Što znači povjerljiva informacija? Pojam i vrste povjerljivih informacija, klasifikacija i obilježja

"Kadrovik.ru", 2012, broj 7

U svakoj tvrtki postoje povjerljivi podaci koji su posebno pažljivo zaštićeni od zaposlenika koji im nemaju pristup, kao i od konkurenata i dobavljača. Međutim, prilično je teško odrediti stupanj tajnosti podataka. Kao rezultat toga, sve informacije povezane s aktivnostima organizacije počinju se smatrati povjerljivima. Zbog toga nastaju pravni sporovi i sa zaposlenicima i s drugim tvrtkama.

Popis relevantnih podataka naveden je u nekoliko zakonskih akata, međutim, tvrtka može samostalno ograničiti pristup nekim informacijama. Istodobno, glavni dokument koji vam omogućuje da utvrdite jesu li informacije povjerljive je Savezni zakon br. 98-FZ od 29. srpnja 2004. „O poslovnim tajnama” (u daljnjem tekstu Zakon br. 98-FZ). Međutim, popis sadržan u ovom Zakonu je nepotpun, a ostale informacije o povjerljivim informacijama sadržane su u drugim regulatornim pravnim aktima.

Popis povjerljivih podataka utvrđen zakonom

Pogled povjerljivo informacija	Popis informacija	Zakonodavna norma
Informacija, komponenta komercijalni tajna	Informacije bilo koje prirode (proizvodne, tehničke, ekonomske, organizacijske i drugi), uključujući rezultate intelektualnu djelatnost u znanstvenim tehničko područje, kao i informacije o načina za obavljanje stručne aktivnosti koje imaju stvarni ili potencijalni komercijalna vrijednost zbog nepoznat trećim osobama	Članak 3 savezni zakon iz 29.07.2004 N 98-FZ "O" komercijalni tajna"
Bankarstvo tajna	Informacije o transakcijama, računima i depoziti organizacija – komitenata banaka i dopisnici	Članak 26 savezni zakon iz 02.12.1990 N 395-1 "O banke i bankarstvo aktivnosti"
zagovarati tajna, bilježnički tajna	Informacije vezane uz pružanje odvjetnik za pravnu pomoć ravnatelju; informacije koje su postale poznat notaru u vezi s njegovim profesionalna djelatnost	Osnove zakonodavstvo ruski Federacija o javnobilježnički ured (odobren Oružane snage RF 11.2.1993 N 4462-1); Umjetnost. 8 savezni zakon iz 31.05.2002 N 63-FZ "Na odvjetnik aktivnosti i pravna struka ruski Federacija"
Inteligencija, Povezano revizija organizacije	Sve primljene informacije i dokumenti i (ili) sastavljena od strane revizije organizacija i njezini zaposlenici, kao i pojedinačni revizor i zaposlenici, s kojima su sklopili ugovore o radu ugovore o pružanju usluga, predviđeno ovim Federalnim zakonom, osim: 1) podatke koje je osoba sama otkrila, kome su pružene usluge, predviđeno ovim Federalnim zakonom ili uz njegovu suglasnost; 2) podatke o zaključku s revidiranim subjektom osoba ugovora o vođenju obvezna revizija; 3) podatke o iznosu uplate usluge revizije	Članak 9 savezni zakon iz 30.12.2008 N 307-FZ "Na revizija aktivnosti"

U praksi je režim povjerljivosti određen:

• popis podataka koji predstavljaju poslovnu tajnu; popis povjerljivih podataka u organizaciji;
• ugovorno reguliranje odnosa sa zaposlenicima;
• ugovorno reguliranje odnosa s ugovornim stranama utvrđivanjem odgovarajućih odredbi u ugovoru;
• stavljanje oznaka zabrane i žiga povjerljivosti s naznakom vlasnika na materijalnim nositeljima povjerljivih podataka.

Osim ovih mjera, tvrtka može, ako je potrebno, koristiti sredstva i metode tehničke zaštite povjerljivih informacija, kao i druge mjere koje nisu u suprotnosti sa zakonodavstvom Ruske Federacije.

Režim poslovne tajne ne može se uspostaviti u odnosu na sljedeće podatke:

• sadržane u osnivačkim dokumentima pravne osobe i dokumentima koji potvrđuju činjenicu upisa o pravnim osobama u državne registre;
• sadržane u dokumentima koji daju pravo na obavljanje poduzetničkih aktivnosti;
• o onečišćenju okoliša, stanju protupožarne sigurnosti, sanitarno-epidemiološkoj i radijacijskoj situaciji, zdravstvenoj ispravnosti hrane i drugim čimbenicima koji negativno utječu na osiguranje sigurnog rada proizvodnih pogona, sigurnost svakog građanina i sigurnost stanovništva kao cijeli;
• o broju i sastavu zaposlenih, sustavu nagrađivanja, uvjetima rada, uključujući zaštitu na radu, pokazateljima ozljeda na radu i profesionalnog morbiditeta te dostupnosti slobodnih radnih mjesta;
• o dugu poslodavaca za isplatu plaća i drugih socijalnih davanja;
• o kršenjima zakonodavstva Ruske Federacije i činjenicama kaznenog progona za njihovo počinjenje;
• o veličini i strukturi prihoda neprofitnih organizacija, o veličini i sastavu njihove imovine, o njihovim rashodima, o broju i naknadama zaposlenih, o korištenju besplatnog rada građana u djelatnostima neprofitnih organizacija. profitna organizacija;
• o popisu osoba koje imaju pravo zastupati pravno lice bez punomoći;
• informacije, čije je obvezno otkrivanje ili nedopustivost ograničavanja pristupa utvrđeno saveznim zakonima prije stupanja na snagu Zakona br. 98-FZ.

Razmotrimo postupak uspostavljanja liste u određenoj tvrtki.

Kako postupiti sa zaposlenikom koji odaje povjerljive podatke?

U mnogim tvrtkama protiv zaposlenika koji otkrije tajne podatke poduzimaju se sljedeće mjere: izriče se stegovni postupak, traži se naknada štete sudskim putem. Neki poslodavci jednostavno otpuste prekršitelje, smatrajući da je širenje povjerljivih informacija ozbiljan prekršaj. Doista, takva mogućnost postoji. Prema paragrafima. "c" klauzula 6, dio 1, čl. 81 Zakona o radu Ruske Federacije, poslodavac može otkazati ugovor o radu čak iu slučaju jednokratnog otkrivanja poslovne tajne koja je zaposleniku postala poznata u vezi s obavljanjem njegovih radnih zadataka.

Ako dođe do spora oko vraćanja na posao osobe koja je dobila otkaz iz predmetnog razloga, poslodavac snosi teret dokazivanja svih okolnosti odavanja poslovne tajne. Potrebno je pomno razmotriti sve okolnosti pojedinog slučaja, analizirati postoje li zakonske osnove za otpuštanje zaposlenika osumnjičenog za odavanje povjerljivih podataka, te procijeniti moguće rizike ukoliko zaposlenik ospori otkaz.

Uzmimo sljedeći primjer: zaposlenik je upotrijebio flash pogon za ispis dokumenta na pisaču. Međutim, poslodavac je ove radnje smatrao odavanjem poslovne tajne, budući da je zabrana korištenja flash pogona za prijenos povjerljivih podataka sadržana u lokalnom zakonu. No, organizacija nije imala točan popis takvih tajnih podataka. Zbog toga se zaposlenik obratio inspekciji rada, a nakon inspekcijskog nadzora uspio je ishoditi ukidanje stegovne kazne.

Dakle, prilikom izricanja stegovne kazne poslodavac je dužan:

• dokazati da je zaposlenik prouzročio materijalnu štetu organizaciji;
• utvrditi da je zaposlenik otkrio povjerljive podatke uključene u popis;
• potvrditi činjenicu otkrivanja i upoznavanja zaposlenika s popisom povjerljivih podataka.

Ako tvrtka želi nadoknaditi štetu na sudu (recimo da je menadžer dao otkaz i prodao povjerljivu bazu podataka konkurenciji), tada će morati procijeniti materijalnu štetu. Ključni uvjet za formiranje baze dokaza je dostupnost popisa povjerljivih podataka.

Popis povjerljivih podataka u zasebnoj organizaciji

Svaka organizacija sastavlja vlastiti popis povjerljivih podataka. U pravilu uključuje:

• informacije o proizvodnji i upravljanju;
• podatke o visini plaća zaposlenika;
• osobni podaci zaposlenika;
• upravljačke odluke, planovi razvoja proizvodnje, investicijski programi;
• zapisnici sa sastanaka;
• povjerljivi ugovori;
• informacije o pregovorima;
• informacije o sastavu osoblja, raspored osoblja;
• trošak i cijene;
• računovodstvena izvješća, primarna dokumentacija;
• informacije o plaćenim porezima i naknadama;
• izvješća revizora.

Napomena: osobni podaci i povjerljive informacije nisu istovjetni pojmovi. Potonji je širi i može uključivati ​​različite financijske izvještaje, podatke o osoblju organizacije i druge podatke koje tvrtka štiti u skladu s uspostavljenim režimom poslovne tajne.

