"Kadrovnik. Radno pravo za kadrovskog referenta", 2011., br. 10

ZAŠTITA INFORMACIJA U ORGANIZACIJI

Autor se bavi problemom osiguravanja informacijske sigurnosti organizacije. Glavna se pozornost posvećuje poslovnim i službenim tajnama, kao i posebnostima rada s osobljem koje posjeduje povjerljive podatke.

Osiguravanje informacijske sigurnosti organizacije jedno je od prioritetnih područja uprave tvrtke u ovom trenutku. Očito je da pouzdanost zaštite informacija izravno ovisi o njezinoj vrijednosti. Za zaštitu podataka tvrtke potreban je niz mjera za formiranje sustava. U teoriji, sustav informacijske sigurnosti shvaća se kao racionalna kombinacija smjerova, metoda, sredstava i mjera kojima se smanjuje ranjivost informacija i sprječava neovlašteni pristup informacijama, njihovo otkrivanje ili curenje. Elementi takvog sustava su mjere pravne, organizacijske, tehničke i druge prirode.

Pravni element obvezan je za svaku vrstu organizacije i za svaki čak i najjednostavniji sustav informacijske sigurnosti. U njegovom nedostatku, organizacija neće moći pravilno zaštititi povjerljive informacije, kao ni kazneno goniti one koji su odgovorni za njihovo otkrivanje i gubitak.

Pravni element, odnosno mjere pravne prirode, uglavnom je usmjeren na pravilno izvršenje dokumenata, kao i na kompetentan rad s osobljem organizacije, budući da ljudski faktor leži u srcu sustava zaštite informacija. Općenito, u rješavanju problema informacijske sigurnosti organizacije značajno mjesto zauzima izbor učinkovitih metoda rada s osobljem, a pitanja upravljanja osobljem uključena su u broj glavnih pitanja u osiguravanju sigurnosti informacija.

U radnom odnosu poslodavac i zaposlenik razmjenjuju veliku količinu informacija različite prirode, uključujući i povjerljive podatke. Na primjer, poslodavac dobiva pristup osobnim podacima zaposlenika, a zaposlenik postaje svjestan tajnih podataka poslodavca. Ovaj članak se posebno bavi povjerljivim podacima poslodavca.

Osoblje organizacije

kao objekt i subjekt sigurnosnih prijetnji

U modernim tvrtkama gotovo svaki zaposlenik postaje nositelj vrijednih informacija koje su od interesa za konkurente, a ponekad i kriminalne strukture. Otkrivanje povjerljivih informacija može uzrokovati značajnu ekonomsku štetu organizaciji. Očigledno je da se tajno prikupljanje informacija, informacija, krađa dokumenata, materijala, uzoraka koji čine poslovnu, industrijsku, službenu tajnu, organizira s ciljem osvajanja tržišta, uštede na stjecanju znanja i sl. Nažalost, nije neuobičajeno da zaposlenik ili organizacija, u želji da poveća plaću, predloži svoju kandidaturu konkurentskoj tvrtki i istovremeno obećava da će sa sobom donijeti baze podataka stare tvrtke. Prema neslužbenim podacima, oko 80% organizacija pati od "industrijske špijunaže" u ovom ili onom obliku.

Dakle, u pitanju zaštite povjerljivih informacija organizacije od raznih vrsta prijetnji, osoblje poduzeća zauzima značajno mjesto, koje može postati i objekt i predmet takvih prijetnji. Potrebno je uvesti takav sustav upravljanja osobljem koji bi pomogao u osiguravanju informacijske sigurnosti, imao preventivnu ulogu u odnosu na navedene prijetnje.

Oblici provedbe prijetnji informacijskoj sigurnosti poduzeća raznoliki su po prirodi i sadržaju, što objektivno otežava proces njihovog suzbijanja. Pritom motivacija zaposlenika prilikom odavanja povjerljivih informacija može biti različita. Provedba mjera kadrovske službe za zaštitu podataka poduzeća uključuje planiranje, organiziranje, motiviranje i praćenje osoblja u cilju stvaranja sustava informacijske sigurnosti. Zapadni stručnjaci za osiguranje ekonomske sigurnosti smatraju da sigurnost povjerljivih informacija za 80% ovisi o pravilnom odabiru, rasporedu i obrazovanju osoblja.

Tipične greške poduzeća

Melnikova E.I. navodi podatke istraživanja na temu "Metode i sredstva zaštite poslovnih tajni u poduzeću", koje je provedeno u Uljanovsku. Sudjelovalo je 40 gradskih poduzeća iz reda velikih, srednjih i malih poduzeća te je zaključeno da ne postoji učinkovit sustav upravljanja kadrovima koji bi svugdje osigurao informacijsku sigurnost poduzeća.

Prema ovoj studiji, 65% svih poduzeća ne kontrolira unos i iznošenje papirnatih dokumenata, diskova, elektroničkih pogona i drugih medija, te video i fotografske opreme od strane zaposlenika s područja poduzeća. U 33,5% svih slučajeva u poduzećima prostori u kojima se nalaze računala nisu zaštićeni od neovlaštenog pristupa. U 55% poduzeća zaposlenici nakon otpuštanja ne uzimaju potvrdu o neotkrivanju povjerljivih informacija. U 55% svih poduzeća u poduzeću nije imenovana osoba odgovorna za računovodstvo zaposlenika koji imaju pristup podacima koji sadrže podatke koji predstavljaju poslovnu tajnu, čime se osigurava čuvanje dokumentacije, izdavanje zaposlenicima uz potpis i kontrola pravovremenosti. vraćanje navedene dokumentacije na pohranu. U 47,5% svih poduzeća ne postoje posebno organizirana mjesta za prihvat posjetitelja. U 3/4 poduzeća zabilježeni su slučajevi odavanja podataka koji predstavljaju poslovnu tajnu tijekom kretanja osoblja (zapošljavanje, preseljenje, otpuštanje).

Vrste povjerljivih informacija

Povjerljive informacije se nedvojbeno klasificiraju kao informacije s ograničenjem. Usput, pravni režim potonjeg nije dovoljno definiran u normativnim pravnim aktima. Koje se informacije u poslovanju mogu klasificirati kao povjerljive? Kako imenovati ovu informaciju? Kako dokumentirati obvezu zaposlenika čuvanja tajnih podataka o poslodavcu?

Za definiranje povjerljivih informacija koriste se različiti pojmovi, od kojih svaki nije točan i točan: "poslovna tajna", "službena tajna", "povlaštene informacije", "profesionalna tajna" itd. O svakom od njih treba reći nekoliko riječi. iznad pojmova.

Njegovi subjekti mogu biti isključivo državni ili općinski službenici;

Može uključivati ​​samo one povjerljive podatke koji postanu poznati osobama na temelju obavljanja profesionalnih dužnosti povezanih s državnom ili općinskom službom;

Ima posebnu kvalitetnu kompoziciju.

Treba napomenuti da u postojećem zakonodavstvu nema jasnih smjernica za utvrđivanje suštine službene tajne te se mora voditi znanstvenim pristupima.

Ovaj izraz nije prikladan za korištenje pri definiranju povjerljivih podataka trgovačkog društva, kao ni državne organizacije u kojoj se državna usluga ne pruža.

Izraz "inside information" doslovno preveden znači povlaštene informacije tvrtke.

Radnopravni rječnik. Insajder (inside English - inside) je osoba koja na temelju svog službenog položaja ima povjerljive podatke o poslovima poduzeća.

Članak 1. čl. 1. Direktive 2003/6 / EZ povlaštene informacije definiraju kao informacije koje nisu javno objavljene, poznate vrijednosti, a odnose se na jednog ili više izdavatelja financijskih instrumenata ili na jedan ili više takvih instrumenata, a koji će, ako budu otkriveni, zasigurno imati značajan učinak na kotacije financijskih instrumenata ili odgovarajućih izvedenica.

Za razliku od zemalja s razvijenim tržištima vrijednosnih papira, Rusija još nije uvela pojam "insajderske informacije" na zakonodavnoj razini. Prijedlog zakona "O insajderskim informacijama" je odbijen. Pojam nije bio uključen u normativni rječnik. Umjesto koncepta "insajderske informacije" u Saveznom zakonu od 22. travnja 1996. N 39-FZ "O tržištu vrijednosnih papira" (izmijenjen i dopunjen 11. srpnja 2011.), fiksiran je koncept "službenih informacija". Priznaje: 1) sve informacije koje nisu javno dostupne o izdavatelju i vlasničkim vrijednosnim papirima koje je izdao; 2) podatak kojim se osobe koje po službenom položaju, radnim obvezama ili ugovoru s izdavateljem te informacije stavljaju u povoljan položaj u odnosu na druge subjekte tržišta vrijednosnih papira.

V. I. Dobrovolskiy primjećuje da u svjetskoj praksi koncept "insajderskih informacija" odgovara konceptu "insajderskih informacija", budući da je ovaj koncept najuniverzalniji, uključujući službene, komercijalne, povjerljive itd. informacije.

U Rusiji pojam "vlasničke informacije" također znači povjerljive informacije, ali se koriste u području burze. Izraz "inside information" općenito se koristi neformalno.

Trebaju li informacije biti klasificirane kao povjerljive?

Zakonska definicija ima pojam "poslovne tajne". Riječ je, prvo, o režimu povjerljivosti informacija, koji omogućuje njegovom vlasniku, u postojećim ili mogućim okolnostima, da poveća prihode, izbjegne neopravdane troškove, zadrži poziciju na tržištu roba, radova, usluga ili ostvari druge komercijalne koristi; i drugo, to su same informacije, odnosno informacije bilo koje prirode (proizvodne, tehničke, ekonomske, organizacijske i druge) koje imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog činjenice da su nepoznate trećim osobama, kojima treće strane nemaju slobodan pristup na pravnoj osnovi.osnova i u odnosu na koje je vlasnik takvih informacija uveo režim poslovne tajne.

Vlasnik podatka ima pravo klasificirati ga kao poslovnu tajnu ako taj podatak zadovoljava navedene kriterije i nije uvršten na popis podataka koji ne mogu predstavljati poslovnu tajnu iz čl. 5 Saveznog zakona od 29. srpnja 2004. N 98-FZ "O poslovnim tajnama" (izmijenjen i dopunjen 11. srpnja 2011., u daljnjem tekstu - Zakon o poslovnim tajnama). Ovaj popis nije zatvoren, jer se u odnosu na druge podatke koji podliježu otkrivanju, Zakon o poslovnoj tajni poziva na druge propise.

Dakle, ako se zaposlenik nekome požalio da mu plaća kasni, ili je nekome rekao o slobodnim radnim mjestima u organizaciji, tada takve radnje neće biti odavanje poslovne tajne.

Radi zaštite informacija, često se prilikom sklapanja ugovora o radu zaposlenik dužan pridržavati uvjeta kao što je neotkrivanje poslovne tajne organizacije. Osim uvjeta o poslovnoj tajni, ugovor o radu ne isključuje mogućnost potpisivanja posebnog dokumenta o zaštiti podataka koji čine poslovnu tajnu, što je u svojoj biti logičan zaključak pravne registracije zaštite informacija na razini privrednog subjekta. G.M. Koleboshin s pravom ističe da u literaturi postoji prijedlog upravo o uputnosti sklapanja dodatnog ugovora o tajnosti podataka s zaposlenikom, koji može biti sadržan kao uvjet u ugovoru o radu ili postojati kao zaseban dokument. Dakle, organizacija može imati lokalni normativni akt posvećen poslovnoj tajni - propis o poslovnoj tajni (u daljnjem tekstu Uredba). Prilikom zapošljavanja zaposlenika koji će imati pristup tajnim podacima, poslodavac ga mora po primitku upoznati s lokalnim propisima koji su na snazi ​​u organizaciji, a koji su izravno povezani s radnom funkcijom tog zaposlenika (članak 68. Zakona o radu). Ruske Federacije; članak 11. Zakona o poslovnoj tajni), uključujući Pravilnik. Može sadržavati popis povjerljivih podataka, koji utvrđuje voditelj na temelju specifičnosti rada tvrtke. Odnosno, radnik mora biti upoznat s popisom podataka koji čine poslovnu tajnu poslodavca, kao i s utvrđenim režimom poslovne tajne i mjerama odgovornosti za njegovo kršenje.

Ako organizacija nije donijela lokalne propise koji uređuju rad s povjerljivim podacima, zaposlenici s njima nisu upoznati, sigurnost takvih podataka nije osigurana, ne treba govoriti o odavanju poslovne tajne, što znači da će biti nikakvi pravni zahtjevi protiv zaposlenika koji je otkrio takve podatke ne mogu, osim u slučaju kada je prikupljanje takvih informacija izvršeno kroz krađu dokumenata, podmićivanje ili prijetnje.

Također, uprava je dužna stvoriti potrebne uvjete da zaposlenik poštuje režim poslovne tajne (npr. osigurati sef za pohranjivanje klasificiranog materijala).

Dakle, zaposlenik mora jasno znati što spada u poslovnu tajnu organizacije, na koji je način zaštićena i biti u mogućnosti to promatrati.

Odgovornost za otkrivanje

U čl. 14. Zakona o poslovnoj tajni navodi da osoba koja je koristila podatke koji predstavljaju poslovnu tajnu, a nije imala dovoljno osnova da smatra da je korištenje tih podataka nezakonito, uključujući i pristup njima uslijed nesreće ili pogreške, ne može u u skladu sa Zakonom o tajno odgovarati. Ako zaposleniku koji nije upoznat s popisom tajnih dokumenata slučajno dođe u ruke dokument iz čijeg oblika i teksta mu nije jasno da taj podatak pripada poslovnoj tajni, neće snositi odgovornost za bilo njezino otkrivanje.

