اطلاعات محرمانه به چه معناست مفهوم و انواع اطلاعات محرمانه، طبقه بندی و ویژگی ها

"Kadrovik.ru"، 2012، N 7

در هر شرکتی، اطلاعات محرمانه ای وجود دارد که به ویژه از کارکنانی که به آن دسترسی ندارند و همچنین رقبا و تامین کنندگان با دقت محافظت می شود. در عین حال، تعیین میزان محرمانه بودن داده ها نسبتاً دشوار است. در نتیجه کلیه اطلاعات مربوط به فعالیت های سازمان محرمانه تلقی می شود. در نتیجه، دعوی قضایی هم با کارکنان و هم با سایر شرکت ها به وجود می آید.

فهرست داده های مربوطه در چندین قانون قانونی آمده است، با این حال، شرکت ممکن است به طور مستقل دسترسی به برخی از اطلاعات را محدود کند. در عین حال، سند اصلی که تعیین اینکه آیا اطلاعات به عنوان محرمانه طبقه بندی شده است یا خیر، قانون فدرال 29 ژوئیه 2004 N 98-FZ "در مورد اسرار تجاری" (از این پس - قانون N 98-FZ) است. با این حال، فهرست مندرج در این قانون ناقص است و سایر اطلاعات مربوط به اطلاعات محرمانه در سایر قوانین قانونی نظارتی آمده است.

فهرست داده های محرمانه تعریف شده توسط قانون

چشم انداز محرمانه اطلاعات	لیست اطلاعات	مقننه هنجار
اطلاعات، جزء تجاری راز	اطلاعات از هر ماهیت (تولید، فنی، اقتصادی، سازمانی و دیگران)، از جمله نتایج فعالیت فکری در علم حوزه فنی، و همچنین اطلاعات در مورد راه های پیاده سازی حرفه ای فعالیت هایی که دارند بالفعل یا بالقوه ارزش تجاری به موجب برای اشخاص ثالث ناشناخته	ماده 3. فدرال قانون از 29.07.2004 N 98-FZ "O تجاری راز "
بانکداری راز	اطلاعات مربوط به تراکنش ها، حساب ها و سپرده های سازمان ها - مشتریان بانک ها و خبرنگاران	ماده 26 فدرال قانون از 02.12.1990 N 395-1 "O بانک ها و بانکداری فعالیت ها "
وکیل راز، دفتر اسناد رسمی راز	اطلاعات مربوط به ارائه وکیل کمک حقوقی به او به مدیر اصلی؛ اطلاعاتی که شد به سردفتر در ارتباط با او شناخته شده است فعالیت های حرفه ای	اصول اولیه قانون گذاری روسی فدراسیون در مورد دفاتر اسناد رسمی (مورد تایید نیروهای مسلح RF 02/11/1993 N 4462-1)؛ هنر هشت فدرال قانون از 31.05.2002 N 63-FZ "روشن وکیل فعالیت ها و وکالت در روسی فدراسیون "
هوش، مرتبط با حسابرسی سازمان	هرگونه اطلاعات و مدارک دریافت شده و / یا توسط حسابرس تدوین شده است سازمان و کارکنان آن و همچنین یک حسابرس فردی و کارکنان، که با آنها شروع به زایمان کرده اند قراردادهای ارائه خدمات، توسط این فدرال ارائه شده است طبق قانون، به استثنای: 1) اطلاعات افشا شده توسط خود شخص، که خدمات به آنها ارائه شد، توسط این فدرال ارائه شده است طبق قانون یا با رضایت او؛ 2) اطلاعات در مورد نتیجه گیری با حسابرسی شونده شخص قرارداد برای حسابرسی قانونی؛ 3) اطلاعات در مورد میزان پرداخت خدمات حسابرسی	ماده 9. فدرال قانون از 30.12.2008 N 307-FZ "روشن حسابرسی فعالیت ها "

در عمل، رژیم محرمانه تعریف شده است:

• فهرستی از اطلاعات تشکیل دهنده یک راز تجاری؛ فهرستی از اطلاعات محرمانه در سازمان؛
• تنظیم قراردادی روابط با کارکنان؛
• تنظیم قراردادی روابط با طرفین با ایجاد مفاد مربوطه در قرارداد.
• استفاده از علائم محدود کننده و مهر محرمانگی در رسانه های محرمانه اطلاعات محرمانه با ذکر مالک آن.

علاوه بر این اقدامات، شرکت می تواند در صورت لزوم از ابزارها و روش های حفاظت فنی از اطلاعات محرمانه و همچنین سایر اقداماتی که با قوانین فدراسیون روسیه مغایرت ندارد استفاده کند.

رژیم اسرار تجاری را نمی توان در رابطه با اطلاعات زیر ایجاد کرد:

• موجود در اسناد تشکیل دهنده یک شخص حقوقی و اسنادی که تأیید کننده واقعیت ثبت نام در مورد اشخاص حقوقی در ثبت های دولتی است.
• موجود در اسنادی که حق انجام فعالیت کارآفرینی را می دهد.
• در مورد آلودگی محیط زیست، وضعیت ایمنی آتش سوزی، شرایط بهداشتی-اپیدمیولوژیک و تشعشع، ایمنی مواد غذایی و سایر عواملی که تأثیر منفی بر تضمین عملکرد ایمن تأسیسات تولید، ایمنی هر شهروند و ایمنی کل جمعیت دارد. ;
• در مورد تعداد، ترکیب کارکنان، سیستم حقوق و دستمزد، در مورد شرایط کار، از جمله حفاظت از کار، در مورد شاخص های آسیب های صنعتی و عوارض شغلی، در دسترس بودن مشاغل خالی.
• در مورد معوقات کارفرمایان در پرداخت دستمزد و سایر مزایای اجتماعی؛
• در مورد نقض قوانین فدراسیون روسیه و حقایق مسئولیت پذیری برای کمیسیون آنها؛
• در مورد اندازه و ساختار درآمد سازمان های غیر انتفاعی، در مورد اندازه و ترکیب دارایی آنها، در مورد هزینه های آنها، در مورد تعداد و پاداش کارکنان آنها، در مورد استفاده از نیروی کار رایگان شهروندان در فعالیت های غیر دولتی. سازمان انتفاعی؛
• در لیست افرادی که حق دارند بدون وکالتنامه از طرف یک شخص حقوقی اقدام کنند.
• اطلاعاتی که افشای آنها اجباری است یا عدم پذیرش محدودیت دسترسی به آنها توسط قوانین فدرال قبل از لازم الاجرا شدن قانون N 98-FZ تعیین شده است.

روش ایجاد لیست در یک شرکت خاص را در نظر بگیرید.

با کارمندی که اطلاعات محرمانه را فاش می کند چه باید کرد؟

در بسیاری از شرکت ها، اقدامات زیر برای کارمندی که اطلاعات طبقه بندی شده را افشا می کند اعمال می شود: اقدامات انضباطی، خسارت در دادگاه. برخی از کارفرمایان به سادگی متخلفان را اخراج می کنند و معتقدند که انتشار اطلاعات محرمانه یک تخلف جدی است. در واقع چنین امکانی وجود دارد. طبق پاراگراف ها. "در" بند 6، بخش 1 از هنر. 81 قانون کار فدراسیون روسیه، قرارداد کار را می توان حتی در صورت افشای یک بار اسرار تجاری، که در رابطه با انجام وظایف کار به کارمند شناخته شد، توسط کارفرما فسخ کرد.

در صورت بروز اختلاف در مورد اعاده کار اخراج شده بر اساس دلایل در نظر گرفته شده، وظیفه اثبات کلیه شرایط افشای اسرار تجاری بر عهده کارفرماست. لازم است تمام شرایط یک مورد خاص را به دقت در نظر بگیرید، تجزیه و تحلیل کنید که آیا دلایل قانونی برای اخراج کارمند مشکوک به افشای اطلاعات محرمانه وجود دارد یا خیر، و همچنین ارزیابی خطرات احتمالی در صورت اعتراض کارمند به اخراج.

به عنوان مثال، یک کارمند از یک درایو فلش برای چاپ یک سند در چاپگر استفاده کرد. با این حال، کارفرما این اقدامات را افشای اسرار تجاری می دانست، زیرا ممنوعیت استفاده از درایو فلش برای انتقال اطلاعات محرمانه در یک قانون محلی وجود داشت. با این حال، این سازمان فهرست دقیقی از چنین داده های طبقه بندی شده ای نداشت. در نتیجه کارمند به بازرسی کار مراجعه کرد و پس از بررسی موفق به رفع مجازات انضباطی شد.

بنابراین، هنگام اعمال یک اقدام انضباطی، کارفرما باید:

• ثابت کند که کارمند باعث آسیب مادی به سازمان شده است.
• مشخص کنید که کارمند داده های محرمانه موجود در لیست را فاش کرده است.
• واقعیت افشا و آشنایی کارمند با لیست اطلاعات محرمانه را تأیید کنید.

اگر شرکت بخواهد خسارت را در دادگاه بازیابی کند (مثلاً مدیر استعفا داده و پایگاه داده محرمانه را به رقبا فروخته است)، در این صورت ارزیابی خسارت مادی ضروری خواهد بود. شرط کلیدی برای تشکیل پایگاه شواهد، در دسترس بودن فهرستی از اطلاعات محرمانه است.

فهرست اطلاعات محرمانه در یک سازمان جداگانه

هر سازمان فهرستی از اطلاعات محرمانه خود را تهیه می کند. به عنوان یک قاعده، شامل موارد زیر است:

• اطلاعات در مورد تولید و مدیریت؛
• داده های مربوط به سطح حقوق کارمندان؛
• اطلاعات شخصی کارکنان؛
• تصمیمات مدیریت، برنامه های توسعه تولید، برنامه های سرمایه گذاری؛
• صورتجلسه جلسات؛
• قراردادهای محرمانه؛
• اطلاعات در مورد مذاکرات؛
• اطلاعات در مورد کارکنان، جدول کارکنان؛
• هزینه و قیمت؛
• گزارش حسابداری، اسناد اولیه؛
• اطلاعات در مورد مالیات و هزینه های پرداخت شده؛
• گزارش های حسابرس

لطفا توجه داشته باشید: اطلاعات شخصی و اطلاعات محرمانه مفاهیمی معادل نیستند. مورد دوم گسترده تر است و ممکن است شامل بیانیه های حسابداری مختلف، داده های مربوط به پرسنل سازمان و سایر اطلاعاتی باشد که مطابق با رژیم تعیین شده اسرار تجاری توسط شرکت محافظت می شود.