Podaci koji čine poslovnu tajnu (proizvodna tajna) su podaci bilo koje prirode (proizvodne, tehničke, ekonomske, organizacijske i druge), uključujući rezultate intelektualne djelatnosti u znanstvenom i tehničkom području, kao i podaci o načinima obavljanja stručnih aktivnosti koje imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog nepoznatosti trećim osobama, kojima treće osobe nemaju zakonski slobodan pristup i za koje je vlasnik takvih podataka uveo režim poslovne tajne. Odavanje podataka koji predstavljaju poslovnu tajnu je radnja ili nečinjenje uslijed koje te informacije u bilo kojem mogućem obliku (usmeno, pismeno, na drugi način, uključujući korištenje tehničkih sredstava) postaju poznate trećim osobama bez suglasnosti vlasnika ili protivno radu. ili građansko pravo.pravni ugovor (Odluka Moskovskog gradskog suda od 14. studenog 2011. u predmetu br. 33-36486).

Koncept osobnih podataka utvrđen je Saveznim zakonom od 27. srpnja 2006. N 152-FZ „O osobnim podacima“. To je svaka informacija koja se odnosi na izravno ili neizravno identificiranu ili prepoznatljivu osobu (subjekt osobnih podataka).

To jest, ako se povjerljive informacije mogu odnositi i na pojedince i na pravne osobe, osobni podaci - samo na pojedince. Popis povjerljivih podataka koji su kao takvi klasificirani na zakonodavnoj razini nalazi se u prilogu.

Potrebno je obratiti pozornost na činjenicu da informacije koje tvrtka priznaje kao povjerljive ne smiju biti klasificirane kao takve. Računovodstveni dokumenti koji se daju sudionicima društva samo na pregled mogu se klasificirati kao povjerljivi (Rezolucija Savezne antimonopolske službe regije Volga od 5. travnja 2005. N A12-12462/04-C56). Sličan zaključak donesen je u Odluci Savezne antimonopolske službe Dalekoistočnog okruga od 16.5.2007., 8.5.2007 N F03-A73/07-1/1090 u predmetu N A73-9822/2006-9 , u kojem je sud priznao da niti norme Saveznog zakona od 21.11.1996. N 129-FZ „O računovodstvu“, niti čl. 89 Saveznog zakona od 26. prosinca 1995. N 208-FZ „O dioničkim društvima” ne predviđa obvezno davanje kopija primarnih računovodstvenih dokumenata, prometnih listova analitičkog računovodstva i elektroničke baze podataka društva dioničaru. računovodstveni program. Istodobno, na primjer, podaci o ispunjavanju poreznih obveza od strane poreznih obveznika nisu porezna tajna i mogu se otkriti (Rezolucija Federalne antimonopolske službe Zapadnosibirskog okruga od 27. srpnja 2010. u predmetu br. A27-25441/2009).

Dakle, poslodavac mora samostalno sastaviti popis povjerljivih podataka i utvrditi ga upravnim aktom, ovisno o važnosti tih podataka. Međutim, priznanje podataka kao povjerljivih može se osporiti na sudu. Istodobno, važna točka nije samo uspostava samog popisa povjerljivih podataka, već i postupak njegove zaštite.

Postupak zaštite povjerljivih podataka

Sukladno čl. 10 Zakona N 98-FZ, mjere za zaštitu povjerljivosti informacija koje poduzima njihov vlasnik moraju uključivati:

• utvrđivanje popisa podataka koji čine poslovnu tajnu;
• ograničavanje pristupa takvim informacijama utvrđivanjem postupka za njihovo postupanje i nadzorom poštivanja tog postupka;
• računovodstvo osoba koje su dobile pristup povjerljivim informacijama i (ili) osoba kojima su dostavljene ili prenesene;
• uređivanje odnosa u svezi korištenja podataka koji čine poslovnu tajnu od strane radnika na temelju ugovora o radu i ugovornih strana na temelju ugovora o građanskom pravu;
• stavljanje na materijalne medije koji sadrže povjerljive podatke ili uključivanje u pojedinosti dokumenata koji sadrže takve podatke žiga "poslovna tajna" koji označava vlasnika takvih podataka.

Radi zaštite povjerljivosti podataka, poslodavac je dužan:

• upoznati, uz potpis, zaposlenika kojem su ti podaci potrebni radi obavljanja radnih zadataka s popisom podataka koji predstavljaju poslovnu tajnu u vlasništvu poslodavca i njegovih sugovornika;
• upoznati zaposlenika uz potpis s režimom poslovne tajne koji je uspostavio poslodavac i kaznama za njegovo kršenje;
• stvoriti potrebne uvjete da se zaposlenik pridržava utvrđenog režima (članak 11. Zakona br. 98-FZ).

Ugovor o radu s voditeljem organizacije mora predvidjeti obveze ovog zaposlenika da osigura zaštitu povjerljivosti podataka u vlasništvu organizacije i njezinih sugovornika te odgovornost za odgovarajuće mjere.

Priznavanje podataka kao povjerljivih može se osporiti pred sudom

U tom slučaju tvrtka može poduzeti sljedeće radnje:

• provedba sustava dozvola za pristup izvođačima (korisnicima, serviserima) informacijama i radu te dokumentima koji se odnose na njihovo korištenje;
• ograničavanje pristupa osoblja i neovlaštenih osoba štićenim prostorima i prostorima u kojima se nalaze informacijsko-komunikacijska sredstva i mediji za pohranjivanje podataka;
• vođenje bilješki sa sastanaka;
• razlikovanje pristupa korisnika i servisnog osoblja informacijskim resursima, programskoj opremi za obradu (prijenos) i zaštitu podataka;
• računovodstvo i sigurno skladištenje papirnatih i računalnih medija za pohranjivanje, ključeva (ključne dokumentacije) i njihov promet, isključujući njihovu krađu, zamjenu i uništavanje;
• redundantnost tehničkih sredstava i umnožavanje nizova i medija za pohranu;
• zaštita od kopiranja podataka, korištenje certificiranih sredstava za njihovu zaštitu;
• korištenje sigurnih komunikacijskih kanala;
• kriptografska transformacija podataka koji se obrađuju i prenose pomoću računalne tehnologije i komunikacija.

Vrlo je važno u lokalnom aktu organizacije utvrditi ne samo popis povjerljivih informacija, već i postupak za njihovu upotrebu.

U odnosima sa zaposlenicima tvrtke najčešće koriste dvije taktike: zaštitu interesa na sudu, zaštitu interesa u pretkaznenom postupku raskidom ugovora sa zaposlenikom. Razmotrimo prvu metodu. Kao primjer možemo navesti Odluku Moskovskog gradskog suda od 22. prosinca 2011. u predmetu br. 4g/8-10945/11. Rješavajući navedene tužbene zahtjeve, rukovodeći se čl. 81. Zakona o radu Ruske Federacije, Saveznog zakona "O poslovnoj tajni", sud je došao do zaključka da je otkaz tužitelju zakonit i opravdan, budući da je otkrio poslovnu tajnu. Tužitelj je putem elektroničke pošte trećoj osobi slao dokumente kojima treće osobe nisu imale slobodan pristup, a za koje je poslodavac uveo režim poslovne tajne.

Na sudu je tvrtka dokazala sljedeće činjenice: upoznavanje zaposlenika s odredbom „O poslovnim tajnama“, poštivanje postupka za dovođenje na disciplinsku odgovornost, činjenica slanja dokumenata zamjeniku glavnog direktora organizacije treće strane - podaci o izvođačima, podaci o uvjetima i načinu pružanja usluga, visini naknade.

No, ako se povjerljive informacije ne prenose trećim stranama, činjenica kopiranja informacija bez prijenosa trećim stranama ne može se smatrati otkrivanjem. Tako je u Odluci od 12. prosinca 2011. u predmetu br. 4g/8-10961/2011 Moskovski gradski sud zaključio da informacije koje je tužitelj kopirao na flash karticu predstavljaju poslovnu tajnu tvrtke, ali nije bilo dokaza da je te podatke prenijela ona. Tuženik nije davao podatke trećim osobama, a tužitelj je zanijekao da je počinio takve radnje. Sud također nije zaprimio dokaze o slanju navedenih podataka od strane tužitelja u elektroničke pretince trećih osoba, kao ni činjenice o objavljivanju na internetu. Pregledom kućnog računala tužitelja i brisanjem kopiranih podataka s njega, tuženik nije zabilježio takve činjenice. U aktu o brisanju informacija o tome nije bilo napomena. Postupci zaposlenika, uslijed kojih navedeni podaci postaju dostupni drugim zaposlenicima koji nadziru poštivanje režima poslovne tajne u organizaciji, ne mogu se okvalificirati prema stavcima. "c" klauzula 6, dio 1, čl. 81 Zakon o radu Ruske Federacije. U takvim okolnostima, kada povjerljivi podaci nisu otkriveni trećim stranama, pojedinac može biti vraćen na posao uz naknadu za vrijeme prisilnog izbivanja.