Ne treba zaboraviti da ne bi trebao postojati slobodan pristup tajnim informacijama. Primjerice, ako je zaposlenik neke tvrtke nekome proslijedio informacije o djelatnostima tvrtke, koje se mogu pronaći i na web stranici tvrtke, to nije nedolično.

Razotkrivanje poslovne tajne povlači disciplinsku, građansku, upravnu ili kaznenu odgovornost u skladu sa zakonodavstvom Ruske Federacije. Prilikom odavanja podataka koji predstavljaju poslovnu tajnu, radnik može dobiti otkaz na jednostranu inicijativu poslodavca, sukladno čl. 81 Zakona o radu Ruske Federacije.

Sporovi koji nastanu u vezi s odavanjem poslovne tajne u pravilu se razmatraju u okviru građansko-radnih odnosa i vrlo rijetko dopiru do kaznenog progona. Rješenje građanskih i radnih sporova ovisi o tome kako je poslodavac organizirao zaštitu povjerljivih podataka – poslovne tajne. Sudska praksa po ovom pitanju je vrlo oskudna.

Radnje poslodavca za zaštitu informacija

Rješenje građanskih i radnih sporova ovisi o tome kako je poslodavac organizirao zaštitu povjerljivih podataka – poslovne tajne. Poslodavac treba:

Izraditi popis informacija vezanih za poslovne tajne;

Ograničiti i regulirati pristup nositeljima informacija;

Odrediti krug osoba koje imaju pravo na pristup informacijama;

Stavite na dokumente koji čine poslovnu tajnu natpis "Povjerljivi podaci" (u ovom slučaju potrebno je navesti vlasnika podataka, njegovo mjesto i ime);

Upoznati djelatnike s lokalnim zakonima o poslovnoj tajni;

U ugovore o radu, posebno s novoprimljenim osobama, uvesti klauzulu o obvezi radnika da poslodavcu ne daje određene podatke.

Prilikom formuliranja sporazuma (ugovorne obveze) o obvezi neotkrivanja podataka ili Uredbe o poslovnim tajnama može se uzeti u obzir iskustvo američkih tvrtki, gdje su u ugovoru uključene sljedeće točke:

Detaljna izjava o načelima za određivanje specifičnih podataka koji čine tajnu tvrtke;

Sažetak postupka zaštite povjerljivih informacija;

Izjava o mjerama koje će sam zaposlenik poduzeti kako bi osigurao sigurnost ovih informacija;

Popis kazni koje mogu uslijediti za otkrivanje povjerljivih informacija.

Očito, takva pisana obveza da se ne otkrivaju tajne tvrtke ne daje potpuna jamstva za očuvanje tih informacija, ali, kako praksa pokazuje, značajno smanjuje rizik od otkrivanja takvih informacija od strane osoblja.

Dokumenti ponekad sadrže klauzulu o obvezi zaposlenika da obavijesti službu sigurnosti tvrtke ili neposrednog nadzornika o pokušaju neovlaštene osobe da dobije bilo kakve podatke o organizaciji, uključujući i povjerljive, kao i o slučajevima gubitka nositelja informacija.

Može se dati niz preporuka u vezi s otpuštanjem zaposlenika koji posjeduje povjerljive podatke. Kada zaposlenik napiše otkaz, potrebno je uzastopno izvršiti sljedeće korake: prihvatiti sve dokumente, baze podataka, medije za pohranu i sl. koji su evidentirani kod zaposlenika, prihvatiti propusnicu (identifikator), ključeve i pečate, obaviti razgovor sa zaposlenikom koji je dao otkaz.

Na razgovoru je vrijedno podsjetiti osobu da ima potpisane dokumente koji ga obvezuju da čuva tajne tvrtke. Neki autori preporučuju sastavljanje drugog ugovora s osobom koja daje ostavku o neotkrivanju povjerljivih podataka nakon napuštanja organizacije. Opet se okrećući iskustvu Sjedinjenih Država, nije neuobičajeno da se ugovor o savjetovanju sklapa s posebno vrijednim zaposlenicima koji odlaze tijekom niza godina. Štoviše, cijelo to vrijeme takvoj osobi se isplaćuje plaća. Takva materijalna i moralna povezanost s bivšim mjestom rada, smatra se, ne daje osobi razlog za odavanje povjerljivih informacija. Kod nas ova praksa, iz poznatih razloga, vjerojatno neće biti raširena i bit će primjenjiva samo na top menadžere velikih tvrtki.

Dakle, sadašnji regulatorni pravni akti ne pružaju učinkovitu zaštitu povjerljivih informacija organizacije. Kako bi zaštitio interne podatke, poslodavac se mora sam pobrinuti za tajne tvrtke, ispravno popunjavajući kako samu povjerljivu informaciju, tako i odnos sa zaposlenikom koji takve podatke posjeduje. Prilikom obavljanja radnji navedenih u ovom članku, organizacija može računati na odluku u svoju korist u slučaju mogućeg sudskog spora.

Bibliografski popis

1. Korneev IK, Stepanov EA Sigurnost informacija u uredu. M.: TK Welby, Prospekt, 2010.

2. Melnikova EI Oblici curenja informacija koje čine poslovnu tajnu i upravljanje osobljem poduzeća u cilju osiguranja informacijske sigurnosti // Pravni svijet. 2009. N 12. S. 40 - 43.

3. Sheverdyaev SN Ustavnopravni režim informacija ograničenog pristupa // Ustavno i općinsko pravo. 2007. broj 1.

4. Yakovets E. N., Smirnova I. N. Normativno uređenje cirkulacije informacija koje čine službenu tajnu // Informacijsko pravo. 2009. broj 4.

5. Direktiva 2003/6 / EZ "O insajderskim aktivnostima i tržišnoj manipulaciji, zlouporabi tržišta". Direktiva 2003/6 / EZ Europskog parlamenta i Vijeća od 28. siječnja 2003. o trgovanju povlaštenim informacijama i tržišnoj manipulaciji (zlouporaba tržišta). OJL 096, 12.04.2003. P. 0016 - 0025.

6. Dobrovolskiy V. I. Insider informacije u svjetskoj praksi, službene informacije i poslovne tajne u Rusiji // Poduzetničko pravo. 2008. broj 4.

7. Koleboshin GM Obveze radnika u odnosu na poslovnu tajnu poslodavca // Radno pravo. 2007. broj 5.

8. Ishcheynov V. Ya. Tehnologija za određivanje informacija klasificiranih kao poslovna tajna i čimbenici rizika // Uredski rad. 2010. N 2.S. 50.

I. Pogodina

glava stolica

građansko pravo i proces

Vladimir država

Sveučilište nazvano po A.G. i N.G. Stoletovim

Potpisan za tiskanje

Danas prijetnje povezane s neovlaštenim pristupom povjerljivim podacima mogu imati značajan utjecaj na aktivnosti organizacije. Potencijalna šteta od otkrivanja korporativnih tajni može uključivati ​​i izravne financijske gubitke, na primjer, kao rezultat prijenosa komercijalnih informacija konkurentima i troškove otklanjanja posljedica, i neizravne - lošu reputaciju i gubitak obećavajućih projekata. Posljedice gubitka prijenosnog računala s detaljima za pristup bankovnim računima, financijskim planovima i drugim privatnim dokumentima ne mogu se podcijeniti.

Jedna od najopasnijih prijetnji danas je neovlašteni pristup. Prema studiji Instituta za računalnu sigurnost, 65% tvrtki prijavilo je incidente koji uključuju neovlašteni pristup podacima u prošloj godini. Štoviše, zbog neovlaštenog pristupa svaka je tvrtka izgubila 2014.-2015. u prosjeku 353 tisuće dolara Štoviše, u usporedbi s 2012–2013. gubici su se povećali šest puta. Dakle, ukupni gubici koje je pretrpjelo više od 600 anketiranih tvrtki za godinu premašili su 38 milijuna dolara (vidi grafikon).

Problem je otežan činjenicom da neovlašteni pristup povjerljivim informacijama često prati krađa. Kao rezultat ove kombinacije dviju iznimno opasnih prijetnji, gubici tvrtke mogu se povećati nekoliko puta (ovisno o vrijednosti ukradenih podataka). Osim toga, tvrtke se često susreću s fizičkom krađom mobilnih računala, uslijed čega se ostvaruju i prijetnje neovlaštenog pristupa i krađe osjetljivih informacija. Usput, trošak samog prijenosnog uređaja često je neusporediv s cijenom podataka snimljenih na njemu.

Problemi s kojima se poduzeće susreće u slučaju curenja informacija posebno su pokazatelj krađe prijenosnih računala. Dovoljno je prisjetiti se nedavnih incidenata kada je Ernst & Youngu tijekom nekoliko mjeseci ukradeno pet prijenosnih računala, koji su sadržavali privatne podatke kupaca tvrtke: Cisco, IBM, Sun Microsystems, BP, Nokia, itd. kao pogoršanje imidža i smanjenje povjerenja kupaca. U međuvremenu, mnoge tvrtke imaju slične poteškoće.

Primjerice, u ožujku 2006. Fidelity je izgubila prijenosno računalo s privatnim podacima 200 tisuća HP-ovih zaposlenika, a u veljači je revizorska kuća PricewaterhouseCoopers izgubila prijenosno računalo s osjetljivim podacima 4 tisuće pacijenata jedne američke bolnice. Ako se popis nastavi, uključivat će poznate tvrtke kao što su Bank of America, Kodak, Ameritrade, Ameriprise, Verizon i druge.

Dakle, osim zaštite povjerljivih informacija od neovlaštenog pristupa, potrebno je zaštititi i sam fizički medij. Treba imati na umu da bi takav sigurnosni sustav trebao biti apsolutno transparentan i ne stvarati poteškoće korisniku pri pristupu osjetljivim podacima bilo u korporativnom okruženju ili kada radi na daljinu (kod kuće ili na poslovnom putu).

Do sada, ništa učinkovitije u zaštiti informacija od neovlaštenog pristupa od enkripcije podataka nije izmišljeno. Pod uvjetom da su kriptografski ključevi očuvani, enkripcija osigurava sigurnost osjetljivih podataka.

Tehnologije šifriranja

Kako bi se informacije zaštitile od neovlaštenog pristupa, koriste se tehnologije šifriranja. Međutim, korisnici koji nemaju odgovarajuće znanje o metodama enkripcije mogu imati pogrešan dojam da su svi osjetljivi podaci sigurno zaštićeni. Razmotrimo glavne tehnologije šifriranja podataka.

• Šifriranje datoteke po datoteku. Korisnik sam bira datoteke koje će se šifrirati. Ovaj pristup ne zahtijeva duboku integraciju alata za enkripciju u sustav, te stoga omogućuje proizvođačima kriptografskih alata implementaciju rješenja za više platformi za Windows, Linux, MAC OS X, itd.
• Šifriranje imenika. Korisnik stvara mape u kojima se svi podaci automatski šifriraju. Za razliku od prethodnog pristupa, šifriranje se događa u hodu, a ne na zahtjev korisnika. Općenito, šifriranje imenika je prilično prikladno i transparentno, iako se temelji na istoj enkripciji datoteke po datoteku. Ovaj pristup zahtijeva duboku interakciju s operativnim sustavom, stoga ovisi o korištenoj platformi.
• Šifriranje virtualnih diskova. Koncept virtualnih diskova implementiran je u neke kompresijske uslužne programe kao što su Stacker ili Microsoft DriveSpace. Šifriranje virtualnih diskova uključuje stvaranje velike skrivene datoteke na vašem tvrdom disku. Ta je datoteka tada dostupna korisniku kao zaseban disk (operacijski sustav je "vidi" kao novi logički disk). Na primjer, pogon X: \. Sve informacije pohranjene na virtualnom disku su šifrirane. Glavna razlika od prethodnih pristupa je u tome što kriptografski softver ne mora šifrirati svaku datoteku zasebno. Ovdje se podaci automatski šifriraju samo kada se zapisuju ili čitaju s virtualnog diska. U tom se slučaju rad s podacima provodi na razini sektora (obično veličine 512 bajtova).
• Šifriranje cijelog diska. U ovom slučaju, apsolutno je sve šifrirano: sektor za pokretanje sustava Windows, sve sistemske datoteke i sve druge informacije na disku.
• Zaštita procesa pokretanja. Ako je cijeli disk šifriran, operativni sustav se neće moći pokrenuti dok neki mehanizam ne dešifrira datoteke za pokretanje. Stoga, šifriranje cijelog diska nužno znači zaštitu procesa podizanja sustava. Obično se od korisnika traži da unese lozinku kako bi se operativni sustav pokrenuo. Ako korisnik ispravno unese lozinku, program za šifriranje će dobiti pristup ključevima za šifriranje, što će omogućiti čitanje daljnjih podataka s diska.

Dakle, postoji nekoliko načina za šifriranje podataka. Neki od njih su manje pouzdani, neki su brži, a neki uopće nisu prikladni za zaštitu važnih informacija. Kako biste mogli procijeniti prikladnost određenih metoda, razmotrite probleme s kojima se kriptografska aplikacija susreće prilikom zaštite podataka.

