"Ufficiale del personale. Diritto del lavoro per un ufficiale del personale", 2011, N 10

TUTELA DELLE INFORMAZIONI NELL'ORGANIZZAZIONE

L'autore affronta il problema di garantire la sicurezza delle informazioni di un'organizzazione. L'attenzione principale è rivolta ai segreti commerciali e ufficiali, nonché alle peculiarità di lavorare con personale che possiede informazioni riservate.

Garantire la sicurezza delle informazioni dell'organizzazione è una delle aree prioritarie dell'amministrazione dell'azienda al momento. È ovvio che l'affidabilità della protezione delle informazioni dipende direttamente dal suo valore. Per proteggere le informazioni dell'azienda, è necessaria una serie di misure per formare un sistema. In teoria, un sistema di sicurezza delle informazioni è inteso come una combinazione razionale di direzioni, metodi, mezzi e misure che riducono la vulnerabilità delle informazioni e impediscono l'accesso non autorizzato alle informazioni, la loro divulgazione o fuga. Gli elementi di un tale sistema sono misure di natura legale, organizzativa, tecnica e di altra natura.

L'elemento legale è obbligatorio per qualsiasi tipo di organizzazione e per qualsiasi sistema di sicurezza delle informazioni, anche il più semplice. In sua assenza, l'organizzazione non sarà in grado di proteggere adeguatamente le informazioni riservate, così come di perseguire i responsabili della loro divulgazione e perdita.

L'elemento legale, cioè le misure di natura legale, è principalmente finalizzato alla corretta esecuzione dei documenti, nonché al lavoro competente con il personale dell'organizzazione, poiché il fattore umano è al centro del sistema di protezione delle informazioni. In generale, nel risolvere il problema della sicurezza delle informazioni di un'organizzazione, un posto significativo è occupato dalla scelta di metodi efficaci di lavoro con il personale e i problemi di gestione del personale sono inclusi nel numero dei problemi principali per garantire la sicurezza delle informazioni.

In un rapporto di lavoro, il datore di lavoro e il dipendente si scambiano una grande quantità di informazioni di diversa natura, comprese le informazioni riservate. Ad esempio, il datore di lavoro ottiene l'accesso ai dati personali del dipendente e il dipendente viene a conoscenza delle informazioni riservate del datore di lavoro. Questo articolo tratta specificamente delle informazioni riservate del datore di lavoro.

Personale dell'organizzazione

come oggetto e soggetto di minacce alla sicurezza

Nelle aziende moderne, quasi ogni dipendente diventa portatore di informazioni preziose che interessano i concorrenti e talvolta le strutture criminali. La divulgazione di informazioni riservate può causare danni economici significativi a un'organizzazione. È ovvio che la raccolta segreta di informazioni, informazioni, furto di documenti, materiali, campioni costituenti segreti commerciali, industriali, ufficiali, è organizzata con lo scopo di conquistare il mercato, risparmiare sull'acquisizione di know-how, ecc. Purtroppo, non è raro che un dipendente o l'organizzazione, volendo aumentare lo stipendio, proponga la propria candidatura ad un'azienda concorrente e nel contempo si impegni a portare con sé le banche dati della vecchia azienda. Secondo dati non ufficiali, circa l'80% delle organizzazioni soffre di "spionaggio industriale" in una forma o nell'altra.

Quindi, in materia di protezione delle informazioni riservate di un'organizzazione da vari tipi di minacce, il personale dell'impresa occupa un posto significativo, che può diventare sia l'oggetto che l'oggetto di tali minacce. È necessario introdurre un tale sistema di gestione del personale che aiuterebbe a garantire la sicurezza delle informazioni, svolgere un ruolo preventivo in relazione alle minacce specificate.

Le forme di implementazione delle minacce alla sicurezza delle informazioni di un'impresa sono diverse per natura e contenuto, il che complica oggettivamente il processo per contrastarle. Allo stesso tempo, la motivazione dei dipendenti nella divulgazione di informazioni riservate può essere diversa. L'attuazione delle misure del servizio del personale per la protezione delle informazioni aziendali comporta la pianificazione, l'organizzazione, la motivazione e il monitoraggio del personale al fine di creare un sistema di sicurezza delle informazioni. Gli esperti occidentali nel garantire la sicurezza economica ritengono che la sicurezza delle informazioni riservate dell'80% dipenda dalla corretta selezione, collocazione e formazione del personale.

Errori tipici delle imprese

Melnikova E. I. cita i dati di ricerca sull'argomento "Metodi e mezzi per proteggere i segreti commerciali nell'impresa", che è stato condotto a Ulyanovsk. Hanno partecipato 40 imprese della città tra grandi, medie e piccole imprese e si è concluso che non esiste un sistema di gestione del personale efficace per garantire la sicurezza delle informazioni dell'impresa ovunque.

