Osiguravanje zaštite i sigurnosti povjerljivih podataka. Načini curenja informacija

• - reklama;
• - službeno;
• - osobne (osobne) s iznimkom državnih tajni (članci 727, 771, 1032 Građanskog zakonika Ruske Federacije, članak 16. Carinskog zakona Ruske Federacije, Ukaz predsjednika Ruske Federacije od 6. ožujka, 1997. br. 188 "O odobrenju popisa informacija povjerljive prirode").

Pravne oznake povjerljivih podataka - dokumentacija, ograničenje pristupa informacijama u skladu sa zakonom i nepostojanje besplatan pristup njoj na pravni temelj.

"Poslovna tajna je vrsta tajne koja uključuje informacije koje je uspostavio i zaštitio njezin vlasnik u bilo kojem području svoje poslovne djelatnosti, a čiji je pristup ograničen u interesu vlasnika informacija." Poslovna tajna jedna je od glavnih vrsta tajni, budući da je uspjeh poduzeća za proizvodnju proizvoda ili usluga određen sposobnošću da se natječe, a samim time i da vidite kako možete povećati profit u usporedbi s konkurencijom.

Podaci koji predstavljaju poslovnu tajnu mogu uključivati ​​sve poslovne podatke, osim ograničenja nametnutih Uredbom Vlade Ruske Federacije „O popisu podataka koji ne mogu biti poslovna tajna” od 05.12.91 br. 35.

U Rusiji se zakonodavstvo u području zaštite prava na povjerljive komercijalne informacije tek počinje oblikovati. Novost u reguliranju odnosa u ovoj oblasti bilo je usvajanje Saveznog zakona od 29. srpnja 2004. br. 98-FZ „O komercijalnim tajnama“.

Opći dojam koji ostaje nakon čitanja teksta Zakona može se definirati kao kontradiktoran. S jedne strane, pojavio se jedinstveni normativni akt koji detaljno definira režim i postupak zaštite podataka koji predstavljaju poslovnu tajnu. S druge strane, Zakon je daleko od savršenog. Pri njegovom stvaranju zakonodavac je uveo norme koje, prema mišljenju istraživača, otežavaju zaštitu poslovne tajne i vraćanje povrijeđenih prava.

Zakon ne isključuje primjenu općih pravila o poslovnoj tajni, predviđenih čl. 139 Građanskog zakonika Ruske Federacije, a kao izvore navodi Građanski zakonik Ruske Federacije i druge savezne zakone. Dakle, Zakon nadopunjuje postojeći regulatorni okvir i samo ga djelomično zamjenjuje.

Međutim, već pri čitanju definicije poslovne tajne uočavamo terminološke nedosljednosti između Zakona i Građanskog zakonika Ruske Federacije. Zakon definira pojam poslovne tajne kroz svojstvo informacije: poslovna tajna je "povjerljivost podataka" (čl. 1. čl. 3. Zakona) (engleski confidence - tajnost). Građanski zakonik Ruske Federacije poslovnom tajnom smatra prvenstveno vrstu informacija koje imaju "komercijalnu vrijednost zbog nepoznatosti trećim stranama", u odnosu na koje se primjenjuju mjere zaštite njihove povjerljivosti (čl. 139 Građanskog zakonika Ruske Federacije). Ruska Federacija). Unatoč na prvi pogled beznačajnom neskladu između pojmova, dobili smo dvije različite definicije koje se natječu u svojoj pravnoj snazi.

Zakon razlikuje oblik u kojem postoje vrijedne informacije i sam sadržaj informacije. To uključuje "znanstveno-tehničke, tehnološke, industrijske, financijsko-ekonomske ili druge podatke, uključujući i one koji predstavljaju proizvodnu tajnu (know-how)" (čl. 3. st. 2. Zakona).

Popis vrsta informacija koje mogu imati komercijalnu vrijednost je otvoren.

Zakon još uvijek daje pravo vlasniku (posjedniku) informacije da samostalno utvrđuje njezinu vrijednost.

Definicija poslovne tajne sadržana u Zakonu odražava prirodu samog Zakona. Glavni naglasak stavljen je na postupke zaštite komercijalnih podataka. Prema Zakonu dopuštaju pružanje potrebni minimum uvjete za zaštitu povrijeđenog prava pred sudom, kao i razliku između zakonitog i nezakonitog pristupa kao elementa kaznenog djela.

S tim u vezi, teško je razumjeti zakonsku definiciju vlasnika podataka koji predstavljaju poslovnu tajnu. Sukladno stavku 4. čl. 3. Zakona je osoba koja takvu informaciju posjeduje "zakonito". Dakle, dokazujući činjenicu o povredi prava, bit će potrebno utvrditi zakonitost njegovog posjeda. Moguće je dokumentirati prava na poslovnu tajnu ako, na primjer, podliježu državnoj registraciji (patenti, certifikati). U ovom slučaju, interesi vlasnika zaštićeni su patentom, autorskim pravom. Ako je poslovna tajna ugovor snimljen na audio mediju, ili se radi o nepatentiranim idejama, bit će prilično teško dokazati primat i zakonitost posjedovanja takve informacije.

Očito će biti potrebno potvrditi objektivnu povezanost informacije s njezinim vlasnikom. Na primjer, informacije o vlasničkoj organizaciji, njezinim transakcijama itd. moraju sadržavati naznaku vlasničke organizacije i biti zaštićene posebnim vezama povjerljivosti na medijima, kako je predviđeno stavkom 5. dijela 1. čl. 10. Zakona.

Zakon govori o prijenosu informacija samo na materijalnom mediju (čl. 6. čl. 3. Zakona) i pod uvjetima posebnog ugovora. U ovom dijelu Zakon ograničava količinu podataka zaštićenih u režimu tajnosti u usporedbi s definicijom danom u Građanskom zakoniku Ruske Federacije, u čl. 139 od kojih se materijalni nositelji ne spominju, već se radi o zaštiti povjerljivih podataka.

Stoga su, vodeći se Zakonom, iz pravne zaštite izuzeti slučajevi, primjerice, otkrivanje podataka koji nisu zabilježeni na materijalnim medijima. Konkretno, to mogu biti informacije o svim odlukama koje je organizacija donijela za promoviranje svojih proizvoda i slične informacije.

S jedne strane, ovaj pristup pojednostavljuje proces dokazivanja, s druge strane, ograničava mogućnost zaštite interesa vlasnika informacija.

Zakon po prvi put uvodi definiciju pojma "režim poslovne tajne". Pri razmatranju pravnih osnova zaštite poslovne tajne posebnu pozornost treba posvetiti režimu poslovne tajne. Njegovo nepoštivanje povlači za sobom gubitak mogućnosti zaštite povrijeđenog prava na poslovnu tajnu (1. dio članka 7. i 2. dio članka 10. Zakona).

Sustav uvjeta koji čine režim poslovne tajne vrlo je opsežan i zahtijeva značajne troškove vlasnika odnosno primatelja poslovne tajne.

Konkretno, 1. dio čl. 10. Zakona propisano je:

• - utvrđivanje popisa podataka koji čine poslovnu tajnu;
• – ograničenje pristupa podacima koji predstavljaju poslovnu tajnu utvrđivanjem postupka postupanja s tim podacima i nadzora poštivanja tog postupka;
• - registracija osoba koje su dobile pristup informacijama koje predstavljaju poslovnu tajnu i (ili) osoba kojima su te informacije dane ili prenesene;
• - uređenje odnosa o korištenju podataka koji predstavljaju poslovnu tajnu od strane radnika na temelju ugovora o radu i ugovornih strana na temelju ugovora o građanskom pravu;
• - stavljanje na materijalne medije (dokumente) koji sadrže podatke koji predstavljaju poslovnu tajnu žiga "Poslovna tajna" s naznakom vlasnika tih podataka (za pravne osobe - puni naziv i sjedište, za samostalne poduzetnike - prezime, ime, patronim građanin koji je samostalni poduzetnik i mjesto prebivališta).

Vlasnik poslovne tajne mora uspostaviti određeni postupak za kruženje povjerljivih informacija, kao i osigurati dodatna radna mjesta za kontrolu takvog kruženja. Osim toga, potrebno je uskladiti ili razviti novi veliki paket interna regulatorna dokumentacija.

U najmanju ruku, organizacija koja posjeduje poslovnu tajnu mora:

• - izraditi propise o poslovnoj tajni io tijeku rada svih nositelja informacija s oznakom "poslovna tajna";
• - izdati nalog organizaciji o priznavanju poslovne tajne;
• - predviđeno ugovorom o radu dodatni uvjeti o dobrovoljnoj obvezi zaposlenika na poštivanje režima poslovne tajne.

Time su, s jedne strane, Zakonom proširene ovlasti državnih tijela za kontrolu gospodarskog djelovanja organizacija. S druge strane, proces zaštite prava vlasnika informacija znatno se zakomplicirao.

Podaci koji se odnose na zaštićene informacije obično nisu predmet neovisnih transakcija, međutim njihovo otkrivanje može uzrokovati imovinsku štetu organizaciji i naštetiti njezinom poslovnom ugledu.

Potreba za sustavnim zakonska regulativa institucija službene tajne uzrokovana je nizom razloga, uključujući: nedostatak u zakonodavstvu jedinstvenog pristupa relevantnoj kategoriji ograničenih podataka; brojni primjeri nezakonite distribucije (prodaje) informacija nakupljenih u tijelima javne vlasti, a koje se odnose bilo na pojedinca bilo na djelatnost gospodarskih subjekata; ograničenja u širenju informacija koje čelnici državnih tijela i državni (općinski) namještenici po vlastitom nahođenju postavljaju na davanje informacija građanima, javnim organizacijama i medijima.

Razina normativne uređenosti postupka postupanja s ograničenom distribucijom službenih podataka, čiji se institut danas može percipirati kao analog službene tajne iz razdoblja socijalizma, ne može se smatrati zadovoljavajućom iz više razloga. Jedini normativni akt koji uređuje ovu skupinu pravnih odnosa je "Uredba o postupku postupanja s ograničenom distribucijom službenih informacija u federalnim izvršnim tijelima", odobrena uredbom vlade Ruska Federacija od 3. studenog 1994. br. 1233 (DSP). Ova se Uredba odnosi samo na aktivnosti saveznih tijela izvršne vlasti, iako slične informacije generiraju i primaju sva državna tijela i jedinice lokalne samouprave. Puno važni uvjeti, koji određuju postupak klasificiranja informacija kao klasificiranih podataka, nisu utvrđeni u Pravilniku i dani su na milost i nemilost čelnicima federalnih izvršnih tijela, što se ne može smatrati ispravnim, budući da ograničenja pristupa informacijama treba uspostaviti samo federalni zakon. Dakle, razina zakonske regulative očito je nedovoljna, štoviše, na razini uredbe Vlade Ruske Federacije nemoguće je izgraditi dugoročan i stabilan sustav zaštite informacija koje imaju dugo razdoblje pohrane, posebno kada je u pitanju utvrđivanje niza građanskopravnih normi. Unatoč gotovo potpunom nedostatku regulatorne regulative u području razvrstavanja podataka kao službene tajne, njihove zaštite i sankcioniranja nezakonitog širenja takvih podataka, ova kategorija prisutna je u u velikom broju savezni zakoni (oko 40), uključujući: Savezni zakon "O osnovama javna služba Savezni zakon "O Vladi Ruske Federacije", Savezni zakon "O službi u carinskim tijelima Ruske Federacije", Savezni zakon "O Središnjoj banci Ruske Federacije (Banka Rusije)", Savezni zakon "O Osnove komunalne službe Ruske Federacije", Savezni zakon "O restrukturiranju kreditnih organizacija", Savezni zakon "O tržištu vrijednosnih papira", itd. Istovremeno, nepostojanje jasno definirane pravne institucije službene tajne dovela je do različitih pravnih pristupa koji su ugrađeni u zakonodavstvo. Tako Savezni zakon „O restrukturiranju kreditnih organizacija” spominje službenu tajnu kreditne organizacije (čl. 41), Savezni zakon „O mjerama zaštite gospodarski interesi Ruske Federacije u tijeku vanjske trgovine robom" cirkulira "povjerljive informacije" u izvršnim tijelima (članak 18.), Savezni zakon "O osnovama javne službe Ruske Federacije" i niz drugi zakoni koriste izraz "službene informacije", u Saveznom zakonu "O carinskoj tarifi" u carinskom tijelu cirkuliraju informacije koje predstavljaju komercijalne neki tajni i povjerljivi podaci (čl. četrnaest). Savezni zakon br. 119-FZ od 20. kolovoza 2004. "O državnoj zaštiti žrtava, svjedoka i drugih sudionika u kaznenom postupku" predviđa povjerljivost podataka o zaštićenoj osobi u nizu sigurnosnih mjera.

Ovi podaci po svom sadržaju predstavljaju službenu tajnu, a zakonodavno učvršćivanje mehanizama raspolaganja tim podacima pomoći će u provedbi navedenog saveznog zakona. Ovi primjeri pokazuju da ne samo nazivlje, nego i sadržaj instituta zaštite službenih podataka nije jednoznačno odražen u zakonodavstvu.

Pitanje strukture povjerljivih informacija i omjera različitih vrsta tajni u zakonodavstvu je različito riješeno. U tom smislu posebno zabrinjava uključivanje kategorije "službena tajna" u norme članka 139. Građanskog zakonika Ruske Federacije, gdje su relevantne informacije na sustavnoj osnovi praktički spojene s poslovnom tajnom, iako, Zdravom pravnom logikom ovi sustavi ograničenja pristupa informacijama po svojoj bi prirodi trebali biti drugačiji. Na elektroničkim tržištima u zemlji i slanjem neželjenih e-mail poruka (tzv. "spam") nekontrolirano se distribuiraju CD-ovi koji sadrže baze podataka (DB) s podacima o pojedincima i organizacijama. Na primjer, baza podataka "Carina", prometna policija, BTI (Zavod za tehnički inventar), "Dozvola boravka", "Inozemna gospodarska djelatnost", EGRP (Jedinstvena državna registracija poduzeća), "Vlasnici stanova", "Prihodi pojedinaca" , "Kartoteka Ministarstva unutarnjih poslova" (osude itd.), OVIR (registrirane putovnice), "DB" Ministarstvo pravosuđa "," Sirena "(prijevoz pojedinaca ruskim željezničkim prijevozom), baza podataka o bezgotovinskim obračunima poduzeća s dobavljačima i potrošačima i dr. Očito je da takve informacije ne mogu doći do tržišta bez angažmana državnih službenika.

Trenutačno su zakonodavci pripremili nacrt zakona "O službenoj tajni", koji uređuje zaštitu takvih podataka.