اطلاعات تشکیل دهنده یک اسرار تجاری (راز تولید) اطلاعاتی از هر ماهیت (تولید، فنی، اقتصادی، سازمانی و غیره) است، از جمله اطلاعات مربوط به نتایج فعالیت های فکری در حوزه علمی و فنی، و همچنین اطلاعاتی در مورد روش های تولید. انجام فعالیت‌های حرفه‌ای که به دلیل ناشناخته بودن برای اشخاص ثالث دارای ارزش تجاری بالفعل یا بالقوه است که اشخاص ثالث بر اساس مبانی قانونی به آنها دسترسی آزاد ندارند و صاحب چنین اطلاعاتی در رابطه با آنها رژیم اسرار تجاری را معرفی کرده است. افشای اطلاعات تشکیل دهنده یک اسرار تجاری، اقدام یا عدم اقدامی است که در نتیجه این اطلاعات به هر شکل ممکن (شفاهی، کتبی، غیره، از جمله با استفاده از ابزار فنی) بدون رضایت مالک برای اشخاص ثالث شناخته می شود. یا علی رغم قرارداد کار یا حقوقی مدنی (تعریف دادگاه شهر مسکو از 11/14/2011 در مورد N 33-36486).

مفهوم داده های شخصی در قانون فدرال مورخ 27.07.2006 N 152-FZ "در مورد داده های شخصی" ایجاد شده است. این هر گونه اطلاعاتی است که به طور مستقیم یا غیرمستقیم به یک فرد خاص یا قابل شناسایی (موضوع داده های شخصی) مربوط می شود.

این است که، اگر اطلاعات محرمانه می تواند به هر دو اشخاص حقیقی و حقوقی، داده های شخصی - فقط به افراد مراجعه کند. فهرست داده‌های محرمانه طبقه‌بندی شده در سطح قانونگذاری در پیوست آورده شده است.

توجه به این نکته ضروری است که اطلاعاتی که توسط شرکت به عنوان محرمانه شناخته شده است را نمی توان به آن نسبت داد. اسناد صورتهای مالی ارائه شده به شرکت کنندگان شرکت فقط برای آشنایی می تواند به عنوان محرمانه طبقه بندی شود (قطعنامه FAS ناحیه ولگا مورخ 05.04.2005 N A12-12462 / 04-C56). نتیجه مشابهی در قطعنامه FAS ناحیه خاور دور در تاریخ 05.16.2007، 08.05.2007 N F03-A73 / 07-1 / 1090 در مورد N A73-9822 / 2006-9 انجام شد که در آن دادگاه تشخیص داد که نه هنجارهای قانون فدرال 21.11.1996 N 129-FZ "در مورد حسابداری" و نه هنر. 89 قانون فدرال 26.12.1995 N 208-FZ "در مورد شرکت های سهامی" ارائه اجباری کپی اسناد حسابداری اولیه، برگه های گردش حسابداری تحلیلی و پایگاه داده الکترونیکی برنامه حسابداری شرکت را برای سهامدار پیش بینی نمی کند. . در عین حال، به عنوان مثال، اطلاعات مربوط به انجام تعهدات مالیات دهندگان برای پرداخت مالیات یک راز مالیاتی نیست و می تواند افشا شود (قطعنامه سرویس فدرال ضد انحصار ناحیه سیبری غربی در تاریخ 2010/07/27 در مورد پرونده شماره A27-25441 / 2009).

بنابراین، کارفرما باید به طور مستقل فهرستی از اطلاعات محرمانه را تهیه کند و بسته به اهمیت این اطلاعات، آنها را با یک سند اداری تنظیم کند. با این حال، محرمانه بودن داده ها می تواند در دادگاه به چالش کشیده شود. در عین حال، یک نکته مهم نیز نه تنها ایجاد فهرست خود اطلاعات محرمانه، بلکه روش حفاظت از آن است.

روش حفاظت از اطلاعات محرمانه

مطابق با هنر. 10 قانون N 98-FZ، اقدامات برای محافظت از محرمانه بودن اطلاعات اتخاذ شده توسط صاحب آن باید شامل موارد زیر باشد:

• تعیین فهرست داده هایی که یک راز تجاری را تشکیل می دهند.
• محدود کردن دسترسی به چنین اطلاعاتی از طریق ایجاد رویه ای برای رسیدگی به آنها و نظارت بر رعایت این رویه؛
• نگهداری سوابق افرادی که به اطلاعات محرمانه دسترسی پیدا کرده اند و (یا) افرادی که به آنها ارائه یا منتقل شده است.
• تنظیم روابط در مورد استفاده از داده های تشکیل دهنده راز تجاری توسط کارمندان بر اساس قراردادهای کاری و طرفین بر اساس قراردادهای قانون مدنی.
• استفاده از رسانه های ملموس حاوی اطلاعات محرمانه، یا گنجاندن مهر "راز تجاری" که نشان دهنده صاحب چنین اطلاعاتی است، در الزامات اسناد حاوی چنین اطلاعاتی.

به منظور حفاظت از محرمانه بودن اطلاعات، کارفرما باید:

• در مقابل دریافت، کارمندی را که برای انجام وظایف شغلی خود نیاز به دسترسی به چنین اطلاعاتی دارد، با فهرست اطلاعات تشکیل دهنده یک اسرار تجاری که صاحبان آن کارفرما و طرفین او هستند، آشنا کند.
• کارمند را در مقابل دریافت، با رژیم اسرار تجاری ایجاد شده توسط کارفرما و اقدامات مسئولیت نقض آن آشنا کنید.
• شرایط لازم را برای پیروی کارمند از رژیم تعیین شده ایجاد کنید (ماده 11 قانون N 98-FZ).

در قرارداد کار با رئیس سازمان باید تعهدات این کارمند برای اطمینان از حفاظت از محرمانه بودن اطلاعات متعلق به سازمان و طرفین آن و مسئولیت اقدامات مناسب پیش بینی شود.

شناسایی داده ها به عنوان محرمانه می تواند در دادگاه به چالش کشیده شود

در این صورت شرکت می تواند اقدامات زیر را انجام دهد:

• اجرای سیستم مجوز برای دسترسی مجریان (کاربران، پرسنل خدمات) به اطلاعات و آثار و اسناد مربوط.
• محدود کردن دسترسی پرسنل و افراد غیرمجاز به اماکن حفاظت شده و اماکنی که وسایل اطلاع رسانی و ارتباطات در آن قرار دارد و همچنین حامل های اطلاعات ذخیره می شود.
• متن جلسه؛
• تمایز دسترسی کاربران و پرسنل خدمات به منابع اطلاعاتی، پردازش نرم افزار (انتقال) و حفاظت از داده ها.
• حسابداری و ذخیره ایمن حامل های داده کاغذ و ماشین، کلیدها (اسناد کلیدی) و گردش آنها، به استثنای سرقت، تعویض و تخریب آنها.
• رزرو ابزار فنی و کپی برداری از آرایه ها و حامل های اطلاعات.
• محافظت در برابر کپی کردن اطلاعات، استفاده از وسایل تایید شده حفاظت از آن؛
• استفاده از کانال های ارتباطی امن؛
• تبدیل رمزنگاری داده های پردازش و انتقال داده شده توسط فناوری و ارتباطات کامپیوتری.

بسیار مهم است که در قانون محلی سازمان نه تنها فهرستی از اطلاعات محرمانه، بلکه روش استفاده از آنها نیز ایجاد شود.

در روابط با کارکنان، شرکت ها معمولا از دو تاکتیک استفاده می کنند: حفاظت از منافع در دادگاه، حفاظت از منافع در دستور مقدماتی با فسخ قرارداد با کارمند. بیایید راه اول را در نظر بگیریم. به عنوان مثال می توان به تعریف دادگاه شهر مسکو در 22 دسامبر 2011 در پرونده N 4g / 8-10945 / 11 اشاره کرد. حل و فصل ادعاهای بیان شده، با هدایت هنر. 81 قانون کار فدراسیون روسیه، قانون فدرال "در مورد اسرار تجاری"، دادگاه به این نتیجه رسید که اخراج شاکی قانونی و موجه است، زیرا او یک راز تجاری را فاش کرده است. شاکی اسنادی را از طریق ایمیل به یک سازمان شخص ثالث ارسال کرد که اشخاص ثالث به آنها دسترسی آزاد نداشتند و کارفرما در رابطه با آنها رژیم اسرار تجاری را معرفی کرد.

در دادگاه ، این شرکت حقایق زیر را ثابت کرد: آشنایی کارمند با مقررات "در مورد اسرار تجاری" ، رعایت رویه انضباطی ، ارسال اسناد به معاون مدیر کل یک سازمان شخص ثالث - اطلاعاتی در مورد طرفین ، اطلاعات در مورد زمان و روش های ارائه خدمات، میزان پاداش.

اما در صورتی که اطلاعات محرمانه به اشخاص ثالث منتقل نشود، کپی برداری از اطلاعات بدون انتقال به اشخاص ثالث نمی تواند افشا شود. بنابراین، در تصمیم 12.12.2011 در پرونده شماره 4g / 8-10961 / 2011، دادگاه شهر مسکو به این نتیجه رسید که اطلاعات کپی شده توسط شاکی در فلش کارت یک راز تجاری شرکت است، اما شواهدی وجود دارد که نشان می دهد. این اطلاعات توسط وی به اشخاص ثالث منتقل شده، متهم حضور نداشته و شاکی ارتکاب چنین اقداماتی را انکار کرده است. دادگاه همچنین مدرکی مبنی بر ارسال اطلاعات مشخص شده توسط شاکی به صندوق های پست الکترونیکی اشخاص ثالث و همچنین حقایق ارسال در اینترنت دریافت نکرد. متهم هنگام بررسی رایانه منزل شاکی و حذف اطلاعات کپی شده از آن، چنین حقایقی را ثبت نکرده است. هیچ یادداشتی در این مورد در قانون حذف اطلاعات وجود نداشت. اقدامات کارمند که در نتیجه اطلاعات مشخص شده در اختیار سایر کارکنانی قرار می گیرد که بر رعایت رژیم اسرار تجاری در سازمان کنترل دارند، طبق بندها قابل احراز نیست. "در" بند 6، بخش 1 از هنر. 81 قانون کار فدراسیون روسیه. در چنین شرایطی، زمانی که اطلاعات محرمانه در اختیار اشخاص ثالث قرار نگرفته باشد، فرد می تواند با جبران غیبت اجباری در محل کار خود بازگردانده شود.

انتشار اطلاعات طبقه بندی نشده افشای اطلاعات محرمانه نیست. این نتیجه از تعریف دادگاه شهر مسکو در تاریخ 14/11/2011 در پرونده N 33-36486 حاصل می شود. دادگاه به این نتیجه رسید که اطلاعات در مورد در دسترس بودن تجهیزات، هزینه آن، اطلاعات مربوط به توزیع کنندگان یک راز تجاری محسوب نمی شود، زیرا در لیست قیمت ها، کاتالوگ ها و دفترچه ها درج شده است. بنابراین، محرمانه بودن نقض نشده است. نتیجه مشابهی توسط دادگاه شهر مسکو در تصمیم 18.10.2011 در پرونده N 33-33741 انجام شد. دادگاه در حل و فصل اختلاف و رضایت بخشی از دعاوی از این واقعیت استنباط کرد که کارفرما مسئول اثبات وجود مبنای قانونی برای اخراج و رعایت رویه تعیین شده برای اخراج است. کارفرما هیچ مدرکی مبنی بر اینکه سیستم B2B حاوی اطلاعات محرمانه است یا شواهدی مبنی بر اینکه شاکی داده‌هایی را منتشر کرده است که یک راز تجاری است ارائه نکرده است.