Secondo questo studio, il 65% di tutte le imprese non controlla l'ingresso e la rimozione di documenti cartacei, dischi, unità elettroniche e altri supporti, nonché apparecchiature video e fotografiche da parte dei dipendenti del territorio dell'impresa. Nel 33,5% di tutti i casi nelle imprese, i locali in cui si trovano i computer non sono protetti da accessi non autorizzati. Al 55% delle imprese, al momento del licenziamento, i dipendenti non ricevono una ricevuta di non divulgazione di informazioni riservate. Al 55% di tutte le imprese dell'impresa, una persona non è nominata responsabile della contabilità per i dipendenti che hanno accesso a informazioni contenenti informazioni che costituiscono un segreto commerciale, che garantisce l'archiviazione della documentazione, rilasciandola ai dipendenti contro la firma e il controllo sulla tempestiva restituzione della documentazione specificata per la conservazione. Al 47,5% di tutte le imprese, non ci sono luoghi appositamente organizzati per l'accoglienza dei visitatori. In 3/4 delle imprese sono stati registrati casi di divulgazione di informazioni costituenti segreto commerciale durante gli spostamenti del personale (assunzione, trasloco, licenziamento).

Tipi di informazioni riservate

Le informazioni riservate sono senza dubbio classificate come informazioni riservate. Tra l'altro, il regime giuridico di quest'ultimo non è sufficientemente definito negli atti normativi. Quali informazioni possono essere classificate come riservate negli affari? Come nominare queste informazioni? Come documentare l'obbligo di un dipendente di mantenere segrete le informazioni del datore di lavoro?

Per definire le informazioni riservate vengono utilizzati vari termini, ognuno dei quali non è accurato e corretto: "segreto commerciale", "segreto ufficiale", "informazioni privilegiate", "segreto professionale", ecc. Su ciascuno dei concetti sopra.

I suoi soggetti possono essere esclusivamente dipendenti statali o comunali;

Può includere solo quelle informazioni riservate che vengono a conoscenza di persone in virtù dell'esercizio di doveri professionali associati al servizio statale o comunale;

Ha una composizione di qualità speciale.

Va notato che nella legislazione attuale non ci sono linee guida chiare per determinare l'essenza dei segreti ufficiali e bisogna essere guidati da approcci scientifici.

Questo termine non è adatto per essere utilizzato quando si definiscono informazioni riservate di una società commerciale, nonché di un'organizzazione governativa in cui non viene fornito il servizio governativo.

Il termine "informazioni privilegiate" tradotto letteralmente significa informazioni privilegiate dell'azienda.

Dizionario del diritto del lavoro. Un insider (inside English - inside) è una persona che, in virtù della sua posizione ufficiale, ha informazioni riservate sugli affari di un'azienda.

Il comma 1 dell'art. 1 della Direttiva 2003/6/CE definisce informazioni privilegiate le informazioni non divulgate al pubblico, di valore noto, relative a uno o più emittenti strumenti finanziari o a uno o più di tali strumenti, che, se divulgate, avranno sicuramente un effetto significativo le quotazioni di strumenti finanziari o relativi derivati.

A differenza dei paesi con mercati mobiliari sviluppati, la Russia non ha ancora introdotto il termine "informazioni privilegiate" a livello legislativo. Il disegno di legge "Sulle informazioni privilegiate" è stato respinto. Il termine non è stato incluso nel vocabolario normativo. Invece del concetto di "informazioni privilegiate" nella legge federale del 22 aprile 1996 N 39-FZ "Sul mercato dei valori mobiliari" (modificata l'11 luglio 2011), è stato fissato il concetto di "informazioni ufficiali". Riconosce: 1) qualsiasi informazione non pubblicamente disponibile sull'emittente e sui titoli di capitale da esso emessi; 2) informazioni che pongano soggetti che, in ragione della loro posizione ufficiale, delle mansioni lavorative o di un accordo concluso con l'emittente, tali informazioni, si trovino in una posizione di vantaggio rispetto ad altri soggetti del mercato mobiliare.

V. I. Dobrovolskiy osserva che nella pratica mondiale il concetto di "informazioni ufficiali" corrisponde al concetto di "informazioni privilegiate", poiché questo concetto è il più universale, comprese le informazioni ufficiali, commerciali, riservate, ecc.

In Russia, il termine "informazioni proprietarie" significa anche informazioni riservate, ma è usato nel campo del mercato azionario. Il termine "informazioni privilegiate" è generalmente utilizzato in modo informale.

Le informazioni dovrebbero essere classificate come riservate?

La definizione legale ha il concetto di "segreto commerciale". Si tratta, in primo luogo, del regime di riservatezza delle informazioni, che consente al suo titolare, in circostanze esistenti o possibili, di aumentare il reddito, evitare spese ingiustificate, mantenere una posizione nel mercato di beni, lavori, servizi o ottenere altri vantaggi commerciali; e in secondo luogo, sono le informazioni stesse, cioè le informazioni di qualsiasi natura (produttiva, tecnica, economica, organizzativa e altre) che hanno valore commerciale effettivo o potenziale per il fatto di essere sconosciute a terzi, a cui i terzi non hanno libero accesso su base giuridica la cui base e rispetto alla quale il titolare di tali informazioni ha introdotto un regime di segreto commerciale.

