nametanja ograničenja na krug subjekata koji imaju pristup ovim informacijama. Povjerljivost pretpostavlja očuvanje prava na informaciju, njeno neotkrivanje (tajnost) i nepromjenjivost u svim slučajevima, osim za legitimno korištenje. Predsjedničkim dekretom br. 188 od 6. marta 1997. odobrena je lista povjerljivih informacija. Ova lista uključuje: informacije o činjenicama, događajima i okolnostima privatnog života građanina, koje omogućavaju identifikaciju njegove ličnosti (lični podaci); informacije koje predstavljaju tajnu istrage i sudskog postupka; službene informacije, pristup kojima su državni organi ograničeni u skladu sa Građanskim zakonikom Ruske Federacije i saveznim zakonima (službena tajna); informacije o profesionalnim aktivnostima (medicinske, javnobilježničke, advokatske tajne, privatnost prepiske, itd.); informacije o suštini pronalaska ili industrijskog dizajna prije službenog objavljivanja podataka o njima. Spisak povjerljivih informacija dopunjen je drugim regulatornim pravnim aktima: Osnove zakonodavstva Ruske Federacije „O zaštiti zdravlja građana“, zakoni Ruske Federacije „O psihijatrijskoj njezi i garancijama prava građana u njegovu odredbu", "O notarima", "O pravnoj profesiji", "O osnovnim garancijama izbornih prava građana Ruske Federacije", "O bankama i bankarskim aktivnostima", kao i Poreski zakonik Ruske Federacije, Porodični zakon Ruske Federacije itd. Kao rezultat toga, može se razlikovati nekoliko grupa povjerljivih informacija koje tvore određene "tajne": medicinska (liječnička) tajna; bankarska tajna; poreska tajna; notarska tajna; tajnost osiguranja; privilegija advokat-klijent; tajna odnosa prema vjeri i tajna ispovijedi; tajnost glasanja; službene tajne itd. Informacije definisane pojmom intelektualne svojine obuhvataju većinu navedenih informacija naučne i tehnološke prirode, kao i književna i umetnička dela, proizvode inventivne i racionalizatorske delatnosti i druge vrste stvaralaštva. U skladu sa Zakonom Ruske Federacije "O pravnoj zaštiti programa za elektronske računare i baze podataka" od 23. septembra 1992. godine, računarski programi i baze podataka su takođe objekti autorskog prava, čije kršenje povlači građansku, krivičnu i administrativnu odgovornost u skladu sa sa zakonodavstvom RF. Pod definiciju intelektualne svojine spada i određeni dio podataka koji su klasifikovani kao državna i poslovna tajna. 2.2 Organizacija zaštite informacija
Većina stručnjaka smatra sljedeće "zaštitne" mjere najrazumnijim naporom u tom pravcu: adekvatna definicija liste informacija koje treba zaštititi; utvrđivanje nivoa pristupačnosti i predviđanje mogućih ranjivosti u pristupu informacijama; preduzimanje mjera za ograničavanje pristupa informacijama ili objektu; organizacija sigurnosti prostorija i stalna kontrola sigurnosti informacija (posebno potreba za ormarićima koji se zaključavaju, sefovima, kancelarijama, televizijskim sigurnosnim kamerama itd.); postojanje jasnih pravila za rukovanje dokumentima i njihovu reprodukciju. Kao što znate, pronalazak tehnike umnožavanja bukvalno je izazvao porast industrijske špijunaže; prisustvo na dokumentima natpisa "Tajno", "Za službenu upotrebu", a na vratima - "Zabranjeno neovlašćeno ulazak". Svaki nosač informacija (dokument, disk itd.) mora imati odgovarajuću oznaku i lokaciju za skladištenje (prostorija, sef, metalna kutija); potpisivanje ugovora o tajnosti podataka sa zaposlenima u organizaciji, firmi. Trenutno, glavno sredstvo zaštite informacija su sigurnosne mjere usmjerene na sprječavanje curenja određenih informacija. Donošenje ovih mjera zavisi, prije svega, od vlasnika informacija, konkurentskog okruženja u njihovoj djelatnosti, vrijednosti koju za njih predstavljaju proizvodne ili komercijalne informacije i drugih faktora. Među mjerama za zaštitu informacija mogu se razlikovati eksterne i interne. Eksterne aktivnosti obuhvataju: proučavanje partnera, klijenata sa kojima morate poslovati, prikupljanje informacija o njihovoj pouzdanosti, solventnosti i drugih podataka, kao i predviđanje očekivanih radnji konkurenata i kriminalnih elemenata. Kad god je to moguće, identifikuju se osobe koje pokazuju interesovanje za aktivnosti organizacije (firme), za osoblje koje radi u organizaciji. Interne mjere obezbjeđenja sigurnosti obuhvataju selekciju i provjeru osoba koje stupaju na posao: proučavaju se njihovi lični podaci, ponašanje u mjestu stanovanja i na prethodnom radnom mjestu, lični i poslovni kvaliteti, psihološka kompatibilnost sa zaposlenima; otkrivaju se razlozi napuštanja prethodnog radnog mjesta, prisustvo osuda itd. U procesu rada nastavlja se