البته، بسیاری از شرکت ها نمی توانند ادعای خود را در دادگاه اثبات کنند، زیرا چارچوب نظارتی حاوی لیست خاصی از اسناد نیست که بتواند ضررهای مرتبط با افشای غیرقانونی اطلاعات محرمانه را تأیید کند. علاوه بر این، ارزیابی دقیق مؤلفه با اهمیت، به عنوان مثال، نشت اطلاعات در مورد طرف مقابل یا شاخص های مالی، و همچنین حقیقت افشا، بسیار دشوار است. از این گذشته ، افشا می تواند هم به صورت کتبی و هم به صورت شفاهی انجام شود. در این راستا، بسیاری از شرکت ها مجبور به استفاده از روش های تنبیه کارگران سهل انگار به عنوان اقدامات انضباطی هستند.

با این حال، گاهی اوقات شرکت ها ترجیح می دهند کتانی های کثیف خود را در ملاء عام نشویید و با این کارمندان به روشی دوستانه جدا شوند. در چنین شرایطی، ترجیح داده می شود که با توافق طرفین، پیش بینی شده در هنر، عزل صادر شود. 78 قانون کار فدراسیون روسیه. یکی از مزایای قابل توجه این است که عملاً امکان اعتراض به چنین اخراج وجود ندارد زیرا توافق متقابل طرفین وجود دارد.

در پایان، لازم به ذکر است که یکپارچگی اسرار تجاری، حفاظت از منافع سازمان و امکان بازگرداندن عدالت در دادگاه به میزان شفافیت شرکت لیست اطلاعات محرمانه و همچنین روش حفاظت از آنها بستگی دارد. .

ضمیمه

مثالفهرست داده های محرمانه فهرست اطلاعات طبقه بندی شده به عنوان اطلاعات محرمانه (اختصاصی) در دفتر مرکزی آژانس فدرال حمل و نقل ریلی و شرکت ها و مؤسسات زیرمجموعه آن تأیید شده است. به دستور آژانس فدرال حمل و نقل ریلی در 24 ژانویه 2011 N 18

ن p / p	اطلاعات طبقه بندی شده به عنوان اطلاعات محرمانه (اختصاصی).
I. اطلاعات در مورد فعالیت های مدیریت صنعت
1	مواد منتخب جلسات آژانس راه آهن فدرال حمل و نقل (از این پس - Roszheldor) و اطلاعات موجود در آن، محدودیت دسترسی که با تصمیم جلسه PDTK ایجاد شده است روزسلدور
2	اطلاعات (اطلاعات) تهیه شده توسط Roszheldor برای دریافت از مقامات دولتی، شرکت ها، موسسات و سازمانها صرف نظر از شکل و شکل سازمانی و قانونی دارایی با علامت "برای استفاده رسمی"، "تجاری مخفی "، محرمانه "و سایر موارد در بخشی که حاوی اطلاعات نیست، تشکیل یک راز دولتی
3	اطلاعات حاوی شاخص های نظم دفاعی دولتی در بخشی که حاوی اطلاعات محرمانه دولتی نیست
4	اطلاعات موجود در مواد حسابرسی خدمات (تحقیق)، قبل از تصویب عمل (نتیجه گیری) تأیید، و همچنین اگر اطلاعات به دست آمده در نتیجه تأیید (تحقیق)، می تواند در آینده برای اقدام غیرقانونی (خسارت)
5	اطلاعات در مورد سازماندهی کار، در مورد اقدامات خاص یا انجام شده اقدامات با هدف تضمین امنیت اطلاعات در اجرای همکاری های بین المللی با مشارکت نمایندگان Roszheldor، و همچنین موارد موجود در مقدماتی یا گزارش اسناد (فرم ها) در جلسه
II. اطلاعات در مورد فعالیت های اداری و اقتصادی
6	اطلاعات مربوط به اطلاعات شخصی کارمند Roszheldor، موجود در پرونده شخصی کارمند، به جز موارد ارائه شده قانون فدراسیون روسیه
7	اطلاعاتی که هنگام پذیرش یک شهروند در ایالت به دست می آید خدمات ملکی مورد نیاز برای ثبت نام پذیرش در اسرار دولتی
8	اطلاعات در مورد آگاهی کارمند با اطلاعات تشکیل دهنده راز دولتی
9	صورتجلسه جلسات کمیسیون های مسابقات برگزاری مسابقات برای پر کردن پست های خالی در خدمات ملکی
10	اعمال بازرسی از فعالیت های ادارات سرزمینی و سازمان های تابعه
11	اطلاعات در مورد جدول کارکنان Roszheldor
12	اطلاعات در مورد مکان واحدهای سازه ای در ساختمان
13	صورتجلسه جلسات کمیسیون مسکن
14	صورتجلسه جلسات کمیته مناقصه جهت برگزاری آزمون صلاحیت و صدور گواهینامه
III. اطلاعات در مورد رژیم محرمانه، آموزش بسیج، دفاع مدنی، شرایط اضطراری و امنیت حمل و نقل
15	اعمال بازرسی از کنترل دسترسی به اداری ساختمان Roszheldor
16	اطلاعات در مورد نتایج ارزیابی آسیب پذیری تسهیلات حمل و نقل زیرساخت ها و وسایل نقلیه غیر از مواردی که ارائه می کنند که امنیت آن منحصراً توسط فدرال انجام می شود مقامات اجرایی
17	اطلاعات موجود در طرح های امنیتی حمل و نقل زیرساخت حمل و نقل و وسیله نقلیه
18	اطلاعاتی که منابع اطلاعاتی دولت واحد است سیستم اطلاعاتی برای تضمین امنیت حمل و نقل، تهیه شده توسط Roszheldor، به استثنای عصاره های ثبت نام اشیاء طبقه بندی شده زیرساخت های حمل و نقل و حمل و نقل منابع مالی
IV. اطلاعات حفاظت از داده ها
19	اطلاعات در مورد سازمان پردازش اطلاعات خدمات در مورد وسایل فن آوری کامپیوتر Roszheldor
20	اطلاعات افشای سازمان، وضعیت امنیت اطلاعات یا حاملان اطلاعات یا فرآیند اطلاعات
21	اطلاعات در مورد روش ها، ابزارها یا اثربخشی (وضعیت حفاظت) اطلاعات محرمانه در اطلاعات خودکار سیستم ها، امکانات کامپیوتری، سایر فنی به معنای
22	اطلاعات عمومی موجود در طرح محاسبات محلی شبکه Roszheldor، نشان دهنده سازمانی و فناوری است پارامترها یا مشخصات فنی و مکان آن اجزای حیاتی، گره های اطلاعاتی (تعریف شده در طرح)
23	اطلاعات در مورد فعالیت های خاص در حال انجام و (یا) برنامه ریزی شده برای امنیت اطلاعات اطلاعات محرمانه
V. اطلاعات دیگر
24	اطلاعات مربوط به سازمان، وضعیت یا مکان سیستم های مهندسی نظارت تصویری، آتش سوزی یا دزدگیر ساختمان Roszheldor
25	اطلاعات افشای محتوای طرح ها و اقدامات خاص برای حفاظت از ساختمان Roszheldor، محلی که کار در آن انجام می شود، مواد ذخیره شده است، مذاکرات محرمانه در حال انجام است
26	داده های نظارت تصویری امنیتی، تعمیر سیستم امنیتی محل، سیستم عبور و مرور الکترونیکی ساختمان

محرمانه بودن

محرمانه بودن(انگلیسی اعتماد به نفس- اعتماد) - نیاز به جلوگیری از نشت (افشای) هر گونه اطلاعات.

در سنت انگلیسی-آمریکایی، دو نوع اصلی محرمانگی وجود دارد: داوطلبانه (حریم خصوصی) و اجباری (رازداری). (نگاه کنید به ادوارد شیلز - عذاب رازداری: پیشینه و پیامدهای سیاست های امنیتی آمریکا (شیکاگو: دی)، شرکت ها، سازمان های دولتی، سازمان های عمومی یا سیاسی. اگرچه حریم خصوصی و رازداری از نظر معنی مشابه هستند، اما در عمل معمولاً با یکدیگر در تضاد هستند. : افزایش رازداری منجر به نقض و کاهش حریم خصوصی می شود.در دولت های توتالیتر و خودکامه، محرمانگی معمولاً فقط به معنای رازداری است.

تعاریف

محرمانه بودناطلاعات - اصل حسابرسی، این است که حسابرسان موظفند از ایمنی اسناد دریافتی یا تنظیم شده توسط خود در جریان فعالیت های حسابرسی اطمینان حاصل کنند و حق ندارند این اسناد یا نسخه های آنها را به شخص ثالث منتقل کنند، یا افشای شفاهی اطلاعات موجود در آنها بدون رضایت صاحب واحد اقتصادی، به استثنای موارد پیش بینی شده توسط قوانین قانونی.

محرمانه بودناطلاعات - یک الزام اجباری برای شخصی که به اطلاعات خاصی دسترسی دارد برای عدم انتقال چنین اطلاعاتی به اشخاص ثالث بدون رضایت صاحب آن.

اطلاعات محرمانه- اطلاعاتی که دسترسی به آنها مطابق با قوانین فدراسیون روسیه محدود است و نشان دهنده اسرار تجاری، رسمی یا شخصی است که توسط صاحب آن محافظت می شود.

راز خدمات- اطلاعات محرمانه محافظت شده توسط قانون که در ارگانهای دولتی و ارگانهای خودگردان محلی فقط به دلایل قانونی و به دلیل انجام وظایف رسمی آنها توسط نمایندگان آنها شناخته شده است و همچنین اطلاعات رسمی در مورد فعالیتهای دستگاههای دولتی. دسترسی به آن توسط قانون فدرال یا به دلیل ضرورت رسمی محدود شده است. در قوانین فعلی فدراسیون روسیه تعریف روشنی از مفهوم "راز رسمی" وجود ندارد. اسرار رسمی یکی از موضوعات حقوق مدنی تحت قانون مدنی فدراسیون روسیه است. نحوه حفاظت از اسرار رسمی به طور کلی مشابه نحوه حفاظت از اسرار تجاری است. در برخی موارد، قانون مسئولیت کیفری را برای افشای اسرار رسمی (مثلاً برای افشای راز فرزندخواندگی یا افشای اطلاعاتی که اسرار تجاری، مالیاتی یا بانکی را تشکیل می دهد توسط شخصی که چنین اطلاعاتی در حین ارائه خدمت به او شناخته شده است) پیش بینی می کند.