Il titolare dell'informazione ha il diritto di qualificarla come segreto commerciale se tale informazione soddisfa i criteri di cui sopra e non è inclusa nell'elenco delle informazioni che non possono costituire un segreto commerciale di cui all'art. 5 della legge federale del 29 luglio 2004 N 98-ФЗ "Sui segreti commerciali" (come modificata l'11 luglio 2011, di seguito - la legge sui segreti commerciali). Questo elenco non è chiuso, poiché in relazione ad altre informazioni soggette a diffusione, la Legge sui Segreti Commerciali fa riferimento ad altre normative.

Pertanto, se un dipendente si è lamentato con qualcuno che il suo stipendio è stato ritardato o ha detto a qualcuno dei posti vacanti nell'organizzazione, tali azioni non saranno la divulgazione di segreti commerciali.

Al fine di proteggere le informazioni, spesso al momento della conclusione di un contratto di lavoro, un dipendente è tenuto a rispettare una condizione come la non divulgazione dei segreti commerciali dell'organizzazione. Oltre alle condizioni sui segreti commerciali, il contratto di lavoro non esclude la possibilità di firmare un documento separato sulla protezione delle informazioni che costituisce un segreto commerciale, che nella sua essenza è la conclusione logica della registrazione legale della protezione delle informazioni a livello di un soggetto economico. GM Koleboshin fa giustamente notare che in letteratura c'è una proposta specifica sull'opportunità di concludere un ulteriore accordo di non divulgazione con un dipendente, che può essere incluso come condizione in un contratto di lavoro o esistere come documento separato. Pertanto, un'organizzazione può avere un atto normativo locale dedicato ai segreti commerciali - un regolamento su un segreto commerciale (di seguito denominato Regolamento). Quando assume un dipendente che avrà accesso a informazioni classificate, il datore di lavoro deve familiarizzarlo con le normative locali in vigore nell'organizzazione, che sono direttamente correlate alla funzione lavorativa di questo dipendente, al momento del ricevimento (Articolo 68 del Codice del lavoro della Federazione Russa; Articolo 11 della Legge sui Segreti Commerciali), compresi i Regolamenti. Può contenere un elenco di informazioni riservate, che viene stabilito dal capo in base alle specificità del lavoro dell'azienda. Cioè, il dipendente deve avere familiarità con l'elenco delle informazioni che costituiscono il segreto commerciale del datore di lavoro, nonché con il regime del segreto commerciale stabilito e le misure di responsabilità per la sua violazione.

Se l'organizzazione non ha adottato regolamenti locali che disciplinano il lavoro con informazioni riservate, i dipendenti non ne sono a conoscenza, la sicurezza di tali informazioni non è garantita, non è necessario parlare di divulgazione di segreti commerciali, il che significa che ci sarà nessuna pretesa legale nei confronti del dipendente che ha divulgato tali informazioni può, ad eccezione del caso in cui la raccolta di tali informazioni sia stata effettuata mediante furto di documenti, corruzione o minacce.

Inoltre, l'amministrazione è obbligata a creare le condizioni necessarie affinché il dipendente rispetti il ​​regime del segreto commerciale (ad esempio, fornire una cassaforte per la conservazione di materiali classificati).

Quindi, il dipendente deve sapere chiaramente cosa appartiene al segreto commerciale dell'organizzazione, come è protetto ed essere in grado di osservarlo.

Responsabilità per la divulgazione

Nell'art. 14 della Legge sui segreti commerciali afferma che una persona che ha utilizzato informazioni che costituiscono un segreto commerciale e non ha avuto motivi sufficienti per considerare illegale l'uso di tali informazioni, compreso l'accesso ad esse a seguito di un incidente o di un errore, non può, in in conformità con la legge sui segreti commerciali, segretamente responsabili. Se un dipendente che non è a conoscenza dell'elenco dei documenti classificati cade accidentalmente nelle mani di un documento, dalla forma e dal testo del quale non gli è chiaro che tale informazione appartiene a un segreto commerciale, non sarà responsabile per neanche la sua divulgazione.

Non va dimenticato che non dovrebbe esserci libero accesso alle informazioni segrete. Ad esempio, se un dipendente di un'azienda ha trasmesso a qualcuno informazioni sulle attività dell'azienda, che possono essere trovate anche sul sito Web dell'azienda, non si tratta di una cattiva condotta.

La divulgazione di segreti commerciali comporta responsabilità disciplinari, civili, amministrative o penali secondo la legislazione della Federazione Russa. Nel divulgare informazioni che costituiscono un segreto commerciale, il lavoratore può essere licenziato su iniziativa unilaterale del datore di lavoro, ai sensi dell'art. 81 del Codice del lavoro della Federazione Russa.

Le controversie che sorgono in relazione alla divulgazione di segreti commerciali sono considerate, di regola, nell'ambito delle relazioni civili e di lavoro e molto raramente raggiungono il punto di un procedimento penale. La soluzione alle controversie civili e di lavoro dipende da come il datore di lavoro ha organizzato la protezione delle informazioni riservate - segreti commerciali. La pratica giudiziaria su questo tema è molto scarsa.