Širenje neklasificiranih podataka ne predstavlja otkrivanje povjerljivih podataka. Ovaj zaključak proizlazi iz Odluke Moskovskog gradskog suda od 14. studenog 2011. u predmetu br. 33-36486. Sud je zaključio da podaci o dostupnosti opreme, njezinoj cijeni te podaci o distributerima ne predstavljaju poslovnu tajnu, jer stavljaju u cjenike, kataloge i brošure. Dakle, povjerljivost nije povrijeđena. Sličan zaključak donio je i Moskovski gradski sud u svojoj presudi od 18. listopada 2011. u predmetu br. 33-33741. Rješavajući spor i djelomično udovoljavajući tužbenim zahtjevima, sud je osnovano pošao od činjenice da je obveza dokazati postojanje zakonske osnove za otkaz i poštivanje utvrđenog postupka za otkaz na poslodavcu. Poslodavac nije pružio dokaze da B2B sustav sadrži povjerljive podatke, niti dokaze da je tužitelj širio podatke koji predstavljaju poslovnu tajnu.

Naravno, mnoge tvrtke ne mogu dokazati svoj slučaj na sudu, budući da regulatorni okvir ne sadrži određeni popis dokumenata koji se mogu koristiti za potvrđivanje gubitaka povezanih s nezakonitim otkrivanjem povjerljivih informacija. Osim toga, vrlo je teško procijeniti materijalnu komponentu, na primjer, curenje informacija o drugim ugovornim stranama ili financijskim pokazateljima, kao i samu činjenicu objave. Uostalom, otkrivanje se može izvršiti i pismeno i usmeno. U tom su smislu mnoge tvrtke prisiljene koristiti metode kažnjavanja nemarnih zaposlenika poput disciplinskih mjera.

Međutim, ponekad tvrtke radije ne peru prljavo rublje u javnosti i rastaju se s takvim zaposlenicima u dobrim odnosima. U takvim je situacijama poželjno formalizirati otkaz sporazumom stranaka, kako je predviđeno čl. 78 Zakon o radu Ruske Federacije. Jedna od značajnih prednosti je što je takav otkaz gotovo nemoguće osporiti, budući da postoji međusobni dogovor stranaka.

Zaključno, treba napomenuti da integritet poslovne tajne, zaštita interesa organizacije i mogućnost vraćanja pravde na sudu ovise o tome koliko jasno tvrtka definira popis povjerljivih informacija, kao i postupak za štiteći ga.

Primjena

Primjer popis povjerljivih podataka Popis informacija klasificiranih kao povjerljive (službene) informacije u središnjem uredu Savezne agencije za željeznički promet i njoj podređenim poduzećima i institucijama, odobren. Nalogom Savezne agencije za željeznički promet od 24. siječnja 2011. N 18

N p/p	Podaci klasificirani kao povjerljivi (službeni) podaci
I. Informacije o aktivnostima upravljanja industrijom
1	Odabrani materijali sa sastanaka Savezne agencije za željeznice prijevoz (u daljnjem tekstu Roszheldor) i informacije sadržane u njemu, ograničenje pristupa kojima se utvrđuje odlukom sjednice PDTK Roszheldora
2	Informacije (informacije) koje je pripremio Roszheldor o informacijama primljenim od državna tijela, poduzeća, ustanove i organizacije, neovisno o organizacijsko-pravnom obliku i obliku nekretnina sa oznakama „Za službenu upotrebu“, „Komercijalno tajno", "Povjerljivo" i dr. u dijelu koji ne sadrži podatke, koji predstavljaju državnu tajnu
3	Informacije koje sadrže pokazatelje državnog obrambenog poretka u dio koji ne sadrži podatke koji predstavljaju državnu tajnu
4	Podaci sadržani u materijalima interne inspekcije (istraga), prije odobrenja inspekcijskog izvješća (zaključak), i također ako podaci dobiveni kao rezultat provjere (istrage) mogu se koristiti u budućnosti za nezakonita radnja (šteta)
5	Informacije o organizaciji rada, o konkretnim mjerama ili mjerama koje su u tijeku aktivnosti usmjerene na osiguranje informacijske sigurnosti pri provedbi međunarodne suradnje uz sudjelovanje predstavnici Roszheldora, kao i oni sadržani u pripremnoj ili izvještajne dokumente (obrasce) o skupu
II. Podaci o upravnim i gospodarskim djelatnostima
6	Informacije o osobnim podacima zaposlenika Roszheldora sadržane u osobni dosje zaposlenika, osim ako nije drugačije određeno zakonodavstvo Ruske Federacije
7	Podaci primljeni po prijemu građanina u državu državne službe, potrebne za dobivanje prijama u državna tajna
8	Podaci o svijesti zaposlenika o informaciji koja predstavlja državna tajna
9	Zapisnici sastanaka natjecateljskih povjerenstava za održavanje natjecanja za popunjavanje upražnjenih radnih mjesta u državnoj državnoj službi
10	Akti o inspekcijskom nadzoru nad radom teritorijalnih odjela i podređene organizacije
11	Informacije o rasporedu osoblja Roszheldora
12	Podaci o položaju strukturnih jedinica u zgradi
13	Zapisnici sa sjednica stambene komisije
14	Zapisnici sa sjednica natječajne komisije za održavanje kvalifikacijski ispit i svjedodžbu
III. Informacije o režimu tajnosti, pripremi za mobilizaciju, civilna obrana, izvanredne situacije i sigurnost prometa
15	Akti inspekcijskog nadzora za osiguranje kontrole pristupa upravnim Roszheldor zgrada
16	Informacija o rezultatima procjene ugroženosti prometnih objekata infrastrukture i vozila, osim onih koji pružaju čije osiguranje provode isključivo savezni izvršne vlasti
17	Informacije sadržane u planovima sigurnosti prometa objekt prometne infrastrukture i vozilo
18	Informacije koje su informacijski resursi jedinstvene države informacijski sustav sigurnosti prometa, pripremio Roszheldor, s izuzetkom izvadaka iz registra kategorizirani objekti prometne infrastrukture i promet fondovi
IV. Informacije o zaštiti podataka
19	Informacije o organizaciji obrade uslužnih informacija o sredstvima računalna tehnologija Roszheldora
20	Informacije koje otkrivaju organizaciju, status sigurnosti informacija ili nositelji informacija ili informacijski proces
21	Podaci o metodama, sredstvima ili učinkovitosti (stanje zaštite) povjerljive informacije u automatiziranim informacijama sustavi, računalna oprema, dr. teh sredstva
22	Generalizirane informacije sadržane u lokalnom računskom dijagramu mreža Roszheldor, što ukazuje na organizacijske i tehnološke parametrima ili tehničkim karakteristikama i mjestima njezina odgovorne komponente, informacijski čvorovi (definirani na dijagram)
23	Informacije o konkretnim tekućim i (ili) planiranim aktivnostima za informacijska sigurnost povjerljivih informacija
V. Ostali podaci
24	Podaci o organizaciji, stanju ili lokaciji inženjerskih sustava video nadzor, protupožarni ili sigurnosni alarmni sustav zgrade Roszheldor
25	Informacije koje otkrivaju sadržaj planova i konkretnih aktivnosti za zaštita zgrade Roszheldor, prostorije u kojima se izvode radovi, materijali se pohranjuju, povjerljivi pregovori se vode
26	Podaci iz sigurnosnog videonadzora, snimanja sigurnosnih sustava prostorija, elektronički sustav za ulazak u zgradu

Povjerljivost

Povjerljivost.(Engleski) samouvjerenost- trust) - potreba da se spriječi curenje (otkrivanje) bilo koje informacije.

U anglo-američkoj tradiciji postoje dvije glavne vrste povjerljivosti: dobrovoljna (privatnost) i prisilna (tajnost). (Vidi Edward Shiles - The Torment of Secrecy: The Background & Consequences of American Security Policies (Chicago: Dee) U prvom slučaju mislimo na prerogative pojedinca, u drugom slučaju mislimo na informacije za službenu upotrebu, dostupne ograničeni krug dužnosnika tvrtke, korporacije, vladine agencije, javne ili političke organizacije. Iako su privatnost i tajnost slični po značenju, u praksi obično proturječe jedno drugome: povećana tajnost dovodi do povrede i smanjenja privatnosti. U totalitarnim i autoritarnim državama, povjerljivost obično znači samo tajna.

Definicije

Povjerljivost informacijsko – revizijsko načelo, koje se sastoji u tome da su revizori dužni osigurati sigurnost dokumenata koje su primili ili sastavili tijekom obavljanja revizijskih aktivnosti, te nemaju pravo prenositi te dokumente ili njihove preslike trećim osobama, ili usmeno otkrivati ​​informacije sadržane u njima bez suglasnosti vlasnika gospodarskog subjekta, osim u slučajevima predviđenim zakonodavnim aktima.

Povjerljivost informacija - obvezni zahtjev za osobu koja je dobila pristup određenoj informaciji da ne prenosi takve informacije trećim osobama bez pristanka njezinog vlasnika.

Povjerljive informacije- informacije čiji je pristup ograničen u skladu sa zakonodavstvom Ruske Federacije i predstavljaju poslovne, službene ili osobne tajne koje štiti njihov vlasnik.