Značajke operativnih sustava

Zadržimo se na nekim značajkama operacijskih sustava, koji, unatoč svim svojim pozitivnim funkcijama, ponekad samo ometaju pouzdanu zaštitu povjerljivih informacija. Ispod su najčešći sistemski mehanizmi koji ostavljaju brojne "rupe" za napadača, a relevantni su i za prijenosna računala i za PDA.

• Privremene datoteke. Mnogi programi (uključujući operativni sustav) koriste privremene datoteke za pohranu međupodataka dok su u radu. Često se točna kopija datoteke koju je otvorio program bilježi u privremenu datoteku, što omogućuje potpuni oporavak podataka u slučaju neočekivanih kvarova. Naravno, nosivost privremenih datoteka je velika, međutim, budući da su nekriptirane, takve datoteke predstavljaju izravnu prijetnju korporativnim tajnama.
• Zamijenite datoteke (ili zamijenite datoteke). Tehnologija swap datoteka vrlo je popularna u modernim operativnim sustavima, što vam omogućuje da bilo kojoj aplikaciji pružite gotovo neograničenu količinu RAM-a. Dakle, ako operativni sustav nema dovoljno memorijskih resursa, automatski zapisuje podatke iz RAM-a na tvrdi disk (u datoteku stranične memorije). Čim se pojavi potreba za korištenjem pohranjenih informacija, operativni sustav izdvaja podatke iz swap datoteke i, ako je potrebno, stavlja druge informacije u tu pohranu. Na isti način kao u prethodnom slučaju, tajni podaci u nešifriranom obliku mogu lako ući u datoteku stranične memorije.
• Poravnanje datoteke. Datotečni sustav Windows raspoređuje podatke u klastere koji mogu obuhvaćati do 64 sektora. Čak i ako je datoteka duga nekoliko bajtova, i dalje će zauzimati cijeli klaster. Velika datoteka bit će podijeljena u komade, svaki veličine klastera datotečnog sustava. Ostatak split-a (obično zadnjih nekoliko bajtova) i dalje će zauzeti cijeli klaster. Dakle, posljednji sektor datoteke dobiva nasumične informacije koje su bile u RAM-u računala u vrijeme kada je datoteka zapisana na disk. Možda postoje lozinke i ključevi za šifriranje. Drugim riječima, posljednja skupina bilo koje datoteke može sadržavati prilično osjetljive informacije, u rasponu od nasumičnih informacija iz RAM-a do podataka iz e-pošte i tekstualnih dokumenata koji su prethodno bili pohranjeni na ovom mjestu.
• Košara. Kada korisnik izbriše datoteku, Windows je premješta u smeće. Sve dok se smeće ne isprazni, datoteka se može lako vratiti. Međutim, čak i ako ispraznite smeće, podaci će i dalje fizički ostati na disku. Drugim riječima, obrisane informacije se često mogu pronaći i vratiti (ako preko njih nisu napisani drugi podaci). Za to postoji ogroman broj aplikacija, neke od njih su besplatne i slobodno distribuirane putem Interneta.
• Windows registar. Sam sustav Windows, poput velikog broja aplikacija, pohranjuje svoje specifične podatke u registar sustava. Na primjer, web preglednik pohranjuje nazive domena stranica koje je korisnik posjetio u registru. Čak i Word uređivač teksta sprema naziv posljednje datoteke koja je otvorena u registru. U ovom slučaju OS koristi registar prilikom pokretanja. Sukladno tome, ako se bilo koja metoda šifriranja pokrene nakon pokretanja sustava Windows, rezultati njegovog rada mogu biti ugroženi.
• Windows NT datotečni sustav (NTFS). Sustav datoteka s ugrađenom kontrolom pristupa (kao što je Windows NT) smatra se sigurnim. Činjenica da korisnik mora unijeti lozinku za pristup svojim osobnim datotekama ostavlja lažan dojam da su osobne datoteke i podaci sigurno zaštićeni. Međutim, čak i datotečni sustav s ugrađenim popisima za kontrolu pristupa (ACL), kao što je NTFS, ne pruža apsolutno nikakvu zaštitu od napadača s fizičkim pristupom tvrdom disku ili administratorskim pravima na računalu. U oba slučaja kriminalac može dobiti pristup povjerljivim podacima. Da bi to učinio, trebat će mu jeftin (ili općenito besplatan) uređivač diska za čitanje tekstualnih informacija na disku kojem ima fizički pristup.
• Način spavanja. Ovaj način rada je vrlo popularan na prijenosnim računalima jer štedi energiju baterije kada je računalo uključeno, ali se ne koristi. Kada prijenosno računalo uđe u stanje mirovanja, operativni sustav kopira apsolutno sve podatke u RAM-u na disk. Dakle, kada se računalo "probudi", operativni sustav može lako vratiti svoje prijašnje stanje. Očito, u ovom slučaju osjetljive informacije mogu lako doći do tvrdog diska.
• Skrivene particije tvrdog diska. Skrivena particija je ona koju operativni sustav uopće ne prikazuje korisniku. Neke aplikacije (na primjer, one koje se bave uštedom energije na prijenosnim računalima) koriste skrivene particije za pohranu podataka u njih umjesto datoteka na uobičajenim particijama. S ovim pristupom, informacije postavljene na skrivenu particiju nisu zaštićene ni na koji način i može ih lako pročitati svatko tko koristi uređivač diska.
• Slobodni prostor i razmak između sekcija. Sektori na samom kraju diska ne pripadaju nijednoj particiji, ponekad se prikazuju kao slobodni. Još jedno nezaštićeno mjesto je prostor između pregrada. Nažalost, neke aplikacije, kao i virusi, mogu tamo pohraniti svoje podatke. Čak i ako formatirate tvrdi disk, ove informacije će ostati netaknute. Lako se može obnoviti.

Dakle, za učinkovitu zaštitu podataka nije ih dovoljno samo šifrirati. Potrebno je paziti da kopije povjerljivih informacija ne “cure” u privremene i swap datoteke, kao i na druga “tajna mjesta” operativnog sustava, gdje su ranjive na napadača.

Prikladnost različitih pristupa šifriranju podataka

Pogledajmo kako se različiti pristupi enkripciji podataka nose sa specifičnostima operacijskih sustava.

Šifriranje datoteke

Ova metoda se uglavnom koristi za slanje šifriranih datoteka putem e-pošte ili interneta. U tom slučaju korisnik šifrira određenu datoteku koju treba zaštititi od trećih strana i šalje je primatelju. Ovaj pristup pati od niske brzine rada, posebno kada je riječ o velikim količinama informacija (uostalom, morate šifrirati svaku datoteku priloženu pismu). Drugi problem je što je samo originalna datoteka šifrirana, a privremene datoteke i datoteka stranične memorije ostaju potpuno nezaštićene, pa je zaštita osigurana samo od napadača koji pokušava presresti poruku na internetu, ali ne i protiv kriminalca koji je ukrao prijenosno računalo ili PDA. Dakle, možemo zaključiti: šifriranje datoteke po datoteku ne štiti privremene datoteke, njegova upotreba za zaštitu važnih informacija je neprihvatljiva. Međutim, ovaj koncept je prikladan za slanje male količine informacija preko mreže s računala na računalo.

Šifriranje mapa

Za razliku od šifriranja datoteke po datoteku, ovaj pristup vam omogućuje prijenos datoteka u mapu gdje će se automatski šifrirati. Stoga je rad sa zaštićenim podacima mnogo praktičniji. Budući da se šifriranje mape temelji na enkripciji datoteke po datoteku, obje metode ne pružaju pouzdanu zaštitu za privremene datoteke, datoteke stranica, ne brišu fizički podatke s diska itd. Štoviše, šifriranje imenika je vrlo rasipničko za memorijske i procesorske resurse. Procesoru je potrebno vrijeme da stalno šifrira/dešifrira datoteke, a za svaku zaštićenu datoteku na disku se dodjeljuje dodatni prostor (ponekad više od 2 KB). Sve to čini enkripciju imenika vrlo zahtjevnom i sporom. Ukratko, iako je ova metoda prilično transparentna, ne može se preporučiti za zaštitu osjetljivih informacija. Pogotovo ako napadač može dobiti pristup privremenim datotekama ili stranicama.

Šifriranje virtualnih diskova

Ovaj koncept podrazumijeva stvaranje velike skrivene datoteke koja se nalazi na tvrdom disku. Operativni sustav ga tretira kao zaseban logički pogon. Korisnik može staviti softver na takav disk i komprimirati ga kako bi uštedio prostor. Razmotrimo prednosti i nedostatke ove metode.

Prije svega, korištenje virtualnih diskova povećava opterećenje na resurse operacijskog sustava. Činjenica je da svaki put kada se pristupi virtualnom disku, operativni sustav mora preusmjeriti zahtjev na drugi fizički objekt - datoteku. To će sigurno imati negativan utjecaj na performanse. Zbog činjenice da sustav ne identificira virtualni disk s fizičkim, može doći do problema sa zaštitom privremenih datoteka i stranične datoteke. U usporedbi s šifriranjem imenika, koncept virtualnih diskova ima i prednosti i nedostatke. Na primjer, šifrirani virtualni disk štiti nazive datoteka koje se nalaze u virtualnim tablicama datoteka. Međutim, ovaj virtualni disk ne može se proširiti tako lako kao obična mapa, što je vrlo nezgodno. Ukratko, možemo reći da je šifriranje virtualnih diskova puno pouzdanije od prethodne dvije metode, ali može ostaviti privremene datoteke i datoteke stranične memorije nezaštićene ako programeri ne vode posebnu brigu o tome.

Potpuna enkripcija diska

Ovaj koncept se temelji na šifriranju sektor po sektor, a ne datoteku po datoteku. Drugim riječima, svaka datoteka zapisana na disk bit će šifrirana. Kriptografski programi šifriraju podatke prije nego ih operativni sustav stavi na disk. Da bi to učinio, kriptografski program presreće sve pokušaje operacijskog sustava da zapiše podatke na fizički disk (na razini sektora) i izvršava operacije šifriranja u hodu. Ovaj pristup također šifrira privremene datoteke, datoteku stranične stranice i sve izbrisane datoteke. Logična posljedica ove metode trebala bi biti značajno smanjenje ukupne razine performansi računala. To je problem na kojem rade mnogi programeri enkripcije, iako već postoji nekoliko uspješnih implementacija takvih proizvoda. Da rezimiramo: šifriranjem cijelog diska izbjegavaju se situacije u kojima neki dio važnih podataka ili njihova točna kopija ostane negdje na disku u nešifriranom obliku.

Zaštita procesa pokretanja. Kao što je već napomenuto, preporučljivo je zaštititi proces pokretanja prilikom šifriranja cijelog diska. U tom slučaju nitko neće moći pokrenuti operativni sustav bez prolaska postupka provjere autentičnosti na početku pokretanja sustava. A za to morate znati lozinku. Ako napadač ima fizički pristup tvrdom disku koji sadrži tajne podatke, tada neće moći brzo odrediti gdje se nalaze šifrirane datoteke sustava i gdje se nalaze važne informacije. Imajte na umu da ako kriptografski softver šifrira cijeli pogon, ali ne štiti proces pokretanja, onda ne šifrira datoteke sustava i sektore za pokretanje. To jest, disk nije u potpunosti šifriran.

Dakle, danas, da biste pouzdano zaštitili povjerljive podatke na prijenosnim računalima, trebali biste koristiti tehnologiju šifriranja bilo za virtualne diskove ili cijeli disk u cjelini. Međutim, u potonjem slučaju morate paziti da kriptografski alat ne troši računalne resurse toliko da ometa rad korisnika. Imajte na umu da ruske tvrtke još ne proizvode alate za potpuno šifriranje diska, iako nekoliko takvih proizvoda već postoji na zapadnim tržištima. Osim toga, zaštita podataka na PDA-u nešto je lakša, jer zbog male količine pohranjenih informacija, programeri si mogu priuštiti šifriranje svih podataka općenito, na primjer, na flash kartici.

Šifriranje pomoću jake provjere autentičnosti

Sigurno pohranjivanje podataka zahtijeva ne samo moćne i dobro implementirane kriptografske tehnologije, već i sredstva za pružanje personaliziranog pristupa. U tom smislu, korištenje jake dvofaktorske autentifikacije temeljene na hardverskim ključevima ili pametnim karticama najučinkovitiji je način pohranjivanja ključeva za enkripciju, lozinki, digitalnih certifikata itd. kartice) u operativni sustav (na primjer, umetanje u jednu USB portova računala ili u čitač pametnih kartica), a zatim dokažite svoje vlasništvo nad ovim elektroničkim ključem (to jest, unesite lozinku). Stoga je zadatak napadača koji pokušava doći do osjetljivih podataka uvelike kompliciran: ne samo da treba znati lozinku, već i imati fizički medij koji imaju samo legalni korisnici.

Unutarnja struktura elektroničkog ključa pretpostavlja prisutnost elektroničkog čipa i malu količinu nepostojane memorije. Uz pomoć elektroničkog čipa podaci se šifriraju i dešifriraju na temelju kriptografskih algoritama ugrađenih u uređaj. Nehlapljiva memorija pohranjuje lozinke, elektroničke ključeve, pristupne kodove i druge tajne podatke. Sam hardverski ključ zaštićen je od krađe PIN kodom, a posebni mehanizmi ugrađeni u ključ štite ovu lozinku od grube sile.