proučavanje i analiza radnji zaposlenika koji utiču na interese organizacije, analiza njegovih vanjskih odnosa se sprovodi. Zaposleni su najvažniji element sigurnosnog sistema. Oni mogu igrati značajnu ulogu u zaštiti poslovnih tajni, ali u isto vrijeme mogu biti i glavni razlog njihovog curenja. To se često dešava zbog nepažnje, nepismenosti. Stoga je redovna i razumljiva obuka osoblja o pitanjima tajnosti bitan uslov za očuvanje tajnosti. Međutim, ne mogu se isključiti slučajevi namjernog prijenosa (prodaje) tajni kompanije od strane zaposlenika. Motivacioni osnov za takve radnje je ili lični interes ili osveta, na primjer, od strane otpuštenog zaposlenika. Praksa takvih radnji je ukorijenjena u antici. Zaštita informacija uključuje upotrebu posebnih tehničkih sredstava, elektronskih uređaja, što omogućava ne samo da se obuzda njihovo curenje, već i zaustavi takva vrsta aktivnosti kao što je industrijska (komercijalna) špijunaža. Većina njih su tehnička sredstva za detekciju i sredstva za suzbijanje prislušnih uređaja: telefonski neutralizator (za suzbijanje rada mini-predajnika i neutraliziranje uklanjanja audio informacija); Telefonski ometač uređaja za slušanje; profesionalni detektor (koristi se za "grubo" lociranje radio oznaka); mini detektor odašiljača (koristi se za precizno određivanje lokacije radio zakrpa); generator buke. Organizacije koje posjeduju vrijedne informacije treba da ih čuvaju u posebnim vatrostalnim ormarićima ili sefovima, kako ne bi dozvolili da se ključevi izgube ili prenesu drugim osobama, čak i onima kojima se posebno vjeruje, radi skladištenja. Jedan od široko rasprostranjenih metoda zaštite intelektualnog vlasništva je patent, odnosno potvrda koja se izdaje pronalazaču ili njegovom ovlašteniku za isključivo korištenje izuma koji je napravio. Patent ima za cilj da zaštiti pronalazača (autora) od reprodukcije, prodaje i upotrebe njegovog izuma od strane drugih. Sprovođenje posebnih internih i eksternih mjera zaštite vrijednih informacionih sistema treba povjeriti posebno obučenim licima. U tom cilju, poduzetnik može potražiti pomoć od privatnih detektivskih firmi specijaliziranih za pretragu i zaštitu imovine. Mogu se kreirati i vlastite sigurnosne službe. Budući da zaštitne mjere zahtijevaju značajne troškove, poduzetnik sam mora odlučiti šta je za njega isplativije: podnijeti curenje informacija ili uključiti specijalizirane službe da ih zaštite. Zaključak
Sadašnje stanje informacione sigurnosti u Rusiji je nova država, koja se tek uobličava uzimajući u obzir diktate vremena državno-javne institucije. Mnogo je već urađeno na putu njegovog formiranja, ali je tu još više problema koji zahtijevaju što hitnije rješenje. Posljednjih godina Ruska Federacija je implementirala niz mjera za poboljšanje sigurnosti informacija, a to su: Započelo je formiranje pravne osnove za informatičku sigurnost. Usvojen je niz zakona koji regulišu odnose sa javnošću u ovoj oblasti, a pokrenut je rad na stvaranju mehanizama za njihovo sprovođenje. Korak po korak rezultat i pravni osnov za dalje rješavanje problema u ovoj oblasti bilo je usvajanje Doktrine informacione sigurnosti Ruske Federacije od strane predsjednika Ruske Federacije u septembru 2001. godine; Sigurnost informacija je olakšana kreiranim: državni sistem zaštite informacija; sistem licenciranja poslova u oblasti zaštite državnih tajni; sistem sertifikacije sredstava informacione bezbednosti. Istovremeno, analiza stanja informacione bezbednosti pokazuje da i dalje postoji niz problema koji ozbiljno otežavaju potpuno obezbeđivanje informacione bezbednosti čoveka, društva i države. Doktrina navodi sljedeće glavne probleme u ovoj oblasti. Aktuelni uslovi političkog i socio-ekonomskog razvoja zemlje i dalje zadržavaju oštre kontradiktornosti između potreba društva za proširenjem slobodne razmjene informacija i potrebe za određenim regulisanim ograničenjima njihovog širenja. Nedosljednost i nerazvijenost zakonske regulative javnih odnosa u informatičkoj sferi značajno otežava održavanje potrebnog balansa interesa pojedinca, društva i države u ovoj oblasti. Nesavršena zakonska regulativa ne dozvoljava dovršenje formiranja konkurentnih ruskih informativnih agencija i masovnih medija na teritoriji Ruske Federacije. Nedostatak prava građana na pristup informacijama i manipulacija informacijama izazivaju negativnu reakciju stanovništva, što u pojedinim slučajevima dovodi do destabilizacije društveno-političke situacije u društvu. Prava građana na nepovredivost privatnog života, lične i porodične tajne i tajnost prepiske, sadržana u Ustavu Ruske Federacije, praktično nemaju