Službena tajna– zakonom zaštićeni povjerljivi podaci koji su državnim tijelima i tijelima lokalne samouprave postali poznati samo na zakonskoj osnovi i obavljanjem službenih dužnosti od strane njihovih predstavnika, kao i službeni podaci o radu državnih tijela, pristup na koje je ograničeno saveznim zakonom ili zbog službene potrebe. U važećem zakonodavstvu Ruske Federacije ne postoji jasna definicija pojma "službena tajna". Službena tajna jedan je od objekata građanskih prava prema građanskom zakonodavstvu Ruske Federacije. Režim zaštite službene tajne općenito je sličan režimu zaštite poslovne tajne. U nizu slučajeva zakon predviđa kaznenu odgovornost za odavanje službene tajne (primjerice, za odavanje tajne posvojenja, ili za odavanje podataka koji predstavljaju poslovnu, poreznu ili bankovnu tajnu od strane osobe kojoj takva informacija postala poznata u službi).

Službena tajna- informacije s ograničenim pristupom, osim informacija klasificiranih kao državna tajna i osobnih podataka, sadržanih u državnim (općinskim) informacijskim izvorima, akumuliranih na teret državnog (općinskog) proračuna i vlasništvo su države, zaštita koja se provodi u interesu države.

Zaštita povjerljivosti jedan je od tri cilja informacijske sigurnosti (uz zaštitu cjelovitosti i dostupnosti informacija).

Relevantnost privatnosti

Od početka korištenja računalne tehnologije u svim područjima ljudskog djelovanja pojavili su se brojni problemi vezani uz zaštitu povjerljivosti. To je uglavnom zbog obrade dokumenata pomoću računalne tehnologije. Mnoge administrativne mjere za zaštitu povjerljivosti pojedinaca i organizacija izgubile su na snazi ​​zbog prelaska protoka dokumenata u potpuno novo okruženje.

Prilikom primanja osobnih pisama, prilikom sklapanja ugovora, tijekom poslovnog dopisivanja, tijekom telefonskih razgovora s poznatim i nepoznatim osobama, osoba je koristila različite načine autentifikacije. Osobna pisma slala su se s naznakom postojeće poštanske adrese ili su imala žig točnih poštanskih ureda u kojima su takva pisma obrađivana. Prilikom sklapanja ugovora korišteni su obrasci izrađeni u tiskarama, na kojima je pisaćim strojevima otisnut tekst s jedinstvenim serijskim brojevima, koji je potom službena osoba potpisala i ovjerila pečatom organizacije. Prilikom telefonskog razgovora pouzdano se znalo da se razgovor vodi upravo s onom osobom čiji je glas otprije poznat. Mnogo stotina administrativnih mjera usmjereno je na zaštitu privatnosti komunikacije ljudi.

Uvođenjem računalne tehnologije u ljudski život mnogo toga se promijenilo. Prilikom korištenja, primjerice, e-pošte postalo je moguće navesti nepostojeću povratnu adresu ili simulirati primanje pisma od prijatelja. Svakodnevnom komunikacijom putem interneta mnogi znakovi koji identificiraju osobu u svakodnevnom životu (spol, dob, stupanj obrazovanja) prestali su to biti. Pojavila se takozvana “virtualna stvarnost”.

Nemoguće je brzo i učinkovito riješiti probleme vezane uz zaštitu privatnosti u računalnim sustavima. Postoji potreba za integriranim pristupom rješavanju ovih problema. Ovaj pristup trebao bi uključivati ​​korištenje organizacijskih, pravnih i softverskih mjera koje štite povjerljivost, integritet i dostupnost.

Danas organizacije imaju skup standarda koji osiguravaju ispravan rad s povjerljivim informacijama. Voditelj organizacije potpisuje popis povjerljivih podataka. U ugovoru koji potpisuju zaposlenik i poslodavac postoji klauzula koja govori o odgovornosti za netočan rad s povjerljivim podacima, zbog čega, ukoliko se ne poštuju pravila za rad s tim podacima navedenim u ugovoru, postoji pravni temelj za dovođenje takvih zaposlenika u upravnu ili kaznenu odgovornost. Organizacije također imaju niz mjera usmjerenih na osiguranje zaštite povjerljivih informacija. Na primjer, takve mjere mogu uključivati: odabir kvalificiranog osoblja, predviđanje mogućih prijetnji i poduzimanje mjera za njihovo sprječavanje, korištenje različitih razina pristupa osoblja informacijama s različitom tajnošću.

Kako je ovo područje nemoguće detaljno proučiti u kratkom vremenu, uveden je smjer za izobrazbu stručnjaka iz područja informacijske sigurnosti.

Uz pomoć softverskih i hardverskih alata za informacijsku sigurnost različitih proizvođača, mogu se postići veći pokazatelji učinkovitosti ako se koriste na sveobuhvatan način. Takvi alati uključuju opremu za kriptografsku zaštitu govornih informacija, programe za kriptografsku zaštitu teksta ili drugih informacija, programe za osiguranje autentifikacije e-mail poruka putem elektroničkog digitalnog potpisa, programe za pružanje antivirusne zaštite, programe za zaštitu od mrežnih upada, programi za otkrivanje upada, programi za skrivanje obrnute email adrese pošiljatelja.

Takav popis softverskih i hardverskih alata, u pravilu, razvijaju stručnjaci u području informacijske sigurnosti, uzimajući u obzir mnoge čimbenike, na primjer, karakteristike automatiziranog sustava, broj korisnika u ovom sustavu, razlike u razina pristupa tih korisnika itd.

Povjerljivost u ruskom zakonodavstvu

Bilješke

Književnost

• Veliki pravni rječnik. 3. izd. dod. i obrađeno / Ed. prof. A. Ya. Sukhareva. - M.: INFRA-M, 2007. - VI, 858 str. - (B-k rječnika "INFRA-M")

Linkovi

• Povjerljive informacije u ruskom zakonodavstvu

vidi također

Zaklada Wikimedia. 2010.

Sinonimi:

antonimi:

Pogledajte što je "povjerljivost" u drugim rječnicima:

Tajnost, tajnost, povjerljivost, tajnost. Mrav. otvorenost, glasnost Rječnik ruskih sinonima. povjerljivost vidi tajnost Rječnik sinonima ruskog jezika. Praktični vodič. M.: Ruski jezik... Rječnik sinonima

povjerljivost- Svojstvo informacije da je ne mogu vidjeti neovlašteni korisnici i/ili procesi. Čuvanje kritičnih informacija u tajnosti; pristup mu je ograničen na uži krug korisnika (pojedinci... ... Vodič za tehničke prevoditelje

POVJERLJIVO [de], aya, oe; lan, lan (knjiga). Tajno, povjerljivo. K. razgovor. Prijavi povjerljivo (adv.). Ozhegovov objašnjavajući rječnik. SI. Ozhegov, N.Yu. Švedova. 1949. 1992. … Ozhegovov objašnjavajući rječnik

Povjerljivost- Etički zahtjev koji se odnosi i na eksperimentalna istraživanja i na psihoterapiju. Prema ovom zahtjevu, sudionici ili pacijenti imaju pravo na informacije prikupljene tijekom studije ili tretmana ne... ... Velika psihološka enciklopedija

povjerljivost- 2.6 povjerljivost: Svojstvo informacija koje su nedostupne i zatvorene neovlaštenom pojedincu, entitetu ili procesu. [ISO/IEC 7498-2] Izvor... Rječnik-priručnik pojmova normativne i tehničke dokumentacije

povjerljivost- ▲ ograničen pristup (predmet), povjerljivost podataka. povjerljivo ne podliježe širokoj javnosti; dostupan uskom krugu ljudi (# razgovor). povjerljivo. povjerenje. povjerljivo (# ton). povjerljivo. povjerenje (#…… Ideografski rječnik ruskog jezika

Povjerljive informacije - informacije kojima je pristup ograničen u skladu sa zakonodavstvom zemlje i razinom pristupa izvoru informacija. Povjerljive informacije stavljaju se na raspolaganje ili se otkrivaju samo ovlaštenim osobama, subjektima ili procesima.

Rusko zakonodavstvo razlikuje nekoliko vrsta povjerljivih informacija - državna tajna, službena tajna, poslovna tajna, medicinska tajna, javnobilježnička tajna, revizorska tajna, odvjetnička tajna, bankovna tajna, porezna tajna, osobna i obiteljska tajna, tajna posvojenja, tajna sastanaka sudaca , tajnost istrage i sudskog postupka, tajnost osiguranja itd. Prema V. A. Kolomietsu, trenutno se u regulatornim pravnim aktima na različitim razinama spominje oko 50 vrsta povjerljivih informacija.

Opće je poznata važnost informacija u životu i djelovanju svakog suvremenog čovjeka. Također je poznato koliko je velika uloga informacija za uspješno rješavanje konkretnog zadatka i za postizanje postavljenih ciljeva. Bolje je da netko tko se jasno snalazi u informacijskom prostoru i po potrebi ima mogućnost lako i pravodobno doći do informacija koje ga zanimaju, pronađe točan odgovor na pitanje koje se rješava i izbjegne pogreške u odlučivanju.

44. Nastanak i suvremena definicija pojma “državna tajna”

Pojam državne tajne jedan je od najvažnijih u sustavu zaštite državne tajne svake države. O njezinu ispravnom definiranju ovisi i politika vodstva države na području zaštite tajni.

Definicija ovog koncepta dana je u Zakonu Ruske Federacije „O državnim tajnama”: „Državne tajne su podaci koje štiti država u području njezine vojne, vanjske politike, gospodarstva, obavještajnih, protuobavještajnih i operativno-istražnih aktivnosti, čije širenje može naštetiti sigurnosti Ruske Federacije.”