Ishodi

Dakle, učinkovita zaštita podataka podrazumijeva korištenje snažnih alata za enkripciju (temeljenih na tehnologijama virtualnog diska ili koji pokrivaju cijeli disk u cjelini) i jakih alata za autentifikaciju (tokeni i pametne kartice). Među sredstvima enkripcije fajl-po-datoteci, idealnim za slanje datoteka putem Interneta, vrijedi istaknuti poznati program PGP, koji može zadovoljiti gotovo sve zahtjeve korisnika.

U sadašnjem stupnju razvoja društva najveću vrijednost stječe ne novi, već uvijek vrijedan resurs koji se zove informacija. Informacije danas postaju glavni resurs za znanstveni, tehnički i društveno-ekonomski razvoj svjetske zajednice. Gotovo svaka aktivnost u današnjem društvu usko je povezana s primanjem, akumulacijom, pohranom, obradom i korištenjem različitih tokova informacija. Integritet suvremenog svijeta kao zajednice osigurava se uglavnom intenzivnom razmjenom informacija.

Stoga se u novim uvjetima javlja niz problema vezanih uz osiguranje sigurnosti i povjerljivosti komercijalnih informacija kao oblika intelektualnog vlasništva.

Popis korištenih izvora i literature

1. V. N. Lopatin Sigurnost informacija.
2. Osnove informacijske sigurnosti: Vodič / V. A. Minaev , S. V. Skryl , A. P. Fisun , V. E. Potanin , S. V. Dvorjankin .
3. GOST ST 50922-96. Zaštita podataka. Osnovni pojmovi i definicije.
4. www.intuit.ru

U Odnoklassniki

Uvod

Zaključak

Bibliografija

Uvod

U današnjem stupnju razvoja našeg društva mnogi tradicionalni resursi ljudskog napretka postupno gube svoju izvornu vrijednost. Zamjenjuje ih novi resurs, jedini proizvod koji se s vremenom ne smanjuje, već raste, a zove se informacija. Informacije danas postaju glavni resurs za znanstveni, tehnički i društveno-ekonomski razvoj svjetske zajednice. Što se više i brže kvalitetnije informacije uvode u nacionalno gospodarstvo i posebne aplikacije, to je veći životni standard ljudi, gospodarski, obrambeni i politički potencijal zemlje.

Integritet suvremenog svijeta kao zajednice osigurava se uglavnom intenzivnom razmjenom informacija. Obustava globalnih tokova informacija, čak i na kratko vrijeme, može dovesti do krize ništa manje od prekida međudržavnih gospodarskih odnosa. Stoga se u novim tržišnim uvjetima konkurentnosti javlja niz problema vezanih ne samo za osiguranje sigurnosti komercijalnih (poduzetničkih) informacija kao oblika intelektualnog vlasništva, već i fizičkih i pravnih osoba, njihove imovinske imovine i osobne sigurnosti.

Svrha ovog rada je razmotriti informacijsku sigurnost kao sastavni dio nacionalne sigurnosti, kao i identificirati stupanj njezine sigurnosti u sadašnjoj fazi, analizirati unutarnje i vanjske prijetnje, razmotriti probleme i načine njihovog rješavanja.

S tim u vezi postavljeni su određeni zadaci:

.Utvrditi mjesto i važnost informacijske sigurnosti u sadašnjoj fazi razvoja;

2.Razmotriti pravni okvir u području zaštite informacija;

.Identificirajte glavne probleme i prijetnje te načine za njihovo rješavanje.

Poglavlje 1. Problemi i prijetnje informacijske sigurnosti

1.1 Mjesto informacijske sigurnosti u sustavu nacionalne sigurnosti Rusije

Nacionalna sigurnost Ruske Federacije u osnovi ovisi o osiguranju informacijske sigurnosti, a tijekom tehnološkog napretka ta će ovisnost rasti.

U suvremenom svijetu informacijska sigurnost postaje vitalni uvjet za osiguranje interesa pojedinca, društva i države te najvažnija, stožerna karika u cjelokupnom sustavu nacionalne sigurnosti zemlje.

Normativno-pravna osnova za reguliranje zaštite informacija postala je Doktrina informacijske sigurnosti Ruske Federacije koju je odobrio predsjednik Ruske Federacije 2001. To je skup službenih stavova o ciljevima, ciljevima, načelima i glavnim smjerovi osiguranja informacijske sigurnosti u Rusiji. Doktrina se bavi:

objekti, prijetnje i izvori prijetnji informacijskoj sigurnosti;

moguće posljedice prijetnji informacijskoj sigurnosti;

metode i sredstva sprječavanja i neutralizacije prijetnji informacijskoj sigurnosti;

značajke osiguravanja informacijske sigurnosti u različitim sferama života društva i države;

glavne odredbe državne politike o osiguranju informacijske sigurnosti u Ruskoj Federaciji.

Doktrina ispituje sav rad u informacijskoj sferi na temelju i u interesu Koncepta nacionalne sigurnosti Ruske Federacije.

Ona identificira četiri glavne komponente ruskih nacionalnih interesa u informacijskoj sferi.

Prva komponenta uključuje poštivanje ustavnih prava i sloboda čovjeka i građanina u području dobivanja i korištenja informacija, osiguravanje duhovne obnove Rusije, očuvanje i jačanje moralnih vrijednosti društva, tradicija patriotizma i humanizma, kulturni i znanstveni potencijal zemlje.

Za njegovu provedbu potrebno je:

povećati učinkovitost korištenja informacijske infrastrukture u interesu društvenog razvoja, konsolidacije ruskog društva, duhovnog preporoda višenacionalnog naroda zemlje;

poboljšati sustav formiranja, očuvanja i racionalnog korištenja informacijskih resursa, koji čine osnovu znanstvenog, tehničkog i duhovnog potencijala Rusije;

osigurati ustavna ljudska i građanska prava i slobode na slobodno traženje, primanje, prijenos, proizvodnju i širenje informacija na bilo koji zakonit način, primanje pouzdanih informacija o stanju okoliša;

osigurati ustavna prava i slobode osobe i građanina na osobne i obiteljske tajne, privatnost dopisivanja, telefonskih razgovora, poštanskih, brzojavnih i drugih poruka, radi zaštite njihove časti i dobrog imena;

ojačati mehanizme pravnog reguliranja odnosa u području zaštite intelektualnog vlasništva, stvoriti uvjete za poštivanje ograničenja pristupa povjerljivim informacijama utvrđenih saveznim zakonodavstvom;

jamčiti slobodu medija i zabraniti cenzuru;

ne dopustiti propagandu i agitaciju koja doprinosi poticanju društvene, rasne, nacionalne ili vjerske mržnje i neprijateljstva;

zaštita povjerljivih informacija rusija

osigurati zabranu prikupljanja, pohranjivanja, korištenja i širenja podataka o privatnom životu osobe bez njezina pristanka i drugih podataka kojima je pristup ograničen saveznim zakonom.

Druga komponenta nacionalnih interesa u informacijskoj sferi uključuje informacijsku potporu državnoj politici zemlje, povezanu s donošenjem ruskoj i međunarodnoj zajednici pouzdanih informacija o njenom službenom stavu o društveno značajnim događajima u ruskom i međunarodnom životu, uz osiguravanje pristupa građanima izvori informacija o otvorenom stanju. Ovo zahtijeva:

ojačati državne masovne medije, proširiti njihove sposobnosti za pravovremenu dostavu pouzdanih informacija ruskim i stranim građanima;

intenzivirati formiranje otvorenih državnih informacijskih resursa, povećati učinkovitost njihovog gospodarskog korištenja.

Treća komponenta nacionalnih interesa u informacijskoj sferi uključuje razvoj suvremenih informacijskih tehnologija, uključujući industriju informacijskih tehnologija, telekomunikacije i komunikacije, osiguranje potreba domaćeg tržišta ovim proizvodima i izlazak na svjetsko tržište, kao i osiguranje akumulacije. , sigurnost i učinkovito korištenje domaćih informacijskih tehnologija.resursi.

Za postizanje rezultata u ovom području potrebno je:

razviti i poboljšati infrastrukturu jedinstvenog informacijskog prostora u Rusiji;

razviti domaću industriju informacijskih usluga i poboljšati učinkovitost korištenja državnih informacijskih resursa;

razviti proizvodnju u zemlji konkurentnih sredstava i sustava informatizacije, telekomunikacija i komunikacija, proširiti sudjelovanje Rusije u međunarodnoj suradnji proizvođača ovih sredstava i sustava;

pružati državnu potporu za temeljna i primijenjena istraživanja, razvoj u području informatizacije, telekomunikacija i komunikacija.

Četvrta komponenta nacionalnih interesa u informacijskoj sferi uključuje zaštitu informacijskih resursa od neovlaštenog pristupa, osiguranje sigurnosti informacijskih i telekomunikacijskih sustava.

Za ove namjene potrebno je:

povećati sigurnost informacijskih sustava (uključujući komunikacijske mreže), prije svega, primarnih komunikacijskih mreža i informacijskih sustava tijela javne vlasti, financijske i kreditne i bankarske sfere, područja gospodarske djelatnosti, sustava i sredstava informatizacije oružja i vojne opreme , sustavi zapovijedanja i upravljanja postrojbama i oružjem, ekološki opasnim i ekonomski važnim industrijama;

intenzivirati razvoj domaće proizvodnje hardvera i softvera za zaštitu informacija i metoda praćenja njihove učinkovitosti;

osigurati zaštitu podataka koji predstavljaju državnu tajnu;

proširiti međunarodnu suradnju Rusije na području sigurnog korištenja informacijskih resursa, suzbijajući prijetnju sukoba u informacijskoj sferi.

1.2 Glavni problemi informacijske sigurnosti i načini njihovog rješavanja

Osiguravanje informacijske sigurnosti zahtijeva rješavanje cijelog niza zadataka.

Najvažnija zadaća u osiguravanju informacijske sigurnosti Rusije je provođenje sveobuhvatnog računa o interesima pojedinca, društva i države u ovom području. Doktrina definira ove interese na sljedeći način:

interesi pojedinca u informacijskoj sferi su u ostvarivanju ustavnih prava osobe i građanina na pristup informacijama, korištenje informacija u interesu obavljanja zakonom zabranjenih djelatnosti, fizičkog, duhovnog i intelektualnog razvoja, kao i kao u zaštiti informacija koje osiguravaju osobnu sigurnost;

interesi društva u informacijskoj sferi su osiguranje interesa društva u ovom području, učvršćivanje demokracije, stvaranje pravne društvene države, postizanje i održavanje društvene harmonije, u duhovnoj obnovi Rusije;

interesi države u informacijskoj sferi su stvaranje uvjeta za skladan razvoj ruske informacijske infrastrukture, provedbu ustavnih prava i sloboda osobe (građana) u području dobivanja informacija. Istodobno, potrebno je koristiti ovu sferu samo kako bi se osigurala nepovredivost ustavnog poretka, suverenitet i teritorijalni integritet Rusije, politička, ekonomska i socijalna stabilnost, u bezuvjetnom osiguranju reda i zakona i razvoju. ravnopravne i obostrano korisne međunarodne suradnje.

Doktrina kombinira opće metode rješavanja ključnih zadataka u osiguravanju informacijske sigurnosti u tri skupine:

pravni;

organizacijski i tehnički; ekonomskim.

Pravne metode uključuju izradu normativnih pravnih akata koji reguliraju odnose u informacijskoj sferi i normativnih metodoloških dokumenata o pitanjima osiguravanja informacijske sigurnosti Ruske Federacije (detaljno su razmotreni u poglavlju 4. ovog priručnika).

Organizacijske i tehničke metode osiguranja informacijske sigurnosti su:

stvaranje i unapređenje sustava informacijske sigurnosti;

jačanje aktivnosti tijela za provedbu zakona, uključujući sprječavanje i suzbijanje prekršaja u informacijskoj sferi;

stvaranje sustava i sredstava za sprječavanje neovlaštenog pristupa informacijama i utjecaja koji uzrokuju uništavanje, uništavanje, iskrivljavanje informacija, mijenjanje uobičajenih načina rada sustava i sredstava informatizacije i komunikacije;

certificiranje sredstava informacijske sigurnosti, licenciranje djelatnosti u području zaštite državne tajne, standardizacija metoda i sredstava informacijske sigurnosti;

kontrola postupanja osoblja u informacijskim sustavima, obuka u području informacijske sigurnosti;

formiranje sustava praćenja pokazatelja i karakteristika informacijske sigurnosti u najvažnijim sferama života i djelovanja društva i države.

Ekonomske metode osiguravanja informacijske sigurnosti uključuju:

izradu programa informacijske sigurnosti i utvrđivanje postupka njihova financiranja;

unaprjeđenje sustava financiranja poslova vezanih uz provedbu pravnih i organizacijskih i tehničkih metoda zaštite informacija, stvaranje sustava osiguranja informacijskih rizika fizičkih i pravnih osoba.