dovoljnu pravnu, organizacionu i tehničku podršku. Loše je organizovana zaštita podataka o pojedincima (ličnih podataka) koje prikupljaju federalni organi vlasti, organi vlasti konstitutivnih entiteta Ruske Federacije i organi lokalne uprave. Ne postoji jasnoća u vođenju državne politike u oblasti formiranja ruskog informacionog prostora, kao i organizacije međunarodne razmene informacija i integracije informacionog prostora Rusije u globalni informacioni prostor, što stvara uslove za istiskivanje ruskih novinskih agencija i medija sa unutrašnjeg tržišta informacija, što dovodi do deformacije strukture međunarodne razmjene. Ne postoji dovoljna podrška vlade aktivnostima ruskih novinskih agencija za promociju svojih proizvoda na stranom tržištu informacija. Situacija sa osiguranjem sigurnosti podataka koji predstavljaju državnu tajnu se ne popravlja. Ozbiljna šteta nanesena je kadrovskom potencijalu naučnih i industrijskih timova koji rade u oblasti kreiranja informacionih tehnologija, telekomunikacija i komunikacija, kao rezultat masovnog odlaska najkvalifikovanijih stručnjaka iz ovih timova. Bibliografija
1.Doktrina informacione sigurnosti Ruske Federacije (odobrena od strane predsjednika Ruske Federacije od 09.09.2000., br. Pr-1895) .Zakon RF "O bezbednosti" 2010 .Zakon Ruske Federacije "O državnim tajnama", usvojen 21. jula 1993. (sa izmjenama i dopunama od 11.8.2011.) .Zakon Ruske Federacije "O autorskom i srodnim pravima", koji je stupio na snagu 3. avgusta 1993. (sa izmjenama i dopunama), .Savezni zakon "O osnovama državne službe", usvojen 31.07.1995. .Krivični zakon Ruske Federacije iz 2013
Uvod
Poglavlje 1. Osnove informacione sigurnosti i zaštite informacija
1.1 Evolucija pojma "informaciona sigurnost" i koncepta povjerljivosti
1.2 Vrijednost informacija
1.3 Kanali distribucije i curenje povjerljivih informacija
1.4 Sistem zaštite od prijetnji i povjerljivih informacija
Poglavlje 2. Organizacija rada sa dokumentima koji sadrže povjerljive informacije
2.1 Normativna i metodološka osnova povjerljivog kancelarijskog rada
2.2 Organizacija pristupa i procedura za osoblje sa povjerljivim informacijama, dokumentima i bazama podataka
2.3 Tehnološka osnova za obradu povjerljivih dokumenata
Poglavlje 3. Zaštita informacija ograničenog pristupa u AD "CHZPSN - Profilisano"
3.1 Karakteristike JSC "ChZPSN - Profilisan"
3.2 Sistem informacione sigurnosti u JSC "ChZPSN - Profilisan"
3.3 Unapređenje sistema bezbednosti ograničenih informacija
Zaključak
Spisak korišćenih izvora i literature
Uvod
Sigurnost informacija danas se jednoglasno naziva jednom od najvažnijih komponenti nacionalne sigurnosti svake zemlje. Problemi obezbjeđenja informacione sigurnosti postaju složeniji i konceptualno značajniji u vezi sa masovnim prelaskom informacionih tehnologija u menadžmentu na bezpapirnu automatizovanu osnovu.
Izbor teme za ovaj završni kvalifikacioni rad je zbog činjenice da je u savremenoj ruskoj tržišnoj privredi preduslov uspeha preduzetnika u poslovanju, ostvarivanja profita i održavanja integriteta organizacione strukture koju je on stvorio osigurava ekonomsku sigurnost svojih aktivnosti. A jedna od glavnih komponenti ekonomske sigurnosti je sigurnost informacija.
Predmet istraživanja u ovom radu je formiranje i funkcionisanje informacionih resursa u sistemu upravljanja organizacijom.
Baza istraživanja je DD "ChZPSN - Profilisana"
Predmet istraživanja su aktivnosti na obezbjeđenju sigurnosti informacionih resursa u sistemu upravljanja organizacijom.
Svrha istraživanja je analiza savremenih tehnologija, metoda, metoda i sredstava zaštite povjerljivih informacija preduzeća.
Istraživački zadaci, u skladu sa postavljenim ciljem, obuhvataju:
1. Otkriti glavne komponente informacione sigurnosti;
2. Odrediti sastav informacija koje je poželjno klasifikovati kao povjerljive;
3. Identificirati najčešće prijetnje, kanale distribucije i curenja povjerljivosti;
4. Razmotriti metode i sredstva zaštite povjerljivih informacija;
5. Analizirati regulatorni okvir povjerljivog kancelarijskog rada;
6. Proučiti bezbednosnu politiku u organizaciji pristupa informacijama poverljive prirode i proceduru za osoblje koje radi sa poverljivim dokumentima;
7. Razmotriti tehnološke sisteme za obradu povjerljivih dokumenata;
8. Procijeniti sistem zaštite informacija preduzeća „ČZPSN – Profilisano“ i dati preporuke za njegovo unapređenje.
U radu su korištene sljedeće metode istraživanja: metode spoznaje (opis, analiza, posmatranje, anketiranje); opšte naučne metode (analiza niza publikacija na temu), kao i takva dokumentarna metoda kao što je analiza dokumentacije preduzeća.