Ovom definicijom precizirane su kategorije podataka koje štiti država, te da bi širenje tih podataka moglo štetiti interesima državne sigurnosti.

Model utvrđivanja državne tajne obično uključuje sljedeće bitne značajke:

1. Predmeti, pojave, događaji, područja djelovanja koji predstavljaju državnu tajnu.

2. Neprijatelj (stvarni ili potencijalni), od kojeg se uglavnom provodi zaštita državne tajne.

3. Naznaka u zakonu, popisu, uputama podataka koji predstavljaju državnu tajnu.

4. Šteta učinjena obrani, vanjskoj politici, gospodarstvu, znanstvenom i tehnološkom napretku zemlje itd. u slučaju otkrivanja (curenja) podataka koji predstavljaju državnu tajnu.

Za usporedbu, evo kratkih definicija pojma državne tajne koje su dali stručnjaci iz drugih zemalja.

Kazneni zakon Savezne Republike Njemačke kaže da su državne tajne činjenice, predmeti ili znanja koji su dostupni samo ograničenom broju osoba i moraju se čuvati u tajnosti od strane vlade kako bi se spriječio rizik od teške štete vanjskim sigurnosti Savezne Republike Njemačke.

Izvršna uredba predsjednika Sjedinjenih Država od 2. travnja 1982. navodi da informacije o nacionalnoj sigurnosti uključuju određene informacije o nacionalnoj obrani i vanjskim poslovima koje su zaštićene od neovlaštenog otkrivanja.

U nekim je zemljama ovaj koncept izražen drugim izrazima, na primjer, u Japanu - "Tajna obrane".

Koji podaci mogu biti klasificirani kao državna tajna definirani su u Uredbi predsjednika Ruske Federacije od 30. studenog 1995. br. 1203. To uključuje podatke (naznačeni su samo odjeljci): u vojnom polju; o vanjskoj politici i vanjskoj gospodarskoj djelatnosti; u području ekonomije, znanosti i tehnologije; iz područja obavještajnih, protuobavještajnih i operativno-istražnih poslova.

Podaci se ne mogu klasificirati kao državna tajna:

Ako njegovo curenje (otkrivanje, itd.) ne uzrokuje štetu nacionalnoj sigurnosti zemlje;

Kršenje važećih zakona;

Ako bi prikrivanje informacija kršilo ustavna i zakonska prava građana;

Prikriti radnje koje štete prirodnom okolišu i ugrožavaju život i zdravlje građana. Ovaj popis detaljnije je sadržan u čl. 7 Zakona Ruske Federacije „O državnim tajnama“.

Važno obilježje državne tajne je stupanj tajnosti podatka koji je njome označen. Naša je država usvojila sljedeći sustav označavanja podataka koji predstavljaju državnu tajnu: "od posebnog značaja", "strogo povjerljivo", "tajno". Ovi žigovi se lijepe na dokumente ili proizvode (njihovu ambalažu ili popratne dokumente). Podaci sadržani pod tim pečatima su državna tajna.

Koji se kriteriji koriste za klasificiranje informacija, prvo, kao državne tajne, i drugo, kao jednog ili drugog stupnja tajnosti?

Odgovor na ovo pitanje daje Pravila o klasificiranju informacija koje predstavljaju državnu tajnu na različite stupnjeve tajnosti, navedena u Uredbi Vlade Ruske Federacije br. 870 od 4. rujna 1995. godine.

Informacije od posebne važnosti trebaju uključivati ​​informacije čije bi širenje moglo naštetiti interesima Ruske Federacije u jednom ili više područja.

Strogo povjerljivi podaci trebaju uključivati ​​informacije čije bi širenje moglo naštetiti interesima ministarstva (odjela) ili sektora ruskog gospodarstva u jednom ili više područja.

Tajni podaci trebaju obuhvaćati sve druge podatke koji predstavljaju državnu tajnu. Šteta može biti nanesena interesima poduzeća, ustanove ili organizacije.

Iz ovih definicija može se vidjeti relativno visok stupanj nesigurnosti u karakteristikama koje karakteriziraju jedan ili drugi stupanj tajnosti podataka koji predstavljaju državnu tajnu.

Pokušalo se izjednačiti stupanj tajnosti informacija s količinom štete (primjerice, u novčanom smislu) koja može nastati u slučaju curenja informacija. Međutim, oni nisu dobili nikakvu široku distribuciju ili odobrenje.

Ne postoji jasnoća po ovom pitanju u Uredbi predsjednika SAD-a „Podaci o nacionalnoj sigurnosti“. Djelomično kaže:

1. Klasifikacija "strogo povjerljivo" mora se primijeniti na podatke čije bi neovlašteno otkrivanje moglo, u razumnim granicama, prouzročiti izuzetno ozbiljnu štetu nacionalnoj sigurnosti.

2. Klasifikacija tajnosti "tajno" mora se primijeniti na podatke čije bi neovlašteno otkrivanje moglo, u razumnim granicama, prouzročiti ozbiljnu štetu nacionalnoj sigurnosti.

3. Klasificirano "povjerljivo" - ista stvar, samo je iznos štete označen kao "šteta nacionalnoj sigurnosti".

Kao što je vidljivo iz navedenog, razlika između tri stupnja tajnosti ovisi o veličini štete koja se označava kao „izuzetno teška“, „ozbiljna“ ili jednostavno „šteta“.

Navedena kvalitativna obilježja - kriteriji stupnja tajnosti podataka koji sadrže državnu tajnu uvijek ostavljaju prostora za namjerno ili nenamjerno uvođenje subjektivnog čimbenika u postupak klasifikacije podataka.

Pojam, vrste i visina štete još nisu dovoljno razvijeni i, po svemu sudeći, bit će različiti za svaki pojedini predmet zaštite - sadržaj podataka koji čine državnu tajnu, bit činjenica, događaja i pojava stvarnosti koje se odražavaju. u tome. Ovisno o vrsti, sadržaju i

razmjera štete, možemo razlikovati skupine pojedinih vrsta štete u slučaju curenja (ili mogućeg curenja) podataka koji predstavljaju državnu tajnu.

Politička šteta može nastati u slučaju curenja informacija političke i vanjskopolitičke prirode, o obavještajnom djelovanju državnih obavještajnih službi i sl. Politička šteta može se izraziti u tome da se kao posljedica curenja informacija ozbiljne promjene u međunarodnoj situaciji može se dogoditi neu korist Ruske Federacije, gubitak političkih prioriteta zemlje u nekim područjima, pogoršanje odnosa s bilo kojom zemljom ili skupinom zemalja itd.

Ekonomska šteta može nastati curenjem informacija bilo kojeg sadržaja: političkih, gospodarskih, vojnih, znanstveno-tehničkih itd. Ekonomska šteta može se izraziti prvenstveno u novcu. Ekonomski gubici od curenja informacija mogu biti izravni i neizravni.

Dakle, izravni gubici mogu nastati kao posljedica curenja tajnih podataka o sustavima naoružanja i obrane zemlje, koji su zbog toga praktički izgubili ili izgubili svoju učinkovitost i zahtijevaju velike troškove za njihovu zamjenu ili prilagodbu. Na primjer, A. Tolkačov, agent američke CIA-e, vodeći inženjer u Istraživačkom institutu za radiotehničku industriju, dao je Amerikancima mnogo važnih i vrijednih informacija. Amerikanci su vrijednost informacija dobivenih od njega procijenili na približno šest milijardi dolara.

Neizravni gubici najčešće se izražavaju u obliku iznosa izgubljene dobiti: neuspjeh pregovora sa stranim tvrtkama, s kojima je prethodno postojao dogovor o isplativim poslovima; gubitak prioriteta u znanstvenom istraživanju, zbog čega je protivnik svoje istraživanje brzo doveo do kraja i patentirao, itd.

Moralna šteta, u pravilu, neimovinske prirode proizlazi iz curenja informacija koje su izazvale ili pokrenule za državu protuzakonitu propagandnu kampanju, narušavajući ugled zemlje, dovodeći do protjerivanja iz nekih država naših diplomata, obavještajaca službenici koji djeluju pod diplomatskim pokrićem itd.

Povjerljive informacije u bilo kojem području pažljivo su zaštićene zakonom. Stoga je dužnost zaposlenika koji imaju pristup podacima zaštititi podatke i ne dopustiti njihovu objavu. Postoje različite odgovornosti za otkrivanje povjerljivih informacija. Osoba čak može biti osuđena prema članku iz Kaznenog zakona ako je počinila teški prekršaj. Stoga je u interesu samih radnika da njihovom krivnjom informacije ne procure trećim osobama.

Što su povjerljive informacije

Povjerljivi podaci su osobni podaci s ograničenim pristupom. Postoje različite vrste takvih podataka, ali svi su zaštićeni zakonom. Zaposlenici koji im imaju pristup dužni su čuvati tajnost i ne dopustiti publicitet. Štoviše, oni sami ne bi smjeli odavati takve podatke čak ni u krugu obitelji.