Prema Doktrini, država u procesu provedbe svojih funkcija osiguranja informacijske sigurnosti: provodi objektivnu i sveobuhvatnu analizu i predviđanje prijetnji informacijskoj sigurnosti, razvija mjere za njezino osiguranje; organizira rad organa vlasti na provedbi skupa mjera usmjerenih na sprječavanje, odbijanje i neutraliziranje prijetnji informacijskoj sigurnosti; podržava djelovanje javnih udruga usmjerenih na objektivno informiranje stanovništva o društveno značajnim pojavama javnog života, zaštitu društva od iskrivljenih i netočnih informacija; vrši kontrolu razvoja, izrade, razvoja, korištenja, izvoza i uvoza alata za informacijsku sigurnost kroz njihovo certificiranje i licenciranje djelatnosti informacijske sigurnosti; provodi potrebnu protekcionističku politiku u odnosu na proizvođače informacijske tehnologije i zaštite informacija na području Ruske Federacije i poduzima mjere za zaštitu unutarnjeg tržišta od prodora nekvalitetne informacijske tehnologije i informacijskih proizvoda; doprinosi osiguravanju pristupa fizičkim i pravnim osobama svjetskim informacijskim resursima, globalnim informacijskim mrežama; formulira i provodi državnu informacijsku politiku Rusije; organizira izradu saveznog programa za osiguranje informacijske sigurnosti, objedinjujući napore državnih i nedržavnih organizacija u ovom području; doprinosi internacionalizaciji globalnih informacijskih mreža i sustava, kao i ulasku Rusije u svjetsku informacijsku zajednicu na temelju ravnopravnog partnerstva.

U rješavanju glavnih zadataka i provedbi najprioritetnijih mjera državne politike za osiguranje informacijske sigurnosti trenutno dominira želja za rješavanjem uglavnom regulatornih i tehničkih problema. Najčešće je riječ o „razvoju i provedbi pravnih normi“, „podizanju pravne kulture i računalne pismenosti građana“, „stvaranju sigurnih informacijskih tehnologija“, „osiguranju tehnološke neovisnosti“ itd.

Shodno tome planira se i razvoj sustava osposobljavanja osoblja koje se koristi u području informacijske sigurnosti, odnosno prevladava obuka u području komunikacijskih sredstava, obrade informacija i tehničkih sredstava njihove zaštite. U manjoj mjeri provodi se izobrazba stručnjaka iz područja informacijske i analitičke djelatnosti, društvenih informacija, informacijske sigurnosti pojedinca. Nažalost, mnoge državne institucije najvažnijom smatraju tehničku stranu problema, zanemarujući njegove socio-psihološke aspekte.

1.3 Izvori prijetnji informacijskoj sigurnosti

Prijetnje informacijskoj sigurnosti su korištenje različitih vrsta informacija protiv jednog ili drugog društvenog (ekonomskog, vojnog, znanstveno-tehničkog i dr.) objekta radi promjene njegove funkcionalnosti ili potpunog poraza.

Uzimajući u obzir opći fokus, Doktrina dijeli prijetnje informacijskoj sigurnosti u sljedeće vrste:

prijetnje ustavnim pravima i slobodama čovjeka i građanina u području duhovnog života i informativnih aktivnosti, individualne, grupne i javne svijesti, duhovnog preporoda Rusije;

prijetnje informacijskoj podršci državnoj politici Ruske Federacije;

prijetnje razvoju domaće informacijske industrije, uključujući industriju informatizacije, telekomunikacija i komunikacija, zadovoljavanje potreba domaćeg tržišta za svojim proizvodima i izlazak tih proizvoda na svjetsko tržište, kao i osiguranje akumulacije, sigurnosti i učinkovito korištenje domaćih informacijskih resursa;

prijetnje sigurnosti informacijskih i telekomunikacijskih objekata i sustava, kako već raspoređenih tako i stvorenih na teritoriju Rusije.

Prijetnje ustavnim pravima i slobodama čovjeka i građanina u području duhovnog života i informativnih aktivnosti, individualne, grupne i javne svijesti, duhovnog preporoda Rusije mogu biti:

donošenje od strane tijela pravnih akata kojima se zadire u ustavna prava i slobode građana u području duhovnog života i informatičke djelatnosti;

stvaranje monopola na formiranje, primanje i distribuciju informacija u Ruskoj Federaciji, uključujući korištenje telekomunikacijskih sustava;

protivljenje, uključujući kriminalne strukture, ostvarivanju od strane građana svojih ustavnih prava na osobne i obiteljske tajne, tajnost dopisivanja, telefonskih razgovora i drugih poruka;

prekomjerno ograničavanje pristupa potrebnim informacijama;

protuzakonito korištenje posebnih sredstava utjecaja na individualnu, grupnu i javnu svijest;

neispunjavanje od strane tijela javne vlasti i lokalne samouprave, organizacija i građana zahtjeva propisa kojima se uređuju odnosi u informacijskoj sferi;

nezakonito ograničavanje pristupa građanima informacijskim izvorima državnih tijela i tijela lokalne samouprave, otvorenoj arhivskoj građi, drugim otvorenim društveno značajnim informacijama;

dezorganizacija i uništavanje sustava akumulacije i očuvanja kulturnih dobara, uključujući i arhive;

kršenje ustavnih ljudskih i građanskih prava i sloboda u području masovnih medija;

istiskivanje ruskih novinskih agencija i masovnih medija s domaćeg informacijskog tržišta i sve veća ovisnost duhovne, ekonomske i političke sfere javnog života u Rusiji o stranim informacijskim strukturama;

devalvacija duhovnih vrijednosti, propaganda modela masovne kulture utemeljene na kultu nasilja, na duhovnim i moralnim vrijednostima koje su u suprotnosti s vrijednostima prihvaćenim u ruskom društvu;

smanjenje duhovnog, moralnog i kreativnog potencijala stanovništva Rusije;

manipulacija informacijama (dezinformacija, prikrivanje ili iskrivljavanje informacija).

Prijetnje informacijskoj potpori državne politike Ruske Federacije mogu biti:

monopolizacija tržišta informacija u Rusiji, njenih pojedinačnih sektora od strane domaćih i stranih informacijskih struktura;

blokiranje aktivnosti državnih medija za informiranje ruske i strane publike;

niska učinkovitost informacijske podrške državnoj politici Ruske Federacije zbog nedostatka kvalificiranog osoblja, nepostojanja sustava za formiranje i provedbu državne informacijske politike.

Prijetnje razvoju domaće informacijske industrije mogu biti:

sprječavanje pristupa najnovijim informacijskim tehnologijama, obostrano korisno i ravnopravno sudjelovanje ruskih proizvođača u globalnoj podjeli rada u industriji informacijskih usluga, informacijskoj tehnologiji, telekomunikacijama i komunikacijama, informacijskim proizvodima, stvaranju uvjeta za jačanje ruske tehnološke ovisnosti u području informacija tehnologija;

nabava od strane tijela javne vlasti uvoznih sredstava informatizacije, telekomunikacija i komunikacija u prisutnosti domaćih partnera;

istiskivanje s domaćeg tržišta ruskih proizvođača informacijske tehnologije, telekomunikacija i komunikacija;

korištenje necertificiranih domaćih i stranih informacijskih tehnologija, sredstava informacijske sigurnosti, informacijske tehnologije, telekomunikacija i komunikacija;

odljev stručnjaka i vlasnika intelektualnog vlasništva u inozemstvo.

Doktrina sve izvore prijetnji informacijskoj sigurnosti dijeli na vanjske i unutarnje.

Doktrina se odnosi na vanjske izvore prijetnji:

djelovanje stranih političkih, gospodarskih, vojnih, obavještajnih i informacijskih struktura protiv interesa Ruske Federacije;

želja niza zemalja da dominiraju globalnim informacijskim prostorom, da istisnu Rusiju s tržišta informacija;

djelovanje međunarodnih terorističkih organizacija;

povećanje tehnološkog jaza između vodećih svjetskih sila i jačanje njihovih sposobnosti za suprotstavljanje stvaranju konkurentnih ruskih informacijskih tehnologija;

djelatnosti svemirskih, zračnih, pomorskih i kopnenih tehničkih i drugih sredstava (vrsta) izviđanja stranih država;

razvoj od strane niza država koncepata informacijskih ratova, koji predviđaju stvaranje sredstava opasnog utjecaja na informacijske sfere drugih zemalja, narušavanje funkcioniranja informacijskih i telekomunikacijskih sustava i dobivanje neovlaštenog pristupa njima.

Unutarnji izvori prijetnji, prema Doktrini, uključuju: kritično stanje niza domaćih industrija;

nepovoljna kriminalistička situacija, praćena tendencijama spajanja državnih i kriminalnih struktura u informacijskoj sferi, da kriminalne strukture dobiju pristup povjerljivim informacijama, povećavaju utjecaj organiziranog kriminala na život društva, smanjuju stupanj zaštite legitimni interesi građana, društva i države u informacijskoj sferi;

nedovoljna koordinacija djelovanja organa vlasti na svim razinama u provedbi jedinstvene državne politike u području informacijske sigurnosti;

nedostaci pravnog okvira koji regulira odnose u informatičkoj sferi i praksi provedbe zakona;

nerazvijenost institucija civilnog društva i nedovoljna državna kontrola razvoja informacijskog tržišta u Rusiji;

nedovoljno financiranje mjera za osiguranje informacijske sigurnosti;

nedovoljan broj kvalificiranog osoblja u području informacijske sigurnosti;

nedovoljna aktivnost saveznih vlasti u informiranju javnosti o svojim aktivnostima, u obrazloženju donesenih odluka, u formiranju otvorenih državnih resursa i razvoju sustava pristupa građana njima;

Rusija zaostaje za vodećim zemljama svijeta u informatizaciji vlasti i lokalne samouprave, kreditno-financijskim poslovima, industriji, poljoprivredi, obrazovanju, zdravstvu, uslugama i svakodnevnom životu građana.

Poglavlje 2. Zaštita povjerljivih informacija

2.1 Klasifikacija podataka koje treba zaštititi

Trenutno različiti regulatorni dokumenti ukazuju na značajan broj (više od 40) vrsta informacija koje zahtijevaju dodatnu zaštitu. Radi praktičnosti razmatranja pravnog režima informacijskih resursa na temelju pristupa, mogu se uvjetno grupirati u četiri skupine:

državna tajna;

poslovna tajna;

povjerljive informacije;

intelektualno vlasništvo.

Državna tajna. Zakon RF "O državnim tajnama" definira državne tajne na sljedeći način: to su podaci koje štiti država u području vojne, vanjske politike, gospodarstva, obavještajnih, protuobavještajnih i operativno-istražnih djelatnosti, čije širenje može štetiti sigurnosti Rusija (članak 2).

Članak 5. ovog zakona utvrđuje popis podataka koji su označeni kao državna tajna:

informacije iz vojnog područja - o sadržaju strateških i operativnih planova, o planovima izgradnje Oružanih snaga, razvoju, tehnologiji, proizvodnji, o proizvodnim pogonima, o skladištenju, o zbrinjavanju nuklearnog streljiva, o taktičko-tehničkom karakteristike i mogućnosti borbene uporabe naoružanja i vojne opreme, o razmještaju projektila i kritičnih objekata itd.;

informacije iz područja ekonomije, znanosti i tehnologije - o sadržaju planova za pripremu Ruske Federacije i njenih pojedinih regija za moguće vojne operacije, o obujmu proizvodnje, o planovima za državne narudžbe, o proizvodnji i opskrbi oružja, vojnu opremu, o dostignućima znanosti i tehnologije koja imaju važnu obrambenu ili gospodarsku vrijednost itd.;

informacije iz područja vanjske politike i ekonomije - o vanjskoj politici i vanjskogospodarskim aktivnostima Ruske Federacije, čije prerano širenje može naštetiti sigurnosti države itd .;

snage i sredstva navedene djelatnosti, njezini izvori, planovi i rezultati;

osobe koje surađuju ili su surađivale na povjerljivoj osnovi s tijelima koja obavljaju navedene poslove;

sustavi predsjedničke, vladine, šifrirane, uključujući šifrirane i tajne komunikacije;

šifre i informacijsko-analitički sustavi za posebne namjene, metode i sredstva zaštite tajnih podataka i dr.

Svaki podatak koji je koristan u poslovanju i daje prednost u odnosu na konkurente koji nema takve podatke može predstavljati poslovnu tajnu. U mnogim slučajevima poslovne tajne su oblik intelektualnog vlasništva.

Prema članku 139., dijelu 1. Građanskog zakonika Ruske Federacije, podaci koji predstavljaju poslovnu tajnu uključuju podatke koji imaju stvarnu ili potencijalnu komercijalnu vrijednost zbog toga što nisu poznati trećim stranama i kojima ne postoji slobodan pristup na pravnoj osnovi. Može uključivati ​​razne ideje, izume i druge poslovne informacije.

Uredba Vlade Ruske Federacije od 5.12.1991., br. 35 "O popisu podataka koji ne mogu predstavljati poslovnu tajnu." Takve informacije uključuju:

organizacijske informacije (ustanova i dokumenti o osnivanju poduzeća, potvrde o registraciji, licence, patenti);

financijske informacije (dokumenti o obračunu i plaćanju poreza, druga plaćanja predviđena zakonom, dokumenti o stanju solventnosti);

podaci o osoblju i uvjetima djelovanja (broj i sastav zaposlenih, njihove plaće, dostupnost slobodnih radnih mjesta, utjecaj proizvodnje na prirodni okoliš, prodaja proizvoda koji štete zdravlju stanovništva, sudjelovanje službenika u poduzetništvu aktivnosti, kršenje antimonopolskog zakonodavstva);

podatke o imovini (veličina imovine, sredstva, ulaganja plaćanja u vrijednosne papire, obveznice, zajmovi, statutarni fondovi zajedničkih pothvata).