Osobni (osobni) podaci uključuju prezime, ime, patronim, godinu, mjesec, datum i mjesto rođenja, adresu, obiteljsko, socijalno, imovinsko stanje, obrazovanje, zanimanje, prihode pojedinca. U sastav osobnih podataka ulaze i podaci koji se odnose na stupanje na posao (službu), njezin prelazak i otkaz; podatke o bračnom drugu, djeci i drugim članovima obitelji vlasnika, podatke koji omogućuju utvrđivanje prebivališta, poštanska adresa, telefon i druga osobna sredstva komunikacije državnog službenika, kao i njegove supruge (njezina supružnika), djece i drugih članova njegove obitelji, podaci koji vam omogućuju da se utvrdi gdje se nalaze nekretnine u vlasništvu državnog službenika ili su u njegovoj uporabi podaci o prihodima, imovini i obvezama imovinske prirode, podaci o činjenicama, događajima i okolnostima privatnost građanin, koji omogućuje identifikaciju njegove osobnosti, informacije koje su postale poznate zaposleniku matičnog ureda u vezi s državnom registracijom akta o građanskom statusu, poznavanje jezika (materinji jezik, ruski, drugi jezik ili drugi jezici), opće obrazovanje (osnovno opće, osnovno opće, srednje (potpuno) opće) i strukovno (osnovno strukovno, srednje strukovno, visoko stručno, poslijediplomsko stručno), životni uvjeti (vrsta stana, vrijeme izgradnje kuće, veličina ukupne i stambene površine, broj stambenih soba, vrste poboljšanja stambenih prostorija), izvori sredstava za život (dohodak od rada ili drugog zanimanja, mirovina, uključujući invalidninu, stipendija, naknada, drugi oblik državnog osiguranja, drugi izvor sredstava za život). Definirajući osobne podatke kao otvorenu listu informacija, bez obzira na oblik njihove prezentacije, zakonodavac time zadržava mogućnost njihovog proširivanja s obzirom na promjenu društvenog statusa njihova vlasnika u određenoj fazi njegova životnog puta.

Osobni podaci spadaju u kategoriju povjerljivih informacija, što podrazumijeva nedostatak slobodnog pristupa istima i postojanje učinkovitog sustava za njihovu zaštitu. Uvrštavanje osobnih podataka u kategoriju povjerljivih informacija ima za cilj spriječiti neovlaštene radnje uništavanja, izmjene, iskrivljavanja, kopiranja, blokiranja informacija, te spriječiti druge oblike nezakonitog miješanja u privatnost građana.

Pravna osnova za izgradnju sustava zaštite osobnih podataka su odredbe Ustava Ruske Federacije. Članci 22. i 23. sadrže pravila koja proklamiraju temeljna prava pojedinca u odnosu na privatni život. Njima je zajamčeno pravo na privatnost, osobne i obiteljske tajne. Zabranjeno je prikupljanje, pohranjivanje, korištenje i širenje podataka o privatnom životu osobe bez njezine suglasnosti.

Formirajući zakonodavnu osnovu za obradu osobnih podataka, zakonodavac uzima kao temelj i norme međunarodnog prava koje sadrže osnovna načela rada s osobnim podacima u procesu njihove obrade. U početku su ova načela sadržana u Međunarodnoj konvenciji „O zaštiti osoba u vezi s automatizirana obrada osobni podaci" ETS N 108 (28. siječnja 1981.), koji je postao objedinjujuće načelo za relevantno nacionalno zakonodavstvo. Zatim je sustav zaštite osobnih podataka razvijen u Direktivi Europske unije i Parlamenta 95/46 / EC od 24. listopada, 1995. o zaštiti prava privatnih osoba u vezi s obradom osobnih podataka i slobodnom kretanju takvih podataka i Direktiva 97/66/EZ od 15. prosinca 1997. o obradi osobnih podataka i zaštiti privatnosti u telekomunikacijama sektor. automatizirane baze podataka, od slučajnog ili neovlaštenog uništenja ili gubitka, kao i od neovlaštenog pristupa, izmjene ili distribucije.

Glavni savezni zakon koji štiti povjerljivost osobnih podataka je zakon "O osobnim podacima", usvojen 27. srpnja 2006. godine.

Zakon definira načela i uvjete obrade osobnih podataka. Utvrđujući opću zabranu obrade osobnih podataka bez privole subjekta osobnih podataka, Zakon predviđa slučajeve u kojima takva privola nije potrebna.

Posebno se uređuju odnosi o obradi posebnih kategorija osobnih podataka (podaci o rasi, nacionalnosti, političkim stajalištima, vjerskim ili filozofskim uvjerenjima, zdravstvenom stanju, intimnom životu). Obrada ovih kategorija informacija nije dopuštena bez prethodnog pristanka subjekta osobnih podataka, osim u slučajevima kada su osobni podaci javno dostupni, obrada podataka je nužna radi osiguranja života i zdravlja osobe; obrada se provodi u vezi s provođenjem pravosuđa, kao i druge okolnosti.

Najvažnije jamstvo prava subjekta osobnih podataka je obveza operatera i trećih strana koje su ostvarile pristup osobnim podacima da osiguraju njihovu povjerljivost (osim slučajeva depersonalizacije i javno dostupnih osobnih podataka), kao i pravo subjekta osobnih podataka radi zaštite svojih prava i legitimnih interesa, uključujući za naknadu štete i (ili) naknadu nematerijalne štete u sudskom postupku. Kontrola i nadzor nad obradom osobnih podataka povjerava se federalnom tijelu izvršne vlasti koje obavlja poslove kontrole i nadzora u području informacijske tehnologije i komunikacija, a koje ima odgovarajuća prava i obveze. Osobito ovlašteno tijelo ima pravo provjeravati informacijski sustav za obradu osobnih podataka, postavljati zahtjeve za blokiranje, brisanje lažnih ili nezakonito dobivenih osobnih podataka, utvrđivati ​​trajnu ili privremenu zabranu obrade osobnih podataka, provoditi istrage u tijeku upravnog postupka zbog povrede zakona. Uspostavljena su načela prekograničnog prijenosa podataka u kojima treba osigurati odgovarajuću zaštitu prava nositelja osobnih podataka.

Osim navedenih akata, zakonodavac u sustav zakonodavstva iz područja osobnih podataka uključuje i druge zakone:

Zakon o radu Ruske Federacije, u čijem su poglavlju 14 utvrđeni temeljni zahtjevi za zaštitu osobnih podataka zaposlenika. Zapošljavanje zaposlenika po poslovnim kvalitetama podrazumijeva korištenje određenih metoda prikupljanja podataka o zaposleniku, tako da one u dovoljnoj mjeri cjelovito otkrivaju unaprijed utvrđeni raspon kriterija potrebnih za zauzimanje određenog radnog mjesta, odnosno da poslodavac zapravo prikuplja osobne podatke zaposlenika;

Carinski zakonik Ruske Federacije od 28. svibnja 2003. N 61-FZ, koji uređuje postupak obrade osobnih podataka osoba koje obavljaju aktivnosti povezane s kretanjem robe i vozila preko carinske granice ili obavljaju aktivnosti u području carine poslove, kako bi izv carinska kontrola i naplata carinskih davanja;

Savezni zakon br. 149-FZ od 27. srpnja 2006. "O informacijama, informacijska tehnologija i o zaštiti informacija" daje opću definiciju osobnih podataka, utvrđuje temeljna načela zakonskog uređenja poslova vezanih uz osobne podatke. Također uvodi odgovornost za povredu njihove povjerljivosti, kao i obvezu licenciranja nevladinih udruga. i pojedinci za aktivnosti vezane uz obradu i pružanje osobnih podataka.

Savezni zakon br. 143-FZ od 15. studenog 1997. "O aktima građanskog statusa" uređuje postupak zaštite povjerljivih podataka u postupku registracije akata građanskog statusa.

Osim toga, pitanja pravnog uređenja rada s osobnim podacima obuhvaćena su saveznim zakonima od 22. listopada 2004. N 125-FZ „O arhiviranju u Ruskoj Federaciji“, od 12. kolovoza 1995. N 144-FZ „O operativno-istražnim Aktivnosti" , od 12. lipnja 2002. N 67-FZ "O osnovnim jamstvima izbornih prava i pravu na sudjelovanje u referendumu građana Ruske Federacije", Porezni zakon Ruske Federacije, Osnove zakonodavstva Ruske Federacije Ruska Federacija o zaštiti zdravlja građana od 22. srpnja 1993. N 5487-1, Zakoni Ruske Federacije od 21. srpnja 1993. N 5485-1 "O državnim tajnama", od 28. ožujka 1998. N 53-FZ " O vojnoj dužnosti i vojnoj službi", Savezni zakoni od 1. travnja 1996. N 27-FZ "O individualnom (personaliziranom) računovodstvu u sustavu obveznog mirovinskog osiguranja", od 8. kolovoza 2001. N 129-FZ "O državnoj registraciji pravnih subjekti i samostalni poduzetnici" i niz drugih. U Građanskom zakoniku Ruske Federacije članak 152. štiti čast, dostojanstvo i poslovni ugled građanina. U Kaznenom zakonu Ruske Federacije u čl. 137 utvrđuje kaznenu odgovornost "za nezakonito prikupljanje ili širenje podataka o privatnom životu osobe koji predstavljaju njegovu osobnu ili obiteljsku tajnu."

Učinkovita zaštita informacija u računalnim sustavima postiže se korištenjem odgovarajućih alata koji se uvjetno mogu podijeliti u nekoliko skupina:

1) razgraničenje pristupa informacijama;

2) zaštitu informacija tijekom njihova prijenosa komunikacijskim kanalima;

3) zaštita od curenja informacija u različitim fizičkim poljima koja nastaju tijekom rada tehničkih sredstava računalnih sustava;

4) zaštita od djelovanja virusnih programa;

5) sigurnost pohrane i prijenosa informacija na mediju i njihovu zaštitu od kopiranja.

Glavna svrha ovakvih alata je ograničiti pristup lokalnim i mrežnim informacijskim resursima računalnih sustava koji omogućuju: identifikaciju i autentifikaciju korisnika, kontrolu pristupa za registrirane korisnike informacijskim resursima, registraciju radnji korisnika, zaštitu pokretanja operacijskog sustava s disketnog medija. , kontrola integriteta informacijske sigurnosti i izvori informacija. Unatoč funkcionalnoj sličnosti informacijsko-sigurnosnih alata ove skupine, oni se međusobno razlikuju po načinu rada, složenosti podešavanja i upravljanja parametrima, korištenim identifikatorima, popisu registriranih događaja i cijeni. Alati za informacijsku sigurnost dijele se na formalan , koji obavljaju ovu funkciju prema unaprijed određenom postupku bez ljudske intervencije, i neformalan (ograničavanje aktivnosti osoblja ili njihovo strogo reguliranje).

Glavne obrane su tehničkog i softver ; tehnička sredstva obično se dijele na fizički i hardver.

Fizička sredstva implementiran autonomnim uređajima i sigurnosnim sustavima (protuprovalni alarmi, zaštitne školjke za opremu, unutarnja zaštitna zaštita pojedinačnih prostorija, sredstva vanjskog i unutarnjeg nadzora, brave na vratima itd.).

Hardver- to su uređaji koji su izravno ugrađeni u uređaje koji su povezani s opremom koja se koristi za obradu podataka standardno sučelje(sheme za provjeru informacija o parnosti, sheme za zaštitu memorijskih polja ključem i posebnim registrima).

Do softverski alati uključuju posebne programe i/ili module koji obavljaju funkcije informacijske sigurnosti.

Korištenje samo jedne od gore navedenih metoda zaštite informacija ne rješava problem - potreban je integrirani pristup. Uobičajeno se koriste dvije glavne metode: barijera i kontrola pristupa.

Blok- stvaranje fizičkih prepreka (za pristup teritoriju organizacije, izravno na fizički nosači informacija).

Kontrola pristupa– reguliranje i reguliranje ovlaštenog pristupa tehničkim, programskim, informacijskim resursima sustava.

S druge strane, ovlaštena kontrola pristupa omogućena je putem određenih zaštitne funkcije:

Identifikacija korisnika - početna dodjela svakom korisniku osobnog imena, koda, lozinke, čiji su analozi pohranjeni u sigurnosnom sustavu;

Autentifikacija (provjera autentičnosti) - proces usporedbe prikazanih identifikatora s onima pohranjenim u sustavu;

Stvaranje uvjeta za rad u okviru utvrđenih propisa, odnosno izrada i provedba cjelovitih mjera u kojima je neovlašteni pristup sveden na minimum;

Registracija poziva na zaštićene resurse;

Adekvatan odgovor na neovlaštene radnje.

Antivirusni programi- najčešći način zaštite - od pojedinačnih računala kućnih korisnika do velikih korporativnih mreža ( kaspersky antivirus 7.0 Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).

Elektronički digitalni potpis (EDS)- niz znakova dobiven kao rezultat kriptografske transformacije elektroničkih podataka. Digitalni potpis dodaje se podatkovnom bloku i omogućuje primatelju bloka provjeru izvora i cjelovitosti podataka te zaštitu od krivotvorenja. EDS se koristi kao analog vlastoručnog potpisa.

Transparentni alati za šifriranje zaštititi podatke od nenamjernog otkrivanja i spriječiti špijunski softver da se infiltrira u podatke drugih korisnika. Istodobno, ključevi za šifriranje pohranjeni su u računima, tako da se za legalne vlasnike informacija njihovo dešifriranje događa neprimjetno. Postoji nekoliko takvih rješenja na tržištu; posebice se nude tvrtka Microsoft. U operativnom sustavu koristi se Microsoftovo rješenje u obliku EFS kriptografskog datotečnog sustava. Međutim, ako zaposlenik koji ima pravo pristupa kriptiranim podacima slučajno pošalje e-mailom ili prenese na nekriptirani medij, zaštita će biti prekinuta. Kako bi se uklonio rizik od takvih slučajnih curenja, tvrtka može kontrolirati prijenos podataka putem e-pošte i web protokola (za osiguranje prosljeđivanja web pošte). Ali zbog tajnog prijenosa podataka do kojih špijuni mogu doći, takvi sustavi najvjerojatnije neće moći pružiti sigurnost. Konkretno, nikakva zaštita ne može otvoriti ispravno šifriranu datoteku, pa stoga ne može provjeriti njezin sadržaj. No, domaćim su tvrtkama najzanimljivije usluge razvoja integriranog sustava zaštite, što između ostalog uključuje i izradu mehanizama za sprječavanje unutarnjih prijetnji.