Azioni del datore di lavoro per proteggere le informazioni

La soluzione alle controversie civili e di lavoro dipende da come il datore di lavoro ha organizzato la protezione delle informazioni riservate - segreti commerciali. Il datore di lavoro ha bisogno di:

Sviluppare un elenco di informazioni relative ai segreti commerciali;

Limitare e regolamentare l'accesso ai supporti di informazione;

Determinare la cerchia delle persone autorizzate ad accedere alle informazioni;

Apporre sui documenti che costituiscono un segreto commerciale la dicitura "Informazioni riservate" (in tal caso è necessario indicare il titolare dell'informazione, la sua ubicazione e il nome);

Familiarizzare i dipendenti con gli atti locali sui segreti commerciali;

Introdurre nei contratti di lavoro, soprattutto con i neoassunti, una clausola sull'obbligo del lavoratore di non rivelare alcune informazioni al datore di lavoro.

Nella formulazione di un accordo (obbligo contrattuale) sull'obbligo di non divulgare informazioni o sul Regolamento sui segreti commerciali, può essere presa in considerazione l'esperienza delle società americane, dove nell'accordo sono inclusi i seguenti punti:

Un'esposizione dettagliata dei principi per determinare le informazioni specifiche che costituiscono il segreto della società;

Una sintesi della procedura per la protezione delle informazioni riservate;

Una dichiarazione delle misure che il dipendente stesso deve adottare per garantire la sicurezza di queste informazioni;

Elenco delle sanzioni che possono seguire per la divulgazione di informazioni riservate.

Ovviamente, un tale impegno scritto a non divulgare segreti aziendali non offre garanzie complete sulla conservazione di tali informazioni, tuttavia, come dimostra la pratica, riduce significativamente il rischio di divulgazione di tali informazioni da parte del personale.

I documenti a volte includono una clausola sull'obbligo del dipendente di informare il servizio di sicurezza dell'azienda o il supervisore immediato del tentativo di una persona non autorizzata di ottenere informazioni sull'organizzazione, comprese quelle riservate, nonché sui casi di perdita di supporti di informazioni.

È possibile formulare una serie di raccomandazioni in merito al licenziamento di un dipendente che possiede informazioni riservate. Quando un dipendente scrive una lettera di dimissioni, è necessario eseguire costantemente i seguenti passaggi: accettare tutti i documenti, database, supporti di memorizzazione, ecc., Che sono registrati con il dipendente, accettare il pass (identificativo), le chiavi e i timbri del dipendente, condurre un colloquio con il dipendente che ha lasciato.

Al colloquio, vale la pena ricordare alla persona che ha firmato documenti che lo obbligano a mantenere i segreti dell'azienda. Alcuni autori raccomandano di stipulare un altro accordo con la persona dimissionaria sulla non divulgazione di dati riservati dopo aver lasciato l'organizzazione. Tornando ancora all'esperienza degli Stati Uniti, non è raro che un contratto di consulenza venga concluso con dipendenti uscenti di particolare pregio nell'arco di alcuni anni. Inoltre, per tutto questo tempo, una persona del genere riceve uno stipendio. Si ritiene che una tale connessione materiale e morale con l'ex luogo di lavoro non dia a una persona un motivo per divulgare informazioni riservate. Nel nostro Paese questa pratica, per ragioni ben note, difficilmente sarà diffusa e sarà applicabile solo ai top manager delle grandi aziende.

Pertanto, gli attuali atti normativi non forniscono una protezione efficace per le informazioni riservate dell'organizzazione. Al fine di tutelare le informazioni interne, il datore di lavoro deve custodire personalmente i segreti dell'azienda, compilando correttamente sia le informazioni riservate stesse, sia il rapporto con il dipendente che ha tali informazioni. Quando si eseguono le azioni specificate in questo articolo, l'organizzazione può contare su una decisione a suo favore in caso di possibile contenzioso.

Elenco bibliografico

1. Korneev IK, Stepanov EA Sicurezza delle informazioni in ufficio. M.: TK Welby, Prospect, 2010.

2. Melnikova EI Forme di fuga di informazioni che costituiscono un segreto commerciale e gestione del personale di un'impresa al fine di garantire la sicurezza delle informazioni // Mondo legale. 2009. N 12.S. 40 - 43.

3. Sheverdyaev SN Regime costituzionale e giuridico delle informazioni ad accesso limitato // Diritto costituzionale e municipale. 2007. N 1.

4. Yakovets E. N., Smirnova I. N. Regolamento normativo della circolazione delle informazioni che costituiscono un segreto ufficiale // Legge sull'informazione. 2009. N 4.

5. Direttiva 2003/6/CE “Sulle attività di insider e manipolazione del mercato, abusi di mercato”. Direttiva 2003/6/CE del Parlamento Europeo e del Consiglio del 28 gennaio 2003 in materia di abuso di informazioni privilegiate e manipolazione del mercato (abusi di mercato). GU L 096 del 12.04.2003. P. 0016 - 0025.

6. Dobrovolskiy V. I. Informazioni privilegiate nella pratica mondiale, informazioni ufficiali e segreti commerciali in Russia // Diritto imprenditoriale. 2008. N 4.

7. Koleboshin GM Obblighi del dipendente in relazione ai segreti commerciali del datore di lavoro // Diritto del lavoro. 2007. N 5.