Vrste povjerljivih podataka:

1. Osobni podaci pojedinca. To uključuje sve što je povezano s događajima i činjenicama iz privatnog života.
2. Službena tajna. Pristup mu imaju samo državni službenici na određenoj poziciji. To može uključivati ​​porezne tajne, informacije o posvojenju itd.
3. Profesionalna tajna. Zaštićen je Ustavom Rusije i za njega zna ograničen broj ljudi koji obavljaju svoje profesionalne dužnosti.
4. Osobni dosjei osuđenih za kaznena djela.
5. Poslovna tajna. Ovi podaci moraju biti pohranjeni u svrhu zaštite pravne osobe od konkurencije, odnosno radi ostvarivanja koristi.
6. Podaci o sudskim odlukama i njihovom izvršenju u okviru postupaka.
7. Tajnost istrage i sudskog postupka. To može uključivati ​​informacije o žrtvama i svjedocima kojima je potrebna zaštita vlade. Podaci o sucima i službenicima za provođenje zakona također se drže u tajnosti.

Ovi podaci su povjerljivi i neće se otkrivati. Potrebno je čuvati povjerljivost takvih informacija radi zaštite interesa fizičkih i pravnih osoba. Neotkrivanje je nužno jer publicitet može dovesti do ozbiljnih posljedica. Na primjer, do stečaja poduzeća, javne osude neke osobe, opasnosti koja je nastala za svjedoke i žrtve. Ako zaposlenik dopusti širenje informacija, tada ima pravo biti kažnjen ovisno o težini prekršaja.

Ugovor o tajnosti podataka

Kako biste zaposleniku omogućili pristup povjerljivim podacima, morat ćete potpisati ugovor o tajnosti podataka. Jer na temelju tog dokumenta moći će se pozvati na odgovornost ako zaposlenik ne poštuje svoje obveze u pogledu sigurnosti podataka. Ne postoji poseban predložak za ugovor, ali sve važne točke moraju biti prisutne, kao što su obveze stranaka i odgovornost za otkrivanje podataka.

Ali također morate razumjeti da bez njega ne možete pristupiti povjerljivim podacima. U svakom slučaju, vrijedi razgovarati o trenutnoj situaciji osobno sa svojim nadređenima kako biste riješili problem s ugovorom.

Kako dokazati otkrivanje osobnih podataka

Kazna, na primjer, novčana kazna prema sporazumu o tajnosti podataka, bit će izrečena samo ako se može potvrditi činjenica kršenja. Svaki dokaz je dovoljan za ovo. U pravilu ih nije teško dobiti ako je moguće identificirati beskrupuloznog zaposlenika.

Međutim, prvo morate potvrditi činjenicu da su stvarno postojali tajni podaci i da je određena osoba imala pristup njima. Da biste to učinili, morate koristiti dokumente, na primjer, ugovor o tajnosti podataka. Dokazi će se tražiti u svakom slučaju, pa i za stegovni postupak. Štoviše, bit će potrebni za suđenje, jer da bi se netko priveo pravdi prema članku, potrebni su uvjerljivi razlozi i dokazi.

Koje su odgovornosti predviđene?

Zaposlenik mora znati koji će podaci biti klasificirani, a koji će biti javno dostupni. Stoga ne može javno objaviti povjerljive podatke samo zato što nije bio svjestan ograničenog pristupa istima. U većini slučajeva zaposlenici namjerno otkrivaju informacije koje će biti zaštićene. To se radi iz osobnih razloga ili iz sebičnih razloga.

Kazna ovisi o prirodi prekršaja. Razmotrimo vrste ovisno o odgovornosti za koju se može smatrati kriva osoba.

Koja može biti kazna:

1. Disciplinska kazna. Imenuje ga uprava organizacije nakon internog pregleda i istrage. Zaposlenik može dobiti opomenu, ukor ili čak otkaz. Konkretno rješenje ovisi o situaciji.
2. Administrativna odgovornost. Može se dogoditi pri otkrivanju osobnih podataka, kao i pri povredi zaštite podataka, osim državne tajne. Kriva osoba može dobiti novčanu kaznu do 10.000 rubalja.
3. Kaznena odgovornost. Elementi kaznenih djela vrlo su raznoliki i utvrđuju se pojedinačno. Ako je prekršaj kaznene prirode, onda čak mogu biti lišeni slobode.
4. Građanska odgovornost. Žrtva može nadoknaditi moralnu štetu.

U Ukrajini vrijede približno ista pravila u pogledu kažnjavanja za otkrivanje povjerljivih podataka. Odgovornost se može izbjeći samo u određenim slučajevima.

Bibliografski opis:

Nesterov A.K. Osiguranje informacijske sigurnosti [Elektronički izvor] // Web stranica obrazovne enciklopedije

Usporedno s razvojem informacijske tehnologije i sve većim značajem informacijskih resursa za organizacije, raste broj prijetnji njihovoj informacijskoj sigurnosti, kao i moguće štete od njezinih povreda. Postoji objektivna potreba da se osigura informacijska sigurnost poduzeća. U tom pogledu napredak je moguć samo u uvjetima ciljane prevencije prijetnji informacijskoj sigurnosti.

Alati za informacijsku sigurnost

Sigurnost informacija osigurava se pomoću dvije vrste sredstava:

• softver i hardver
• sigurni komunikacijski kanali

Programski i hardverski alati za osiguranje informacijske sigurnosti u suvremenim uvjetima razvoja informacijske tehnologije najčešći su u radu domaćih i stranih organizacija. Pogledajmo pobliže glavni hardver i softver za informacijsku sigurnost.

Programska i hardverska zaštita od neovlaštenog pristupa uključuje mjere za identifikaciju, autentifikaciju i kontrolu pristupa informacijskom sustavu.

Identifikacija – dodjeljivanje jedinstvenih identifikatora subjektima pristupa.

To uključuje radiofrekvencijske oznake, biometrijske tehnologije, magnetske kartice, univerzalne magnetske ključeve, prijavu na sustav itd.

Autentifikacija – provjera pripada li subjekt pristupa prikazanom identifikatoru i potvrda njegove autentičnosti.

Postupci provjere autentičnosti uključuju lozinke, pin kodove, pametne kartice, USB ključeve, digitalne potpise, ključeve sesije itd. Proceduralni dio identifikacijskih i autentifikacijskih alata je međusobno povezan i zapravo predstavlja osnovnu osnovu svih softverskih i hardverskih informacijskih sigurnosnih alata, budući da su svi ostali servisi dizajnirani da služe određenim subjektima koje informacijski sustav ispravno prepoznaje. Općenito, identifikacija omogućuje subjektu da se identificira informacijskom sustavu, a uz pomoć autentifikacije informacijski sustav potvrđuje da je subjekt stvarno ono za što se predstavlja. Po završetku ove operacije provodi se operacija pristupa informacijskom sustavu. Postupci kontrole pristupa omogućavaju ovlaštenim subjektima obavljanje propisa dopuštenih radnji, a informacijski sustav prati ispravnost tih radnji i ispravnost dobivenog rezultata. Kontrola pristupa omogućuje sustavu blokiranje podataka od korisnika za koje oni nisu ovlašteni.

Sljedeće sredstvo softverske i hardverske zaštite je evidentiranje i revizija informacija.

Zapisivanje uključuje prikupljanje, akumulaciju i pohranjivanje informacija o događajima, radnjama, rezultatima koji su se dogodili tijekom rada informacijskog sustava, pojedinačnim korisnicima, procesima i svim softverima i hardverima koji su dio informacijskog sustava poduzeća.

Budući da svaka komponenta informacijskog sustava ima unaprijed zadani skup mogućih događaja u skladu s programiranim klasifikatorima, događaji, akcije i rezultati dijele se na:

• vanjski, uzrokovan djelovanjem drugih komponenti,
• unutarnji, uzrokovan djelovanjem same komponente,
• na strani klijenta, uzrokovan radnjama korisnika i administratora.

Revizija informacija sastoji se od provođenja operativne analize u stvarnom vremenu ili unutar zadanog razdoblja.

Na temelju rezultata analize generira se izvješće o događajima koji su se dogodili ili se pokreće automatski odgovor na hitnu situaciju.

Implementacija zapisivanja i revizije rješava sljedeće probleme:

• pozivanje korisnika i administratora na odgovornost;
• osiguranje mogućnosti rekonstrukcije slijeda događaja;
• otkrivanje pokušaja kršenja informacijske sigurnosti;
• pružanje informacija za prepoznavanje i analizu problema.

Često je zaštita podataka nemoguća bez upotrebe kriptografskih sredstava. Koriste se za pružanje usluga šifriranja, integriteta i provjere autentičnosti kada su sredstva provjere autentičnosti pohranjena u šifriranom obliku za korisnika. Postoje dvije glavne metode šifriranja: simetrična i asimetrična.

Kontrola integriteta omogućuje vam utvrđivanje autentičnosti i identiteta objekta, koji je niz podataka, pojedinačni dijelovi podataka, izvor podataka, kao i osiguravanje da je nizom informacija nemoguće označiti radnju koja se provodi u sustavu. Temelj za provedbu kontrole integriteta su tehnologije pretvorbe podataka pomoću enkripcije i digitalnih certifikata.

Drugi važan aspekt je korištenje zaštite, tehnologije koja omogućuje, ograničavanjem pristupa subjekata informacijskim resursima, kontrolu svih tokova informacija između informacijskog sustava poduzeća i vanjskih objekata, nizova podataka, subjekata i protu-subjekata. Kontrola tokova sastoji se od njihovog filtriranja i, ako je potrebno, pretvaranja prenesenih informacija.