Kontrola sadržaja. Najnoviji porast interesa za sustave kontrole sadržaja potaknut je zabrinutošću za neželjenu poštu. Međutim, glavna svrha kontrole sadržaja i dalje je spriječiti curenje povjerljivih informacija i zaustaviti zlouporabu interneta. Jedan od prioriteta proizvođača takvih alata je osigurati da korisnik ne osjeti rad sustava za kontrolu sadržaja.

Vatrozidi bili su i jesu osnovni alat koji osigurava zaštitu povezivanja s vanjskim mrežama, kontrolu pristupa između segmenata korporativne mreže, zaštitu protoka podataka koji se prenose otvorenim mrežama. Prva (i najvažnija) stvar koju treba učiniti kako biste osigurali sigurnost mreže je instalirati i pravilno konfigurirati vatrozid (drugi naziv je vatrozid ili vatrozid). Vatrozid - u računalnoj znanosti - softverska i/ili hardverska barijera između dviju mreža, koja dopušta uspostavljanje samo ovlaštenih internetskih veza. Vatrozid štiti korporativnu mrežu povezanu s internetom od vanjskih prodora i isključuje mogućnost pristupa povjerljivim informacijama. Ispravno konfiguriranje i održavanje vatrozida odgovornost je iskusnog administratora sustava.

Za stražu male mreže, gdje nema potrebe postavljati mnoge postavke vezane uz fleksibilnu dodjelu propusnosti i ograničenja prometa prema protokolima za korisnike, bolje je koristiti internetske pristupnike ili internetske usmjerivače.

Vatrozidi također provode antivirusno skeniranje preuzetog sadržaja WEB-a ili e-pošte. Antivirusne baze podataka podaci se ažuriraju putem interneta kako bi vaša mreža bila zaštićena kako novi virusi postanu dostupni. Sve statistike prometa, upozorenja o internetskim napadima i aktivnosti pregledavanja korisnika pohranjuju se u stvarnom vremenu i mogu se prijaviti.

Pošaljite svoj dobar rad u bazu znanja jednostavno je. Koristite obrazac u nastavku

Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam vrlo zahvalni.

• Uvod
• 1.2 Vrijednost informacija
• 1.4 Prijetnje i sustav zaštite povjerljivih informacija
• Poglavlje 2. Organizacija rada s dokumentima koji sadrže povjerljive podatke
• 2.1 Regulatorni i metodološki okvir za povjerljivo vođenje evidencije
• 2.2 Organizacija pristupa i postupak za osoblje za rad s povjerljivim informacijama, dokumentima i bazama podataka
• 2.3 Tehnološke osnove za obradu povjerljivih dokumenata
• Poglavlje 3
• 3.1 Karakteristike JSC "ChZPSN - Profnastil"
• 3.2 Sustav informacijske sigurnosti u JSC "ChZPSN - Profnastil"
• 3.3 Poboljšanje sigurnosti ograničenih podataka
• Zaključak
• Popis korištenih izvora i literature

Uvod

Jedan od najvažnijih sastavni dijelovi Nacionalna sigurnost svake zemlje danas se jednoglasno naziva njezina informacijska sigurnost. Problemi osiguranja informacijske sigurnosti postaju sve složeniji i konceptualno značajniji zbog masovnog prijelaza informacijske tehnologije u upravljanju na bespapirnu automatiziranu osnovu.

Izbor teme ovog završnog kvalifikacijskog rada je zbog činjenice da je moderno rusko tržišno gospodarstvo preduvjet uspjeh poduzetnika u poslovanju, stvaranje dobiti i održavanje integriteta organizacijska struktura je osigurati ekonomsku sigurnost svojih aktivnosti. A jedna od glavnih komponenti ekonomske sigurnosti je informacijska sigurnost.

Predmet proučavanja u ovom radu je formiranje i funkcioniranje informacijskih resursa u sustavu upravljanja organizacijom.

Baza studije je JSC "ChZPSN - Profnastil"

Predmet studija je djelatnost osiguranja sigurnosti informacijskih resursa u sustavu upravljanja organizacijom.

Svrha rada je analizirati suvremene tehnologije, načine, metode i sredstva zaštite povjerljivih podataka poduzeća.

Ciljevi studija, sukladno cilju, uključuju:

1. Otkriti glavne komponente informacijske sigurnosti;

2. Odrediti sastav informacija koje treba klasificirati kao povjerljive;

3. Identificirati najčešće prijetnje, distribucijske kanale i curenje privatnosti;

4. Razmotriti metode i sredstva zaštite povjerljivih informacija;

5. Analizirati regulatorni okvir za povjerljivo vođenje evidencije;

6. Proučiti sigurnosnu politiku u organizaciji pristupa povjerljivim informacijama i postupak rada osoblja s povjerljivim dokumentima;

7. Razmotriti tehnološke sustave za obradu povjerljivih dokumenata;

8. Ocijenite sustav informacijske sigurnosti poduzeća JSC "ChZPSN - Profnastil" i dajte preporuke za njegovo poboljšanje.

U radu su korištene sljedeće metode istraživanja: metode spoznaje (opis, analiza, promatranje, anketa); opće znanstvene metode (analiza niza publikacija na temu), kao i takva metoda upravljanja dokumentima kao što je analiza dokumentacije poduzeća.

Pravna osnova završnog kvalifikacijskog rada temelji se prvenstveno na Ustavu kao temeljnom zakonu Ruske Federacije) (1). Članak 23. Ustava Ruske Federacije jamči pravo na osobne, obiteljske tajne, tajnost dopisivanja, telefonski razgovori, poštanske, telegrafske i druge komunikacije. Međutim, ograničenje ovog prava dopušteno je samo na temelju osuda. Ustav Ruske Federacije ne dopušta (članak 24.) prikupljanje, pohranjivanje, korištenje i širenje podataka o privatnom životu osobe bez njezina pristanka (1).

Pravila za reguliranje odnosa koji proizlaze iz postupanja s povjerljivim informacijama također su sadržana u Građanskom zakoniku Ruske Federacije. Istodobno, povjerljive informacije se u Građanskom zakoniku Ruske Federacije nazivaju nematerijalnom dobrobiti (članak 150.) (2).

Kriteriji prema kojima se podaci klasificiraju kao službena i poslovna tajna , sadržano u članku 139. Građanskog zakonika Ruske Federacije. U njemu se navodi da je podatak službena ili poslovna tajna kada:

1. Ove informacije imaju stvarnu ili potencijalnu vrijednost jer su nepoznate trećim stranama;

2. Ne postoji slobodan pravni pristup ovim informacijama i vlasnik informacija poduzima mjere za zaštitu njihove povjerljivosti (2).

Osim toga, definicija povjerljivosti komercijalnih informacija sadržana je u članku 727. Građanskog zakonika Ruske Federacije (2).

27. srpnja 2006. godine usvojena su dva najvažnija federalna zakona o zaštiti informacija povjerljive prirode: br. 149-FZ "O informacijama, informacijskim tehnologijama i zaštiti informacija" (8) i br. 152-FZ "O osobnim Podaci" (9). Daju osnovne pojmove o informacijama i njihovoj zaštiti. Kao što su "informacije", "povjerljivost informacija", "osobni podaci" itd.

10. siječnja 2002. predsjednik Ruske Federacije potpisao je vrlo važan zakon "O elektroničkom digitalnom potpisu" (5), koji razvija i precizira odredbe gore navedenog zakona "O informacijama ..." (8).

Zakoni Ruske Federacije također su glavni u području sigurnosti povjerljivih informacija:

1. "O državnim tajnama" od 22. srpnja 2004. (4);

2. "O poslovnoj tajni" od 29. srpnja 2004. (sadrži podatke koji predstavljaju poslovnu tajnu, režim poslovne tajne, odavanje podataka koji predstavljaju poslovnu tajnu) (6);

3. "O odobrenju Popisa povjerljivih podataka" (11);

4. O davanju suglasnosti na Popis podataka koji ne mogu biti poslovna tajna“ (13).

Norma koja utvrđuje osnovne pojmove i definicije u području informacijske sigurnosti je GOST R 50922-96 (29).

Regulatorni i metodološki okvir za povjerljivo uredsko poslovanje detaljno je opisan u drugom poglavlju. sadašnji rad. U završnom kvalifikacijskom radu korišteni su radovi vodećih stručnjaka za dokumente: I.V. Kudrjajeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznjecova (45; 67; 102), A.V. Pšenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).

Koncept informacijske sigurnosti, njegove glavne komponente, opisani su u djelima V.A. Galatenko (82), V.N. Jaročkina (56), G. Zotova (66).

K. Ilyin (52) u svojim radovima razmatra pitanja informacijske sigurnosti u upravljanju elektroničkim dokumentima). Aspekti informacijske sigurnosti opisani su u člancima V.Ya. Ischeynova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

Sustav informacijske sigurnosti opisan je u djelima E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov i V.M. Martinov (49).

Pravnom uređenju informacija s ograničenim pristupom posvećeni su radovi sljedećih autora: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bačilo (37, 38), O. Gavrilova (41). Potonji u svom članku ukazuje na nesavršenost zakonodavstva u ovoj oblasti.

Tehnologijama obrade povjerljivih dokumenata posvećeni su radovi R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksencev (32).

U procesu pripreme rada, znanstvene, obrazovne, praktične, metodološke preporuke o organizaciji zaštite povjerljivih informacija koje su pripremili vodeći stručnjaci u ovom području kao što je A.I. Aleksentsev (31; 32) i E.A. Stepanov (81; 96).

Radovi I.L. Bačilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsov (51) posvećeni su kontroverznim aspektima informacijske sigurnosti.

Općenito, možemo reći da je problem informacijske sigurnosti, općenito, opskrbljen izvorima, izvorna baza omogućuje vam da istaknete zadatke. Značaj literature o ovoj problematici je velik i odgovara njenoj relevantnosti.

Ali u našoj zemlji ne postoji regulatorni pravni akt koji bi uspostavio jedinstveni postupak za računovodstvo, pohranjivanje i korištenje dokumenata koji sadrže povjerljive podatke. A prema analitičarima čiji su članci korišteni u radu, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurova (71) i drugih, to je teško svrsishodno.

Među neobjavljenim izvorima korištenim u radu su izvadak iz Povelje JSC "ChZPSN - Profnastil" (Dodatak 11), dokumenti trenutnog uredskog rada poduzeća.

Završni kvalifikacijski rad sastoji se od uvoda, tri poglavlja, zaključka, popisa korištenih izvora i literature, prijava.

U uvodu se formulira relevantnost i praktični značaj teme, svrha studije, zadaci, stupanj razvijenosti problema koji se proučava, objekt, predmet, baza istraživanja, istraživački alati, struktura i sadržaj završnog kvalifikacijskog rada.

Prvo poglavlje: „Osnove informacijske sigurnosti i zaštita informacija“ sadrži povijest problematike i temeljne pojmove informacijske sigurnosti. Kao što su vrijednost informacija, povjerljivost. U stavku 1.2 navedeni su distribucijski kanali, curenje informacija, u nastavku se razmatraju sustav prijetnji i sustav za zaštitu povjerljivih informacija.

Poglavlje "Organizacija rada s povjerljivim dokumentima". sastoji se od regulatornih i metodoloških osnova povjerljivog uredskog poslovanja, zatim postupka za rad zaposlenika i organizacije njihovog pristupa povjerljivim informacijama. Tehnologija rada s navedenim informacijama opisana je u zadnjem odlomku drugog poglavlja.

U trećem poglavlju, na primjeru poduzeća JSC "ChZPSN - Profnastil", razmatra se sustav zaštite informacija ograničenog pristupa, analiza rada s povjerljivim dokumentima. dane su preporuke, izmjene i dopune tehnologije povjerljivog uredskog rada formirane u poduzeću.

Zaključak sadrži zaključke o završnom kvalificiranom radu.

Popis korištenih izvora i literature sadrži 110 naslova.

Rad je dopunjen prilozima koji sadrže: odredbe, upute koje reguliraju postupak rukovanja dokumentima koji sadrže informacije o ograničenom pristupu u poduzeću, uzorke obrazaca dokumenata, registracijske obrasce, izvod iz Povelje OJSC "ChZPSN - Profnastil".

Poglavlje 1. Osnove informacijske sigurnosti i zaštite informacija

1.1 Evolucija pojma "informacijska sigurnost" i koncepta povjerljivosti

Odavno se smatralo tko posjeduje informacije - posjeduje stanje. Stoga se već u osvit ljudskog društva pojavljuje obavještajna djelatnost. Stoga se pojavljuju državne i trgovačke (sastav porculana, svila) tajne, a tijekom ratova - vojne (raspored trupa, oružje). Čini se da je želja da se od drugih taji ono što daje prednost i moć glavna motivacija ljudi u povijesnoj perspektivi. Mnogi vlasnici, kako bi zaštitili svoje interese, klasificiraju podatke i pažljivo ih štite ili patentiraju. Razvrstavanje podataka dovodi do stalnog poboljšanja načina i metoda dobivanja zaštićenih podataka; te poboljšati sredstva i metode zaštite informacija (89, str. 45).

U svjetskoj praksi prvi put su korišteni pojmovi "industrijska tajna", "poslovna tajna", "tajna kreditnih odnosa", tj. naziv tajne bio je vezan za određeno područje djelovanja. Ruski odvjetnik V. Rozenberg pokušao je te nazive spojiti u jedno – “poslovnu tajnu” i čak objavio istoimenu knjigu 1910. godine. Međutim, ovaj izraz nije zaživio. Kako u Ruskom Carstvu tako i u inozemstvu konačno se ustalio pojam „poslovna tajna“ koji objedinjuje tajnu svake djelatnosti usmjerene na stjecanje dobiti (46, str. 20).

Od druge polovice XIX stoljeća. Također postoje različite definicije pojma poslovne tajne, prvenstveno u području kaznenog i građanskog prava. Na primjer, njemački zakon definirao je poslovnu tajnu kao tajnu tehničkih procesa proizvodnje proizvoda i tajnu prodajnog poslovanja ili, kao više visok jezik, tajna proizvodnje dobara i tajna njihove distribucije.

U Rusiji, prema Kaznenom zakonu iz 1903., komercijalne tajne su shvaćene kao posebne proizvodne metode koje se koriste ili se namjeravaju koristiti, au drugom izdanju - pojedinačne značajke proizvodnih i trgovinskih procesa. Tajnost proizvodnih procesa klasificirana je kao imovinska, a trgovačka kao poslovna tajna.

U Rusiji su u studenom 1917. ukinute poslovne tajne. Tijekom NEP-a neslužbeno je "ponovno rođen", ali su ga kasnije koristila samo vanjskotrgovinska poduzeća SSSR-a u kontaktima s drugim zemljama, ali za to nije postojala domaća zakonska osnova. Prestala je i znanstvena djelatnost na ovom području (31, str. 78).