راز خدمات- اطلاعات با دسترسی محدود، به استثنای اطلاعات طبقه بندی شده به عنوان اسرار دولتی و داده های شخصی، موجود در منابع اطلاعاتی ایالتی (شهرداری) که با هزینه بودجه دولت (شهرداری) انباشته شده و متعلق به دولت است، حفاظت می شود. که در راستای منافع دولت انجام می شود.

حفاظت از محرمانگی یکی از سه وظیفه امنیت اطلاعات (همراه با حفاظت از یکپارچگی و در دسترس بودن اطلاعات) است.

ارتباط حریم خصوصی

از زمان شروع استفاده از فناوری رایانه در تمام زمینه های فعالیت های انسانی، مشکلات زیادی در رابطه با حفاظت از محرمانگی ایجاد شده است. این عمدتا به دلیل پردازش اسناد با استفاده از فناوری رایانه است. بسیاری از اقدامات اداری برای محافظت از حریم خصوصی افراد و سازمان ها در ارتباط با انتقال جریان اسناد به یک محیط کاملاً جدید قدرت خود را از دست داده اند.

هنگام دریافت نامه های شخصی، هنگام انعقاد قرارداد، در طول مکاتبات تجاری، در حین مکالمه تلفنی با آشنایان و غریبه ها، شخص از ابزارهای مختلف احراز هویت استفاده می کرد. نامه های شخصی با ذکر آدرس پستی موجود ارسال می شد یا دقیقاً دارای مهر دفاتر پستی بود که چنین نامه هایی در آنها پردازش می شد. هنگام انعقاد قراردادها از فرم‌هایی استفاده می‌شد که در چاپخانه‌ها تولید می‌شد و با استفاده از ماشین‌های تحریر با شماره سریال منحصربه‌فرد، متن روی آن چاپ می‌شد و سپس به امضای یک مقام رسمی رسید و با مهر سازمان تأیید می‌شد. هنگام صحبت با تلفن، به طور قابل اعتماد مشخص بود که مکالمه با شخصی که قبلاً صدای او شناخته شده بود انجام می شود. صدها اقدام اداری برای محافظت از محرمانه بودن ارتباطات انسانی انجام شده است.

با ورود فن آوری های کامپیوتری به زندگی انسان، خیلی تغییر کرده است. به عنوان مثال، هنگام استفاده از ایمیل، امکان تعیین یک آدرس بازگشتی غیرموجود یا شبیه سازی دریافت نامه از یک شخص آشنا وجود داشت. در ارتباطات روزمره از طریق اینترنت، بسیاری از علائمی که این یا آن شخص را در زندگی روزمره شناسایی می کند (جنسیت، سن، درجه تحصیلات) دیگر چنین نیست. به اصطلاح "واقعیت مجازی" ظاهر شد.

حل سریع و مؤثر مشکلات مربوط به حفاظت از محرمانه بودن در سیستم های رایانه ای غیرممکن است. نیاز به یک رویکرد یکپارچه برای حل این مشکلات وجود داشت. این رویکرد باید شامل استفاده از اقدامات سازمانی و قانونی، و همچنین سیستم عامل، برای اطمینان از حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن باشد.

امروزه سازمان ها مجموعه ای از هنجارها را برای اطمینان از مدیریت صحیح اطلاعات محرمانه دارند. رئیس سازمان فهرستی از اطلاعات محرمانه را امضا می کند. در قرارداد امضا شده توسط کارمند و کارفرما، بندی وجود دارد که از مسئولیت کار نادرست با اطلاعات محرمانه صحبت می کند که در نتیجه در صورت عدم رعایت قوانین کار با این اطلاعات مقرر در قرارداد، وجود دارد. مبنای قانونی برای آوردن چنین کارکنانی به مسئولیت اداری یا کیفری ... و همچنین در سازمان ها مجموعه ای از اقدامات با هدف اطمینان از حفاظت از اطلاعات محرمانه وجود دارد. به عنوان مثال، این اقدامات می تواند شامل: انتخاب پرسنل واجد شرایط، پیش بینی تهدیدات احتمالی و اتخاذ تدابیری برای جلوگیری از آنها، استفاده از سطوح مختلف دسترسی پرسنل به اطلاعات با محرمانه بودن متفاوت باشد.

از آنجایی که بررسی دقیق این حوزه در زمان کوتاه غیرممکن است، جهت تربیت متخصصان در حوزه امنیت اطلاعات معرفی شد.

با کمک ابزارهای نرم افزاری و سخت افزاری امنیت اطلاعات ارائه شده توسط سازندگان مختلف، می توان به شاخص های کارایی بالاتری دست یافت که به صورت پیچیده اعمال شوند. این ابزارها شامل تجهیزاتی برای حفاظت رمزنگاری اطلاعات گفتار، برنامه‌هایی برای حفاظت رمزنگاری متن یا سایر اطلاعات، برنامه‌هایی برای اطمینان از احراز هویت پیام‌های پستی با استفاده از امضای دیجیتال الکترونیکی، برنامه‌های محافظت از ضد ویروس، برنامه‌های حفاظت از نفوذ شبکه، تشخیص نفوذ هستند. برنامه ها، برنامه هایی برای پنهان کردن آدرس های فرستنده ایمیل معکوس.

چنین لیستی از نرم افزار و سخت افزار، به عنوان یک قاعده، توسط متخصصان در زمینه امنیت اطلاعات، با در نظر گرفتن بسیاری از عوامل، به عنوان مثال، ویژگی های یک سیستم خودکار، تعداد کاربران در این سیستم، تفاوت در سطح دسترسی این کاربران و غیره

محرمانه بودن در قوانین فدراسیون روسیه

یادداشت ها (ویرایش)

ادبیات

• یک فرهنگ لغت حقوقی بزرگ ویرایش سوم، افزودن. و بازنگری شد / اد. پروفسور A. Ya. Sukhareva. - M .: INFRA-M، 2007. - VI، 858 s - (B-ka از فرهنگ لغت "INFRA-M")

پیوندها

• اطلاعات محرمانه در قوانین روسیه

را نیز ببینید

بنیاد ویکی مدیا 2010.

مترادف ها:

متضادها:

ببینید «حریم خصوصی» در فرهنگ‌های دیگر چیست:

رازداری، رازداری، رازداری، رازداری. مورچه گشودگی، گلاسنوست فرهنگ لغت مترادف روسی. محرمانه نگاه کنید به محرمانگی فرهنگ لغت مترادف زبان روسی. راهنمای عملی M.: زبان روسی ... فرهنگ لغت مترادف

محرمانه بودن- ویژگی اطلاعات، که شامل این واقعیت است که نمی تواند برای بررسی توسط کاربران و / یا فرآیندهای غیرمجاز در دسترس باشد. مخفی نگه داشتن اطلاعات حیاتی؛ دسترسی به آن محدود به دایره باریکی از کاربران است (افراد ... ... راهنمای مترجم فنی

CONFIDENT IAL [de]، اوه، اوه; کتان، کتان (کتاب). محرمانه، محرمانه ک. مکالمه. گزارش محرمانه (adv.). فرهنگ توضیحی اوژگوف. S.I. اوژگوف، ن.یو. شودووا 1949 1992 ... فرهنگ توضیحی اوژگوف

محرمانه بودن- یک الزام اخلاقی قابل اجرا در تحقیقات تجربی و روان درمانی. بر اساس این الزام، شرکت کنندگان یا بیماران حق دارند اطمینان حاصل کنند که اطلاعات جمع آوری شده در طول جلسه معاینه یا درمان ... ... دایره المعارف بزرگ روانشناسی

محرمانه بودن- 2.6 محرمانه بودن: ویژگی غیرقابل دسترس بودن و بسته بودن اطلاعات برای یک فرد، نهاد یا فرآیند غیرمجاز. [ISO / IEC 7498-2] منبع ... فرهنگ لغت - کتاب مرجع شرایط اسناد هنجاری و فنی

محرمانه بودن- ▲ دسترسی محدود، به (موضوع)، محرمانه بودن اطلاعات. محرمانه که در معرض تبلیغات گسترده قرار نگیرد. قابل دسترسی برای دایره باریکی از افراد (# مکالمه). به صورت محرمانه محرمانه بودن محرمانه (# تن). به صورت محرمانه اعتماد (#…… فرهنگ لغت ایدئوگرافیک زبان روسی

اطلاعات محرمانه - اطلاعاتی که دسترسی به آنها مطابق با قوانین کشور و سطح دسترسی به منبع اطلاعاتی محدود است. اطلاعات محرمانه فقط برای افراد، اشیاء یا فرآیندهای مجاز در دسترس یا افشا می شود.

قوانین روسیه چندین نوع اطلاعات محرمانه را متمایز می کند - اسرار دولتی، اسرار رسمی، اسرار تجاری، اسرار پزشکی (پزشکی)، اسرار اسناد رسمی، اسرار حسابرسی، اسرار وکالت، اسرار بانکی، اسرار مالیاتی، اسرار شخصی و خانوادگی، اسرار فرزندخواندگی، محرمانه بودن قضات. مذاکرات، محرمانه بودن تحقیقات و رسیدگی های قانونی، رازداری بیمه و غیره. به گفته V. A. Kolomiets، در حال حاضر حدود 50 نوع اطلاعات محرمانه در قوانین قانونی هنجاری سطوح مختلف ذکر شده است.

ارزش اطلاعات در زندگی و کار هر فرد مدرن به خوبی شناخته شده است. همچنین مشخص است که نقش اطلاعات برای حل موفقیت آمیز یک مشکل خاص، برای دستیابی به اهداف تعیین شده چقدر مهم است. یافتن پاسخ دقیق برای سوال در حال حل، اجتناب از اشتباه در تصمیم گیری بهتر است توسط فردی انجام شود که به وضوح در فضای اطلاعاتی جهت گیری داشته باشد، که در صورت لزوم، این فرصت را داشته باشد که به راحتی و به موقع اطلاعات مورد علاقه را به دست آورد.

44. شکل گیری و تعریف مدرن مفهوم «راز دولتی»

مفهوم اسرار دولتی یکی از مهمترین مفاهیم در سیستم حفاظت از اسرار دولتی در هر کشوری است. سیاست رهبری کشور در زمینه حفظ اسرار بستگی به تعریف صحیح آن دارد.

تعریف این مفهوم در قانون فدراسیون روسیه "در مورد اسرار دولتی" آمده است: "اسرار دولتی اطلاعاتی است که توسط دولت در زمینه فعالیت های نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و عملیات جستجوی محافظت می شود. گسترش آن ممکن است به امنیت فدراسیون روسیه آسیب برساند."

این تعریف نشان دهنده دسته بندی اطلاعاتی است که توسط دولت محافظت می شود و انتشار این اطلاعات ممکن است به منافع امنیت دولت آسیب برساند.