Pravni okvir za završni kvalifikacioni rad zasniva se prvenstveno na Ustavu kao glavnom zakonu Ruske Federacije) (1). Član 23. Ustava Ruske Federacije garantuje pravo na ličnu, porodičnu tajnu, privatnost prepiske, telefonskih razgovora, poštanskih, telegrafskih i drugih komunikacija. Istovremeno, ograničenje ovog prava je dozvoljeno samo na osnovu sudske odluke. Ustav Ruske Federacije ne dozvoljava (član 24) prikupljanje, čuvanje, korišćenje i širenje informacija o privatnom životu osobe bez njegovog pristanka (1).
Pravila za regulisanje odnosa koji proizilaze iz rukovanja povjerljivim informacijama također su sadržana u Građanskom zakoniku Ruske Federacije. Istovremeno, povjerljive informacije se u Građanskom zakoniku Ruske Federacije nazivaju nematerijalna dobra (član 150) (2).
Kriterijumi prema kojima se podaci klasifikuju kao službena i poslovna tajna , sadržano u članu 139 Građanskog zakonika Ruske Federacije. U njemu se navodi da informacija predstavlja službenu ili poslovnu tajnu u slučaju kada:
1. Ove informacije imaju stvarnu ili potencijalnu vrijednost zbog toga što nisu poznate trećim licima;
2. Ne postoji slobodan pristup ovim informacijama na zakonskoj osnovi i vlasnik informacija preduzima mjere da zaštiti njihovu povjerljivost (2).
Osim toga, definicija povjerljivosti komercijalnih informacija sadržana je u članu 727 Građanskog zakonika Ruske Federacije (2).
27. jula 2006. usvojena su dva savezna zakona koja su najvažnija za zaštitu povjerljivih informacija: br. 149-FZ „O informacijama, informatičkoj tehnologiji i zaštiti informacija“ (8) i br. 152-FZ „O ličnim podacima “ (9). Oni pružaju osnovne koncepte informacija i njihove zaštite. Kao što su "informacije", "povjerljivost informacija", "lični podaci" itd.
Predsjednik Ruske Federacije je 10. januara 2002. godine potpisao veoma važan zakon "O elektronskom digitalnom potpisu" (5), razvijajući i konkretizirajući odredbe navedenog zakona "O informisanju..." (8).
Glavni zakoni u oblasti sigurnosti povjerljivih informacija su i zakoni Ruske Federacije:
2. „O poslovnoj tajni“ od 29.07.2004. godine (sadrži podatke koji čine poslovnu tajnu, režim poslovne tajne, odavanje podataka koji predstavljaju poslovnu tajnu) (6);
3. "O davanju saglasnosti na Listu povjerljivih informacija" (11);
4. O odobravanju Liste podataka koji ne mogu predstavljati poslovnu tajnu“ (13).
Standard koji utvrđuje osnovne pojmove i definicije u oblasti informacione bezbednosti je GOST R 50922-96 (29).
Detaljan regulatorni i metodološki okvir za povjerljivi kancelarijski rad opisan je u drugom poglavlju ovog rada. U završnom kvalifikacionom radu korišteni su radovi vodećih stručnjaka za dokumente: I.V. Kudrjaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznjecova (45; 67; 102), A.V. Pšenko (98), L.V. Sankina (92), E.A. Stepanov (81; 96).
Koncept informacione sigurnosti, njegove glavne komponente, izloženi su u radovima V.A. Galatenko (82), V.N. Yarochkin (56), G. Zotova (66).
K. Iljin (52) u svojim radovima razmatra pitanja informacione bezbednosti u elektronskom tokovu dokumenata). Aspekti sigurnosti informacija opisani su u člancima V.Ya. Isheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuk (74), V.K. Senčagova (93), E.A. Stepanov (96).
Sistem sigurnosti informacija opisan je u radovima E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkov (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov i V.M. Martinov (49).
Radovi autora posvećeni su pravnoj regulativi informacija ograničenog pristupa: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bačilo (37, 38), O. Gavrilova (41). Potonji u svom članku ukazuje na nesavršenost zakonodavstva u predmetnoj oblasti.
Tehnologije za obradu povjerljivih dokumenata posvećene su R.N. Mosejev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksentsev (32).
U procesu pripreme rada korištene su naučne, edukativne, praktične, metodološke preporuke za organizaciju zaštite povjerljivih informacija koje su pripremili vodeći stručnjaci u ovoj oblasti kao što su A.I. Aleksentsev (31; 32) i E.A. Stepanov (81; 96).
Radovi I.L. Bačilo (38), K.B. Gelman-Vinogradova (43), N.A. Hramcovskaja (48), V.M. Kravcova (51) posvećeni su kontroverznim aspektima informacione sigurnosti.
Općenito, možemo reći da je problem sigurnosti informacija, općenito, osiguran izvorima, izvorna baza vam omogućava da istaknete zadatke. Značaj literature o ovom pitanju je veliki i odgovara njenoj aktuelnosti.