U drugoj polovici 80-ih. Poduzetnička aktivnost zahtijevala je izradu srodnih regulatornih dokumenata, uključujući i one koji se odnose na poslovne tajne. Prije svega, bilo je potrebno formulirati definiciju poslovne tajne. Takva je definicija napravljena u Zakonu "O poduzećima u SSSR-u". Kaže: "Komercijalna tajna poduzeća podrazumijeva informacije koje nisu državne tajne vezane uz proizvodnju, tehnološke informacije, upravljanje, financije i druge aktivnosti poduzeća, čije otkrivanje (prijenos, curenje) može štetiti njegovim interesima. "

Poslovna tajna u suvremenom tumačenju je informacija, podaci, obavijesti, predmeti čije otkrivanje, prijenos ili curenje od strane trećih osoba može štetiti interesima ili sigurnosti vlasnika (32, str. 13).

Norma ISO/IEC 17799 definira informacijsku sigurnost kao osiguravanje povjerljivosti, cjelovitosti i dostupnosti informacija. (56, str. 212).

Sigurnost nije samo zaštita od kriminalnih zahvata, već i očuvanje (osobito elektroničkih) dokumenata i informacija, kao i mjere za zaštitu kritičnih dokumenata i osiguravanje kontinuiteta i/ili ponovnog uspostavljanja aktivnosti u slučaju katastrofa (71, str. 5 8).

Informacijsku sigurnost treba shvatiti kao zaštitu subjekata informacijskih odnosa. Njegove glavne komponente su povjerljivost, cjelovitost, dostupnost (82, str.15).

U Doktrini informacijske sigurnosti Ruske Federacije (19) pojam "informacijska sigurnost" označava stanje zaštite nacionalnih interesa u informacijskoj sferi, određeno ukupnošću uravnoteženih interesa pojedinca, društva i države.

Povjerljivost - zaštita od neovlaštenog pristupa (83, str.17). Sljedeća definicija povjerljivosti data je Saveznim zakonom "O informacijama, informacijskim tehnologijama i zaštiti informacija" (8) članak 2.p.7: povjerljivost je obvezan zahtjev za osobu koja ima pristup određenim informacijama da ne prenosi takve informacije trećim osobama bez njezinog pristanka vlasnika.

Pod sigurnošću informacijskih resursa (informacija) podrazumijeva se zaštita informacija u vremenu i prostoru od bilo kakvih objektivnih i subjektivnih prijetnji (hazarda) koje nastaju u normalnim uvjetima poslovanja poduzeća u ekstremnim situacijama: prirodne katastrofe, drugi nekontrolirani događaji, pasivni i aktivni pokušaji napadača da stvori potencijalnu ili stvarna prijetnja neovlašteni pristup dokumentima, predmetima, bazama podataka (61, str.32).

Povjerljivost - pravila i uvjeti za sigurnost prijenosa podataka i informacija. Razlikuju se vanjska povjerljivost - kao uvjet za neotkrivanje informacija vanjskoj okolini, i interna - među osobljem.

Sigurnost vrijednih dokumentiranih informacija (dokumenata) određena je stupnjem njihove zaštite od posljedica ekstremnih situacija, uključujući prirodne katastrofe, kao i pasivnih i aktivnih pokušaja napadača da stvori potencijalnu ili stvarnu prijetnju (opasnost) od neovlaštenog pristup dokumentima korištenjem organizacijskih i tehničkih kanala, što za posljedicu može dovesti do krađe i zlouporabe informacija od strane napadača za vlastite potrebe, njihove izmjene, zamjene, falsificiranja, uništavanja (68, str. 36).

Tajnost - pravila i uvjeti pristupa i pristupa informacijskim objektima (89, str. 50).

Dakle, izraz "informacijska sigurnost" nije ograničen na zaštitu od neovlaštenog pristupa informacijama.

Ovo je fundamentalno širok koncept. Subjekt informacijskih odnosa može pretrpjeti (pretrpiti gubitke i/ili dobiti moralnu štetu) ne samo zbog neovlaštenog pristupa, već i zbog kvara sustava koji je uzrokovao prekid rada.

Unatoč činjenici da je povjerljivost sinonim za tajnost, ovaj se pojam naširoko koristi isključivo za označavanje izvora informacija ograničenog pristupa koji nisu klasificirani kao državna tajna.

Povjerljivost odražava ograničenje koje vlasnik informacija nameće na pristup drugih osoba istima, tj. vlasnik utvrđuje pravni režim tih podataka u skladu sa zakonom (91, str. 208).

1.2 Vrijednost informacija

Zaštićeni podaci su: tajni podaci (podaci koji sadrže državnu tajnu), povjerljivi (podaci koji sadrže poslovne tajne, tajne koje se odnose na osobni život i djelovanje građana) (100, str. 38).

Uvijek postoje upravljački dokumenti čije je curenje sadržaja nepoželjno ili jednostavno štetno, budući da se može koristiti izravno ili neizravno na štetu svojih autora. Takvi podaci i, sukladno tome, dokumenti koji ih sadrže smatraju se povjerljivima (zatvorenima, zaštićenima). Dokumentirani podaci ograničenog pristupa uvijek pripadaju jednoj od vrsta tajni - državnoj ili nedržavnoj. Sukladno tome dokumenti se dijele na tajne i netajne. Obavezno obilježje (kriterij prioriteta) tajnog dokumenta je prisutnost podataka koji u skladu sa zakonom predstavljaju državnu tajnu. Povjerljivim se nazivaju neklasificirani dokumenti koji sadrže podatke klasificirane kao nedržavna tajna (službena, komercijalna, bankarska, stručna, industrijska i dr.) ili sadrže osobne podatke građana.

Informacije - informacije o osobama, predmetima, činjenicama, događajima, pojavama i procesima, bez obzira na oblik njihova prikazivanja (8).

Zakonodavstvo Ruske Federacije utvrđuje da su dokumentirani podaci (dokumenti) javno dostupni, s iznimkom onih koji su zakonom klasificirani kao ograničeni pristup (11).

Istodobno, dokumentirani podaci s ograničenim pristupom dijele se na podatke koji su klasificirani kao državna tajna i na povjerljive podatke. Obje ove vrste informacija podliježu zaštiti od nezakonitog širenja (odavanja) i klasificirane su kao zakonom zaštićene tajne.

Obavezna značajka povjerljivog dokumenta je prisutnost informacija koje treba zaštititi. Značajka takvog dokumenta je da on istovremeno predstavlja ne samo samu informaciju - obvezni predmet zaštite, već i masovni nositelj informacija, glavni izvor akumulacije i širenja tih informacija, uključujući i njihovo curenje. Odnosno, povjerljivi su prije svega podaci, a tek onda postaju povjerljivi dokumenti u kojima su ti podaci zabilježeni. Kategorija povjerljivih informacija uključuje sve vrste informacija s ograničenim pristupom zaštićene zakonom - komercijalne, službene, osobne. S izuzetkom državne tajne (94, str. 78).

Informacije se mogu podijeliti u tri kategorije (82, str.33).

Prvi je neklasificirani (ili otvoreni), koji je namijenjen za korištenje unutar i izvan poduzeća.

Drugi je za službenu upotrebu, koji je namijenjen samo za korištenje unutar tvrtke. Dalje je podijeljen u dvije potkategorije:

1. Dostupnost svim zaposlenicima tvrtke;

2. Dostupno za određene kategorije zaposlenika, ali se može u cijelosti prenijeti na drugog zaposlenika za obavljanje potrebnog posla.

Treći su klasificirani podaci (ili podaci ograničenog pristupa), koji su namijenjeni za korištenje samo od strane posebno ovlaštenih zaposlenika tvrtke i nisu namijenjeni za prijenos drugim zaposlenicima u cijelosti ili djelomično.

Podaci druge i treće kategorije obično se nazivaju povjerljivima (35, str. 9).

Povjerljivi podaci mogu biti i određeni skup otvorenih informacija, kao što određeni skup podataka za službenu uporabu može biti i ograničeni. Stoga je potrebno jasno definirati uvjete pod kojima se može i treba povećati stupanj tajnosti podataka (55, str. 83).

Na primjer, u OJSC "ChZPSN - Profnastil" podaci o pojedinostima zaključenih ugovora, kao io tome tko ih od zaposlenika zaključuje, povjerljivi su. Istovremeno, otvorene informacije uključuju podatke o osoblju, njegovu raspodjelu po odjelima i službene dužnosti zaposlenika. Na njihovim stranicama redovito se objavljuju vijesti s kojim poduzećima (na kojem profilu) tvrtka pregovara, s kim namjerava sklopiti ugovor i sl. Jasno je da ukupno tri izvora otvorenih informacija (kadrovi, službene dužnosti, podaci o sklopljenim ugovorima) mogu činiti povjerljive informacije o zaposleniku koji sklapa određeni ugovor.

Uvjeti pod kojima se podaci mogu klasificirati kao povjerljivi navedeni su u članku 13. dijela 1. Građanskog zakonika Ruske Federacije (2). To uključuje:

1. Stvarna ili potencijalna komercijalna vrijednost informacija zbog toga što nisu poznate trećim stranama;

2. Nemogućnost slobodnog pristupa ovim informacijama na zakonskoj osnovi;

3. Usvajanje potrebnih mjera od strane vlasnika informacija za zaštitu njihove povjerljivosti.

Dakle, osiguranje povjerljivosti dokumentarnih informacija sadrži tri aspekta:

1. Određivanje sastava informacija koje treba klasificirati kao povjerljive;

2. Određivanje kruga zaposlenika koji bi trebali imati pristup ovim ili onim povjerljivim informacijama i registracija odgovarajućih odnosa s njima;

3. Organizacija uredskog rada s povjerljivim dokumentima. (99, str.7-9).

Ako ti uvjeti nisu ispunjeni, organizacija neće imati razloga nikoga smatrati odgovornim za otkrivanje povjerljivih informacija.

Prema Saveznom zakonu "O informacijama, informacijskim tehnologijama i zaštiti informacija" (8), sljedeće ne može predstavljati poslovnu tajnu:

1. Osnivački dokumenti (odluka o osnivanju poduzeća ili ugovor osnivača) i Statut;

2. Dokumenti koji daju pravo na bavljenje poduzetničkom djelatnošću (potvrde o registraciji, licence, patenti);

3. Informacije o utvrđenim oblicima izvješćivanja o financijskim i gospodarskim aktivnostima i druge informacije potrebne za provjeru ispravnosti obračuna i plaćanja poreza i drugih obveznih plaćanja u sustav državnog proračuna Ruske Federacije;

4. Isprave o bonitetu;

5. Podaci o broju, sastavu zaposlenih, njihovim plaćama i uvjetima rada, kao io raspoloživosti slobodnih radnih mjesta;

6. Isprave o uplati poreza i obveznih plaćanja;

7. Informacije o onečišćenju okoliša, kršenju antimonopolskog zakonodavstva, nepoštivanju sigurnih radnih uvjeta, prodaji proizvoda koji su štetni za javno zdravlje, kao i drugim kršenjima zakonodavstva Ruske Federacije i iznosu štete nastale u ovom slučaj;

8. Podaci o sudjelovanju dužnosnika poduzeća u zadrugama, malim poduzećima, partnerstvima, dioničkim društvima, udrugama i drugim organizacijama koje se bave poduzetničkom djelatnošću.

Navedene podatke poduzeća i osobe koje se bave poduzetničkom djelatnošću, čelnici državnih i općinskih poduzeća dužni su dostaviti na zahtjev tijela, uprave, nadzora i provedba zakona, druge pravne osobe koje na to imaju pravo u skladu sa zakonodavstvom Ruske Federacije, kao i radni kolektiv poduzeća (21).

Podaci o pitanjima koja su zakonom obuhvaćena pojmom državne tajne ne mogu se smatrati tajnom (12). Što se tiče pitanja rada s dokumentima koji sadrže takve informacije, u skladu sa Zakonom Ruske Federacije "O državnim tajnama" (4), određeno je da se građani, službenici i organizacije trebaju rukovoditi samo zakonodavnim aktima koji uređuju zaštitu državne tajne.

Prema zakonu, povjerljive informacije su dokumentirane informacije, čiji je pristup ograničen u skladu sa zakonodavstvom Ruske Federacije (11). Povjerljive informacije su one informacije čije bi otkrivanje moglo štetiti interesima društva (35, str.6). Također se može reći da dodjela određenog podatka žigom povjerljivosti, između ostalog, doprinosi očuvanju poslovne tajne (8).

Općeniti pojam povjerljivih podataka većim je dijelom preciziran u „Popisu povjerljivih podataka“ (11). Prema njegovim riječima, povjerljive informacije grupiraju se u nekoliko glavnih kategorija.

Prvo, to su informacije o činjenicama, događajima i okolnostima privatnog života građanina, koje omogućuju identifikaciju osobe (osobni podaci), osim informacija koje se šire u sredstvima javnog priopćavanja u slučajevima utvrđenim saveznim zakonom.

Drugu kategoriju navedenih podataka čine podaci koji predstavljaju tajnost istrage i sudskog postupka . Popis nadalje definira skupinu službenih informacija, čiji pristup ograničavaju javna tijela u skladu s Građanskim zakonikom Ruske Federacije (2, str. 52) i saveznim zakonom (službena tajna).

Druga skupina informacija na popisu sadrži informacije koje se odnose na profesionalne aktivnosti, čiji je pristup ograničen u skladu s Ustavom Ruske Federacije (1, str. 25) i saveznim zakonom (medicinski, javnobilježnički, odvjetnički (16), tajnost dopisivanja, telefonskih razgovora, poštanske pošiljke(10), telegrafske ili druge poruke (17) i tako dalje).

Sljedeća skupina povjerljivih podataka uključuje podatke koji se odnose na komercijalne aktivnosti, čiji je pristup ograničen u skladu s Građanskim zakonikom Ruske Federacije (2) i saveznim zakonima (poslovna tajna) (6).

Popis povjerljivih podataka završava podacima o biti izuma, korisni model ili industrijski dizajn prije njihove službene objave (53, str. 51; 82, str. 33).

Dokumentirane informacije koje koristi poduzetnik u poslovanju i upravljanju poduzećem, organizacijom, bankom, tvrtkom ili drugom strukturom su njegove vlastite ili privatne informacije od značajne vrijednosti za njega, njegovo intelektualno vlasništvo.