8. Ishcheynov V. Ya. Tecnologia per determinare le informazioni classificate come segreti commerciali e fattori di rischio // Lavoro d'ufficio. 2010. N 2.S. 50.

I. Pogodina

testa sedia

diritto civile e processo

Stato di Vladimir

Università intitolata ad A.G. e N.G. Stoletovs

Firmato per la stampa

Oggi le minacce legate all'accesso non autorizzato a dati riservati possono avere un impatto significativo sulle attività di un'organizzazione. I potenziali danni derivanti dalla divulgazione di segreti aziendali possono includere sia perdite finanziarie dirette, ad esempio, a causa del trasferimento di informazioni commerciali ai concorrenti e il costo dell'eliminazione delle conseguenze risultanti, sia indirette: una cattiva reputazione e la perdita di progetti promettenti. Le conseguenze della perdita di un laptop con i dettagli per accedere a conti bancari, piani finanziari e altri documenti privati ​​non possono essere sottovalutate.

Una delle minacce più pericolose oggi è l'accesso non autorizzato. Secondo uno studio dell'Institute of Computer Security, il 65% delle aziende ha segnalato incidenti relativi all'accesso non autorizzato ai dati nell'ultimo anno. Inoltre, a causa di accessi non autorizzati, ciascuna impresa ha perso nel 2014-2015. una media di $ 353 mila. Inoltre, rispetto al 2012-2013. le perdite sono aumentate di sei volte. Pertanto, le perdite totali sostenute da oltre 600 imprese intervistate per l'anno hanno superato i 38 milioni di dollari (vedi grafico).

Il problema è aggravato dal fatto che l'accesso non autorizzato a informazioni riservate è spesso seguito da furto. A causa di questa combinazione di due minacce estremamente pericolose, le perdite dell'azienda possono aumentare più volte (a seconda del valore dei dati rubati). Inoltre, le aziende spesso devono affrontare il furto fisico di computer mobili, a seguito del quale si realizzano sia minacce di accesso non autorizzato che furto di informazioni sensibili. A proposito, il costo del dispositivo portatile stesso è spesso incomparabile con il costo dei dati registrati su di esso.

I problemi che un'impresa deve affrontare in caso di fuga di informazioni sono particolarmente indicativi del furto di laptop. Basti ricordare i recenti incidenti in cui sono stati rubati cinque laptop da Ernst & Young per diversi mesi, contenenti le informazioni private dei clienti dell'azienda: Cisco, IBM, Sun Microsystems, BP, Nokia, ecc. come un deterioramento dell'immagine e un diminuzione della fiducia dei clienti. Nel frattempo, molte aziende stanno vivendo difficoltà simili.

Ad esempio, a marzo 2006, Fidelity ha perso un laptop con dati privati ​​di 200mila dipendenti HP ea febbraio la società di revisione PricewaterhouseCoopers ha perso un laptop con informazioni sensibili di 4mila pazienti di un ospedale americano. Se l'elenco continua, includerà aziende famose come Bank of America, Kodak, Ameritrade, Ameriprise, Verizon e altre.

Pertanto, oltre a proteggere le informazioni riservate da accessi non autorizzati, è necessario proteggere il supporto fisico stesso. Va tenuto presente che un tale sistema di sicurezza deve essere assolutamente trasparente e non creare difficoltà per l'utente quando accede a dati sensibili sia in ambiente aziendale che quando lavora da remoto (a casa o in viaggio di lavoro).

Finora non è stato inventato niente di più efficace per proteggere le informazioni dall'accesso non autorizzato della crittografia dei dati. A condizione che le chiavi crittografiche siano preservate, la crittografia garantisce la sicurezza dei dati sensibili.

Tecnologie di crittografia

Al fine di proteggere le informazioni da accessi non autorizzati, vengono utilizzate tecnologie di crittografia. Tuttavia, gli utenti che non hanno un'adeguata conoscenza dei metodi di crittografia possono avere la falsa impressione che tutti i dati sensibili siano protetti in modo sicuro. Consideriamo le principali tecnologie di crittografia dei dati.

• Crittografia file per file. L'utente stesso sceglie i file da crittografare. Questo approccio non richiede una profonda integrazione dello strumento di crittografia nel sistema e, pertanto, consente ai produttori di strumenti di crittografia di implementare una soluzione multipiattaforma per Windows, Linux, MAC OS X, ecc.
• Crittografia delle directory. L'utente crea cartelle, tutti i dati in cui viene crittografato automaticamente. A differenza dell'approccio precedente, la crittografia avviene al volo, anziché su richiesta dell'utente. In generale, la crittografia delle directory è abbastanza comoda e trasparente, sebbene sia basata sulla stessa crittografia file per file. Questo approccio richiede una profonda interazione con il sistema operativo, quindi dipende dalla piattaforma utilizzata.
• Crittografia dei dischi virtuali. Il concetto di dischi virtuali è implementato in alcune utilità di compressione come Stacker o Microsoft DriveSpace. La crittografia dei dischi virtuali implica la creazione di un file nascosto di grandi dimensioni sul disco rigido. Questo file è quindi disponibile per l'utente come disco separato (il sistema operativo lo "vede" come un nuovo disco logico). Ad esempio, unità X: \. Tutte le informazioni memorizzate sul disco virtuale sono crittografate. La principale differenza rispetto agli approcci precedenti è che il software crittografico non ha bisogno di crittografare ciascun file separatamente. Qui, i dati vengono crittografati automaticamente solo quando vengono scritti o letti dal disco virtuale. In questo caso, il lavoro con i dati viene eseguito a livello di settore (di solito con una dimensione di 512 byte).
• Crittografia dell'intero disco. In questo caso, è assolutamente tutto crittografato: il settore di avvio di Windows, tutti i file di sistema e qualsiasi altra informazione sul disco.
• Protezione del processo di avvio. Se l'intero disco è crittografato, il sistema operativo non sarà in grado di avviarsi finché un meccanismo non decrittografa i file di avvio. Pertanto, crittografare l'intero disco significa necessariamente proteggere il processo di avvio. In genere, all'utente viene richiesto di immettere una password per avviare il sistema operativo. Se l'utente inserisce correttamente la password, il programma di crittografia avrà accesso alle chiavi di crittografia, che consentiranno la lettura di ulteriori dati dal disco.