Ali u našoj zemlji ne postoji normativni pravni akt koji bi uspostavio jedinstvenu proceduru računovodstva, čuvanja i korišćenja dokumenata koji sadrže poverljive informacije. A prema analitičarima, čiji su članci korišteni u radu, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurov (71) i drugi, to je teško preporučljivo.
Završni kvalifikacioni rad sastoji se od uvoda, tri poglavlja, zaključka, spiska izvora i literature, aplikacija.
U uvodu se formuliše relevantnost i praktični značaj teme, svrha studija, zadaci, stepen razvijenosti problema koji se proučava, predmet, predmet, baza istraživanja, istraživački alati, struktura i sadržaj završnog kvalifikacionog rada.
Prvo poglavlje: „Osnove informacione bezbednosti i zaštite informacija“ sadrži istoriju problematike i osnovne koncepte informacione bezbednosti. Kao što su vrijednost informacija, povjerljivost. U stavu 1.2 su navedeni kanali distribucije, curenja informacija, u nastavku se razmatraju sistem prijetnji i sistem zaštite povjerljivih informacija.
Poglavlje "Organizacija rada sa povjerljivim dokumentima". sastoji se od regulatornih i metodoloških osnova povjerljivog kancelarijskog rada, zatim je dat postupak rada zaposlenih i organizacija njihovog pristupa povjerljivim informacijama. Tehnologija rada sa navedenim informacijama opisana je u zadnjem pasusu drugog poglavlja.
U trećem poglavlju, na primeru preduzeća OJSC „CHZPSN – Profilisano“, razmatra se sistem zaštite informacija ograničenog pristupa, analiza rada sa poverljivim dokumentima. date su preporuke, izmjene i dopune tehnologije povjerljivog kancelarijskog rada formirane u preduzeću.
Sigurnost informacija. Kurs predavanja Artyomov A.V.
Pitanje 3. Sistem zaštite povjerljivih informacija
Praktična implementacija politike (koncepta) informacione sigurnosti kompanije je tehnološki sistem informacione sigurnosti. Zaštita informacija je strogo uređen i dinamičan tehnološki proces koji sprečava narušavanje dostupnosti, integriteta, pouzdanosti i povjerljivosti vrijednih informacionih resursa i, u krajnjoj liniji, osigurava dovoljno pouzdanu sigurnost informacija u procesu upravljanja i proizvodnih aktivnosti kompanije.
Sistem bezbednosti informacija je racionalan skup pravaca, metoda, sredstava i mera kojima se smanjuje ranjivost informacija i sprečava neovlašćen pristup informacijama, njihovo otkrivanje ili curenje. Osnovni zahtevi za organizaciju efikasnog funkcionisanja sistema su: lična odgovornost rukovodilaca i zaposlenih za bezbednost medija i poverljivost informacija, regulisanje sastava poverljivih informacija i dokumenata koji podležu zaštiti, regulisanje procedure. za pristup osoblja poverljivim informacijama i dokumentima, prisustvo specijalizovane službe obezbeđenja koja obezbeđuje praktičnu implementaciju zaštite sistema i regulatorno-metodološku podršku delatnosti ove službe.
Vlasnici informacionih resursa, uključujući državne organe, organizacije i preduzeća, samostalno određuju (izuzev podataka koji su klasifikovani kao državna tajna) potreban stepen sigurnosti resursa i vrstu sistema, metode i sredstva zaštite, na osnovu vrednosti informacije. Vrijednost informacija i potrebna pouzdanost njihove zaštite su u direktnoj proporciji. Važno je da struktura sistema zaštite treba da obuhvati ne samo elektronske informacione sisteme, već i cjelokupni upravljački kompleks preduzeća u jedinstvu njegovih stvarnih funkcionalnih i proizvodnih jedinica, tradicionalnih dokumentarnih procesa. Nije uvijek moguće napustiti papirnate dokumente i često rutinsku, istorijski uspostavljenu tehnologiju upravljanja, posebno ako se radi o sigurnosti vrijednih, povjerljivih informacija.
Osnovna karakteristika sistema je njegova složenost, odnosno prisustvo obaveznih elemenata u njemu koji pokrivaju sve oblasti zaštite informacija. Odnos elemenata i njihovog sadržaja obezbeđuje individualnost izgradnje sistema za zaštitu informacija određene kompanije i garantuje jedinstvenost sistema, teškoću njegovog prevazilaženja. Specifičan sistem zaštite može se predstaviti kao zid od opeke, koji se sastoji od mnogo različitih elemenata (cigle). Elementi sistema su: pravni, organizacioni, inženjerski, hardversko-softverski i kriptografski.