Vrijednost informacije može biti troškovna kategorija koja karakterizira određeni iznos dobiti kada se koristi ili iznos gubitka kada se izgubi. Informacije često postaju vrijedne zbog svoje pravne važnosti za tvrtku ili poslovni razvoj, kao što su osnivački dokumenti, programi i planovi, ugovori s partnerima i posrednicima i sl. Vrijednost informacija također može odražavati njihovu buduću znanstvenu, tehničku ili tehnološku vrijednost (58, str. 224).

Informacije koje imaju intelektualnu vrijednost za poduzetnika obično se dijele na dvije vrste:

1. Tehnički, tehnološki: metode proizvodnje proizvoda, softver, pokazatelji proizvodnje, kemijske formule, rezultati ispitivanja prototipova, podaci o kontroli kvalitete itd. (53, str. 50);

2. Posao: pokazatelji troškova, rezultati istraživanja tržišta, popisi kupaca, ekonomske prognoze, tržišna strategija itd.

Vrijedni podaci zaštićeni su zakonom (patent, autorsko pravo, srodni), zaštitnim znakom ili uvršteni u kategoriju podataka koji predstavljaju tajnu poduzeća (58, str. 54).

Tako se u pravilu sve informacije koje kruže unutar organizacije mogu podijeliti na dva dijela – otvorene i povjerljive (65, str.5).

Komercijalna vrijednost informacije u pravilu je kratkog vijeka i određena je vremenom koje je konkurentu potrebno da istu ideju razvije ili ukrade i reproducira, objavi i prebaci u kategoriju poznatih. Stupanj vrijednosti informacija i pouzdanost njihove zaštite izravno su ovisni.

Identifikacija i reguliranje stvarnog sastava informacija koje su od vrijednosti za poduzetnika i koje čine tajnu poduzeća temeljni su dijelovi sustava informacijske sigurnosti. Spoj vrijedne informacije evidentira se u posebnom popisu kojim se utvrđuje razdoblje (rok) i stupanj (bar) njegove povjerljivosti (tj. nedostupnosti svima), popis zaposlenika društva koji imaju pravo korištenja tih podataka u svom radu. Popis koji se temelji na tipičnom sastavu zaštićenih podataka tvrtki ovaj profil, stalni je radni materijal uprave društva, sigurnosnih službi i povjerljive dokumentacije. To je klasificirani popis tipičnih i specifičnih vrijednih informacija o tekućem radu, proizvodima, znanstvenim i poslovnim idejama, tehnološkim inovacijama. Popis uključuje zaista vrijedne informacije o svakom poslu tvrtke (51, str. 45-51).

Osim toga, može se sastaviti popis dokumenata u kojima se te informacije odražavaju (dokumentiraju). Na popisu su i dokumenti koji ne sadrže zaštićene podatke, ali su od vrijednosti za tvrtku i podliježu zaštiti. Liste formira svaka tvrtka pojedinačno u skladu s preporukama posebne komisije, a odobrava ih prvi voditelj tvrtke. Ista komisija redovito vrši tekuće izmjene popisa u skladu s dinamikom obavljanja pojedinih poslova tvrtke.

Dokumenti koji sadrže vrijedne informacije dio su informacijskih resursa tvrtke, koji mogu biti: a) otvoreni (dostupni osoblju za rad bez posebnih dopuštenja) i b) ograničeni za pristup osoblju (klasificirani kao jedna od vrsta tajni - državna ili ne). stanje) .

Popis podataka koji su klasificirani kao povjerljivi podaci, kao i popis zaposlenika koji su na njega primljeni, sastavlja se po nalogu tvrtke.

1.3 Kanali distribucije i curenje povjerljivih informacija

Izvor informacija uvijek se propagira u vanjsko okruženje. Kanali širenja informacija su objektivni, aktivni i uključuju: poslovne, upravljačke, trgovačke, znanstvene, komunikacijske regulirane komunikacije; informacijske mreže; prirodni tehnički kanali.

Kanal širenja informacija je način premještanja vrijednih informacija s jednog izvora na drugi na autoriziran način (dopušten) ili zbog objektivnih zakona ili zbog objektivnih zakona (83, str. 48).

Izraz "curenje povjerljivih informacija" vjerojatno nije najmilozvučniji, ali sadržajnije od ostalih izraza odražava bit fenomena. Dugo je ukorijenjen u znanstvenoj literaturi, regulatornim dokumentima (99, str.11). Curenje povjerljivih informacija predstavlja protuzakonito, tj. neovlašteno iznošenje takvih informacija izvan zaštićenog područja svog djelovanja ili utvrđenog kruga osoba ovlaštenih za rad s njima, ako je tim izlaskom došlo do primanja informacija (upoznavanja s njima) od strane osoba koje nemaju ovlašteni pristup istima. Curenje povjerljivih informacija ne znači samo njihovo primanje od strane osoba koje ne rade u poduzeću, već i neovlašteni pristup povjerljivim informacijama od strane osoba ovog poduzeća također dovodi do curenja (104, str. 75).

Do gubitka i curenja povjerljivih dokumentiranih informacija dolazi zbog ranjivosti informacija. Ranjivost informacije treba shvatiti kao nesposobnost informacije da se samostalno odupre destabilizirajućim utjecajima, tj. takve utjecaje koji narušavaju njegov utvrđeni status (94, str. 89). Povreda statusa bilo koje dokumentirane informacije sastoji se u povredi njegove fizičke sigurnosti (općenito ili kod ovog vlasnika u cijelosti ili djelomično), logičke strukture i sadržaja, dostupnosti za ovlaštene korisnike. Povreda statusa povjerljivog dokumentiranog podatka dodatno uključuje povredu njegove povjerljivosti (blizina neovlaštenim osobama). Ranjivost dokumentiranih informacija je kolektivni koncept. Ona uopće ne postoji, nego se manifestira u raznim oblicima. Tu spadaju: krađa nositelja informacija ili informacija prikazanih na njemu (krađa); gubitak nositelja informacija (gubitak); neovlašteno uništavanje nositelja informacija ili informacija prikazanih na njemu (uništenje, iskrivljavanje informacija (neovlaštena promjena, neovlaštena modifikacija, krivotvorenje, falsificiranje); blokiranje informacija; otkrivanje informacija (distribucija, razotkrivanje).

Pojam "uništenje" uglavnom se koristi u odnosu na informacije na magnetskim medijima. Postojeće varijante imena: modifikacija, krivotvorina, krivotvorina nisu sasvim prikladne pojmu "iskrivljavanje", imaju nijanse, ali njihova suština je ista - neovlaštena djelomična ili potpuna promjena u sastavu izvorne informacije (36, str. 59).

Blokiranje informacija ovdje znači blokiranje pristupa legitimnim korisnicima, a ne napadačima.

Otkrivanje informacija je oblik očitovanja ranjivosti samo povjerljivih informacija.

Jedan ili drugi oblik ranjivosti dokumentirane informacije može se ostvariti kao rezultat namjernog ili slučajnog destabilizirajućeg djelovanja na različite načine na nositelja informacije ili na samu informaciju iz izvora utjecaja. Takvi izvori mogu biti ljudi, tehnička sredstva obrade i prijenosa informacija, sredstva komunikacije, elementarne nepogode i sl. Načini destabilizirajućeg djelovanja na informacije su kopiranje (fotografiranje), snimanje, prijenos, jedenje, zaraza programa za obradu informacija virusom, zaraza programima za obradu informacija, itd. kršenje tehnologije obrade i pohrane informacija, onesposobljavanje (ili kvar) i kršenje načina rada tehničkih sredstava za obradu i prijenos informacija, fizički utjecaj na informacije itd.

Ranjivost dokumentiranih informacija dovodi ili može dovesti do gubitka ili curenja informacija. (97, str.12).

Krađa i gubitak nositelja informacija, neovlašteno uništavanje nositelja informacija ili samo informacija prikazanih na njima, iskrivljavanje i blokiranje informacija dovode do gubitka dokumentiranih informacija. Gubitak može biti potpun ili djelomičan, nepovratan ili privremen (kada je informacija blokirana), ali u svakom slučaju nanosi štetu vlasniku informacije.

Curenje povjerljivih dokumentiranih informacija dovodi do njihovog otkrivanja. Kako neki autori primjećuju (77, str. 94; 94, str. 12), u literaturi, pa čak i u regulatornim dokumentima, pojam "curenje povjerljivih informacija" često se zamjenjuje ili poistovjećuje s pojmovima: "otkrivanje povjerljivih informacija" , "širenje povjerljivih informacija". Takav je pristup, sa stajališta stručnjaka, nezakonit. Objavljivanje ili širenje povjerljivih informacija znači njihovo neovlašteno priopćavanje potrošačima koji nemaju pravo pristupa istima. U isto vrijeme, takvo dovođenje bi trebao biti izveden od strane nekoga, dolaziti od nekoga. Do curenja dolazi kada se povjerljive informacije otkriju (neovlaštena distribucija), ali nije ograničeno na to. Do curenja može doći i kao posljedica gubitka nositelja povjerljivih dokumentiranih informacija, kao i krađe nositelja informacija ili informacija prikazanih na njemu, dok nositelj čuva vlasnik (vlasnik). Ne znači što će se dogoditi. Izgubljeni medij može pasti u pogrešne ruke ili ga može "zgrabiti" smetlarski kamion i uništiti na način utvrđen za smeće. U potonjem slučaju nema curenja povjerljivih informacija. Krađa povjerljivih dokumentiranih informacija također nije uvijek povezana s njihovim primanjem od strane osoba koje im nemaju pristup. Brojni su primjeri kada su krađu nositelja povjerljivih informacija od kolega na poslu vršile osobe koje su došle do tih informacija s ciljem da se "navuku", nanose štetu kolegi. Takvi nosači su obično uništili ljudi koji su ih oteli. Ali u svakom slučaju, gubitak i krađa povjerljivih informacija, ako ne dovode do njihovog curenja, onda uvijek stvaraju prijetnju curenja. Stoga se može reći da otkrivanje povjerljivih informacija dovodi do njihovog curenja, a do toga mogu dovesti krađa i gubitak. Poteškoća je u tome što je često nemoguće razdvojiti, prvo, samu činjenicu otkrivanja ili krađe povjerljivih informacija dok nositelj informacija čuva njegov vlasnik (vlasnik), i drugo, jesu li informacije dobivene kao rezultat njegovu krađu ili gubitak neovlaštenim osobama.

Vlasnik poslovne tajne je fizička ili pravna osoba koja zakonito posjeduje podatke koji čine poslovnu tajnu i pripadajuća prava u cijelosti (91, str. 123).

Podaci koji predstavljaju poslovnu tajnu ne postoje sami po sebi. Prikazuje se u različitim medijima koji ga mogu pohraniti, akumulirati i prenositi. Oni također koriste informacije. (8; 91, str. 123)

Nositelj informacije - pojedinac ili materijalni objekt, uključujući fizičko polje, u kojem se informacije prikazuju u obliku simbola, slika, signala, tehničkih rješenja i procesa (8; 68, str. 37).

Iz ove definicije proizlazi, prvo, da materijalni objekti nisu samo ono što se može vidjeti ili dodirnuti, nego i fizička polja, kao i ljudski mozak, i drugo, da se informacije u medijima prikazuju ne samo simbolima, tj. slova, brojke, znakovi, ali i slike u obliku crteža, crteža, dijagrama, drugih ikonskih modela, signala u fizičkim poljima, tehničkih rješenja u proizvodima, tehničkih procesa u tehnologiji izrade proizvoda (39, str. 65).

Vrste materijalnih objekata kao nositelja informacija su različite. To mogu biti magnetske vrpce, magnetni i laserski diskovi, foto, filmske, video i audio vrpce, različite vrste industrijski proizvodi, tehnološki procesi i dr. No, najrašireniji tip su papirnati nosači (46, str. 11). Podaci u njima bilježe se rukom pisanim, strojnim, elektroničkim, tipografskim putem u obliku teksta, crteža, dijagrama, crteža, formule, grafikona, karte itd. U tim medijima informacije se prikazuju u obliku simbola i slika. Takve informacije Saveznog zakona "O informacijama ..." (8) klasificirane su kao dokumentirane informacije i predstavljaju različite vrste dokumenata.

Nedavno je došlo do značajnih prilagodbi u oblicima i načinima dobivanja povjerljivih informacija neformalnim putem. Naravno, ovdje se prije svega radi o utjecaju na osobu kao nositelja povjerljivih informacija.

Osoba kao objekt utjecaja podložnija je neformalnim utjecajima nego tehnička sredstva i drugi nositelji povjerljivih informacija, zbog određene pravne nesigurnosti u aktualnom trenutku, individualnih ljudskih slabosti i životnih okolnosti (64, str. 82).

Takav neformalni utjecaj, u pravilu, je skrivene, nezakonite prirode i može se provoditi pojedinačno ili od strane grupe osoba.

Za osobu koja je nositelj povjerljive informacije moguće su sljedeće vrste kanala curenja informacija: glasovni kanal, fizički kanal i tehnički kanal.

Govorni kanal curenja - informacija se prenosi od vlasnika povjerljive informacije putem riječi osobno do objekta koji je zainteresiran za primanje te informacije (29).

Fizički kanal curenja - informacija se prenosi od vlasnika povjerljive informacije (nositelja) papirnatim, elektroničkim, magnetskim (kriptiranim ili otvorenim) ili drugim putem do objekta koji je zainteresiran za dobivanje te informacije (36, str. 62).

Kanal tehničkog curenja - informacija se prenosi tehničkim sredstvima (29).

Oblici utjecaja na osobu koja je nositelj zaštićene informacije mogu biti otvoreni i skriveni (33).

Otvoreni utjecaj na vlasnika (nositelja) povjerljive informacije radi dobivanja od strane zainteresiranog objekta podrazumijeva izravan kontakt (101, str. 256).

Skriveni utjecaj na vlasnika (nositelja) povjerljive informacije za njezino primanje od strane zainteresiranog objekta provodi se neizravno (neizravno) (101, str. 256).

Sredstva neformalnog utjecaja vlasnika (nositelja) povjerljive informacije da se od njega dobije određena informacija otvorenim govornim kanalom su osoba ili skupina ljudi koji stupaju u interakciju putem: obećanja nečega, zahtjeva, sugestije (107, str. 12). ).

Zbog toga je vlasnik (nositelj) povjerljive informacije prisiljen promijeniti svoje ponašanje, svoje službene obveze i prenijeti traženu informaciju (91, str. 239).

Skriveni utjecaj putem govornog kanala na vlasnika (nositelja) povjerljivih podataka provodi se neizravnom prisilom – ucjenom preko treće osobe, nenamjernim ili namjernim prisluškivanjem i sl.

Navedena sredstva utjecaja, u konačnici, navikavaju vlasnika (nositelja) povjerljive informacije na njegovu toleranciju (toleranciju) na utjecaje koji se na njega vrše (85, str. 220).