Povjerljive informacije. Povjerljivost informacija je karakteristika informacija koja ukazuje na potrebu nametanja ograničenja na krug subjekata koji imaju pristup tim informacijama. Povjerljivost pretpostavlja očuvanje prava na informaciju, njezino neotkrivanje (tajnost) i nepromjenjivost u svim slučajevima, osim za zakonito korištenje.

Predsjedničkim dekretom br. 188 od 6. ožujka 1997. odobren je popis povjerljivih informacija. Ovaj popis uključuje:

informacije o činjenicama, događajima i okolnostima privatnog života građanina, koji omogućuju identifikaciju njegove osobnosti (osobni podaci);

podatke koji predstavljaju tajnu istrage i sudskog postupka;

službene informacije, pristup kojima ograničavaju državna tijela u skladu s Građanskim zakonikom Ruske Federacije i saveznim zakonima (službena tajna);

podatke o profesionalnoj djelatnosti (liječničke, javnobilježničke, odvjetničke tajne, tajnost dopisivanja i sl.);

podatke o biti izuma ili industrijskog dizajna prije službene objave podataka o njima.

Popis povjerljivih informacija dopunjen je drugim regulatornim pravnim aktima: Osnove zakonodavstva Ruske Federacije "O zaštiti zdravlja građana", zakoni Ruske Federacije "O psihijatrijskoj skrbi i jamstvima prava građana u njegovu odredbu", "O notarima", "O pravnoj profesiji", "O osnovnim jamstvima izbornih prava građana Ruske Federacije", "O bankama i bankarskim aktivnostima", kao i Porezni zakon Ruske Federacije, Obiteljski zakon Ruske Federacije itd.

Kao rezultat toga, može se razlikovati nekoliko skupina povjerljivih informacija koje tvore određene "tajne":

liječnička (liječnička) tajna;

bankarska tajna;

porezna tajna;

javnobilježnička tajna;

tajnost osiguranja;

privilegija odvjetnik-klijent;

tajna odnosa prema vjeri i tajna ispovijedi; tajnost glasovanja; službene tajne itd.

Informacije definirane pojmom intelektualnog vlasništva obuhvaćaju većinu navedenih informacija znanstvene i tehnološke prirode, te književna i umjetnička djela, proizvode inventivne i racionalizacijske djelatnosti te druge vrste stvaralaštva. U skladu sa Zakonom Ruske Federacije "O pravnoj zaštiti programa za elektronička računala i baze podataka" od 23. rujna 1992., računalni programi i baze podataka također su objekti autorskog prava, čije kršenje povlači građansku, kaznenu i upravnu odgovornost u skladu s sa zakonodavstvom RF.

Određeni dio podataka s oznakom državne i poslovne tajne također potpada pod definiciju intelektualnog vlasništva.

2.2 Organizacija zaštite informacija

Većina stručnjaka smatra sljedeće "zaštitne" mjere najrazumnijim naporom u tom smjeru:

adekvatna definicija popisa informacija koje treba zaštititi;

identificiranje razina pristupačnosti i predviđanje mogućih ranjivosti u pristupu informacijama;

poduzimanje mjera za ograničavanje pristupa informacijama ili objektu;

organizacija sigurnosti prostora i stalna kontrola sigurnosti informacija (posebice potreba za ormarićima na zaključavanje, sefovima, uredima, televizijskim sigurnosnim kamerama itd.);

prisutnost jasnih pravila za rukovanje dokumentima i njihovu reprodukciju. Kao što znate, izum tehnike umnožavanja doslovno je izazvao porast industrijske špijunaže;

prisutnost na dokumentima natpisa "Tajna", "Za službenu upotrebu", a na vratima - "Zabrana neovlaštenog ulaska". Svaki nositelj informacija (dokument, disk i sl.) mora imati odgovarajuću oznaku i mjesto pohrane (soba, sef, metalna kutija);

potpisivanje ugovora o tajnosti podataka sa zaposlenicima organizacije, tvrtke.

Trenutno su glavno sredstvo zaštite informacija sigurnosne mjere usmjerene na sprječavanje curenja određenih informacija. Donošenje ovih mjera ovisi prije svega o vlasnicima informacija, konkurentskom okruženju u njihovom području djelovanja, vrijednosti koju za njih predstavljaju proizvodne ili komercijalne informacije i drugim čimbenicima.

Među mjerama za zaštitu informacija mogu se razlikovati eksterne i interne.

Vanjske aktivnosti uključuju: proučavanje partnera, kupaca s kojima morate poslovati, prikupljanje informacija o njihovoj pouzdanosti, solventnosti i drugih podataka, kao i predviđanje očekivanih radnji konkurenata i kriminalnih elemenata. Kad god je to moguće, identificiraju se osobe koje pokazuju interes za aktivnosti organizacije (firme), za osoblje koje radi u organizaciji.

Interne mjere za osiguranje sigurnosti uključuju odabir i provjeru osoba koje stupaju na posao: proučavaju se njihovi osobni podaci, ponašanje u mjestu prebivališta i na prethodnom radnom mjestu, osobne i poslovne kvalitete, psihološka kompatibilnost sa zaposlenicima; otkrivaju se razlozi napuštanja prethodnog mjesta rada, prisutnost osuda itd. U procesu rada nastavlja se proučavanje i analiza radnji zaposlenika koji utječu na interese organizacije, analiza njegovih vanjskih odnosa se provodi.

Zaposlenici su najvažniji element sigurnosnog sustava. Oni mogu igrati značajnu ulogu u zaštiti poslovnih tajni, ali u isto vrijeme mogu biti i glavni razlog njihova curenja. To se često događa zbog nepažnje, nepismenosti. Stoga je redovita i razumljiva obuka osoblja o pitanjima tajnosti bitan uvjet za održavanje tajnosti. Međutim, ne mogu se isključiti slučajevi namjernog prijenosa (prodaje) tajni poduzeća od strane zaposlenika. Motivacijski temelj za takve radnje je ili vlastiti interes ili osveta, na primjer, od strane otpuštenog zaposlenika. Praksa takvih radnji je ukorijenjena u antici.

Zaštita informacija uključuje korištenje posebnih tehničkih sredstava, elektroničkih uređaja, što omogućuje ne samo obuzdavanje njihovog curenja, već i zaustavljanje takve vrste aktivnosti kao što je industrijska (komercijalna) špijunaža. Većina njih su tehnička sredstva detekcije i sredstva za suzbijanje prislušnih uređaja:

telefonski neutralizator (za suzbijanje rada mini-odašiljača i neutraliziranje uklanjanja audio informacija);

ometač telefona prislušnih uređaja;

profesionalni detektor (koristi se za "grubo" lociranje radijskih oznaka);

mini-detektor odašiljača (koristi se za točno određivanje mjesta radio zakrpa);

generator buke.

Organizacije koje posjeduju vrijedne podatke trebale bi ih čuvati u posebnim vatrostalnim ormarićima ili sefovima, kako ne bi dopustili da se ključevi izgube ili prenesu drugim osobama, čak i onima kojima se posebno vjeruje, radi pohrane.

Jedna od rasprostranjenih metoda zaštite intelektualnog vlasništva je patent, odnosno potvrda koja se izdaje izumitelju ili njegovom ovlašteniku za isključivo korištenje izuma koji je napravio. Patent je namijenjen zaštiti izumitelja (autora) od reprodukcije, prodaje i korištenja njegovog izuma od strane drugih.

Provedbu posebnih unutarnjih i vanjskih mjera zaštite vrijednih informacijskih sustava treba povjeriti posebno osposobljenim osobama. U tu svrhu poduzetnik može potražiti pomoć od privatnih detektivskih tvrtki specijaliziranih za pretragu i zaštitu imovine. Također se mogu kreirati vlastite sigurnosne službe. Budući da zaštitne mjere zahtijevaju značajne troškove, poduzetnik sam mora odlučiti što mu je isplativije: podnijeti curenje informacija ili uključiti specijalizirane službe da ih zaštite.

Zaključak

Sadašnje stanje informacijske sigurnosti u Rusiji je nova država, koja se tek oblikuje, uzimajući u obzir diktate vremena državno-javne institucije. Mnogo je već učinjeno na putu njegovog formiranja, ali tu je još više problema koji zahtijevaju što hitnije rješenje. Posljednjih godina Ruska Federacija je poduzela niz mjera za poboljšanje sigurnosti informacija, i to:

Započelo je formiranje pravne osnove za informacijsku sigurnost. Usvojen je niz zakona koji uređuju odnose s javnošću u ovoj oblasti, te je pokrenut rad na stvaranju mehanizama za njihovu provedbu. Korak po korak rezultat i pravni temelj za daljnje rješavanje problema u ovom području bilo je odobrenje Doktrine informacijske sigurnosti Ruske Federacije od strane predsjednika Ruske Federacije u rujnu 2001. godine;

Sigurnost informacija je olakšana kreiranim:

državni sustav zaštite informacija;

sustav licenciranja djelatnosti u području zaštite državnih tajni;

sustav certificiranja sredstava informacijske sigurnosti.

Istodobno, analiza stanja informacijske sigurnosti pokazuje da još uvijek postoji niz problema koji ozbiljno otežavaju potpuno osiguranje informacijske sigurnosti čovjeka, društva i države. Doktrina navodi sljedeće glavne probleme u ovom području.

Sadašnji uvjeti političkog i društveno-gospodarskog razvoja zemlje i dalje zadržavaju oštra proturječja između potreba društva za proširenjem slobodne razmjene informacija i potrebe za određenim reguliranim ograničenjima njihovog širenja.

Nedosljednost i nerazvijenost pravnog uređenja javnih odnosa u informacijskoj sferi značajno otežava održavanje potrebne ravnoteže interesa pojedinca, društva i države na ovom području. Nesavršena zakonska regulativa ne dopušta dovršetak formiranja konkurentnih ruskih informacijskih agencija i masovnih medija na teritoriju Ruske Federacije.

Nedostatak prava građana na pristup informacijama i manipulacija informacijama izaziva negativnu reakciju stanovništva, što u pojedinim slučajevima dovodi do destabilizacije društveno-političke situacije u društvu.

Prava građana na nepovredivost privatnog života, osobne i obiteljske tajne i tajnost dopisivanja, sadržana u Ustavu Ruske Federacije, praktički nemaju dovoljnu pravnu, organizacijsku i tehničku potporu. Loše je organizirana zaštita podataka o pojedincima (osobni podaci) koje prikupljaju tijela savezne vlade, tijela vlasti konstitutivnih entiteta Ruske Federacije i tijela lokalne samouprave.

Ne postoji jasnoća u vođenju državne politike u području formiranja ruskog informacijskog prostora, kao i organizacije međunarodne razmjene informacija i integracije informacijskog prostora Rusije u globalni informacijski prostor, što stvara uvjete za istiskivanje ruskih novinskih agencija i medija s unutarnjeg tržišta informacija, što dovodi do deformacije strukture međunarodne razmjene.

Ne postoji dovoljna državna potpora aktivnostima ruskih novinskih agencija za promicanje svojih proizvoda na inozemnom informacijskom tržištu.

Situacija s osiguranjem sigurnosti podataka koji predstavljaju državnu tajnu se ne popravlja.

Ozbiljna šteta nanesena je kadrovskom potencijalu znanstvenih i industrijskih timova koji djeluju na području stvaranja informacijske tehnologije, telekomunikacija i komunikacija, kao rezultat masovnog odlaska najkvalificiranijih stručnjaka iz tih timova.

Bibliografija

1.Doktrina informacijske sigurnosti Ruske Federacije (odobrena od strane predsjednika Ruske Federacije od 09.09.2000., br. Pr-1895)

.Zakon RF "O sigurnosti" 2010

.Zakon Ruske Federacije "O državnim tajnama", usvojen 21. srpnja 1993. (s izmjenama i dopunama od 11.08.2011.)

.Zakon Ruske Federacije "O autorskom i srodnim pravima", koji je stupio na snagu 3. kolovoza 1993. (sa izmjenama i dopunama),

.Savezni zakon "O osnovama državne službe", usvojen 31.07.1995.

.Kazneni zakon Ruske Federacije iz 2013

Uvod

Poglavlje 1. Osnove informacijske sigurnosti i zaštita informacija

1.1 Evolucija pojma "informacijska sigurnost" i koncepta povjerljivosti

1.2 Vrijednost informacija

1.3 Kanali distribucije i curenje povjerljivih informacija

1.4 Sustav zaštite od prijetnji i povjerljivih informacija

Poglavlje 2. Organizacija rada s dokumentima koji sadrže povjerljive podatke

2.1 Normativna i metodološka osnova povjerljivog uredskog rada

2.2 Organizacija pristupa i postupaka za osoblje s povjerljivim informacijama, dokumentima i bazama podataka

2.3 Tehnološke osnove za obradu povjerljivih dokumenata

Poglavlje 3. Zaštita informacija ograničenog pristupa u JSC "CHZPSN - Profilirani"

3.1 Karakteristike JSC "ChZPSN - Profilirani"

3.2 Sustav informacijske sigurnosti u JSC "ChZPSN - Profilirano"

3.3. Poboljšanje sigurnosnog sustava informacija s ograničenim pristupom

Zaključak

Popis korištenih izvora i literature

Uvod

Sigurnost informacija danas se jednoglasno naziva jednom od najvažnijih sastavnica nacionalne sigurnosti svake zemlje. Problemi osiguravanja informacijske sigurnosti postaju složeniji i konceptualno značajniji u vezi s masovnim prijelazom informacijskih tehnologija u upravljanju na bezpapirnu automatiziranu osnovu.