Pertanto, esistono diversi modi per crittografare i dati. Alcuni di essi sono meno affidabili, altri sono più veloci e altri non sono affatto adatti a proteggere informazioni importanti. Per poter valutare l'idoneità di determinati metodi, considerare i problemi che un'applicazione crittografica deve affrontare durante la protezione dei dati.

Caratteristiche dei sistemi operativi

Soffermiamoci su alcune delle caratteristiche dei sistemi operativi, che, nonostante tutte le loro funzioni positive, a volte interferiscono solo con la protezione affidabile delle informazioni riservate. Di seguito sono riportati i meccanismi di sistema più comuni che lasciano una serie di "scappatoie" per l'attaccante e sono rilevanti sia per laptop che per PDA.

• File temporanei. Molti programmi (incluso il sistema operativo) utilizzano file temporanei per memorizzare dati intermedi mentre sono in esecuzione. Spesso una copia esatta del file aperto dal programma viene registrata in un file temporaneo, che consente il completo ripristino dei dati in caso di guasti imprevisti. Naturalmente, il carico utile dei file temporanei è grande, tuttavia, non essendo crittografati, tali file rappresentano una minaccia diretta per i segreti aziendali.
• Scambia file (o scambia file). La tecnologia dei file di scambio è molto popolare nei moderni sistemi operativi, che consente di fornire a qualsiasi applicazione una quantità di RAM quasi illimitata. Quindi, se il sistema operativo non dispone di risorse di memoria sufficienti, scrive automaticamente i dati dalla RAM sul disco rigido (nel file di paging). Non appena è necessario utilizzare le informazioni memorizzate, il sistema operativo estrae i dati dal file di scambio e, se necessario, inserisce altre informazioni in questa memoria. Allo stesso modo del caso precedente, le informazioni segrete in forma non crittografata possono facilmente entrare nel file di paging.
• Allineamento file. Il file system di Windows organizza i dati in cluster che possono estendersi fino a 64 settori. Anche se il file è lungo diversi byte, occuperà comunque un intero cluster. Un file di grandi dimensioni verrà suddiviso in blocchi, ciascuno delle dimensioni di un cluster di file system. Il resto della divisione (di solito gli ultimi byte) occuperà ancora l'intero cluster. Pertanto, l'ultimo settore del file ottiene informazioni casuali che si trovavano nella RAM del PC al momento della scrittura del file su disco. Potrebbero essere presenti password e chiavi di crittografia. In altre parole, l'ultimo cluster di qualsiasi file può contenere informazioni piuttosto sensibili, che vanno da informazioni casuali dalla RAM a dati da e-mail e documenti di testo che erano precedentemente archiviati in questo luogo.
• Cestino. Quando un utente elimina un file, Windows lo sposta nel cestino. Finché il cestino non viene svuotato, il file può essere facilmente ripristinato. Tuttavia, anche se svuoti il ​​Cestino, i dati rimarranno comunque fisicamente sul disco. In altre parole, le informazioni cancellate possono spesso essere trovate e ripristinate (se nessun altro dato è stato scritto su di esse). Per questo esiste un numero enorme di applicazioni, alcune delle quali sono gratuite e distribuite liberamente su Internet.
• Registro di Windows. Il sistema Windows stesso, come un gran numero di applicazioni, memorizza i suoi dati specifici nel registro di sistema. Ad esempio, un browser web memorizza nel registro i nomi a dominio delle pagine visitate dall'utente. Anche l'editor di testo di Word salva il nome dell'ultimo file che è stato aperto nel registro. In questo caso, il registro viene utilizzato dal sistema operativo all'avvio. Di conseguenza, se viene avviato un metodo di crittografia dopo l'avvio di Windows, i risultati della sua operazione potrebbero essere compromessi.
• File system di Windows NT (NTFS). Un file system con controllo di accesso integrato (come Windows NT) è considerato sicuro. Il fatto che un utente debba inserire una password per accedere ai propri file personali dà la falsa impressione che i file ei dati personali siano protetti in modo sicuro. Tuttavia, anche un file system con elenchi di controllo di accesso (ACL) incorporati, come NTFS, non fornisce assolutamente alcuna protezione contro un utente malintenzionato con accesso fisico al disco rigido o diritti di amministratore sul computer. In entrambi i casi, il criminale può accedere a dati riservati. Per fare ciò, avrà bisogno di un editor di dischi economico (o generalmente gratuito) per leggere le informazioni di testo su un disco a cui ha accesso fisico.
• Modalità sonno. Questa modalità è molto popolare sui laptop in quanto consente di risparmiare la carica della batteria quando il computer è acceso ma non in uso. Quando il laptop entra in uno stato di sospensione, il sistema operativo copia assolutamente tutti i dati nella RAM su disco. Pertanto, quando il computer "si sveglia", il sistema operativo può facilmente ripristinare il suo stato precedente. Ovviamente, in questo caso, le informazioni sensibili possono arrivare facilmente all'hard disk.
• Partizioni nascoste del disco rigido. Una partizione nascosta è una partizione che il sistema operativo non mostra affatto all'utente. Alcune applicazioni (ad esempio quelle che si occupano di risparmio energetico sui laptop) utilizzano partizioni nascoste per archiviare dati al loro interno anziché file su partizioni normali. Con questo approccio, le informazioni collocate su una partizione nascosta non sono protette in alcun modo e possono essere facilmente lette da chiunque utilizzi un editor di dischi.
• Spazio libero e spazio tra le sezioni. I settori alla fine del disco non appartengono a nessuna partizione, a volte vengono visualizzati come liberi. Un altro luogo non protetto è lo spazio tra le partizioni. Sfortunatamente, alcune applicazioni, così come i virus, possono archiviare i propri dati lì. Anche se formatti il ​​disco rigido, queste informazioni rimarranno intatte. Può essere facilmente ripristinato.