مدل تعیین اسرار دولتی معمولاً شامل ویژگی های اساسی زیر است:

1. موضوعات، پدیده ها، رویدادها، حوزه های فعالیتی که راز دولتی را تشکیل می دهند.

2. دشمن (حال یا بالقوه) که حفاظت از اسرار دولتی عمدتاً از او انجام می شود.

3. ذکر در قانون، فهرست، دستورالعمل اطلاعات تشکیل دهنده یک راز دولتی.

4. خسارات وارده به دفاع، سیاست خارجی، اقتصاد، پیشرفت علمی و فناوری کشور و غیره. در صورت افشای (نشت) اطلاعاتی که یک راز دولتی است.

برای مقایسه، در اینجا تعاریف مختصری از مفهوم اسرار دولتی توسط کارشناسان کشورهای دیگر ارائه شده است.

قانون جزایی جمهوری فدرال آلمان بیان می کند که راز دولتی حقایق، اشیاء یا دانشی است که فقط برای یک دایره محدود از مردم قابل دسترسی است و باید از یک دولت خارجی مخفی نگه داشته شود تا از خطر آسیب جدی به کشور جلوگیری شود. امنیت خارجی جمهوری فدرال آلمان

فرمان اجرایی رئیس جمهور ایالات متحده در 2 آوریل 1982 بیان می کند که اطلاعات امنیت ملی شامل اطلاعات خاصی در مورد دفاع ملی و امور بین المللی است که از افشای غیرمجاز محافظت می شود.

در برخی کشورها، این مفهوم با عبارات دیگری بیان می شود، به عنوان مثال، در ژاپن - "راز دفاع".

چه اطلاعاتی را می توان به عنوان راز دولتی طبقه بندی کرد، در فرمان رئیس جمهور فدراسیون روسیه در 30 نوامبر 1995 شماره 1203 تعریف شده است. در مورد سیاست خارجی و فعالیت های اقتصادی خارجی؛ در حوزه اقتصاد، علم و فناوری؛ در زمینه فعالیت های اطلاعاتی، ضد جاسوسی و عملیاتی-جستجو.

اطلاعات را نمی توان به عنوان راز دولتی طبقه بندی کرد:

در صورتی که افشای آن (افشاء و غیره) آسیبی به امنیت ملی کشور وارد نکند.

بر خلاف قوانین قابل اجرا؛

اگر ممانعت از اطلاعات حقوق اساسی و قانونی شهروندان را نقض کند.

کتمان فعالیت هایی که به محیط طبیعی آسیب می رساند و جان و سلامت شهروندان را تهدید می کند. این فهرست با جزئیات بیشتری در هنر آمده است. 7 قانون RF "در مورد اسرار دولتی".

یکی از نشانه های مهم اسرار دولتی میزان محرمانه بودن اطلاعات منتسب به آن است. در کشور ما، سیستم زیر برای تعیین اطلاعات تشکیل دهنده یک راز دولتی اتخاذ شده است: "با اهمیت ویژه"، "فوق سری"، "محرمانه". این مهرها بر روی اسناد یا محصولات (بسته بندی یا اسناد همراه آنها) الصاق می شود. اطلاعات موجود در زیر این تمبرها یک راز دولتی است.

برای طبقه بندی اطلاعات اولاً به عنوان اسرار دولتی و ثانیاً تا حدی محرمانه از چه معیارهایی استفاده می شود؟

پاسخ به این سوال توسط قوانین طبقه بندی اطلاعات تشکیل دهنده یک راز دولتی با درجات مختلف رازداری، که در فرمان شماره 870 دولت فدراسیون روسیه در 4 سپتامبر 1995 مشخص شده است، داده شده است.

اطلاعات با اهمیت ویژه باید شامل اطلاعاتی باشد که انتشار آنها ممکن است به منافع فدراسیون روسیه در یک یا چند زمینه آسیب برساند.

اطلاعات فوق محرمانه باید شامل اطلاعاتی باشد که انتشار آنها ممکن است به منافع وزارت (بخش) یا بخش‌های اقتصاد روسیه در یک یا چند حوزه آسیب برساند.

تمام اطلاعات دیگر که یک راز دولتی را تشکیل می دهند باید به عنوان اطلاعات طبقه بندی شده طبقه بندی شوند. خسارت می تواند به منافع بنگاه، موسسه یا سازمان وارد شود.

از این تعاریف، می توان درجه نسبتاً بالایی از عدم قطعیت ویژگی هایی را مشاهده کرد که این یا درجه دیگری از محرمانه بودن اطلاعات را که یک راز دولتی را تشکیل می دهد، مشخص می کند.

تلاش شده است تا میزان محرمانه بودن اطلاعات با میزان خسارت (مثلاً از نظر پولی) که در صورت نشت اطلاعات ممکن است رخ دهد، معادل سازی کنند. با این حال، آنها هیچ گونه پذیرش یا تایید گسترده ای دریافت نکرده اند.

در این موضوع و در فرمان رئیس جمهور آمریکا «اطلاعات امنیت ملی» هیچ شفافیتی وجود ندارد. به طور خاص می گوید:

1. برچسب "فوق محرمانه" باید در رابطه با اطلاعاتی استفاده شود که افشای غیرمجاز آنها می تواند در محدوده معقول، آسیب بسیار جدی به امنیت ملی وارد کند.

2. از برچسب "محرمانه" باید در رابطه با اطلاعاتی استفاده شود که افشای غیرمجاز آنها می تواند در حدود معقول آسیب جدی به امنیت ملی وارد کند.

3. مهر "محرمانه" یکسان است، فقط میزان خسارت وارده به عنوان "خسارت به امنیت ملی" قید شده است.

همانطور که از موارد فوق مشاهده می شود، تفاوت بین سه سطح محرمانه بستگی به میزان آسیب دارد که به عنوان "بسیار جدی"، "جدی" یا به سادگی "خسارت" تعیین می شود.

این علائم کیفی - معیارهای درجه محرمانه بودن اطلاعات حاوی اسرار دولتی، همیشه جایی را برای معرفی داوطلبانه یا غیرارادی یک عامل ذهنی در فرآیند طبقه بندی اطلاعات باقی می گذارد.

مفهوم، انواع و میزان خسارت هنوز به اندازه کافی توسعه نیافته است و ظاهراً برای هر هدف خاص محافظت متفاوت خواهد بود - محتوای اطلاعات تشکیل دهنده یک اسرار دولتی، ماهیت حقایق، رویدادها و پدیده های واقعیت منعکس شده است. در آن بسته به نوع، محتوا و

در صورت نشت (یا نشت احتمالی) اطلاعاتی که یک راز دولتی را تشکیل می دهد، میزان خسارت را می توان به گروه هایی از انواع آسیب تقسیم کرد.

آسیب های سیاسی می تواند با نشت اطلاعات با ماهیت سیاسی و سیاست خارجی، در مورد فعالیت های اطلاعاتی سرویس های ویژه دولت و غیره در برخی زمینه ها، وخامت روابط با هر کشور یا گروهی از کشورها و غیره رخ دهد.

آسیب اقتصادی می تواند با نشت اطلاعات از هر محتوایی اعم از سیاسی، اقتصادی، نظامی، علمی و فنی و غیره رخ دهد. آسیب اقتصادی را می توان در درجه اول به صورت پولی بیان کرد. زیان های اقتصادی ناشی از نشت اطلاعات می تواند مستقیم و غیرمستقیم باشد.

بنابراین، تلفات مستقیم می تواند در نتیجه نشت اطلاعات محرمانه در مورد سیستم های تسلیحاتی، دفاعی کشور رخ دهد که در نتیجه عملاً کارایی خود را از دست داده یا از دست داده و نیاز به هزینه های زیادی برای جایگزینی یا تنظیم مجدد آنها دارد. به عنوان مثال، A. Tolkachev، یک مامور سیا ایالات متحده، یک مهندس برجسته در موسسه تحقیقاتی صنعت مهندسی رادیو، اطلاعات مهم و ارزشمند زیادی را به آمریکایی ها داد. آمریکایی ها ارزش اطلاعات دریافتی از او را حدود شش میلیارد دلار تخمین زدند.

زیان های غیرمستقیم اغلب به شکل سود از دست رفته بیان می شود: اختلال در مذاکرات با شرکت های خارجی، در معاملات سودآور که قبلاً با آنها توافق شده بود. از دست دادن اولویت در تحقیقات علمی، در نتیجه رقیب تحقیقات خود را سریعتر به پایان رساند و آن را ثبت اختراع کرد و غیره.

آسیب اخلاقی، به عنوان یک قاعده، ماهیت غیرمالی ناشی از نشت اطلاعاتی است که باعث یا شروع یک کمپین تبلیغاتی غیرقانونی دولتی شده است که اعتبار کشور را تضعیف کرده است، که منجر به اخراج دیپلمات‌های ما، افسران اطلاعاتی ما که تحت پوشش دیپلماتیک فعالیت می‌کنند، از برخی از کشورها شده است. ، و غیره.

اطلاعات محرمانه در هر منطقه به دقت توسط قانون محافظت می شود. بنابراین وظیفه کارکنانی که به آن دسترسی دارند حفاظت از داده ها و عدم انتشار عمومی آن است. مسئولیت دیگری برای افشای اطلاعات محرمانه وجود دارد. حتی اگر فردی مرتکب تخلف جدی شده باشد می توان به موجب ماده ای از قانون جزا محکوم شد. بنابراین به نفع خود کارکنان است تا به تقصیر آنها اطلاعات به اشخاص ثالث درز نکند.

اطلاعات محرمانه چیست

اطلاعات محرمانه اطلاعات شخصی با دسترسی محدود است. انواع مختلفی از این داده ها وجود دارد، اما همه آنها توسط قانون محافظت می شوند. کارکنانی که به آنها دسترسی دارند موظفند محرمانه بودن را حفظ کنند و اجازه تبلیغات را ندهند. علاوه بر این، آنها خودشان نباید چنین اطلاعاتی را حتی در حلقه خانواده افشا کنند.

انواع اطلاعات محرمانه:

1. داده های شخصی یک فرد. اینها شامل همه چیزهایی است که به رویدادها و حقایق زندگی خصوصی مربوط می شود.
2. راز خدمات فقط مقامات دولتی که دارای یک موقعیت خاص هستند به آن دسترسی دارند. این می تواند شامل اسرار مالیاتی، اطلاعات مربوط به فرزندخواندگی و غیره باشد.
3. راز حرفه ای این توسط قانون اساسی روسیه محافظت می شود و برای تعداد محدودی از افراد که وظایف حرفه ای خود را انجام می دهند در مورد آن شناخته شده است.
4. پرونده های شخصی محکومین به جرایم.
5. راز تجارت. این اطلاعات باید به منظور محافظت از شخص حقوقی در برابر رقابت یا کسب منافع ذخیره شود.
6. اطلاعات در مورد تصمیمات دادگاه و اجرای آنها در چارچوب دادرسی.
7. محرمانه بودن تحقیقات و مراحل قانونی. این می تواند شامل اطلاعات قربانیان و شاهدانی باشد که نیاز به حمایت دولتی دارند. همچنین اطلاعات مربوط به قضات و مقامات مجری قانون محرمانه نگهداری می شود.