Pravni element Sistemi informacione bezbednosti zasnovani su na normama informacionog prava i podrazumevaju pravnu konsolidaciju odnosa između kompanije i države u pogledu zakonitosti korišćenja sistema informacione bezbednosti, kompanije i osoblja u pogledu dužnosti osoblja da se pridržava restriktivnih i tehnološke zaštitne mjere koje utvrđuje vlasnik informacije, kao i odgovornost osoblja za kršenje postupka zaštite informacija. Ovaj element uključuje:
Prisutnost u organizacionim dokumentima preduzeća, pravilniku o radu, ugovorima zaključenim sa zaposlenima, u radnim i radnim uputstvima odredbe i obaveze zaštite povjerljivih podataka;
Formulisanje i saopštavanje svim zaposlenima kompanije (uključujući i one koji se ne odnose na poverljive informacije) odredbi o pravnoj odgovornosti za otkrivanje poverljivih informacija, neovlašćeno uništavanje ili falsifikovanje dokumenata;
Objašnjavanje regrutovanim licima odredbi o dobrovoljnosti ograničenja koja preuzimaju, a koja se odnose na ispunjavanje obaveza zaštite informacija.
Organizacioni element Sistem informacione bezbednosti sadrži mere upravljačke, restriktivne (režimske) i tehnološke prirode koje određuju osnovu i sadržaj sistema bezbednosti, podstičući osoblje na poštovanje pravila zaštite poverljivih informacija kompanije. Ove mjere su povezane sa uspostavljanjem režima povjerljivosti u firmi. Element uključuje regulaciju:
Formiranje i organizacija rada službe sigurnosti i službe povjerljive dokumentacije (ili rukovodioca sigurnosti, ili glavnog izvršnog direktora), obezbjeđivanje djelatnosti ovih službi (zaposlenika) regulatornim i metodološkim dokumentima o organizaciji i tehnologiji zaštite informacija ;
Sastavljanje i redovno ažuriranje sastava (lista, lista, matrica) zaštićenih informacija preduzeća, sastavljanje i održavanje liste (inventara) zaštićenih papirnih, mašinski čitljivih i elektronskih dokumenata preduzeća;
Sistem dopuštanja (hijerarhijska šema) za razgraničenje pristupa osoblja zaštićenim informacijama;
Metode odabira osoblja za rad sa zaštićenim informacijama, metode obuke i instrukcija zaposlenih;
Pravci i metode vaspitno-obrazovnog rada sa kadrovima, praćenje poštovanja od strane zaposlenih procedure zaštite informacija;
Tehnologije za zaštitu, obradu i skladištenje papirnih, mašinski čitljivih i elektronskih dokumenata preduzeća (kancelarijske, automatizovane i mešovite tehnologije); Tehnologija izvan stroja za zaštitu elektroničkih dokumenata;
Postupak zaštite vrijednih informacija kompanije od slučajnih ili namjernih neovlaštenih radnji osoblja;
Nalozi svih vrsta analitičkih poslova;
Procedura zaštite informacija tokom sastanaka, sastanaka, pregovora, prijema posetilaca, rada sa predstavnicima reklamnih agencija, medija;
Oprema i sertifikacija prostorija i radnih prostorija namenjenih za rad sa poverljivim informacijama, licenciranje tehničkih sistema i sredstava zaštite i bezbednosti informacija, sertifikacija informacionih sistema za obradu zaštićenih informacija;
Kontrola pristupa na teritoriji, u zgradi i prostorijama preduzeća, identifikacija osoblja i posetilaca;
Sigurnosni sistemi za teritoriju, zgrade, prostore, opremu, transport i osoblje preduzeća;
Radnje osoblja u ekstremnim situacijama;
Organizaciona pitanja nabavke, ugradnje i rada tehničkih sredstava zaštite i zaštite informacija;
Organizaciona pitanja zaštite personalnih računara, informacionih sistema, lokalnih mreža;
Poslovi upravljanja sustavom informacione sigurnosti;
Kriterijumi i postupak za provođenje aktivnosti procjene radi utvrđivanja stepena efikasnosti sistema zaštite informacija.
Element organizacione zaštite je srž, glavni dio kompleksnog sistema koji se razmatra. Prema mišljenju većine stručnjaka, mjere organizacione zaštite informacija zauzimaju 50-60% u strukturi većine sistema zaštite informacija. To je zbog niza faktora, ali i činjenice da je važan dio organizacione zaštite informacija izbor, zapošljavanje i obuka kadrova koji će implementirati sistem zaštite informacija u praksi. Savjesnost, obučenost i odgovornost osoblja s pravom se može nazvati kamenom temeljcem svakog čak i tehnički najnaprednijeg sistema informacione sigurnosti. Mjere organizacione zaštite ogledaju se u regulatornim i metodološkim dokumentima službe obezbjeđenja, službe povjerljive dokumentacije ustanove ili preduzeća. S tim u vezi, često se koristi zajednički naziv za dva elementa sistema zaštite o kojima smo gore govorili – „element organizacione i pravne zaštite informacija“.