Pertanto, per proteggere efficacemente i dati, non è sufficiente solo crittografarli. È necessario prestare attenzione per garantire che le copie delle informazioni riservate non "perdano" in file temporanei e di scambio, nonché in altri "luoghi segreti" del sistema operativo, dove sono vulnerabili a un utente malintenzionato.

L'idoneità dei diversi approcci alla crittografia dei dati

Diamo un'occhiata a come i diversi approcci alla crittografia dei dati affrontano le specifiche dei sistemi operativi.

Crittografia file

Questo metodo viene utilizzato principalmente per inviare file crittografati via e-mail o su Internet. In questo caso, l'utente crittografa un file specifico che deve essere protetto da terzi e lo invia al destinatario. Questo approccio soffre di una bassa velocità di lavoro, soprattutto quando si tratta di grandi quantità di informazioni (dopotutto, è necessario crittografare ogni file allegato alla lettera). Un altro problema è che solo il file originale è crittografato e i file temporanei e il file di paging rimangono completamente non protetti, quindi la protezione viene fornita solo contro un utente malintenzionato che cerca di intercettare un messaggio su Internet, ma non contro un criminale che ha rubato un laptop o palmare. Pertanto, possiamo concludere: la crittografia file per file non protegge i file temporanei, il suo utilizzo per proteggere le informazioni importanti è inaccettabile. Tuttavia, questo concetto è adatto per inviare piccole quantità di informazioni su una rete da computer a computer.

Crittografia delle cartelle

A differenza della crittografia file per file, questo approccio consente di trasferire i file in una cartella in cui verranno crittografati automaticamente. Pertanto, lavorare con dati protetti è molto più conveniente. Poiché la crittografia delle cartelle si basa sulla crittografia file per file, entrambi i metodi non forniscono una protezione affidabile per i file temporanei, i file di paging, non eliminano fisicamente i dati dal disco, ecc. Inoltre, la crittografia delle directory è molto dispendiosa in termini di memoria e risorse del processore. Il processore richiede tempo per crittografare / decrittografare costantemente i file e viene allocato spazio aggiuntivo per ciascun file protetto sul disco (a volte più di 2 KB). Tutto ciò rende la crittografia delle directory molto dispendiosa in termini di risorse e lenta. Per riassumere, sebbene questo metodo sia abbastanza trasparente, non può essere raccomandato per proteggere le informazioni sensibili. Soprattutto se un utente malintenzionato può accedere a file temporanei o file di paging.

Crittografia dei dischi virtuali

Questo concetto implica la creazione di un grande file nascosto situato sul disco rigido. Il sistema operativo lo tratta come un'unità logica separata. L'utente può inserire il software su tale disco e comprimerlo per risparmiare spazio. Consideriamo i vantaggi e gli svantaggi di questo metodo.

Innanzitutto, l'utilizzo dei dischi virtuali pone un carico maggiore sulle risorse del sistema operativo. Il fatto è che ogni volta che si accede a un disco virtuale, il sistema operativo deve reindirizzare la richiesta a un altro oggetto fisico: un file. Questo avrà sicuramente un impatto negativo sulle prestazioni. A causa del fatto che il sistema non identifica il disco virtuale con quello fisico, potrebbero esserci problemi con la protezione dei file temporanei e del file di paging. Rispetto alla crittografia delle directory, il concetto di dischi virtuali ha sia vantaggi che svantaggi. Ad esempio, un disco virtuale crittografato protegge i nomi di file che si trovano nelle tabelle di file virtuali. Tuttavia, questo disco virtuale non può essere espanso facilmente come una normale cartella, il che è molto scomodo. Per riassumere, possiamo dire che la crittografia dei dischi virtuali è molto più affidabile rispetto ai due metodi precedenti, ma può lasciare file temporanei e file di paging non protetti se gli sviluppatori non si prendono cura di questo.