این اطلاعات محرمانه است و مشمول افشا نیست. حفظ محرمانه بودن این اطلاعات به منظور حفظ منافع اشخاص حقیقی و حقوقی ضروری است. عدم افشا امری ضروری است زیرا تبلیغات می تواند عواقب بدی داشته باشد. به عنوان مثال، به ورشکستگی یک شرکت، محکومیت عمومی یک شخص، خطری که برای شاهدان و قربانیان ایجاد شده است. اگر کارمندی اجازه انتشار اطلاعات را بدهد، آنگاه حق دارد بسته به شدت تخلف او را مجازات کند.

توافقنامه عدم افشاء

برای اینکه به یک کارمند اجازه دهید به داده های طبقه بندی شده دسترسی داشته باشد، باید یک قرارداد عدم افشای اطلاعات را امضا کنید. زیرا بر اساس این سند، در صورتی که کارمند به تعهدات خود در خصوص ایمنی داده ها عمل نکند، امکان درخواست مسئولیت وجود خواهد داشت. الگوی مشخصی برای توافق وجود ندارد، اما تمامی نکات مهم مانند تعهدات طرفین و مسئولیت افشای آن باید وجود داشته باشد.

اما شما همچنین باید درک کنید که بدون آن، نمی توانید به اطلاعات طبقه بندی شده دسترسی داشته باشید. در هر صورت شایسته است که وضعیت موجود را شخصاً با مسئولان در میان بگذاریم تا مشکل قرارداد حل شود.

نحوه اثبات افشای اطلاعات شخصی

مجازات، به عنوان مثال، جریمه نقدی بر اساس توافق نامه عدم افشا، تنها در صورتی اعمال می شود که امکان تایید واقعیت تخلف وجود داشته باشد. هر مدرکی برای این کار انجام خواهد داد. به عنوان یک قاعده، در صورت امکان شناسایی یک کارمند بی وجدان، گرفتن آنها دشوار نیست.

با این حال، ابتدا لازم است این واقعیت تأیید شود که داده های مخفی واقعاً وجود داشته اند و شخص خاصی به آنها دسترسی داشته است. برای انجام این کار، باید از اسناد استفاده کنید، به عنوان مثال، یک توافق نامه عدم افشای اطلاعات. مدارک در هر صورت حتی برای اقدامات انضباطی مورد نیاز خواهد بود. علاوه بر این، آنها برای دادگاه مورد نیاز خواهند بود، زیرا برای تعقیب طبق این ماده، دلایل و مدارک خوبی لازم است.

چه مسئولیتی پیش بینی شده است

کارمند باید بداند چه اطلاعاتی طبقه بندی می شود و چه اطلاعاتی در دسترس عموم قرار می گیرد. بنابراین، او نمی تواند اطلاعات محرمانه را تنها به این دلیل افشا کند که از دسترسی محدود به آنها اطلاعی نداشته است. در بیشتر موارد، کارگران عمداً اطلاعاتی را منتشر می کنند که محافظت می شود. این کار به دلایل شخصی یا برای اهداف خودخواهانه انجام می شود.

مجازات بستگی به این دارد که تخلف چگونه خود را نشان دهد. بسته به مسئولیتی که می توان فرد مجرم را به آن برد، انواع را در نظر بگیرید.

چه مجازاتی می تواند باشد:

1. مجازات انضباطی. وی پس از بررسی و بررسی رسمی از سوی مدیریت سازمان منصوب می شود. یک کارمند می تواند مورد سرزنش، توبیخ و یا حتی اخراج قرار گیرد. راه حل دقیق بستگی به شرایط دارد.
2. مسئولیت اداری این می تواند در هنگام افشای داده های شخصی، و همچنین نقض حفاظت از اطلاعات، علاوه بر اسرار دولتی رخ دهد. یک فرد مجرم را می توان با جریمه تا 10000 روبل مجازات کرد.
3. مسئولیت کیفری. بدنه‌ها کاملاً متنوع هستند و به صورت فردی تعیین می‌شوند. اگر تخلف ماهیت کیفری داشته باشد، ممکن است حتی از آزادی محروم شوند.
4. مسئولیت مدنی قربانی می تواند خسارت معنوی را جبران کند.

در اوکراین نیز تقریباً قوانین مشابهی در مورد مجازات افشای اطلاعات طبقه بندی شده وجود دارد. مسئولیت فقط در موارد خاص قابل اجتناب است.

شرح کتابشناختی:

A.K. Nesterov امنیت اطلاعات [منبع الکترونیکی] // سایت دایره المعارف آموزشی

همزمان با توسعه فناوری اطلاعات و افزایش اهمیت منابع اطلاعاتی برای سازمان ها، تعداد تهدیدات امنیت اطلاعات آنها و همچنین آسیب های احتمالی ناشی از نقض آن نیز رو به افزایش است. یک نیاز عینی برای اطمینان از امنیت اطلاعات شرکت وجود دارد. در این راستا، پیشرفت تنها در چارچوب پیشگیری هدفمند از تهدیدات امنیت اطلاعات امکان پذیر است.

ابزارهای امنیت اطلاعات

امنیت اطلاعات با استفاده از دو نوع ابزار تضمین می شود:

• نرم افزار و سخت افزار
• کانال های ارتباطی امن

ابزارهای نرم افزاری و سخت افزاری برای تضمین امنیت اطلاعات در شرایط مدرن توسعه فناوری اطلاعات در کار سازمان های داخلی و خارجی رایج ترین هستند. بیایید نگاهی دقیق تر به ابزارهای اصلی امنیت اطلاعات نرم افزاری و سخت افزاری بیندازیم.

سیستم عامل برای محافظت در برابر دسترسی غیرمجاز شامل اقداماتی برای شناسایی، احراز هویت و کنترل دسترسی به سیستم اطلاعاتی است.

شناسایی تخصیص شناسه های منحصر به فرد برای دسترسی به افراد است.

این شامل برچسب‌های RFID، فناوری‌های بیومتریک، کارت‌های مغناطیسی، کلیدهای مغناطیسی جهانی، ورود به سیستم و غیره است.

احراز هویت - بررسی اینکه موضوع دسترسی به شناسه ارائه شده تعلق دارد و صحت آن را تأیید می کند.

روش های احراز هویت شامل رمزهای عبور، کدهای پین، کارت های هوشمند، کلیدهای USB، امضای دیجیتال، کلیدهای جلسه و غیره است. بخش رویه‌ای ابزار شناسایی و احراز هویت به هم پیوسته است و در واقع پایه اصلی همه نرم‌افزارها و سخت‌افزارها را برای تضمین امنیت اطلاعات نشان می‌دهد، زیرا همه سرویس‌های دیگر برای خدمت به موضوعات خاص طراحی شده‌اند که به درستی توسط سیستم اطلاعاتی شناسایی شده‌اند. به طور کلی، شناسایی به آزمودنی اجازه می دهد تا خود را برای سیستم اطلاعاتی شناسایی کند و با کمک احراز هویت، سیستم اطلاعاتی تأیید می کند که سوژه واقعاً همان چیزی است که ادعا می کند. بر اساس گذر از این عملیات، عملیاتی برای دسترسی به سیستم اطلاعاتی انجام می شود. رویه های کنترل دسترسی به نهادهای مجاز اجازه می دهد تا اقدامات مجاز توسط مقررات را انجام دهند و سیستم اطلاعاتی نیز این اقدامات را برای صحت و صحت نتیجه کنترل کند. کنترل دسترسی به سیستم اجازه می دهد تا داده هایی را که کاربران به آنها دسترسی ندارند پنهان کند.

ابزار بعدی حفاظت از نرم افزار و سخت افزار، ثبت اطلاعات و ممیزی است.

ورود به سیستم شامل جمع آوری، انباشت و ذخیره سازی اطلاعات در مورد رویدادها، اقدامات، نتایجی است که در طول عملیات سیستم اطلاعاتی، کاربران فردی، فرآیندها و کلیه نرم افزارها و سخت افزارهایی که سیستم اطلاعاتی شرکت را تشکیل می دهند.

از آنجایی که هر جزء از سیستم اطلاعاتی دارای مجموعه ای از رویدادهای احتمالی از پیش تعیین شده مطابق با طبقه بندی کننده های برنامه ریزی شده است، رویدادها، اقدامات و نتایج به دو دسته تقسیم می شوند:

• خارجی، ناشی از اعمال سایر اجزاء،
• داخلی، ناشی از اعمال خود جزء،
• سمت مشتری، ناشی از اقدامات کاربران و مدیران است.

حسابرسی اطلاعات شامل انجام تجزیه و تحلیل عملیاتی در زمان واقعی یا در یک دوره معین است.

بر اساس نتایج تجزیه و تحلیل، یا گزارشی از وقایع رخ داده ایجاد می شود، یا پاسخ خودکار به یک وضعیت اضطراری آغاز می شود.

اجرای ثبت و حسابرسی وظایف زیر را حل می کند:

• پاسخگو نگه داشتن کاربران و مدیران؛
• ارائه توانایی بازسازی توالی رویدادها؛
• شناسایی تلاش برای نقض امنیت اطلاعات؛
• ارائه اطلاعات برای شناسایی و تجزیه و تحلیل مشکلات.

حفاظت از اطلاعات اغلب بدون استفاده از ابزار رمزنگاری غیرممکن است. هنگامی که ابزار احراز هویت توسط کاربر به شکل رمزگذاری شده ذخیره می شود، از آنها برای اطمینان از عملیات رمزگذاری، کنترل یکپارچگی و سرویس های احراز هویت استفاده می شود. دو روش اصلی رمزگذاری وجود دارد: متقارن و نامتقارن.

کنترل یکپارچگی به شما امکان می دهد اعتبار و هویت یک شی را که آرایه ای از داده ها، بخش های جداگانه داده ها، منبع داده است، تعیین کنید و همچنین اطمینان حاصل کنید که علامت گذاری یک عمل انجام شده در سیستم با یک آرایه غیرممکن است. از اطلاعات اجرای کنترل یکپارچگی مبتنی بر فناوری‌های تبدیل داده‌ها با استفاده از رمزگذاری و گواهی‌های دیجیتال است.

جنبه مهم دیگر استفاده از غربالگری است، فناوری که با محدود کردن دسترسی افراد به منابع اطلاعاتی، اجازه می دهد تا تمام جریان های اطلاعاتی بین سیستم اطلاعاتی شرکت و اشیاء خارجی، آرایه های داده، موضوعات و ضد سوژه ها را کنترل کند. کنترل جریان شامل فیلتر کردن آنها و در صورت لزوم تبدیل اطلاعات ارسال شده است.