Oblici utjecaja na vlasnika (nositelja) povjerljivih informacija putem fizičkog kanala curenja također mogu biti otvoreni i skriveni.

Otvoreni udar se provodi putem prisilnog (fizičkog) zastrašivanja (batina) ili prisilnog ubijanja, nakon prijema (batina) ili prisilnog ubijanja, nakon primljene obavijesti (95, str.78).

Tajno djelovanje je suptilnije i opsežnije u smislu primjene sredstava. To se može prikazati kao sljedeća struktura utjecaja (95, str. 79). Zainteresirani objekt - interesi i potrebe nositelja povjerljivih podataka.

Posljedično, zainteresirani objekt prikriveno (neizravno) utječe na interese i potrebe osobe koja posjeduje povjerljive informacije.

Takav skriveni utjecaj može se temeljiti na: strahu, ucjeni, manipulaciji činjenicama, mitu, podmićivanju, intimnosti, korupciji, uvjeravanju, pružanju usluga, uvjerenju o budućnosti osobe koja je nositelj povjerljivih podataka. (94, str.87)

Oblik utjecaja na vlasnika (nositelja) povjerljivih informacija putem tehničkih kanala također može biti otvoren i skriven.

Otvorena (izravna) sredstva - faks, telefon (uključujući mobilne sustave), Internet, radio komunikacije, telekomunikacije, masovni mediji.

U skrivena sredstva spadaju: prisluškivanje tehničkim sredstvima, gledanje s ekrana i drugih načina prikazivanja, neovlašteni pristup osobnom računalu te programskoj i hardverskoj opremi.

Sva razmatrana sredstva utjecaja, bez obzira na njihove oblike, neformalno djeluju na osobu koja je nositelj povjerljivih informacija, a povezana su s nezakonitim i kriminalnim metodama pribavljanja povjerljivih informacija (72).

Prilikom postavljanja, odabira kadrova i vođenja kadrovske politike prilikom organizacije rada s povjerljivim informacijama mora se voditi računa o mogućnosti manipuliranja individualnim karakteristikama vlasnika (nositelja) povjerljivih informacija s njegovim društvenim potrebama u svrhu njihovog dobivanja.

Uvijek treba imati na umu da činjenica dokumentiranja informacija (odnosi se na bilo koji materijalni nosač) povećava rizik od curenja informacija. Materijalni nositelj je uvijek lakše ukrasti, a postoji i visok stupanj da se potrebne informacije ne iskrivljuju, kao što je slučaj s usmenim otkrivanjem informacija.

Prijetnje sigurnosti, cjelovitosti i tajnosti) informacija ograničenog pristupa praktički se ostvaruju kroz rizik formiranja kanala za neovlašteno primanje (izvlačenje) vrijednih informacija i dokumenata od strane napadača. Ovi kanali su skup nezaštićenih ili slabo zaštićenih od strane organizacije smjerova mogućeg curenja informacija, koje napadač koristi za dobivanje potrebnih informacija, namjerni ilegalni pristup zaštićenim i čuvanim informacijama.

Svako konkretno poduzeće ima svoj skup kanala za neovlašteni pristup informacijama; u ovom slučaju idealne tvrtke ne postoje.

To ovisi o mnogim čimbenicima: količini zaštićenih i čuvanih informacija; vrste zaštićenih i čuvanih podataka (koji predstavljaju državnu tajnu ili neku drugu tajnu - službenu, poslovnu, bankarsku i dr.); stručna razina osoblja, lokacija zgrada i prostorija itd.

Funkcioniranje kanala neovlaštenog pristupa informacijama nužno povlači za sobom curenje informacija, kao i nestanak njezina nositelja.

Kada je riječ o curenju informacija krivnjom osoblja, koristi se izraz "otkrivanje informacija". Osoba može otkriti podatke usmeno, pismeno, uklanjanjem podataka tehničkim sredstvima (kopirni uređaji, skeneri i sl.), gestama, izrazima lica i uvjetnim signalima. I prenijeti ga osobno, preko posrednika, putem komunikacijskih kanala itd. (56, str. 458).

Curenje (otkrivanje) informacija karakteriziraju dva uvjeta:

1. Informacije idu izravno do osobe koju to zanima, napadača;

2. Informacije se prosljeđuju nasumičnoj trećoj strani.

U ovom slučaju pod trećom osobom podrazumijeva se svaka treća osoba koja je primila informaciju zbog okolnosti koje su izvan kontrole te osobe, ili neodgovornosti osoblja, koja nema pravo posjedovati informaciju, i što je najvažnije, ta osoba nije zainteresirana za te informacije (37, str. 5). Međutim, informacije od treće strane mogu lako proći do napadača. U ovom slučaju treća strana, zbog okolnosti koje je postavio napadač, djeluje kao "upijač" za presretanje potrebnih informacija.

Čini se da je prijenos informacija trećoj strani prilično česta pojava, a može se nazvati nenamjernim, spontanim, iako se činjenica otkrivanja informacija događa.

Nenamjerni prijenos informacija trećoj strani događa se kao rezultat:

1. Gubitak ili nepropisno uništenje dokumenta na bilo kojem mediju, paketa dokumenata, spisa, povjerljivih zapisa;

2. Zanemarivanje ili namjerno nepoštivanje zahtjeva za zaštitu dokumentiranih podataka od strane zaposlenika;

3. Pretjerana pričljivost zaposlenika u odsutnosti uljeza – s kolegama s posla, rodbinom, prijateljima, drugim osobama na javnim mjestima: kafići, prijevoz i sl. (u posljednje vrijeme to je postalo vidljivo širenjem mobilnih komunikacija);

4. Rad s dokumentiranim informacijama s ograničenim pristupom organizaciji s neovlaštenim osobama, njegov neovlašteni prijenos drugom zaposleniku;

5. Korištenje ograničenih informacija u otvorenim dokumentima, publikacijama, intervjuima, osobnim bilješkama, dnevnicima itd.;

6. Odsutnost podataka o tajnosti (povjerljivosti) na dokumentima, označavanje odgovarajućim pečatom na tehničkim medijima;

7. Prisutnost u tekstovima otvorenih dokumenata prekomjernih informacija s ograničenim pristupom;

8. Neovlašteno kopiranje (skeniranje) dokumenata od strane zaposlenika, uključujući elektroničke, u službene ili zbirke.

Za razliku od treće strane, napadač ili njegov suučesnik ciljano dolazi do određene informacije i namjerno, protuzakonito uspostavlja kontakt s izvorom te informacije ili pretvara kanale njezine objektivne distribucije u kanale za njezino otkrivanje ili curenje.

Organizacijski kanali curenja informacija karakterizira širok raspon vrsta i temelje se na uspostavljanju različitih, uključujući pravne, odnose između napadača i poduzeća ili zaposlenika poduzeća za naknadni neovlašteni pristup informacijama od interesa.

Glavne vrste organizacijskih kanala mogu biti:

1. Uljeza zapošljava poduzeće, obično na tehničkom ili pomoćnom radnom mjestu (operater na računalu, špediter, kurir, čistačica, domar, zaštitar, vozač itd.);

2. Sudjelovanje u radu poduzeća kao partner, posrednik, klijent, korištenje raznih prijevarnih metoda;

3. Potraga od strane napadača za suučesnikom (pomoćnikom inicijative) zaposlenim u organizaciji koji postaje njegov suučesnik;

4. Uspostavljanje od strane napadača odnosa povjerenja sa zaposlenikom organizacije (prema zajedničkim interesima, do zajedničkog opijanja i ljubavnog odnosa) ili redovitim posjetiteljem, zaposlenikom druge organizacije koji ima informacije od interesa za napadača;

5. Korištenje komunikacijskih veza organizacije - sudjelovanje u pregovorima, sastancima, izložbama, prezentacijama, korespondenciji, uključujući elektroničku, s organizacijom ili njezinim određenim zaposlenicima itd.;

6. Korištenje pogrešnih radnji osoblja ili namjerna provokacija tih radnji od strane napadača;

7. Tajni ili fiktivni ulazak u prostorije poduzeća i prostore, kriminalni, nasilni pristup informacijama, odnosno krađa dokumenata, disketa, tvrdih diskova (hard diskova) ili samih računala, ucjenjivanje i navođenje na suradnju pojedinih djelatnika, podmićivanje i ucjenjivanje zaposlenika, stvaranje ekstremnih situacija i sl.;

8. Dobivanje potrebnih informacija od treće (slučajne) osobe.

Organizacijske kanale odabire ili formira napadač individualno u skladu sa svojim profesionalnim sposobnostima, konkretnom situacijom, a predvidjeti ih je izuzetno teško. Otkrivanje organizacijskih kanala zahtijeva ozbiljan tragački i analitički rad (75, str. 32).

Stvaraju se široke mogućnosti neovlaštenog dobivanja informacija s ograničenim pristupom tehnička podrška tehnologije tijeka financijskih dokumenata organizacije. Svaka menadžerska i financijska aktivnost uvijek je povezana s raspravom o informacijama u uredima ili putem komunikacijskih linija i kanala (vođenje video i konferencijskih poziva), izvođenjem računa i analizom stanja na računalu, pripremom i umnožavanjem dokumenata itd.

Slični dokumenti

Organizacijska i upravna dokumentacija. Zahtjevi za registraciju, postupak rukovanja povjerljivi dokumenti. Načini čuvanja povjerljivosti zapisa. Tajni arhivi. Osiguravanje sigurnosti povjerljivog uredskog rada.

seminarski rad, dodan 15.01.2017


Upute za osiguranje sigurnosti informacijskih izvora. Značajke otpuštanja zaposlenika koji posjeduju povjerljive podatke. Pristup osoblja povjerljivim informacijama, dokumentima i bazama podataka. Zaštita podataka tijekom sastanaka.

seminarski rad, dodan 20.11.2012


Značajke rada s osobljem koje posjeduje povjerljive tajne. Značajke zapošljavanja i premještaja zaposlenika na posao u vezi s posjedovanjem povjerljivih podataka. Pristup osoblja povjerljivim informacijama, dokumentima i bazama podataka.

seminarski rad, dodan 09.06.2011


Analiza sustava informacijske sigurnosti u poduzeću. Služba za informacijsku sigurnost. Prijetnje informacijskoj sigurnosti specifične za poduzeće. Metode i sredstva zaštite informacija. Model informacijskog sustava sa sigurnosne pozicije.

seminarski rad, dodan 03.02.2011


Značajke otpuštanja zaposlenika koji posjeduju povjerljive podatke. Provedba premještaja osoblja na poslove vezane uz tajne podatke. Metode provođenja certifikacije osoblja. Priprema dokumentacije i naloga za poduzeće.

sažetak, dodan 27.12.2013


Pojam "povjerljive informacije". Postupak razvrstavanja poslovnih podataka kao poslovne tajne. opće karakteristike OAO Svyaznoy Ural. Poboljšanje mehanizma zaštite povjerljivih informacija u poduzeću. Analiza učinkovitosti preporuka.

seminarski rad, dodan 26.09.2012


Pojam i prijenos osobnih podataka. Zaštita i kontrola informacija. Kaznena, upravna i disciplinska odgovornost za kršenje pravila za rad s osobnim podacima. Opća pravila za obavljanje povjerljivih uredskih poslova.

seminarski rad, dodan 19.11.2014


Bit informacije i njezina klasifikacija. Analiza podataka klasificiranih kao poslovna tajna. Istraživanje mogućih prijetnji i kanala curenja informacija. Analiza mjera zaštite. Analiza osiguranja pouzdanosti i zaštite informacija u LLC "Tism-Yugnefteprodukt".

diplomski rad, dodan 23.10.2013


Sigurnost informacija i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne i umjetne prirode. Zaštita podataka tijekom pregovora iu radu kadrovske službe, priprema povjerljivog sastanka.

sažetak, dodan 27.01.2010


U rješavanju problema informacijske sigurnosti posebno mjesto zauzima izgradnja učinkovitog sustava organizacije rada s osobljem s povjerljivim podacima. U poslovnim strukturama osoblje uključuje sve zaposlenike.

Poslovna tajna. Službena tajna. profesionalne tajne. Osobni podaci.

Osnovni pojmovi i pojmovi:

Poslovna (službena) tajna

Osobni podaci

Profesionalna tajna

S razvojem informacijsko društvo problemi vezani uz zaštitu povjerljivih podataka postaju sve veći veću vrijednost. Trenutačno ta pitanja nisu u potpunosti i sustavno riješena u ruskom zakonodavstvu. Detaljna klasifikacija povjerljivih informacija, kao što je gore spomenuto, dana je u popisu povjerljivih informacija utvrđenom Uredbom predsjednika Ruske Federacije od 6. ožujka 1997. br. 188. Zatim ćemo detaljnije razmotriti neke vrste povjerljivih informacija. informacija.

poslovna tajna

Komercijalna djelatnost organizacije usko je povezana s primanjem, akumulacijom, pohranjivanjem, obradom i korištenjem raznih informacija. Nisu sve informacije predmet zaštite, već samo one koje su od vrijednosti za organizaciju. Pri određivanju vrijednosti komercijalnih informacija potrebno je voditi se njihovim svojstvima kao što su korisnost, pravodobnost i pouzdanost.

Korisnost informacija je u tome što stvaraju povoljne uvjete za prihvaćanje subjekta brza odluka i dobiti učinkovite rezultate. S druge strane, korisnost informacija ovisi o njihovom pravovremenom primitku i priopćavanju izvođaču. Zbog nepravodobnog zaprimanja informacija važnih po svom sadržaju često se propušta prilika za sklapanje isplativog posla ili drugog posla.

Kriteriji korisnosti i pravodobnosti usko su povezani i međuovisni s kriterijem pouzdanosti informacija. Razlozi za nastanak lažnih informacija su različiti: pogrešna percepcija (zbog zablude, nedostatka iskustva ili stručnog znanja) činjenica ili namjerno, s određenom svrhom poduzeto, njihovo iskrivljavanje. Stoga bi u pravilu informacije od komercijalnog interesa, kao i izvor njihova primitka, trebale biti podvrgnute unakrsnoj provjeri.

Vlasnik komercijalnih informacija na temelju kombinacije navedenih kriterija utvrđuje njihovu vrijednost za svoje poslovne aktivnosti i donosi odgovarajuću operativnu odluku.

U stranoj ekonomskoj literaturi komercijalne informacije se ne smatraju sredstvom za ostvarivanje dobiti, već, prije svega, kao uvjetom koji potiče ili otežava ostvarivanje dobiti. Posebno se ističe prisutnost čimbenika cijene komercijalnih informacija, tj. sposobnost nastupa kao predmet prodaje. Stoga se u kontekstu razvoja različitih oblika vlasništva postavlja pitanje utvrđivanja vlasništva informacija o pravima intelektualno vlasništvo određenog poslovnog subjekta, te kao rezultat - o tome ima li on prava na njegovu zaštitu.