Svrha zaštite je zaštititi interne informacije od potencijalno neprijateljskih vanjskih čimbenika i entiteta. Glavni oblik izvedbe oklopa su vatrozidi ili vatrozidi raznih vrsta i arhitektura.

Budući da je jedan od znakova informacijske sigurnosti dostupnost informacijskih resursa, osiguranje visoke razine dostupnosti važan je smjer u provedbi programskih i hardverskih mjera. Posebno se dijele dva smjera: osiguranje tolerancije na greške, tj. neutralizirati kvarove sustava, sposobnost rada kada se pojave greške i osigurati siguran i brz oporavak od kvarova, tj. servisabilnost sustava.

Glavni zahtjev za informacijske sustave je da uvijek rade sa zadanom učinkovitošću, minimalnim vremenom nedostupnosti i brzinom odziva.

Sukladno tome, dostupnost informacijskih resursa osiguravaju:

• korištenje strukturne arhitekture, što znači da se pojedini moduli po potrebi mogu onemogućiti ili brzo zamijeniti bez oštećenja ostalih elemenata informacijskog sustava;
• osiguranje tolerancije na greške kroz: korištenje autonomnih elemenata prateće infrastrukture, uvođenje viška kapaciteta u hardversku i softversku konfiguraciju, hardversku redundanciju, replikaciju informacijskih resursa unutar sustava, backup podataka i dr.
• osiguranje uporabljivosti smanjenjem vremena potrebnog za dijagnosticiranje i otklanjanje kvarova i njihovih posljedica.

Druga vrsta sredstava informacijske sigurnosti su sigurni komunikacijski kanali.

Funkcioniranje informacijskih sustava neizbježno je povezano s prijenosom podataka, stoga je također potrebno da poduzeća osiguraju zaštitu prenesenih informacijskih izvora korištenjem sigurnih komunikacijskih kanala. Mogućnost neovlaštenog pristupa podacima pri prijenosu prometa otvorenim komunikacijskim kanalima uvjetovana je njihovom općom dostupnošću. Budući da je “komunikacije nemoguće fizički zaštititi cijelom njihovom dužinom, stoga je bolje u početku krenuti od pretpostavke njihove ranjivosti i sukladno tome osigurati zaštitu.” Za to se koriste tehnologije tuneliranja, čija je suština enkapsulacija podataka, tj. pakirati ili zamotati prenesene pakete podataka, uključujući sve atribute usluge, u vlastite omotnice. Sukladno tome, tunel je sigurna veza kroz otvorene komunikacijske kanale kojima se prenose kriptografski zaštićeni paketi podataka. Tuneliranje se koristi za osiguranje povjerljivosti prometa skrivanjem servisnih informacija i osiguravanjem povjerljivosti i integriteta prenesenih podataka kada se koristi zajedno s kriptografskim elementima informacijskog sustava. Kombinacija tuneliranja i enkripcije omogućuje implementaciju virtualne privatne mreže. U ovom slučaju krajnje točke tunela koji implementiraju virtualne privatne mreže su vatrozidi koji služe povezivanju organizacija s vanjskim mrežama.

Vatrozidi kao točke implementacije za usluge virtualne privatne mreže

Stoga su tuneliranje i enkripcija dodatne transformacije koje se izvode u procesu filtriranja mrežnog prometa zajedno s prevođenjem adresa. Završeci tunela, osim korporativnih vatrozida, mogu biti osobna i mobilna računala zaposlenika, točnije njihovi osobni vatrozidi i vatrozidi. Ovakav pristup osigurava funkcioniranje sigurnih komunikacijskih kanala.

Procedure informacijske sigurnosti

Postupci informacijske sigurnosti obično se dijele na administrativnu i organizacijsku razinu.

• Administrativni postupci uključuju opće radnje koje poduzima uprava organizacije radi reguliranja svih poslova, radnji, operacija u području osiguranja i održavanja informacijske sigurnosti, koje se provode dodjeljivanjem potrebnih resursa i praćenjem učinkovitosti poduzetih mjera.
• Organizacijska razina predstavlja postupke za osiguranje informacijske sigurnosti, uključujući upravljanje osobljem, fizičku zaštitu, održavanje funkcionalnosti softverske i hardverske infrastrukture, promptno uklanjanje kršenja sigurnosti i planiranje oporavka.

S druge strane, razlika između administrativnih i organizacijskih postupaka je besmislena, jer postupci na jednoj razini ne mogu postojati odvojeno od druge razine, čime se narušava odnos fizičke razine zaštite, osobne i organizacijske zaštite u konceptu informacijske sigurnosti. U praksi se pri osiguravanju informacijske sigurnosti organizacije ne zanemaruju administrativni ili organizacijski postupci pa ih je logičnije promatrati kao integrirani pristup budući da obje razine utječu na fizičku, organizacijsku i osobnu razinu zaštite informacija.

Temelj cjelovitih postupaka za osiguranje informacijske sigurnosti je sigurnosna politika.

Politika informacijske sigurnosti

Politika informacijske sigurnosti u organizaciji, to je skup dokumentiranih odluka koje je donijela uprava organizacije, a usmjerenih na zaštitu informacija i povezanih resursa.

U organizacijskom i upravljačkom smislu politika informacijske sigurnosti može biti pojedinačni dokument ili sastavljena u obliku više neovisnih dokumenata ili naloga, ali u svakom slučaju treba obuhvatiti sljedeće aspekte zaštite informacijskog sustava organizacije:

• zaštita objekata informacijskog sustava, informacijskih izvora i neposrednog rada s njima;
• zaštita svih operacija vezanih uz obradu informacija u sustavu, uključujući alate za obradu softvera;
• zaštita komunikacijskih kanala, uključujući žičane, radio, infracrvene, hardverske, itd.;
• zaštita sklopa hardvera od neželjenog elektromagnetskog zračenja;
• upravljanje sigurnosnim sustavom, uključujući održavanje, nadogradnje i administrativne aktivnosti.

Svaki aspekt mora biti detaljno opisan i dokumentiran u internim dokumentima organizacije. Interni dokumenti pokrivaju tri razine sigurnosnog procesa: gornju, srednju i donju.

Dokumenti o politici informacijske sigurnosti na najvišoj razini odražavaju osnovni pristup organizacije zaštiti vlastitih informacija i usklađenosti s državnim i/ili međunarodnim standardima. U praksi, organizacija ima samo jedan dokument najviše razine, pod nazivom “Koncept informacijske sigurnosti”, “Propisi o informacijskoj sigurnosti” itd. Formalno, ovi dokumenti ne predstavljaju povjerljivu vrijednost, njihova distribucija nije ograničena, ali se mogu dati urednicima za internu upotrebu i javno objavljivanje.

Dokumenti srednje razine strogo su povjerljivi i odnose se na specifične aspekte informacijske sigurnosti organizacije: alate za informacijsku sigurnost koji se koriste, sigurnost baze podataka, komunikacije, kriptografske alate i druge informacijske i ekonomske procese organizacije. Dokumentacija se provodi u obliku internih tehničkih i organizacijskih standarda.

Dokumenti niže razine dijele se na dvije vrste: pravilnik o radu i radna uputstva. Pravilnik o radu je strogo povjerljiv i namijenjen je samo osobama koje u okviru svojih dužnosti obavljaju poslove administriranja pojedinih usluga informacijske sigurnosti. Upute za rad mogu biti povjerljive ili javne; namijenjeni su osoblju organizacije i opisuju postupak rada s pojedinim elementima informacijskog sustava organizacije.

Svjetska iskustva pokazuju da je politika informacijske sigurnosti uvijek dokumentirana samo u velikim tvrtkama koje imaju razvijen informacijski sustav i imaju povećane zahtjeve za informacijskom sigurnošću; srednja poduzeća najčešće imaju samo djelomično dokumentiranu informacijsku sigurnosnu politiku; velika većina malih organizacija ne mare za dokumentaciju sigurnosne politike. Bez obzira na format dokumenta, holistički ili distribuirani, osnovni aspekt je sigurnosni režim.

Dva su različita pristupa koja čine osnovu politike informacijske sigurnosti:

1. "Sve što nije zabranjeno, dopušteno je."
2. "Sve što nije dopušteno, zabranjeno je."

Temeljni nedostatak prvog pristupa je taj što je u praksi nemoguće predvidjeti sve opasne slučajeve i zabraniti ih. Bez sumnje, treba koristiti samo drugi pristup.

Organizacijska razina informacijske sigurnosti

Sa stajališta informacijske zaštite, organizacijski postupci za osiguranje informacijske sigurnosti predstavljaju se kao „regulacija proizvodnih aktivnosti i odnosa izvođača na pravnoj osnovi koja isključuje ili znatno otežava protupravno stjecanje povjerljivih informacija i očitovanje internih i vanjske prijetnje.”