وظیفه محافظ محافظت از اطلاعات داخلی در برابر عوامل و موضوعات خارجی بالقوه متخاصم است. شکل اصلی اجرای شیلدینگ، فایروال ها یا فایروال ها با انواع و معماری های مختلف هستند.

از آنجایی که یکی از نشانه های امنیت اطلاعات، در دسترس بودن منابع اطلاعاتی است، اطمینان از سطح دسترسی بالا، جهت گیری مهم در اجرای اقدامات نرم افزاری و سخت افزاری است. به طور خاص، دو حوزه تقسیم می شود: اطمینان از تحمل خطا، به عنوان مثال. خنثی کردن خرابی های سیستم، توانایی عملکرد در هنگام وقوع خطا، و اطمینان از بازیابی ایمن و سریع از خرابی ها، به عنوان مثال. قابلیت سرویس دهی سیستم

نیاز اصلی سیستم های اطلاعاتی این است که آنها همیشه با کارایی معین، حداقل زمان در دسترس نبودن و سرعت پاسخگویی کار کنند.

مطابق با این، در دسترس بودن منابع اطلاعاتی توسط:

• استفاده از معماری ساختاری، به این معنی که ماژول های جداگانه را می توان در صورت لزوم غیرفعال کرد یا به سرعت جایگزین کرد بدون آسیب به سایر عناصر سیستم اطلاعاتی.
• اطمینان از تحمل خطا به دلیل: استفاده از عناصر مستقل زیرساخت پشتیبانی، معرفی ظرفیت مازاد در پیکربندی نرم افزار و سخت افزار، افزونگی سخت افزار، تکثیر منابع اطلاعاتی در سیستم، پشتیبان گیری از داده ها و غیره.
• تضمین قابلیت سرویس با کاهش زمان تشخیص و حذف خرابی ها و پیامدهای آن.

کانال های ارتباطی امن نوع دیگری از ابزارهای امنیت اطلاعات هستند.

عملکرد سیستم های اطلاعاتی به طور اجتناب ناپذیری با انتقال داده ها مرتبط است؛ بنابراین، برای شرکت ها نیز ضروری است که از حفاظت از منابع اطلاعاتی منتقل شده با استفاده از کانال های ارتباطی امن اطمینان حاصل کنند. امکان دسترسی غیرمجاز به داده ها هنگام انتقال ترافیک از طریق کانال های ارتباطی باز به دلیل در دسترس بودن آنها برای عموم است. از آنجایی که "ارتباطات در تمام طول آنها نمی توانند از نظر فیزیکی محافظت شوند، بنابراین بهتر است در ابتدا از فرض آسیب پذیری آنها بکوشیم و بر این اساس، حفاظت انجام دهیم." برای این کار از فناوری های تونل زنی استفاده می شود که ماهیت آن کپسوله کردن داده ها است. بسته‌های داده ارسالی، از جمله تمام ویژگی‌های سرویس، را در پاکت‌های خود بسته‌بندی یا بسته بندی کنید. بر این اساس، یک تونل یک اتصال امن از طریق کانال های ارتباطی باز است که بسته های اطلاعاتی محافظت شده از طریق رمزنگاری از طریق آن منتقل می شوند. تونل سازی برای اطمینان از محرمانه بودن ترافیک با پنهان کردن اطلاعات سرویس و اطمینان از محرمانه بودن و یکپارچگی داده های ارسال شده در صورت استفاده همراه با عناصر رمزنگاری سیستم اطلاعات استفاده می شود. ترکیبی از تونل زنی و رمزگذاری امکان پیاده سازی VPN را فراهم می کند. در این حالت، نقاط انتهایی تونل‌هایی که شبکه‌های خصوصی مجازی را پیاده‌سازی می‌کنند، فایروال‌هایی هستند که در خدمت اتصال سازمان‌ها به شبکه‌های خارجی هستند.

فایروال ها به عنوان نقاط پیاده سازی خدمات شبکه های خصوصی مجازی

بنابراین، تونل‌سازی و رمزگذاری، تبدیل‌های اضافی هستند که در فرآیند فیلتر کردن ترافیک شبکه همراه با ترجمه آدرس انجام می‌شوند. انتهای تونل‌ها علاوه بر فایروال‌های شرکتی، می‌توانند رایانه‌های شخصی و موبایلی کارکنان و به‌طور دقیق‌تر فایروال‌ها و فایروال‌های شخصی آنها باشند. به لطف این رویکرد، عملکرد کانال های ارتباطی امن تضمین می شود.

رویه های امنیت اطلاعات

رویه‌های امنیت اطلاعات معمولاً در سطوح اداری و سازمانی متفاوت است.

• رویه های اداری شامل اقدامات کلی مدیریت سازمان برای تنظیم کلیه کارها، اقدامات، عملیات در زمینه تضمین و حفظ امنیت اطلاعات است که با تخصیص منابع لازم و نظارت بر اثربخشی اقدامات انجام شده اجرا می شود.
• سطح سازمانی نشان دهنده رویه هایی برای تضمین امنیت اطلاعات، از جمله مدیریت پرسنل، حفاظت فیزیکی، حفظ عملکرد زیرساخت سخت افزاری و نرم افزاری، حذف سریع نقض های امنیتی و برنامه ریزی کار بازیابی است.

از سوی دیگر، تمایز رویه‌های اداری و سازمانی بی‌معنی است، زیرا رویه‌های یک سطح نمی‌توانند جدا از سطح دیگر وجود داشته باشند، در نتیجه ارتباط متقابل حفاظت از سطح فیزیکی، حفاظت شخصی و سازمانی در مفهوم امنیت اطلاعات نقض می‌شود. در عمل، ضمن اطمینان از امنیت اطلاعات یک سازمان، از رویه های اداری یا سازمانی غفلت نمی شود، بنابراین منطقی تر است که آنها را به عنوان یک رویکرد یکپارچه در نظر بگیریم، زیرا هر دو سطح بر سطوح فیزیکی، سازمانی و شخصی حفاظت از اطلاعات تأثیر می گذارند.

اساس رویه های پیچیده برای تضمین امنیت اطلاعات، سیاست امنیتی است.

سیاست امنیت اطلاعات

سیاست امنیت اطلاعاتدر یک سازمان، مجموعه ای از تصمیمات مستند است که توسط مدیریت سازمان گرفته می شود و با هدف حفاظت از اطلاعات و منابع مرتبط است.

از نظر سازمانی و مدیریتی، خط مشی امنیت اطلاعات می تواند یک سند واحد باشد یا در قالب چندین سند یا دستور مستقل تنظیم شود، اما در هر صورت باید جنبه های زیر را برای حفاظت از سیستم اطلاعاتی سازمان پوشش دهد:

• حفاظت از اشیاء سیستم اطلاعات، منابع اطلاعاتی و عملیات مستقیم با آنها؛
• حفاظت از کلیه عملیات مربوط به پردازش اطلاعات در سیستم، از جمله نرم افزار پردازش؛
• حفاظت از کانال های ارتباطی، از جمله سیمی، رادیویی، مادون قرمز، سخت افزار و غیره.
• حفاظت از مجموعه سخت افزاری در برابر تشعشعات الکترومغناطیسی جانبی؛
• مدیریت امنیت، از جمله نگهداری، ارتقاء و اقدامات اداری.

هر یک از جنبه ها باید به تفصیل شرح داده شود و در اسناد داخلی سازمان مستند شود. اسناد داخلی سه سطح از فرآیند امنیتی را پوشش می دهند: بالا، میانی و پایین.

اسناد خط‌مشی امنیت اطلاعات سطح بالا منعکس کننده رویکرد اصلی سازمان برای حفاظت از اطلاعات خود و انطباق با استانداردهای ملی و/یا بین‌المللی است. در عمل، یک سازمان تنها یک سند سطح بالا با عنوان "مفهوم امنیت اطلاعات"، "مقررات امنیت اطلاعات" و غیره دارد. به طور رسمی، این اسناد ارزش محرمانه ندارند، توزیع آنها محدود نیست، اما می توانند در نسخه برای استفاده داخلی و انتشار آزاد منتشر شوند.

اسناد سطح میانی کاملاً محرمانه هستند و به جنبه های خاصی از امنیت اطلاعات سازمان مربوط می شوند: ابزارهای امنیت اطلاعات مورد استفاده، امنیت پایگاه داده، ارتباطات، ابزارهای رمزنگاری و سایر اطلاعات و فرآیندهای اقتصادی سازمان. مستندات در قالب استانداردهای فنی و سازمانی داخلی اجرا می شود.

اسناد سطح پایین به دو نوع تقسیم می شوند: مقررات کار و دستورالعمل های عملیاتی. مقررات کار کاملاً محرمانه است و فقط برای افرادی در نظر گرفته شده است که در حین انجام وظیفه، کارهای مربوط به اداره خدمات امنیت اطلاعات فردی را انجام می دهند. دستورالعمل های عملیاتی می تواند محرمانه یا عمومی باشد. آنها برای پرسنل سازمان در نظر گرفته شده اند و روش کار با عناصر فردی سیستم اطلاعاتی سازمان را شرح می دهند.

تجربه جهانی نشان می‌دهد که سیاست امنیت اطلاعات همیشه فقط در شرکت‌های بزرگی مستند می‌شود که سیستم اطلاعاتی توسعه‌یافته‌ای دارند که الزامات بیشتری را برای امنیت اطلاعات تحمیل می‌کند، شرکت‌های متوسط ​​اغلب فقط یک خط‌مشی امنیت اطلاعات تا حدی مستند دارند، سازمان‌های کوچک در اکثریت قریب به اتفاق چنین می‌کنند. به مستندسازی خط مشی امنیتی اهمیتی نمی دهد. صرف نظر از اینکه قالب مستندسازی جامع است یا توزیع شده، حالت امنیتی جنبه اساسی است.

دو رویکرد متفاوت وجود دارد که اساس را تشکیل می دهند سیاست امنیت اطلاعات:

1. «هر چیزی که حرام نباشد حلال است».
2. «هر چیزی که حرام است حرام است».

عیب اساسی رویکرد اول این است که در عمل نمی توان همه موارد خطرناک را پیش بینی و منع کرد. شکی نیست که فقط باید از رویکرد دوم استفاده کرد.

سطح سازمانی امنیت اطلاعات

از نقطه نظر حفاظت از اطلاعات، رویه های سازمانی برای تضمین امنیت اطلاعات به عنوان "تنظیم فعالیت های تولیدی و روابط مجریان بر اساس یک مبنای قانونی ارائه می شود که کسب غیرقانونی اطلاعات محرمانه و تجلی داخلی و خارجی را حذف یا به طور قابل توجهی پیچیده می کند. تهدیدهای خارجی."