Definicija i pitanja građanskopravne zaštite službenih i poslovnih tajni u ruskom zakonodavstvu se ne razlikuju i raspravljaju se u čl. 139 prvog dijela Građanskog zakonika Ruske Federacije, pod nazivom "Službene i poslovne tajne":

„Podatak predstavlja službenu ili poslovnu tajnu u slučaju kada podatak ima stvarnu ili potencijalnu komercijalnu vrijednost zbog toga što nije poznat trećim osobama, ne postoji slobodan pristup na temelju zakonske osnove, a vlasnik informacija poduzima mjere za zaštitu njihove povjerljivosti. Podaci koji ne mogu predstavljati službenu ili poslovnu tajnu utvrđuju se zakonom i drugim pravnim aktima.

Podaci koji predstavljaju službenu ili poslovnu tajnu štite se na načine predviđene ovim Kodeksom i drugim zakonima.

Osobe koje su nezakonito prišle do podataka koji predstavljaju službenu ili poslovnu tajnu dužne su naknaditi prouzročenu štetu. Istu obvezu imaju zaposlenici koji su odali službenu ili poslovnu tajnu protivno ugovoru o radu, uključujući i ugovor o radu, te izvođači koji su to učinili protivno ugovoru o građanskom pravu.

Osiguranje zaštite državne tajne nije u izravnoj vezi sa zaštitom poslovne tajne. Ipak, treba istaknuti neke moguće iznimke. Pod zaštitu države mogu se uzeti komercijalni podaci, ocijenjeni kao osobito važni ne samo za njihova vlasnika, već i za državu, kada je moguće da bi za njih mogla pokazati interes strana obavještajna služba. Pitanje takve zaštite trebalo bi se riješiti na ugovornoj osnovi između poduzetnika i savezne sigurnosne agencije uz određivanje granica i funkcija. profesionalna djelatnost ovo drugo. Što se same poslovne tajne tiče, ona nema posebnu kazneno-pravnu i režimsku zaštitu.

Stvarna ili potencijalna komercijalna vrijednost informacija u velikoj je mjeri subjektivna i omogućuje poduzetniku da ograniči pristup gotovo svim informacijama koje se koriste u poslovanju, s izuzetkom informacija koje su određene zakonskim i podzakonskim aktima.

Koji podaci ne mogu biti poslovna tajna? Uredba Vlade RSFSR-a od 5. prosinca 1991. br. 35 „O popisu informacija koje ne mogu biti poslovna tajna” navodi:

Osnivački dokumenti (odluka o osnivanju poduzeća ili ugovor osnivača) i Povelja;

Dokumenti koji daju pravo na bavljenje poduzetničkim (djelatnostima (potvrde o registraciji, licence, patenti);

Podaci o utvrđenim oblicima izvješćivanja o financijsko-gospodarskom poslovanju i drugi podaci potrebni za provjeru pravilnosti obračuna i plaćanja poreza i drugih obveznih davanja državi proračunski sustav RSFSR;

Dokumenti o solventnosti;

Podaci o broju, sastavu zaposlenih, njihovim plaće i uvjete rada, kao i dostupnost slobodnih radnih mjesta;

Dokumenti o uplati poreza i obveznih plaćanja;

Pojedinosti o kontaminaciji okoliš, kršenje antimonopolskog zakonodavstva, nepoštivanje sigurnih radnih uvjeta, prodaja proizvoda koji su štetni za javno zdravlje, kao i druga kršenja zakonodavstva RSFSR-a i iznos štete nastale u ovom slučaju;

Podaci o sudjelovanju dužnosnika poduzeća u zadrugama, malim poduzećima, partnerstvima, dioničkim društvima, udrugama i drugim organizacijama koje se bave poduzetničkim aktivnostima.

Istim normativnim aktom zabranjuje se državnim i općinskim poduzećima, prije i tijekom njihove privatizacije, klasificiranje sljedećih podataka kao poslovne tajne:

O veličini imovine poduzeća i njegovoj gotovini;

O ulaganju u prihodnu imovinu (vrijednosne papire) drugih poduzetnika, u kamatonosne obveznice i zajmove, u temeljne fondove zajedničkih pothvata;

O kreditnim, trgovinskim i drugim obvezama poduzeća koje proizlaze iz zakonodavstva RSFSR-a i sporazuma koje je sklopilo;

O sporazumima sa zadrugama, drugim nedržavnim poduzećima, stvaralačkim i privremenim radnim kolektivima, kao i pojedinim građanima.

Treba napomenuti da su ograničenja nametnuta na korištenje informacija koje predstavljaju poslovnu tajnu usmjerena na zaštitu intelektualnog, materijalnog, financijskog vlasništva i drugih interesa koji proizlaze iz formiranja radne aktivnosti organizacije, osoblja odjela, kao i u njihovoj suradnji sa zaposlenicima drugih organizacija.

Svrha takvih ograničenja je spriječiti otkrivanje, curenje ili neovlašteni pristup povjerljivim informacijama. Ograničenja moraju biti primjerena i opravdana sa stajališta potrebe osiguranja informacijske sigurnosti. Nije dopušteno korištenje ograničenja za prikrivanje pogrešaka i nesposobnosti uprave organizacije, rastrošnosti, nelojalne konkurencije i drugih negativnih pojava u poslovanju organizacije, kao i za izbjegavanje ugovornih obveza i plaćanja poreza.

Službena tajna

Ako je glavni cilj osiguranja povjerljivosti podataka koji čine poslovnu tajnu osiguranje konkurentske prednosti, onda je zaštita povjerljivosti službene tajne, iako može utjecati na komercijalne interese organizacije, ali glavna zadaća osigurati interese kupaca ili vlastitih interesa koji nisu izravno povezani s komercijalnim aktivnostima. Dakle, podaci koji se odnose na mjere za osiguranje sigurnosti zaposlenika organizacije, zaštitu skladišta i drugih prostora itd., koji nisu izravno povezani s provedbom predmetnih aktivnosti, trebaju biti klasificirani kao službena, a ne komercijalna tajna.

Trenutno je institut službene tajne u domaćem pravu najmanje razvijen. U ovom problemu mogu se razlikovati tri grupe pitanja.

Prvo, na zakonodavnoj razini potrebno je riješiti pitanja „graničnih“ i „izvedenih“ informacija. "Granični" podatak je takav službeni podatak u bilo kojoj grani znanosti, tehnologije, proizvodnje i upravljanja, koji uz određenu generalizaciju i integraciju postaje državna tajna. "Izvedene" informacije - službene informacije dobivene kao rezultat dijeljenja informacija koje čine državnu tajnu u zasebne komponente, od kojih se svaka ne može pripisati njoj.

Drugo, posebna zakonska regulativa zahtijeva zaštitu informacija koje nastaju u djelovanju tijela javne vlasti i uprave. Za formiranje upravno-pravnog instituta službene tajne potrebno je donijeti poseban zakon čije bi djelovanje trebalo primjenjivati ​​na sve razine sustava javne uprave.

Treće, određena kategorija značajnih informacija subjekata građanskopravnih odnosa zahtijeva zaštitu. To se odnosi na pravnu zaštitu informacija koje se u aktivnostima organizacija ne mogu klasificirati kao poslovna tajna, unatoč činjenici da je u Građanskom zakoniku Ruske Federacije pojam službene tajne izravno povezan sa stvarnom ili potencijalnom komercijalnom vrijednošću. informacija.

Valja napomenuti da se trenutno primjenjuje pojednostavljeni pristup: sve informacije o poslovnim aktivnostima organizacije, čiji je pristup ograničen, klasificiraju se kao poslovna tajna. Međutim, ovim pristupom može biti teško utvrditi materijalnu štetu i izgubljenu dobit u slučaju nezakonitog širenja povjerljivih informacija, na primjer, informacija o sigurnosnom režimu organizacije ili drugim aspektima njezina funkcioniranja koji nisu izravno povezani s provedbu sadržajnih aktivnosti. Međutim, ove informacije moraju biti zaštićene, jer. komercijalni uspjeh organizacije uvelike ovisi o ograničavanju pristupa njima.

Profesionalne tajne

Sukladno važećem zakonodavstvu, profesionalna tajna uključuje podatke koji se odnose na službena djelatnost medicinski radnici, javni bilježnici, odvjetnici, privatni detektivi, svećenici, djelatnici banaka, matičnih ureda, osiguravajućih ustanova. Kao subjekt poslovne tajne može se ponašati i pravna i fizička osoba.

Povjerljivost podataka dobivenih u vezi s obavljanjem profesionalnih funkcija uvjetovana je prvenstveno normama profesionalne etike, a ne vlastitim komercijalni interesi poduzetnik ili organizacija. Odgovara pravni status norme koje se razmatraju dobivaju svoju zakonodavnu konsolidaciju.

1)bankarska tajna. Pojam bankovne tajne, sukladno čl. 857 Građanskog zakonika Ruske Federacije, pokriva podatke o bankovnom računu, depozitu, transakcijama po računu, kao i podatke o klijentima banke.

Bankovnom tajnom štite se povjerljivi podaci klijenta ili poslovni podaci dopisnika.

Savezni zakon "O bankama i bankarskim djelatnostima" definira obveze subjekata, kategorije informacija i osnove na kojima se informacije daju zainteresiranim državnim tijelima, organizacijama i pojedincima. Kreditna institucija, Banka Rusije jamči tajnost poslovanja, računa i depozita svojih klijenata i korespondenata. Svi zaposlenici kreditne organizacije dužni su čuvati tajnu o transakcijama, računima i depozitima svojih klijenata i korespondenata, kao io drugim podacima koje je utvrdila kreditna organizacija, osim ako je to u suprotnosti sa saveznim zakonom.

Banka Rusije nema pravo otkrivati ​​podatke o računima, depozitima, kao i podatke o određenim transakcijama i operacijama iz izvješća kreditnih institucija koje je primila kao rezultat obavljanja funkcija licenciranja, nadzora i kontrole, osim ako drugačije propisano saveznim zakonima.

Dakle, kreditna institucija ima pravo bankovnom tajnom označiti sve podatke, osim onih koji su izričito navedeni u Zakonu.

2)javnobilježnička tajna. Tajnost je posebno pravilo javnobilježničkih radnji. Sukladno čl. 5 Osnova zakonodavstva Ruske Federacije o javnim bilježnicima, bilježniku u obavljanju službenih dužnosti, kao i osobama koje rade u javnobilježničkom uredu, zabranjeno je otkrivati ​​informacije, otkrivati ​​dokumente koji su im postali poznati u vezi s obavljanje javnobilježničkih radnji, uključujući i nakon ostavke ili razrješenja, osim kako je navedeno u Osnovama. Obveza čuvanja poslovne tajne sadržana je u tekstu javnobilježničke prisege.

3)procesne tajne obično se dijele na dvije vrste: istražna tajna i tajnost vijećanja sudaca.

Istraživačka misterija povezani s interesima zakonitog provođenja prethodne istrage u kaznenim predmetima (članak 310. Kaznenog zakona Ruske Federacije „Otkrivanje podataka iz prethodne istrage”). Podaci o tijeku istrage mogu se javno objaviti samo uz dopuštenje tužitelja, istražitelja ili osobe koja provodi uviđaj. Takve informacije mogu se odnositi kako na prirodu istražnih radnji koje se provode, tako i na bazu dokaza, izglede za istragu i krug osoba koje sudjeluju u istrazi. Važno je napomenuti da popis podataka koji čine istražnu tajnu nije utvrđen zakonom. To znači da tužitelj, istražitelj ili osoba koja provodi izvid mogu po vlastitom nahođenju odrediti koji se podaci o istrazi mogu posebno štititi, a koji ne.

Tajna sastanka sudaca. Za sve četiri vrste procesa koji postoje u domaćim pravnim postupcima predviđen je određeni postupak kojim se osigurava neovisnost i objektivnost donošenja odluke o predmetu. Jedna od svrha ovog postupka je zabrana otkrivanja informacija o raspravama, presudama, rezultatima glasovanja koji su se odvijali tijekom sastanka sudaca. Osiguranje tajnosti sjednice sudaca utvrđeno je čl. 193 Zakon o građanskom postupku (ZKP) Ruske Federacije, čl. 70. Saveznog ustavnog zakona "O Ustavnom sudu Ruske Federacije", čl. 124 Kodeksa arbitražnog postupka Ruske Federacije.

4)liječnička tajna. Prema čl. 61 Osnova zakonodavstva Ruske Federacije o zaštiti zdravlja građana, informacije o činjenici podnošenja zahtjeva za medicinsku skrb, zdravstvenom stanju građanina, dijagnozi njegove bolesti i drugim informacijama dobivenim tijekom pregleda i liječenje, predstavljaju liječničku tajnu. Građaninu mora biti potvrđeno jamstvo povjerljivosti informacija koje prenosi.

5)povjerljivost advokata i klijenta. U skladu sa Saveznim zakonom „O odvjetništvu i zastupanju u Ruskoj Federaciji”, odvjetnik, odvjetnički pomoćnik i odvjetnički vježbenik nemaju pravo otkrivati ​​podatke koje je nalogodavac dao u vezi s pružanjem pravne pomoći njemu. Štoviše, povjerljive informacije koje prima odvjetnik mogu biti u obliku dokumenata i usmeno. Zakonom su utvrđena jamstva neovisnosti odvjetnika. Posebno, odvjetnik ne može biti ispitan kao svjedok o okolnostima koje su mu doznate u svezi s obavljanjem dužnosti branitelja ili zastupnika (čl. 15. Zakona).

6)osiguranje tajnosti. Institucija tajne osiguranja u mnogočemu je slična instituciji bankovne tajne. Tajnost osiguranja, sukladno čl. 946 Građanskog zakonika Ruske Federacije, predstavljaju informacije koje je osiguratelj primio kao rezultat svojih profesionalnih aktivnosti o osiguraniku, osiguranoj osobi i korisniku, njihovom zdravstvenom stanju, kao i imovinskom statusu tih osoba. Za povredu tajnosti osiguranja osiguravatelj, ovisno o vrsti povrijeđenog prava i naravi povrede, odgovara prema pravilima iz čl. 139. odnosno čl. 150 Građanskog zakonika Ruske Federacije.