Izbor teme za ovaj završni kvalifikacijski rad je zbog činjenice da je u modernom ruskom tržišnom gospodarstvu preduvjet za uspjeh poduzetnika u poslovanju, ostvarivanje dobiti i održavanje integriteta organizacijske strukture koju je on stvorio osigurati ekonomsku sigurnost svoje djelatnosti. A jedna od glavnih komponenti ekonomske sigurnosti je informacijska sigurnost.

Predmet istraživanja u ovom radu je formiranje i funkcioniranje informacijskih resursa u sustavu upravljanja organizacijom.

Baza istraživanja je JSC "ChZPSN - Profilirani"

Predmet istraživanja su aktivnosti na osiguravanju sigurnosti informacijskih resursa u sustavu upravljanja organizacije.

Svrha istraživanja je analizirati suvremene tehnologije, metode, metode i sredstva zaštite povjerljivih podataka poduzeća.

Zadaci studija, u skladu s postavljenim ciljem, uključuju:

1. Otkriti glavne komponente informacijske sigurnosti;

2. Odrediti sastav informacija koje je poželjno klasificirati kao povjerljive;

3. Identificirati najčešće prijetnje, kanale distribucije i curenja povjerljivosti;

4. Razmotriti metode i sredstva zaštite povjerljivih informacija;

5. Analizirati regulatorni okvir povjerljivog uredskog rada;

6. Proučiti sigurnosnu politiku u organizaciji pristupa informacijama povjerljive prirode i postupak osoblja koje radi s povjerljivim dokumentima;

7. Razmotriti tehnološke sustave za obradu povjerljivih dokumenata;

8. Procijeniti sustav zaštite informacija poduzeća "ChZPSN - Profiled" i dati preporuke za njegovo poboljšanje.

U radu su korištene sljedeće metode istraživanja: metode spoznaje (opis, analiza, promatranje, anketiranje); opće znanstvene metode (analiza niza publikacija na temu), kao i takva dokumentarna metoda kao što je analiza dokumentacije poduzeća.

Pravni okvir za završni kvalifikacijski rad temelji se prvenstveno na Ustavu kao glavnom zakonu Ruske Federacije) (1). Članak 23. Ustava Ruske Federacije jamči pravo na osobne, obiteljske tajne, privatnost dopisivanja, telefonskih razgovora, poštanskih, telegrafskih i drugih komunikacija. Istodobno, ograničenje ovog prava dopušteno je samo na temelju sudske odluke. Ustav Ruske Federacije ne dopušta (članak 24.) prikupljanje, pohranjivanje, korištenje i širenje informacija o privatnom životu osobe bez njezina pristanka (1).

Pravila za reguliranje odnosa koji proizlaze iz rukovanja povjerljivim informacijama također su sadržana u Građanskom zakoniku Ruske Federacije. Istodobno, povjerljive informacije se u Građanskom zakoniku Ruske Federacije nazivaju nematerijalna dobra (članak 150.) (2).

Kriteriji prema kojima se podaci klasificiraju kao službena i poslovna tajna , sadržano u članku 139. Građanskog zakonika Ruske Federacije. U njemu se navodi da informacija predstavlja službenu ili poslovnu tajnu u slučaju kada:

1. Ove informacije imaju stvarnu ili potencijalnu vrijednost jer nisu poznate trećim stranama;

2. Ne postoji slobodan pristup ovim informacijama na pravnoj osnovi i vlasnik informacija poduzima mjere za zaštitu njihove povjerljivosti (2).

Osim toga, definicija povjerljivosti komercijalnih informacija sadržana je u članku 727. Građanskog zakonika Ruske Federacije (2).

Dana 27. srpnja 2006. usvojena su dva savezna zakona koja su najvažnija za zaštitu povjerljivih informacija: br. 149-FZ "O informacijama, informacijskoj tehnologiji i zaštiti informacija" (8) i br. 152-FZ "O osobnim podacima “ (9). Oni pružaju osnovne koncepte informacija i njihove zaštite. Kao što su "informacije", "povjerljivost informacija", "osobni podaci" itd.

Predsjednik Ruske Federacije je 10. siječnja 2002. potpisao vrlo važan zakon "O elektroničkom digitalnom potpisu" (5), razvijajući i konkretizirajući odredbe navedenog zakona "O informacijama..." (8).

Glavni zakoni u području sigurnosti povjerljivih informacija također su zakoni Ruske Federacije:

2. "O poslovnoj tajni" od 29. srpnja 2004. (sadrži podatke koji čine poslovnu tajnu, režim poslovne tajne, odavanje podataka koji čine poslovnu tajnu) (6);

3. »O odobravanju Popisa povjerljivih podataka« (11);

4. O odobravanju Popisa podataka koji ne mogu predstavljati poslovnu tajnu“ (13).

Standard koji utvrđuje osnovne pojmove i definicije u području informacijske sigurnosti je GOST R 50922-96 (29).

Detaljan regulatorni i metodološki okvir za povjerljivi uredski rad opisan je u drugom poglavlju ovog rada. U završnom kvalifikacijskom radu korišteni su radovi vodećih stručnjaka za dokumente: I.V. Kudrjajeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznjecova (45; 67; 102), A.V. Pšenko (98), L.V. Sankina (92), E.A. Stepanov (81; 96).

Koncept informacijske sigurnosti, njegove glavne komponente, izloženi su u radovima V.A. Galatenko (82), V.N. Yarochkin (56), G. Zotova (66).

K. Ilyin (52) u svojim radovima razmatra pitanja informacijske sigurnosti u elektroničkom dokumentnom toku). Aspekti informacijske sigurnosti opisani su u člancima V.Ya. Isheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuk (74), V.K. Senchagova (93), E.A. Stepanov (96).

Sustav informacijske sigurnosti opisan je u radovima E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkov (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov i V.M. Martinov (49).

Radovi autora posvećeni su pravnoj regulaciji informacija ograničenog pristupa: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Potonji u svom članku ukazuje na nesavršenost zakonodavstva u predmetnoj oblasti.

Tehnologije za obradu povjerljivih dokumenata posvećene su R.N. Mosejev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksencev (32).

U procesu pripreme rada korištene su znanstvene, nastavne, praktične, metodološke preporuke za organiziranje zaštite povjerljivih informacija koje su pripremili vodeći stručnjaci u ovom području kao što su A.I. Aleksentsev (31; 32) i E.A. Stepanov (81; 96).

Radovi I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravcova (51) posvećeni su kontroverznim aspektima informacijske sigurnosti.

Općenito, možemo reći da je problem informacijske sigurnosti, općenito, osiguran izvorima, izvorna baza vam omogućuje da istaknete zadatke. Značaj literature o ovoj problematici je velik i odgovara njezinoj relevantnosti.

Ali u našoj zemlji ne postoji normativni pravni akt koji bi uspostavio jedinstvenu proceduru računovodstva, skladištenja i korištenja dokumenata koji sadrže povjerljive podatke. A prema analitičarima, čiji su članci korišteni u radu, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurov (71) i drugi, to je teško preporučljivo.

Završni kvalifikacijski rad sastoji se od uvoda, tri poglavlja, zaključka, popisa izvora i literature, prijava.

U uvodu se formulira relevantnost i praktični značaj teme, svrha studija, zadaci, stupanj razvijenosti problematike koji se proučava, objekt, predmet, baza istraživanja, istraživački alati, struktura i sadržaj završnog kvalifikacijskog rada.

Prvo poglavlje: "Osnove informacijske sigurnosti i zaštite informacija" sadrži povijest problematike i osnovne pojmove informacijske sigurnosti. Kao što su vrijednost informacija, povjerljivost. U stavku 1.2. naznačeni su distribucijski kanali, curenje informacija, u nastavku se razmatra sustav prijetnji i sustav zaštite povjerljivih informacija.

Poglavlje "Organizacija rada s povjerljivim dokumentima". Sastoji se od regulatornih i metodoloških osnova povjerljivog uredskog rada, zatim je dan postupak rada zaposlenika i organizacija njihovog pristupa povjerljivim informacijama. Tehnologija rada s navedenim informacijama opisana je u zadnjem odlomku drugog poglavlja.

U trećem poglavlju, na primjeru poduzeća OJSC "CHZPSN - Profilirano", razmatra se sustav zaštite informacija ograničenog pristupa, analiza rada s povjerljivim dokumentima. daju se preporuke, izmjene i dopune tehnologije povjerljivog uredskog rada formirane u poduzeću.

Sigurnost informacija. Tečaj predavanja Artyomov A.V.

Pitanje 3. Sustav zaštite povjerljivih informacija

Praktična provedba politike (koncepta) informacijske sigurnosti tvrtke je tehnološki informacijski sigurnosni sustav. Zaštita informacija je strogo reguliran i dinamičan tehnološki proces koji sprječava narušavanje dostupnosti, integriteta, pouzdanosti i povjerljivosti vrijednih informacijskih resursa te, u konačnici, osigurava dovoljno pouzdanu informacijsku sigurnost u procesu upravljanja i proizvodnih aktivnosti tvrtke.

Sustav informacijske sigurnosti je racionalan skup pravaca, metoda, sredstava i mjera kojima se smanjuje ranjivost informacija i sprječava neovlašteni pristup informacijama, njihovo otkrivanje ili curenje. Glavni zahtjevi za organizaciju učinkovitog funkcioniranja sustava su: osobna odgovornost rukovoditelja i zaposlenika za sigurnost medija i povjerljivost informacija, uređenje sastava povjerljivih informacija i dokumenata koji podliježu zaštiti, uređenje postupka. za pristup osoblja povjerljivim informacijama i dokumentima, prisutnost specijalizirane sigurnosne službe koja osigurava praktičnu provedbu zaštite sustava te regulatornu i metodološku potporu aktivnosti ove službe.

Vlasnici informacijskih resursa, uključujući državne agencije, organizacije i poduzeća, samostalno određuju (osim podataka koji su klasificirani kao državna tajna) potreban stupanj sigurnosti resursa i vrstu sustava, metode i sredstva zaštite, na temelju vrijednosti informacija. Vrijednost informacija i potrebna pouzdanost njihove zaštite su u izravnom razmjeru. Važno je da struktura sustava zaštite treba obuhvatiti ne samo elektroničke informacijske sustave, već i cjelokupni upravljački kompleks poduzeća u jedinstvu njegovih stvarnih funkcionalnih i proizvodnih jedinica, tradicionalnih dokumentacijskih procesa. Nije uvijek moguće napustiti papirnate dokumente i često rutinsku, povijesno uspostavljenu tehnologiju upravljanja, osobito ako se radi o sigurnosti vrijednih, povjerljivih informacija.

Glavna karakteristika sustava je njegova složenost, odnosno prisutnost obveznih elemenata u njemu koji pokrivaju sva područja zaštite informacija. Omjer elemenata i njihovog sadržaja osigurava individualnost izgradnje sustava za zaštitu informacija određene tvrtke i jamči jedinstvenost sustava, teškoću prevladavanja. Specifičan zaštitni sustav može se predstaviti kao zid od opeke, koji se sastoji od mnogo različitih elemenata (cigle). Elementi sustava su: pravni, organizacijski, inženjerski, hardversko-softverski i kriptografski.

Pravni element Sustavi informacijske sigurnosti temelje se na normama informacijskog prava i podrazumijevaju pravnu konsolidaciju odnosa između tvrtke i države u pogledu zakonitosti korištenja sustava informacijske sigurnosti, tvrtke i osoblja u pogledu dužnosti osoblja da se pridržava restriktivnih i tehnološke zaštitne mjere koje utvrđuje vlasnik informacije, kao i odgovornost osoblja za kršenje postupka zaštite informacija. Ovaj element uključuje:

Prisutnost u organizacijskim dokumentima društva, internom pravilniku o radu, ugovorima sklopljenim sa zaposlenicima, odredbama o poslovima i uputama o radu i obvezama zaštite povjerljivih podataka;

Formuliranje i priopćavanje svim zaposlenicima tvrtke (uključujući one koji se ne odnose na povjerljive podatke) odredbi o pravnoj odgovornosti za otkrivanje povjerljivih informacija, neovlašteno uništavanje ili krivotvorenje dokumenata;

Objašnjavanje regrutiranim osobama odredbi o dobrovoljnosti ograničenja koja preuzimaju, a koja se odnose na ispunjavanje obveza zaštite informacija.