اقدامات مدیریت پرسنل با هدف سازماندهی کار با پرسنل به منظور اطمینان از امنیت اطلاعات شامل تفکیک وظایف و به حداقل رساندن امتیازات است. تفکیک وظایف، توزیعی از شایستگی ها و حوزه های مسئولیت را تجویز می کند که در آن یک نفر قادر به ایجاد اختلال در فرآیند حیاتی سازمان نیست. این امر احتمال خطا و سوء استفاده را کاهش می دهد. به حداقل رساندن امتیاز، اعطای تنها سطح دسترسی به کاربران را تجویز می کند که با نیاز به انجام وظایف رسمی آنها مطابقت دارد. این امر آسیب ناشی از سوء رفتار تصادفی یا عمدی را کاهش می دهد.

حفاظت فیزیکی به معنای توسعه و اتخاذ تدابیری برای حفاظت مستقیم از ساختمان هایی است که منابع اطلاعاتی سازمان در آنها قرار دارد، مناطق مجاور، عناصر زیرساخت، رایانه ها، حامل های داده و کانال های ارتباطی سخت افزاری. این شامل کنترل دسترسی فیزیکی، حفاظت از آتش، حفاظت از زیرساخت های پشتیبانی، حفاظت از شنود داده ها، و حفاظت از سیستم های تلفن همراه است.

حفظ عملکرد زیرساخت نرم افزار و سخت افزار شامل جلوگیری از خطاهای تصادفی است که تهدیدی برای آسیب رساندن به مجموعه سخت افزاری، عملکرد نادرست برنامه ها و از دست دادن داده ها است. جهت‌های اصلی در این زمینه عبارتند از ارائه پشتیبانی کاربر و نرم‌افزار، مدیریت پیکربندی، پشتیبان‌گیری، مدیریت رسانه، مستندسازی و کارهای پیشگیرانه.

حذف سریع نقض امنیتی سه هدف اصلی دارد:

1. بومی سازی حادثه و کاهش خسارات وارده؛
2. شناسایی مجرم؛
3. جلوگیری از تخلفات مکرر

در نهایت، برنامه‌ریزی اصلاح به شما امکان می‌دهد برای حوادث آماده شوید، آسیب‌های ناشی از آن‌ها را کاهش دهید و توانایی عملکرد را حداقل به حداقل برسانید.

استفاده از نرم‌افزار و سخت‌افزار و کانال‌های ارتباطی امن باید بر اساس رویکردی یکپارچه برای توسعه و تصویب کلیه رویه‌های نظارتی اداری و سازمانی برای تضمین امنیت اطلاعات در سازمان پیاده‌سازی شود. در غیر این صورت اتخاذ تدابیر خاصی تضمین کننده حفاظت از اطلاعات نیست و اغلب برعکس باعث درز اطلاعات محرمانه، از بین رفتن داده های حیاتی، آسیب به زیرساخت های سخت افزاری و اختلال در اجزای نرم افزاری سیستم اطلاعاتی سازمان می شود.

روش های امنیت اطلاعات

برای شرکت های مدرن، یک سیستم اطلاعات توزیع شده مشخص است که به شما امکان می دهد دفاتر و انبارهای توزیع شده شرکت، حسابداری مالی و کنترل مدیریت، اطلاعات پایگاه مشتری، در نظر گرفتن نمونه با شاخص ها و غیره را در نظر بگیرید. . بنابراین، مجموعه داده بسیار مهم است و در اکثریت قریب به اتفاق اطلاعاتی هستند که از نظر تجاری و اقتصادی برای شرکت دارای اهمیت هستند. در واقع، اطمینان از محرمانه بودن داده های دارای ارزش تجاری، یکی از وظایف اصلی تضمین امنیت اطلاعات در یک شرکت است.

تضمین امنیت اطلاعات در شرکتباید توسط اسناد زیر تنظیم شود:

1. مقررات امنیت اطلاعات این شامل تدوین اهداف و اهداف برای تضمین امنیت اطلاعات، فهرستی از مقررات داخلی در مورد ابزارهای امنیت اطلاعات و مقررات مربوط به مدیریت سیستم اطلاعات توزیع شده شرکت است. دسترسی به مقررات محدود به مدیریت سازمان و رئیس بخش اتوماسیون می باشد.
2. مقررات برای پشتیبانی فنی حفاظت از اطلاعات. اسناد محرمانه هستند، دسترسی به کارمندان بخش اتوماسیون و مدیریت ارشد محدود است.
3. مقررات مربوط به اداره یک سیستم امنیت اطلاعات توزیع شده. دسترسی به مقررات محدود به کارمندان بخش اتوماسیون مسئول اداره سیستم اطلاعات و مدیریت بالاتر است.

در عین حال نباید این اسناد محدود شود، بلکه سطوح پایین تر نیز باید کار شود. در غیر این صورت، اگر شرکت اسناد دیگری مرتبط با امنیت اطلاعات نداشته باشد، این نشان دهنده درجه ناکافی پشتیبانی اداری برای امنیت اطلاعات است، زیرا هیچ سند سطح پایین تر، به ویژه دستورالعمل هایی برای عملکرد عناصر فردی سیستم اطلاعات وجود ندارد. .

رویه های سازمانی اجباری عبارتند از:

• اقدامات اساسی برای تمایز پرسنل بر اساس سطح دسترسی به منابع اطلاعاتی،
• حفاظت فیزیکی دفاتر شرکت در برابر نفوذ مستقیم و تهدیدات تخریب، از دست دادن یا رهگیری داده ها،
• حفظ عملکرد زیرساخت سخت افزاری و نرم افزاری در قالب پشتیبان گیری خودکار سازماندهی شده است، تأیید از راه دور رسانه ذخیره سازی، پشتیبانی کاربر و نرم افزار در صورت درخواست ارائه می شود.

این همچنین باید شامل اقدامات تنظیم شده برای پاسخگویی و حذف موارد نقض امنیت اطلاعات باشد.

در عمل اغلب مشاهده می شود که بنگاه ها توجه کافی به این موضوع ندارند. تمام اقدامات در این راستا منحصراً در یک نظم کاری انجام می شود که زمان حذف موارد تخلف را افزایش می دهد و جلوگیری از نقض مکرر امنیت اطلاعات را تضمین نمی کند. علاوه بر این، برنامه ریزی اقدامات برای از بین بردن پیامدهای حوادث، نشت اطلاعات، از دست دادن داده ها و شرایط بحرانی به طور کامل وجود ندارد. همه اینها به طور قابل توجهی امنیت اطلاعات شرکت را بدتر می کند.

در سطح نرم افزاری و سخت افزاری باید سیستم امنیت اطلاعات سه سطحی پیاده سازی شود.

حداقل معیارهای تضمین امنیت اطلاعات:

1. ماژول کنترل دسترسی:

• یک ورودی بسته به سیستم اطلاعاتی اجرا شده است، ورود به سیستم در خارج از محل کار تأیید شده غیرممکن است.
• دسترسی با عملکرد محدود از رایانه های شخصی همراه برای کارمندان پیاده سازی شده است.
• مجوز با استفاده از لاگین و رمز عبور ایجاد شده توسط مدیران انجام می شود.

2. ماژول برای رمزگذاری و کنترل یکپارچگی:

• یک روش رمزگذاری نامتقارن برای داده های ارسالی استفاده می شود.
• آرایه هایی از داده های حیاتی در پایگاه های داده به شکل رمزگذاری شده ذخیره می شوند که امکان دسترسی به آنها را حتی در صورت هک شدن سیستم اطلاعاتی شرکت فراهم نمی کند.
• کنترل یکپارچگی با امضای دیجیتالی ساده کلیه منابع اطلاعاتی ذخیره شده، پردازش شده یا منتقل شده در سیستم اطلاعات تضمین می شود.

3. ماژول محافظ:

• سیستمی از فیلترها در فایروال ها پیاده سازی شده است که به شما امکان می دهد تمام جریان های اطلاعات را از طریق کانال های ارتباطی کنترل کنید.
• ارتباطات خارجی با منابع اطلاعاتی جهانی و کانال های ارتباطی عمومی فقط از طریق مجموعه محدودی از ایستگاه های کاری تأیید شده که ارتباط محدودی با سیستم اطلاعات شرکت دارند، انجام می شود.
• دسترسی ایمن از محل کار کارکنان برای انجام وظایف رسمی آنها از طریق یک سیستم دو لایه سرورهای پروکسی اجرا می شود.

در نهایت، با فناوری‌های تونل‌زنی، شرکت باید یک VPN را مطابق با یک مدل طراحی معمولی پیاده‌سازی کند تا کانال‌های ارتباطی امن بین بخش‌های مختلف شرکت، شرکا و مشتریان شرکت فراهم کند.

علیرغم این واقعیت که ارتباطات مستقیماً از طریق شبکه هایی با سطح بالقوه پایین اعتماد انجام می شود، فناوری های تونل زنی با استفاده از ابزارهای رمزنگاری می توانند حفاظت قابل اعتماد از تمام داده های ارسال شده را تضمین کنند.

نتیجه گیری

هدف اصلی تمام اقدامات انجام شده در زمینه امنیت اطلاعات، حفاظت از منافع بنگاه اقتصادی است، به هر نحوی که مربوط به منابع اطلاعاتی است که در اختیار دارد. در حالی که منافع کسب و کارها به یک حوزه خاص محدود نمی شود، همه آنها حول محور در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات هستند.

مشکل تضمین امنیت اطلاعات با دو دلیل اصلی توضیح داده می شود.

1. منابع اطلاعاتی انباشته شده توسط شرکت ارزشمند هستند.
2. وابستگی حیاتی به فناوری اطلاعات، استفاده گسترده از آنها را تعیین می کند.

با توجه به تنوع گسترده تهدیدات موجود برای امنیت اطلاعات، مانند تخریب اطلاعات مهم، استفاده غیرمجاز از داده های محرمانه، وقفه در عملکرد یک شرکت به دلیل اختلال در عملکرد سیستم اطلاعاتی، می توان نتیجه گرفت که همه این موارد به طور عینی منجر به خسارات مادی زیادی می شود.

در حصول اطمینان از امنیت اطلاعات، ابزارهای نرم افزاری و سخت افزاری با هدف کنترل نهادهای رایانه ای نقش مهمی ایفا می کنند. تجهیزات، عناصر نرم افزاری، داده ها، آخرین و بالاترین اولویت امنیت اطلاعات را تشکیل می دهند. انتقال داده ها همچنین باید در زمینه حفظ محرمانه بودن، یکپارچگی و در دسترس بودن آن ایمن باشد. بنابراین، در شرایط مدرن، از فناوری های تونل زنی در ترکیب با ابزارهای رمزنگاری برای ارائه کانال های ارتباطی امن استفاده می شود.

ادبیات

1. گالاتنکو V.A. استانداردهای امنیت اطلاعات - م .: دانشگاه فناوری اطلاعات اینترنت، 2006.
2. Partyka T.L.، Popov I.I. امنیت اطلاعات. - M .: انجمن، 2012.