Prema čl. 8 Zakona Ruske Federacije "O organizaciji poslovanja osiguranja u Ruskoj Federaciji", i pravne i fizičke osobe - zastupnici u osiguranju i posrednici u osiguranju - mogu djelovati kao osoba obvezna čuvati tajnost osiguranja. Osim toga, sukladno čl. 33 navedenih službenika Zakona federalno tijelo izvršno tijelo za nadzor poslova osiguranja nema pravo koristiti za osobnu korist i u bilo kojem obliku iznositi podatke koji predstavljaju poslovnu tajnu osiguravatelja.

7)komunikacijska tajna . Savezni zakon "o komunikacijama" u smislu zaštite informacija uređuje odnose s javnošću koji se odnose na osiguranje nemogućnosti nezakonitog upoznavanja s porukama koje prenose bilo koji subjekti - fizičke ili pravne osobe - putem komunikacijskih sredstava. Ovakvom formulacijom pitanja tajnost komunikacije postaje alat za osiguranje sigurnosti povjerljivih informacija.

Tajnost dopisivanja, telefonskih razgovora, poštanskih pošiljaka, telegrafskih i drugih poruka koje se prenose mrežama električnih i pošta zaštićen Ustavom Ruske Federacije. Obveza osiguranja poštivanja tajnosti komunikacija povjerena je operatoru komunikacija, pod kojim se podrazumijeva fizička ili pravna osoba koja ima pravo pružanja elektroenergetskih ili poštanskih usluga. Također, telekom operateri dužni su čuvati tajnost podataka o pretplatnicima i komunikacijskim uslugama koje im pružaju, a koji su operatorima postali poznati obavljanjem profesionalnih dužnosti.

8)tajnost posvojenja. Ustanova tajnosti posvojenja povezana je s interesima zaštite obiteljski život a izražava se u uspostavljanju građanske i kaznene odgovornosti za odavanje tajne posvojenja (posvojenja). Prema čl. 155 Kaznenog zakona Ruske Federacije, tajnost posvojenja može biti dvije vrste. Prvi posjeduju osobe koje su dužne čuvati činjenicu posvojenja kao službenu ili profesionalnu tajnu (suci, zaposlenici lokalnih uprava, tijela starateljstva i starateljstva i druge osobe navedene u dijelu 1. članka 139. IK RF). Drugo - sve druge osobe, ako se utvrde njihovi plaćenički ili drugi podli motivi pri odavanju tajne posvojenja bez pristanka oba posvojitelja.

9)tajna ispovijedi. Osiguravanje tajnosti ispovijedi unutarnja je stvar svećenika; on nije zakonski odgovoran za njegovo otkrivanje. Prema 2. dijelu čl. 51. Ustava Ruske Federacije i dio 7. čl. 3 Saveznog zakona „O slobodi savjesti i vjerskim udrugama“, svećenik ne može biti pozvan na odgovornost za odbijanje svjedočenja zbog okolnosti koje su mu postale poznate iz ispovijedi.

Ankete o privatnosti relevantne su za svako moderno poduzeće. Povjerljivi podaci tvrtke moraju se zaštititi od curenja, gubitka i drugih lažnih aktivnosti jer to može dovesti do kritičnih poslovnih posljedica. Važno je razumjeti koje podatke treba zaštititi, odrediti načine i metode organiziranja informacijske sigurnosti.

Podaci kojima je potrebna zaštita

Informacije koje su iznimno važne za poslovanje trebaju imati ograničen pristup u poduzeću, a njihovo korištenje podliježe jasnoj regulativi. Podaci koje je potrebno pažljivo zaštititi uključuju:

• poslovna tajna;
• proizvodna dokumentacija tajne prirode;
• know-how tvrtke;
• baza klijenata;
• osobni podaci zaposlenika;
• druge podatke koje tvrtka smatra potrebnima za zaštitu od curenja.

Povjerljivost informacija često se krši kao rezultat lažnih radnji zaposlenika, uvođenja zlonamjernog softvera, lažnih operacija vanjskih uljeza. Nije važno s koje strane prijetnja dolazi, morate osigurati povjerljive podatke u kompleksu koji se sastoji od nekoliko zasebnih blokova:

• utvrđivanje popisa dobara koja se štite;
• izrada dokumentacije kojom se regulira i ograničava pristup podacima društva;
• određivanje kruga osoba kojima će kliničko ispitivanje biti dostupno;
• definiranje postupaka odgovora;
• procjena rizika;
• uvođenje tehničkih sredstava za zaštitu KI.

Savezni zakoni utvrđuju zahtjeve za ograničavanje pristupa informacijama koje su povjerljive. Ove zahtjeve moraju ispunjavati osobe koje pristupaju takvim podacima. Oni nemaju pravo prenositi te podatke trećim stranama ako njihov vlasnik ne da svoj pristanak na to (članak 2. stavak 7. Saveznog zakona Ruske Federacije „O informacijama, informacijskim tehnologijama i zaštiti informacija“).

Savezni zakoni zahtijevaju zaštitu temelja ustavnog poretka, prava, interesa, zdravlja ljudi, moralnih načela, kako bi se osigurala sigurnost države i obrambena sposobnost zemlje. U tom smislu, neophodno je pridržavati se CI, kojemu je pristup ograničen saveznim zakonima. Ovim propisima definirano je:

• pod kojim se uvjetima podaci klasificiraju kao službena, poslovna, druga tajna;
• obvezno poštivanje uvjeta povjerljivosti;
• odgovornost za otkrivanje CI.

Podaci koje primaju zaposlenici tvrtki i organizacija koje se bave određenim vrstama djelatnosti moraju biti zaštićeni u skladu sa zahtjevima zakona o zaštiti povjerljivih podataka, ako su im u skladu sa saveznim zakonom takve dužnosti dodijeljene. Podaci koji se odnose na profesionalnu tajnu mogu se dati trećim stranama ako je to propisano saveznim zakonom ili postoji sudska odluka (prilikom razmatranja slučajeva otkrivanja CI, utvrđivanja slučajeva krađe itd.).

Zaštita povjerljivih podataka u praksi

Tijekom radnog procesa poslodavac i zaposlenik razmjenjuju veliku količinu informacija različite prirode, uključujući povjerljivu korespondenciju, rad s internim dokumentima (na primjer, osobni podaci zaposlenika, razvoj poduzeća).

Stupanj pouzdanosti zaštite informacija izravno ovisi o tome koliko su vrijedni za tvrtku. Sklop pravnih, organizacijskih, tehničkih i drugih mjera predviđenih u te svrhe sastoji se od različitih sredstava, metoda i mjera. Mogu značajno smanjiti ranjivost zaštićenih informacija i spriječiti neovlašteni pristup istima, popraviti i spriječiti njihovo curenje ili otkrivanje.

Pravne metode trebaju primjenjivati ​​sve tvrtke, bez obzira na jednostavnost sustava zaštite koji se koristi. Ako ova komponenta nedostaje ili se ne poštuje u potpunosti, tvrtka neće moći zaštititi CI, neće moći pravno pozvati na odgovornost one koji su odgovorni za njegov gubitak ili otkrivanje. Pravna zaštita- ovo je u osnovi pravno valjana papirologija, pravi posao sa zaposlenicima organizacije. Ljudi su osnova sustava za zaštitu vrijednih povjerljivih informacija. U ovom slučaju potrebno je odabrati učinkovite metode rada sa zaposlenicima. Tijekom razvoja mjera od strane poduzeća za osiguranje sigurnosti CI, pitanja upravljanja trebaju biti među prioritetima.

Zaštita informacija u poduzeću

U slučaju građanskih i radnih sporova o otkrivanju, krađi ili drugim štetnim radnjama u vezi s poslovnom tajnom, odluka o uključivanju određenih osoba u to ovisit će o ispravnosti stvaranja sustava zaštite tih podataka u organizaciji. .

Posebnu pozornost treba obratiti na identifikaciju dokumentacije koja predstavlja poslovnu tajnu, označavajući je odgovarajućim natpisima s naznakom vlasnika informacije, njegovog naziva, mjesta i kruga osoba koje im imaju pristup.

Zaposlenici se prilikom zapošljavanja i tijekom rada, kako se formira baza CI, moraju upoznati s lokalnim propisima koji uređuju korištenje poslovne tajne, te se strogo pridržavati uvjeta za postupanje s njom.

Ugovori o radu trebaju sadržavati klauzule o neotkrivanju od strane zaposlenika određenih podataka koje mu poslodavac daje za korištenje u radu, te odgovornosti za kršenje tih zahtjeva.

IT informacijska sigurnost

Važno mjesto u zaštiti KI zauzima osiguranje tehničkih mjera, budući da u suvremenoj visokoj tehnologiji svijet informacija korporativna špijunaža, neovlašteni pristup korporativnoj CI, rizik od gubitka podataka kao rezultat kibernetičkih napada virusa prilično su česti. Danas nisu samo velike tvrtke u kontaktu s problemom curenja informacija, već i srednje i male tvrtke osjećaju potrebu za zaštitom povjerljivih podataka.

Prekršitelji mogu iskoristiti svaku pogrešku učinjenu u zaštiti informacija, na primjer, ako su sredstva za njezino osiguranje pogrešno odabrana, instalirana ili pogrešno konfigurirana.

Hakiranje, hakiranje interneta, krađa povjerljivih informacija, koje danas postaju skuplje od zlata, zahtijevaju od vlasnika tvrtki da ih sigurno zaštite i spriječe pokušaje krađe i oštećenja tih podataka. O tome izravno ovisi uspjeh poslovanja.

Mnoge tvrtke koriste moderne, visoko učinkovite sustave kibernetičke obrane izazovne zadatke otkrivanje prijetnji, sprječavanje i zaštita od curenja. Potrebno je koristiti visokokvalitetne moderne i pouzdane čvorove koji su sposobni brzo odgovoriti na poruke sustava zaštite informacijskih blokova. U velikim organizacijama, zbog složenosti interakcijskih shema, višerazinske infrastrukture i velike količine informacija, vrlo je teško pratiti tokove podataka i detektirati upade u sustav. Tu u pomoć može priskočiti „pametan“ sustav koji može identificirati, analizirati i izvesti druge radnje s prijetnjama kako bi se na vrijeme spriječile njihove negativne posljedice.

Za otkrivanje, pohranjivanje, identifikaciju izvora, odredišta, načina curenja informacija koriste se razne IT tehnologije među kojima valja istaknuti DLP i SIEM sustave koji djeluju sveobuhvatno i cjelovito.

DLP sustavi za sprječavanje gubitka podataka

Kako bi se spriječila krađa povjerljivih podataka tvrtke, koja može nanijeti nepopravljivu štetu poslovanju (podaci o kapitalnim ulaganjima, baza kupaca, know-how i sl.), potrebno je osigurati pouzdanost i sigurnost istih. (Data Loss Prevention) je pouzdani zaštitnik od krađe KI. Oni štite informacije istovremeno kroz nekoliko kanala koji mogu biti ranjivi na napade:

• USB konektori;
• lokalno funkcionalni i mrežni pisači;
• vanjski diskovi;
• Internet;
• poštanske usluge;
• računi, itd.

Glavna svrha DLP sustava je kontrolirati situaciju, analizirati je i stvoriti uvjete za učinkovit i siguran rad. Njegov zadatak je analizirati sustav bez informiranja zaposlenika tvrtke o korištenju ove metode praćenja radničkih čvorova. Zaposlenici nisu ni svjesni postojanja takve zaštite.

DLP sustav kontrolira podatke koji se najviše prenose raznim kanalima. Ona se bavi njihovom aktualizacijom, identificira informacije prema stupnju njihove važnosti u smislu povjerljivosti. Ako govoriti prostim jezikom, DLP filtrira podatke i prati njihovu sigurnost, procjenjuje svaku pojedinačnu informaciju, donosi odluku o mogućnosti preskakanja. Ako se otkrije curenje, sustav će ga blokirati.

Korištenje ovog programa omogućuje vam ne samo spremanje podataka, već i određivanje tko ih je poslao. Ako, primjerice, zaposlenik tvrtke odluči "prodati" informacije trećoj strani, sustav će identificirati takvu radnju i poslati te podatke u arhivu na pohranu. To će vam omogućiti da analizirate podatke, izvadite ih iz arhive u bilo kojem trenutku, otkrijete pošiljatelja, ustanovite gdje i u koju svrhu su ti podaci poslani.

Specijalizirani DLP sustavi složeni su i višenamjenski programi koji pružaju visok stupanj zaštite povjerljivih podataka. Preporučljivo ih je koristiti za širok raspon poduzeća kojima je potrebna posebna zaštita povjerljivih podataka:

• privatne informacije;
• intelektualno vlasništvo;
• financijski podaci;
• medicinske informacije;
• informacije o kreditnoj kartici itd.

SIEM sustavi

Stručnjaci vjeruju da je učinkovit način za osiguranje informacijske sigurnosti program (Security Information and Event Management), koji vam omogućuje sažetak i kombiniranje svih zapisa tekućih procesa na različitim resursima i drugim izvorima (DLP sustavi, softver, mrežni uređaji, IDS). , zapisnici OS-a, usmjerivači, poslužitelji, radne stanice). korisnici itd.).

Ako prijetnja nije otkrivena na vrijeme, dok postojeći sustav sigurnost radila na odbijanju napada (što se ne događa uvijek), "povijest" takvih napada naknadno postaje nedostupna. SIEM će te podatke prikupljati u cijeloj mreži i pohranjivat će ih određeno vremensko razdoblje. To vam omogućuje korištenje dnevnika događaja pomoću SIEM-a u bilo kojem trenutku za korištenje njegovih podataka za analizu.

Osim toga, ovaj sustav vam omogućuje korištenje praktičnih ugrađenih alata za analizu i obradu incidenata koji su se dogodili. Pretvara teško čitljive formate informacija o incidentima, sortira ih, odabire one najznačajnije i filtrira one beznačajne.

Posebna SIEM pravila određuju uvjete za akumulaciju sumnjivih događaja. Ona će ih prijaviti kada skupe toliki broj (tri ili više) koji ukazuje na moguću prijetnju. Primjer je netočan unos lozinke. Ako se otkrije samo jedan događaj netočnog unosa lozinke, SIEM to neće prijaviti, budući da se slučajevi jednokratnih pogrešaka prilikom unosa lozinke događaju prilično često. No registracija ponovljenih pokušaja unosa nevažeće lozinke tijekom prijave na isti račun može ukazivati ​​na neovlašteni pristup.

Svaka tvrtka danas treba takve sustave ako joj je važno očuvati svoju informacijsku sigurnost. SIEM i DLP pružaju potpunu i pouzdanu informacijsku zaštitu tvrtke, pomažu u izbjegavanju curenja informacija i omogućuju vam da identificirate nekoga tko pokušava naštetiti poslodavcu krađom, uništavanjem ili oštećivanjem podataka.