Inženjerski element Sistemi sigurnosti informacija su dizajnirani za pasivno i aktivno suzbijanje tehničkog obavještajnog rada i formiranje linija zaštite teritorije, zgrada, prostorija i opreme korištenjem skupa tehničkih sredstava. Prilikom zaštite informacionih sistema ovaj element je veoma važan, iako su troškovi tehničke zaštite i sigurnosne opreme visoki. Stavka uključuje:
Konstrukcije fizičke (inženjerske) zaštite od prodora neovlašćenih lica na teritoriju, u zgradu i prostorije (ograde, rešetke, čelična vrata, kombinovane brave, identifikatori, sefovi i dr.);
Sredstva zaštite tehničkih kanala od curenja informacija nastalih u toku rada računara, komunikacionih uređaja, fotokopir aparata, štampača, faksova i drugih uređaja i kancelarijske opreme, tokom sastanaka, sastanaka, razgovora sa posetiocima i zaposlenima, diktiranja dokumenata i dr.;
Sredstva za zaštitu prostorija od vizualnih metoda tehničkog izviđanja;
Sredstva za obezbjeđivanje zaštite teritorije, objekata i prostorija (sredstva osmatranja, obavještavanja, signalizacije, obavještavanja i identifikacije);
Sredstva za zaštitu od požara;
Sredstva za otkrivanje uređaja i uređaja tehničke obavještajne službe (prislušni i predajni uređaji, tajno ugrađena minijaturna oprema za snimanje zvuka i televizijska oprema i dr.);
Tehničke kontrole kako bi se spriječilo osoblje da iz prostorija iznosi posebno označene predmete, dokumenta, diskete, knjige itd. Hardverski i softverski element Sistemi za sigurnost informacija su dizajnirani da zaštite vrijedne informacije koje se obrađuju i čuvaju u računarima, serverima i radnim stanicama lokalnih mreža i različitih informacionih sistema. Međutim, fragmenti ove zaštite mogu se koristiti kao pomoćna sredstva u inženjerskoj i tehničkoj i organizacionoj zaštiti. Stavka uključuje:
Autonomni programi koji obezbeđuju zaštitu informacija i kontrolišu stepen njihove zaštite;
Programi za informacijsku sigurnost koji rade zajedno s programima za obradu informacija;
Programi za informacionu bezbednost koji rade u sprezi sa tehničkim (hardverskim) uređajima za bezbednost informacija (prekidanje rada računara u slučaju kršenja pristupnog sistema, brisanje podataka u slučaju neovlašćenog ulaska u bazu podataka i sl.).
Kriptografski element Sistem sigurnosti informacija je dizajniran da zaštiti povjerljive informacije korištenjem kriptografskih metoda. Stavka uključuje:
Regulacija upotrebe različitih kriptografskih metoda u računalima i lokalnim mrežama;
Utvrđivanje uslova i načina kriptografiranja teksta dokumenta prilikom njegovog prenošenja nezaštićenim kanalima poštanskih, telegrafskih, teletipskih, faksimilnih i elektronskih komunikacija;
Reguliranje korištenja kriptografskih sredstava za pregovaranje preko nezaštićenih telefonskih i radio komunikacijskih kanala;
Reguliranje pristupa bazama podataka, datotekama, elektronskim dokumentima osobnim lozinkama, identifikacijskim naredbama i drugim metodama;
Regulisanje pristupa osoblja dodijeljenim prostorijama korištenjem identifikacionih kodova, šifri.
Sastavne dijelove kriptografske zaštite, kodove, lozinke i druge njene atribute razvija i mijenja specijalizirana organizacija. Korisnicima nije dozvoljeno korištenje vlastitih sistema šifriranja.
U svakom elementu zaštite mogu se u praksi implementirati samo pojedinačne komponente, u zavisnosti od postavljenih zadataka zaštite u velikim i srednjim preduzećima različitih profila, malim preduzećima. Struktura sistema, sastav i sadržaj elemenata, njihov međusobni odnos zavise od obima i vrednosti zaštićenih informacija, prirode novonastalih pretnji bezbednosti informacija, zahtevane pouzdanosti zaštite i cene sistema. . Na primjer, u kompaniji srednje veličine sa malom količinom zaštićenih informacija, možete se ograničiti na regulaciju tehnologije za obradu i skladištenje dokumenata, pristup osoblja dokumentima i datotekama. Moguće je dodatno izdvajanje u posebnu grupu i označavanje vrijednih papirnih, mašinski čitljivih i elektronskih dokumenata, vođenje popisa istih, utvrđivanje procedure potpisivanja obaveza zaposlenih da ne odaju tajne kompanije, organizovanje redovne edukacije i instruiranja zaposlenih. , obavljanje analitičkih i kontrolnih poslova. Upotreba najjednostavnijih metoda zaštite, u pravilu, daje značajan učinak.
U velikim proizvodnim i istraživačkim firmama sa velikim brojem informacionih sistema i značajnim količinama zaštićenih informacija formira se sistem bezbednosti informacija na više nivoa koji karakteriše hijerarhijski pristup informacijama. Međutim, ovi sistemi, kao i najjednostavniji načini zaštite, ne bi trebalo da stvaraju ozbiljne neprijatnosti zaposlenima u radu, odnosno da budu „transparentni“.