Mjere upravljanja osobljem usmjerene na organizaciju rada s osobljem kako bi se osigurala informacijska sigurnost uključuju podjelu dužnosti i minimiziranje privilegija. Podjela dužnosti propisuje takvu raspodjelu nadležnosti i područja odgovornosti u kojoj jedna osoba nije u mogućnosti poremetiti proces kritičan za organizaciju. Time se smanjuje vjerojatnost pogrešaka i zlouporabe. Najmanja privilegija zahtijeva da se korisnicima da samo ona razina pristupa koja je potrebna za obavljanje njihovih radnih obaveza. Time se smanjuje šteta od slučajnih ili namjernih pogrešnih radnji.

Fizička zaštita podrazumijeva razvoj i donošenje mjera za izravnu zaštitu zgrada u kojima se nalaze informacijski resursi organizacije, susjednih prostora, elemenata infrastrukture, računalne opreme, medija za pohranu podataka i hardverskih komunikacijskih kanala. To uključuje kontrolu fizičkog pristupa, zaštitu od požara, zaštitu prateće infrastrukture, zaštitu od presretanja podataka i zaštitu mobilnih sustava.

Održavanje funkcionalnosti hardverske i softverske infrastrukture uključuje sprječavanje stohastičkih grešaka koje prijete oštećenjem hardverskog sustava, prekidom programa i gubitkom podataka. Glavni smjerovi u ovom aspektu su pružanje korisničke i softverske podrške, upravljanje konfiguracijom, backup, upravljanje medijima, dokumentacija i održavanje.

Brzo uklanjanje kršenja sigurnosti ima tri glavna cilja:

1. Lokalizacija incidenta i smanjenje nastale štete;
2. Identifikacija prekršitelja;
3. Prevencija ponovljenih kršenja.

Konačno, planiranje oporavka omogućuje vam da se pripremite za nezgode, smanjite štetu od njih i održite sposobnost funkcioniranja barem u minimalnoj mjeri.

Korištenje softvera i hardvera te sigurnih komunikacijskih kanala mora biti implementirano u organizaciji na temelju integriranog pristupa razvoju i odobravanju svih administrativnih i organizacijskih regulatornih postupaka za osiguranje informacijske sigurnosti. Inače, donošenje pojedinačnih mjera ne jamči zaštitu informacija, a često, naprotiv, izaziva curenje povjerljivih informacija, gubitak kritičnih podataka, oštećenje hardverske infrastrukture i poremećaj softverskih komponenti informacijskog sustava organizacije.

Metode informacijske sigurnosti

Moderna poduzeća karakterizira distribuirani informacijski sustav koji im omogućuje da uzmu u obzir distribuirane urede i skladišta poduzeća, financijsko računovodstvo i kontrolu upravljanja, informacije iz baze klijenata, uzimajući u obzir uzorkovanje prema pokazateljima i tako dalje. Dakle, niz podataka je vrlo značajan, a veliku većinu čine informacije koje su od prioritetne važnosti za tvrtku u poslovnom i gospodarskom smislu. Zapravo, osiguranje povjerljivosti podataka s komercijalnom vrijednošću jedan je od glavnih ciljeva informacijske sigurnosti u tvrtki.

Osiguranje informacijske sigurnosti u poduzeću moraju biti regulirani sljedećim dokumentima:

1. Propisi o informacijskoj sigurnosti. Uključuje izjavu o ciljevima i ciljevima za osiguranje informacijske sigurnosti, popis internih propisa o alatima za informacijsku sigurnost i propise o upravljanju distribuiranim informacijskim sustavom tvrtke. Pristup propisima ograničen je na menadžment organizacije i voditelja odjela za automatizaciju.
2. Pravilnik o tehničkoj podršci informacijskoj sigurnosti. Dokumenti su povjerljivi, pristup je ograničen na zaposlenike odjela za automatizaciju i viši menadžment.
3. Propisi za upravljanje distribuiranim sustavom informacijske sigurnosti. Pristup propisima ograničen je na zaposlenike odjela za automatizaciju odgovorne za upravljanje informacijskim sustavom i viši menadžment.

U isto vrijeme, ne biste se trebali ograničiti na ove dokumente, već raditi i na nižim razinama. U suprotnom, ako poduzeće nema druge dokumente vezane uz osiguranje informacijske sigurnosti, to će ukazivati ​​na nedovoljan stupanj administrativne podrške informacijskoj sigurnosti, budući da ne postoje dokumenti niže razine, posebice upute za rad pojedinih elemenata informacijskog sustava.

Obvezni organizacijski postupci uključuju:

• glavne mjere za razlikovanje osoblja prema razini pristupa informacijskim resursima,
• fizičku zaštitu ureda tvrtke od izravnog prodora i prijetnji uništenja, gubitka ili presretanja podataka,
• održavanje funkcionalnosti hardverske i softverske infrastrukture organizirano je u obliku automatiziranih sigurnosnih kopija, daljinske provjere medija za pohranu, korisnička i programska podrška na zahtjev.

To također treba uključiti regulirane mjere za odgovor i uklanjanje slučajeva kršenja informacijske sigurnosti.

U praksi se često uočava da poduzeća ovom pitanju ne posvećuju dovoljno pažnje. Sve radnje u tom smjeru provode se isključivo na rutinskoj osnovi, što povećava vrijeme za uklanjanje slučajeva kršenja i ne jamči sprječavanje ponovljenih kršenja informacijske sigurnosti. Osim toga, postoji potpuni nedostatak prakse u planiranju akcija za otklanjanje posljedica nakon nesreća, curenja informacija, gubitaka podataka i kritičnih situacija. Sve to značajno pogoršava informacijsku sigurnost poduzeća.

Na programskoj i hardverskoj razini mora se implementirati trorazinski sustav informacijske sigurnosti.

Minimalni kriteriji sigurnosti informacija:

1. Modul kontrole pristupa:

• Implementiran je zatvoreni ulaz u informacijski sustav, nemoguća je prijava u sustav izvan provjerenih radnih mjesta;
• Za zaposlenike je implementiran pristup ograničene funkcionalnosti s mobilnih osobnih računala;
• autorizacija se provodi pomoću prijava i lozinki koje generiraju administratori.

2. Modul za šifriranje i kontrolu integriteta:

• koristi se asimetrična metoda šifriranja prenesenih podataka;
• nizovi kritičnih podataka pohranjeni su u bazama podataka u šifriranom obliku, što ne dopušta pristup njima čak i ako je informacijski sustav tvrtke hakiran;
• Kontrola cjelovitosti osigurava se jednostavnim digitalnim potpisom svih informacijskih izvora koji se pohranjuju, obrađuju ili prenose unutar informacijskog sustava.

3. Zaštitni modul:

• u vatrozidima je implementiran sustav filtriranja koji vam omogućuje kontrolu svih protoka informacija kroz komunikacijske kanale;
• vanjske veze s globalnim informacijskim resursima i javnim komunikacijskim kanalima mogu se ostvariti samo putem ograničenog skupa verificiranih radnih stanica koje imaju ograničenu vezu s korporativnim informacijskim sustavom;
• Siguran pristup s radnih stanica zaposlenika radi obavljanja službenih dužnosti realiziran je kroz dvorazinski sustav proxy poslužitelja.

Konačno, uz pomoć tehnologija tuneliranja, poduzeće mora implementirati virtualnu privatnu mrežu u skladu s tipičnim modelom dizajna kako bi osiguralo sigurne komunikacijske kanale između različitih odjela tvrtke, partnera i kupaca tvrtke.

Unatoč činjenici da se komunikacija odvija izravno preko mreža s potencijalno niskom razinom povjerenja, tehnologije tuneliranja korištenjem kriptografije omogućuju pouzdanu zaštitu svih prenesenih podataka.

zaključke

Glavni cilj svih mjera koje se poduzimaju u području informacijske sigurnosti je zaštita interesa poduzeća, na ovaj ili onaj način vezanih uz informacijske resurse kojima ono raspolaže. Iako interesi poduzeća nisu ograničeni na određeno područje, svi su usredotočeni na dostupnost, cjelovitost i povjerljivost informacija.

Problem osiguranja informacijske sigurnosti objašnjavaju dva glavna razloga.

1. Informacijski resursi koje je poduzeće akumuliralo su vrijedni.
2. Kritična ovisnost o informacijskim tehnologijama određuje njihovu široku upotrebu.

S obzirom na široku lepezu postojećih prijetnji informacijskoj sigurnosti, kao što su uništavanje važnih informacija, neovlašteno korištenje povjerljivih podataka, prekidi u poslovanju poduzeća zbog poremećaja u radu informacijskog sustava, možemo zaključiti da sve to objektivno dovodi do velikih materijalnih gubitaka.

U osiguranju informacijske sigurnosti značajnu ulogu ima softver i hardver koji je namijenjen kontroli računalnih entiteta, tj. opreme, programskih elemenata, podataka, koji čine posljednju i najveću prioritetnu liniju informacijske sigurnosti. Prijenos podataka također mora biti siguran u smislu održavanja njihove povjerljivosti, cjelovitosti i dostupnosti. Stoga se u suvremenim uvjetima tehnologije tuneliranja u kombinaciji s kriptografskim alatima koriste za osiguravanje sigurnih komunikacijskih kanala.

Književnost

1. Galatenko V.A. Standardi informacijske sigurnosti. – M.: Internetsko sveučilište informacijskih tehnologija, 2006.
2. Partyka T.L., Popov I.I. Sigurnost informacija. – M.: Forum, 2012.