Organizacijski element Sustav informacijske sigurnosti sadrži mjere upravljačke, restriktivne (režimske) i tehnološke prirode koje određuju osnovu i sadržaj sigurnosnog sustava, potičući osoblje na poštivanje pravila zaštite povjerljivih podataka tvrtke. Ove mjere povezane su s uspostavljanjem režima povjerljivosti u tvrtki. Element uključuje regulaciju:

Formiranje i organizacija djelatnosti sigurnosne službe i službe povjerljive dokumentacije (ili voditelja sigurnosti, ili glavnog izvršnog direktora), pružanje djelatnosti tih službi (zaposlenika) regulatornim i metodološkim dokumentima o organizaciji i tehnologiji zaštite informacija ;

Sastavljanje i redovito ažuriranje sastava (popisa, popisa, matrice) zaštićenih informacija društva, sastavljanje i održavanje popisa (inventara) zaštićenih papirnatih, strojno čitljivih i elektroničkih dokumenata društva;

Sustav dopuštanja (hijerarhijska shema) za razgraničenje pristupa osoblja zaštićenim informacijama;

Metode odabira osoblja za rad sa zaštićenim informacijama, metode osposobljavanja i podučavanja djelatnika;

Smjerovi i metode odgojno-obrazovnog rada s osobljem, praćenje poštivanja od strane zaposlenika procedure zaštite informacija;

Tehnologije za zaštitu, obradu i pohranu papirnatih, strojno čitljivih i elektroničkih dokumenata poduzeća (uredsko poslovanje, automatizirane i mješovite tehnologije); izvanstrojna tehnologija za zaštitu elektroničkih dokumenata;

Postupak zaštite vrijednih podataka tvrtke od slučajnih ili namjernih neovlaštenih radnji osoblja;

Narudžbe svih vrsta analitičkih radova;

Postupak zaštite informacija tijekom sastanaka, sastanaka, pregovora, primanja posjetitelja, rada s predstavnicima reklamnih agencija, medija;

Oprema i certificiranje prostora i radnih prostora namijenjenih za rad s povjerljivim informacijama, licenciranje tehničkih sustava i sredstava zaštite i sigurnosti informacija, certificiranje informacijskih sustava za obradu zaštićenih informacija;

Kontrola pristupa na teritoriju, u zgradi i prostorijama tvrtke, identifikacija osoblja i posjetitelja;

Sigurnosni sustavi za teritorij, zgrade, prostore, opremu, transport i osoblje poduzeća;

Radnje osoblja u ekstremnim situacijama;

Organizacijska pitanja nabave, ugradnje i rada tehničkih sredstava zaštite i zaštite informacija;

Organizacijska pitanja zaštite osobnih računala, informacijskih sustava, lokalnih mreža;

Radovi upravljanja sustavom informacijske sigurnosti;

Kriteriji i postupak za provođenje aktivnosti procjene radi utvrđivanja stupnja učinkovitosti sustava zaštite informacija.

Element organizacijske zaštite je jezgra, glavni dio složenog sustava koji se razmatra. Prema mišljenju većine stručnjaka, mjere organizacijske zaštite informacija čine 50-60% u strukturi većine sustava zaštite informacija. To je zbog niza čimbenika, ali i činjenice da je važan dio organizacijske zaštite informacija odabir, zapošljavanje i osposobljavanje kadrova koji će implementirati sustav zaštite informacija u praksi. Savjesnost, obučenost i odgovornost osoblja s pravom se može nazvati kamenom temeljcem svakog čak i tehnički najnaprednijeg informacijskog sigurnosnog sustava. Mjere organizacijske zaštite odražavaju se u regulativnim i metodološkim dokumentima službe sigurnosti, službe povjerljive dokumentacije ustanove ili poduzeća. S tim u vezi, često se koristi zajednički naziv za dva elementa sustava zaštite o kojima smo gore govorili - "element organizacijske i pravne zaštite informacija".

Inženjerski element Sustavi informacijske sigurnosti dizajnirani su za pasivno i aktivno suprotstavljanje tehničkoj inteligenciji i formiranje linija zaštite teritorija, zgrada, prostorija i opreme pomoću skupa tehničkih sredstava. Kod zaštite informacijskih sustava ovaj element je vrlo važan, iako su troškovi tehničke zaštite i sigurnosne opreme visoki. Stavka uključuje:

Konstrukcije fizičke (inženjerske) zaštite od prodora neovlaštenih osoba na teritorij, u zgradu i prostore (ograde, rešetke, čelična vrata, kombinirane brave, identifikatori, sefovi itd.);

Sredstva zaštite tehničkih kanala od curenja informacija koje nastaju tijekom rada računala, komunikacijskih uređaja, fotokopirnih uređaja, pisača, faksova i drugih uređaja i uredske opreme, tijekom sastanaka, sastanaka, razgovora s posjetiteljima i zaposlenicima, diktiranja dokumenata i sl.;

Sredstva za zaštitu prostora od vizualnih metoda tehničkog izviđanja;

Sredstva za osiguranje zaštite teritorija, zgrada i prostorija (sredstva promatranja, obavještavanja, signalizacije, informiranja i identifikacije);

Sredstva za zaštitu od požara;

Sredstva za otkrivanje uređaja i uređaja tehničke obavještajne službe (prislušni i odašiljački uređaji, tajno ugrađena minijaturna oprema za snimanje zvuka i televizije i dr.);

Tehničke kontrole kako bi se spriječilo osoblje da iz prostorija iznosi posebno označene predmete, dokumente, diskete, knjige itd. Hardverski i softverski element informacijski sigurnosni sustavi dizajnirani su za zaštitu vrijednih informacija obrađenih i pohranjenih u računalima, poslužiteljima i radnim stanicama lokalnih mreža i različitih informacijskih sustava. Međutim, fragmenti ove zaštite mogu se koristiti kao pomoćna sredstva u inženjerskoj i tehničkoj i organizacijskoj zaštiti. Stavka uključuje:

Autonomni programi koji osiguravaju zaštitu informacija i kontroliraju stupanj njihove zaštite;

Programi za informacijsku sigurnost koji rade zajedno s programima za obradu informacija;

Programi informacijske sigurnosti koji rade u sprezi s tehničkim (hardverskim) uređajima za informacijsku sigurnost (prekid rada računala u slučaju kršenja pristupnog sustava, brisanje podataka u slučaju neovlaštenog ulaska u bazu podataka i sl.).

Kriptografski element Sustav informacijske sigurnosti dizajniran je za zaštitu povjerljivih informacija korištenjem kriptografskih metoda. Stavka uključuje:

Regulacija korištenja različitih kriptografskih metoda u računalima i lokalnim mrežama;

Utvrđivanje uvjeta i načina kriptografiranja teksta dokumenta prilikom njegovog prijenosa nezaštićenim kanalima poštanskih, telegrafskih, teletipskih, faksimilnih i elektroničkih komunikacija;

Reguliranje korištenja kriptografskih sredstava pregovaranja preko nezaštićenih telefonskih i radio komunikacijskih kanala;

Reguliranje pristupa bazama podataka, datotekama, elektroničkim dokumentima osobnim lozinkama, identifikacijskim naredbama i drugim metodama;

Regulacija pristupa osoblja dodijeljenim prostorijama korištenjem identifikacijskih kodova, šifri.

Sastavne dijelove kriptografske zaštite, kodove, lozinke i druge njezine atribute razvija i mijenja specijalizirana organizacija. Korisnicima nije dopušteno korištenje vlastitih sustava šifriranja.

U svakom elementu zaštite u praksi se mogu implementirati samo pojedine komponente, ovisno o zadacima zaštite u velikim i srednjim poduzećima različitih profila, malim poduzećima. Struktura sustava, sastav i sadržaj elemenata, njihov međusobni odnos ovise o obujmu i vrijednosti zaštićenih informacija, prirodi novonastalih prijetnji sigurnosti informacija, potrebnoj pouzdanosti zaštite i cijeni sustava. . Na primjer, u tvrtki srednje veličine s malom količinom zaštićenih informacija, možete se ograničiti na regulaciju tehnologije za obradu i pohranu dokumenata, pristup osoblja dokumentima i datotekama. Moguće je dodatno izdvajanje u zasebnu skupinu i označavanje vrijednih papirnatih, strojno čitljivih i elektroničkih dokumenata, vođenje popisa istih, utvrđivanje procedure potpisivanja obveze zaposlenika da ne odaju tajne tvrtke, organiziranje redovitih edukacija i instruiranja zaposlenika. , obavljati analitičke i kontrolne poslove. Korištenje najjednostavnijih metoda zaštite, u pravilu, daje značajan učinak.

U velikim proizvodnim i istraživačkim tvrtkama s brojnim informacijskim sustavima i značajnim količinama zaštićenih informacija formira se sustav informacijske sigurnosti na više razina, karakteriziran hijerarhijskim pristupom informacijama. No, ovi sustavi, kao i najjednostavniji načini zaštite, zaposlenicima ne bi trebali stvarati ozbiljne neugodnosti u radu, odnosno trebaju biti „transparentni“.

Sadržaj sastavnih dijelova elemenata, metoda i sredstava zaštite informacija u okviru svakog sigurnosnog sustava treba redovito mijenjati kako bi se spriječilo njihovo otkrivanje od strane zainteresirane osobe. Specifičan sustav zaštite podataka tvrtke uvijek je strogo povjerljiv, tajan. U praktičnom korištenju sustava treba imati na umu da osobe koje projektiraju i moderniziraju sustav, prate i analiziraju njegov rad, ne mogu biti korisnici ovog sustava.

Zaključak: informacijska sigurnost u suvremenim uvjetima informatizacije informacijskih procesa od temeljne je važnosti za sprječavanje nezakonite i često kriminalne upotrebe vrijednih informacija. Zadaće informacijske sigurnosti provode se integriranim sustavom zaštite informacija, koji je po svojoj namjeni sposoban riješiti mnoge probleme koji se javljaju u procesu rada s povjerljivim informacijama i dokumentima. Glavni uvjet za sigurnost informacijskih resursa ograničenog pristupa od raznih vrsta prijetnji je, prije svega, organizacija u društvu analitičkih studija, izgrađenih na suvremenoj znanstvenoj razini i koja omogućuje stalne informacije o učinkovitosti zaštite. sustava i pravcima njegova unapređenja u skladu s nastalim situacijskim problemima.

Iz knjige Tehnička poslovna sigurnost Autor Alešin Aleksandar

Poglavlje 5. Tehnička sredstva zaštite informacija 5.1. Sigurnost informacija Sigurnost informacija odnosi se na sigurnost informacija i njihove prateće infrastrukture od bilo kakvih slučajnih ili zlonamjernih utjecaja koji mogu rezultirati

Iz knjige Kamioni. Sigurnost i zdravlje na radu autor Melnikov Ilya

5.4. Metode zaštite informacija

Iz knjige Sigurnost informacija. Tečaj predavanja autor Artemov A.V.

Informacijski sustav opasnosti (HIS) Vozači i drugi radnici cestovnih prijevoznih organizacija izravno uključeni u registraciju, pripremu i održavanje prijevoza opasnih tvari moraju se pridržavati zahtjeva pravilnika Ministarstva za izvanredne situacije, kada

Iz knjige autora

Pitanje 1. Informacijski resursi i povjerljivost informacija U skladu s važećim Saveznim zakonom "O informacijama, informatizaciji i zaštiti informacija", informacijski resursi poduzeća, organizacije, ustanove, banke, poduzeća i dr.

Iz knjige autora

Pitanje 2. Prijetnje povjerljivim informacijama organizacije Svi informacijski resursi tvrtke su stalno izloženi objektivnim i subjektivnim prijetnjama gubitka medija ili vrijednosti informacije.Pod prijetnjom ili opasnošću od gubitka informacija podrazumijeva se jedno ili

Iz knjige autora

Pitanje 2. Model i metodologija sustava korporativne informacijske sigurnosti Sukladno čl. 20. Federalnog zakona "O informacijama, informatizaciji i zaštiti informacija", ciljevi zaštite informacija su, između ostalog, sprječavanje curenja, krađe, gubitka, izobličenja, krivotvorenja.

Iz knjige autora

Predavanje 5 Konceptualne osnove informacijske sigurnosti u automatiziranim sustavima Nastavna pitanja: 1. Analiza i tipizacija organizacijskih i hardversko-softverskih struktura automatiziranih sustava poduzeća 2. Analiza mogućih prijetnji i njihove specifičnosti u različitim vrstama

Iz knjige autora

Pitanje 3. Sistematizacija vrsta zaštite informacija U praktičnim aktivnostima na primjeni mjera i sredstava zaštite informacija izdvajaju se sljedeća samostalna područja, određena u skladu s postojećim industrijskim strukturama i vrstama informacija

Iz knjige autora

Pitanje 3. Načela zaštite bankovnih automatiziranih sustava Svaki sustav za obradu sigurnosnih informacija treba razvijati pojedinačno, uzimajući u obzir sljedeće značajke:? organizacijska struktura banke ;? obujam i priroda tokova informacija (unutar banke u

Iz knjige autora

Pitanje 2. Jedinstveni koncept informacijske sigurnosti.

Iz knjige autora

Iz knjige autora

Pitanje 2. Formalni modeli zaštite Razmotrimo tzv. matrični model zaštite, koji je u praksi najrašireniji. U smislu matričnog modela, stanje sustava zaštite opisuje se trojkom: (S, O, M), gdje je S skup subjekata

Iz knjige autora

Pitanje 1. Svrha matematičkih modela za osiguranje informacijske sigurnosti u automatiziranom sustavu upravljanja.

Iz knjige autora

Pitanje 2. Komparativna analiza i osnovne definicije matematičkih modela za osiguranje informacijske sigurnosti Postojeće tehnologije za formalni opis procesa informacijske sigurnosti temelje se na konceptima teorije konačnih automata, teo.

Iz knjige autora

Pitanje 1. Mjere pravne i organizacijske zaštite Pravni lijekovi se uglavnom svode na upravnu i kaznenu odgovornost za namjerno stvaranje i širenje virusa ili "trojanskih konja" s ciljem nanošenja štete Poteškoće u njihovoj primjeni

Iz knjige autora

Pitanje 2. Hardverske i softverske metode i sredstva zaštite U suvremenim osobnim računalima implementiran je princip razdvajanja softvera i hardvera. Stoga softverski virusi i trojanski konji ne mogu učinkovito utjecati na hardver, osim ako