Sadržaj sastavnih dijelova elemenata, metoda i sredstava zaštite informacija u okviru svakog sigurnosnog sistema treba redovno mijenjati kako bi se spriječilo njihovo otkrivanje od strane zainteresovanog lica. Specifičan sistem zaštite podataka kompanije je uvijek strogo povjerljiv, tajan. U praktičnoj upotrebi sistema treba imati na umu da osobe koje projektuju i modernizuju sistem, prate i analiziraju njegov rad, ne mogu biti korisnici ovog sistema.
zaključak: Informaciona sigurnost u savremenim uslovima kompjuterizacije informacionih procesa je od fundamentalnog značaja za sprečavanje nezakonite i često kriminalne upotrebe vrijednih informacija. Zadatke informacione bezbednosti realizuje integrisani sistem zaštite informacija, koji je po svojoj nameni sposoban da reši mnoge probleme koji se javljaju u procesu rada sa poverljivim informacijama i dokumentima. Glavni uslov za sigurnost informacionih resursa ograničenog pristupa od raznih vrsta prijetnji je prije svega organizacija u društvu analitičkih studija, izgrađenih na savremenom naučnom nivou i koja omogućava stalne informacije o djelotvornosti zaštite. sistema i pravcima njegovog unapređenja u skladu sa nastalim situacionim problemima.
Iz knjige Tehnička poslovna sigurnost autor Aleshin AlexanderPoglavlje 5. Tehnička sredstva zaštite informacija 5.1. Sigurnost informacija Sigurnost informacija odnosi se na sigurnost informacija i njihove prateće infrastrukture od bilo kakvih slučajnih ili zlonamjernih utjecaja koji mogu rezultirati
Iz knjige Kamioni. Zaštita i zdravlje na radu autor Melnikov Ilya5.4. Metode zaštite informacija
Iz knjige Sigurnost informacija. Kurs predavanja autor Artemov A.V.Informacioni sistem opasnosti (HIS) Vozači i drugi radnici drumskih transportnih organizacija direktno uključeni u registraciju, pripremu i održavanje prevoza opasnih materija moraju poštovati zahteve pravilnika Ministarstva za vanredne situacije, kada
Iz knjige autoraPitanje 1. Informacioni resursi i povjerljivost informacija U skladu sa važećim Saveznim zakonom "O informisanju, informatizaciji i zaštiti informacija", informacioni resursi preduzeća, organizacije, ustanove, banke, preduzeća i dr.
Iz knjige autoraPitanje 2. Pretnje poverljivim informacijama organizacije Svi informacioni resursi kompanije su stalno izloženi objektivnim i subjektivnim pretnjama gubitka medija ili vrednosti informacije.Pod pretnjom ili opasnošću od gubitka informacija podrazumeva se pojedinačna ili
Iz knjige autoraPitanje 2. Model i metodologija korporativnog sistema bezbednosti informacija U skladu sa čl. 20. Federalnog zakona "o informacijama, informatizaciji i zaštiti informacija", ciljevi zaštite informacija su, između ostalog, sprečavanje curenja, krađe, gubitka, izobličenja, krivotvorenja.
Iz knjige autoraPredavanje 5 Konceptualne osnove informacione sigurnosti u automatizovanim sistemima Nastavna pitanja: 1. Analiza i tipizacija organizacionih i hardversko-softverskih struktura automatizovanih sistema preduzeća 2. Analiza mogućih prijetnji i njihove specifičnosti u različitim vrstama
Iz knjige autoraPitanje 3. Sistematizacija vrsta zaštite informacija U praktičnim aktivnostima na primeni mera i sredstava zaštite informacija izdvajaju se sledeće nezavisne oblasti, određene u skladu sa postojećim industrijskim strukturama i vrstama informacija
Iz knjige autoraPitanje 3. Principi zaštite bankarskih automatizovanih sistema Svaki sistem obrade bezbednosnih informacija treba razvijati pojedinačno, uzimajući u obzir sledeće karakteristike:? organizaciona struktura banke ;? obim i priroda tokova informacija (unutar banke u
Iz knjige autoraPitanje 2. Jedinstveni koncept informacione sigurnosti.
Iz knjige autora Iz knjige autoraPitanje 2. Formalni modeli zaštite Razmotrimo tzv. matrični model zaštite koji je u praksi dobio najveću rasprostranjenost.U smislu matričnog modela, stanje sistema zaštite opisuje se trojkom: (S, O, M), gdje je S skup subjekata
Iz knjige autoraPitanje 1. Svrha matematičkih modela za osiguranje sigurnosti informacija u automatizovanom sistemu upravljanja.
Iz knjige autoraPitanje 2. Komparativna analiza i osnovne definicije matematičkih modela za osiguranje informacione sigurnosti Postojeće tehnologije za formalni opis procesa informacione sigurnosti zasnovane su na konceptima teorije konačnih automata, teo.
Iz knjige autoraPitanje 1. Pravne i organizacione mjere zaštite Pravni lijekovi se uglavnom svode na administrativnu i krivičnu odgovornost za namjerno stvaranje i širenje virusa ili "trojanskih konja" s ciljem nanošenja štete Poteškoće u njihovoj primjeni
Iz knjige autoraPitanje 2. Hardverske i softverske metode i sredstva zaštite U savremenim personalnim računarima implementiran je princip razdvajanja softvera i hardvera. Stoga, softverski virusi i trojanski konji ne mogu djelotvorno utjecati na hardver, osim ako