Crittografia completa del disco

Questo concetto si basa sulla crittografia settore per settore, non file per file. In altre parole, qualsiasi file scritto su disco verrà crittografato. I programmi di crittografia crittografano i dati prima che il sistema operativo li metta su disco. Per fare ciò, il programma crittografico intercetta tutti i tentativi del sistema operativo di scrivere dati sul disco fisico (a livello di settore) ed esegue operazioni di crittografia al volo. Questo approccio crittografa anche i file temporanei, il file di paging e tutti i file eliminati. Una conseguenza logica di questo metodo dovrebbe essere una diminuzione significativa del livello generale delle prestazioni del PC. Questo è il problema su cui stanno lavorando molti sviluppatori di crittografia, sebbene ci siano già diverse implementazioni di successo di tali prodotti. Per riassumere: la crittografia dell'intero disco evita situazioni in cui una parte di dati importanti o una copia esatta di essi rimane da qualche parte sul disco in forma non crittografata.

Protezione del processo di avvio. Come già notato, è consigliabile proteggere il processo di avvio durante la crittografia dell'intero disco. In questo caso nessuno potrà avviare il sistema operativo senza passare per la procedura di autenticazione all'inizio del boot. E per questo è necessario conoscere la password. Se un utente malintenzionato ha accesso fisico a un disco rigido contenente dati segreti, non sarà in grado di determinare rapidamente dove si trovano i file di sistema crittografati e dove si trovano le informazioni importanti. Si noti che se il software crittografico crittografa l'intera unità ma non protegge il processo di avvio, non crittografa i file di sistema e i settori di avvio. Cioè, il disco non è completamente crittografato.

Pertanto, oggi, per proteggere in modo affidabile i dati riservati sui laptop, è necessario utilizzare la tecnologia di crittografia per i dischi virtuali o l'intero disco nel suo insieme. Tuttavia, in quest'ultimo caso, è necessario assicurarsi che lo strumento crittografico non consumi risorse del computer così tanto da interferire con il lavoro degli utenti. Si noti che le aziende russe non producono ancora strumenti di crittografia del disco completo, sebbene esistano già diversi prodotti di questo tipo nei mercati occidentali. Inoltre, la protezione dei dati su un PDA è in qualche modo più semplice, poiché a causa della piccola quantità di informazioni memorizzate, gli sviluppatori possono permettersi di crittografare tutti i dati in generale, ad esempio su una scheda flash.

Crittografia mediante autenticazione forte

L'archiviazione sicura dei dati richiede non solo tecnologie crittografiche potenti e ben implementate, ma anche i mezzi per fornire un accesso personalizzato. A tal proposito, l'utilizzo dell'autenticazione forte a due fattori basata su chiavi hardware o smart card è il modo più efficiente per archiviare chiavi di cifratura, password, certificati digitali, ecc. card) al sistema operativo (ad esempio inserirlo in una delle porte USB di un computer o in un lettore di smart card), quindi dimostrare di essere il proprietario di questa chiave elettronica (ovvero inserire una password). Pertanto, il compito di un utente malintenzionato che cerca di accedere a dati sensibili è molto complicato: non deve solo conoscere la password, ma anche disporre di un supporto fisico che solo gli utenti legali hanno.

La struttura interna della chiave elettronica presuppone la presenza di un chip elettronico e di una piccola quantità di memoria non volatile. Con l'aiuto di un chip elettronico, i dati vengono crittografati e decifrati in base agli algoritmi crittografici incorporati nel dispositivo. La memoria non volatile memorizza password, chiavi elettroniche, codici di accesso e altre informazioni segrete. La chiave hardware stessa è protetta dal furto da un codice PIN e meccanismi speciali integrati nella chiave proteggono questa password dalla forza bruta.

risultati

Pertanto, un'efficace protezione dei dati implica l'uso di strumenti di crittografia avanzata (basati su tecnologie di dischi virtuali o che coprono l'intero disco nel suo insieme) e strumenti di autenticazione avanzata (token e smart card). Tra i mezzi di crittografia file per file, ideali per l'invio di file su Internet, vale la pena notare il noto programma PGP, in grado di soddisfare quasi tutte le richieste degli utenti.

Nell'attuale fase di sviluppo della società, il valore più grande non viene acquisito da una risorsa nuova, ma sempre preziosa, chiamata informazione. L'informazione sta diventando oggi la principale risorsa per lo sviluppo scientifico, tecnico e socio-economico della comunità mondiale. Quasi ogni attività nella società odierna è strettamente correlata alla ricezione, all'accumulo, all'archiviazione, all'elaborazione e all'uso di vari flussi di informazioni. L'integrità del mondo moderno come comunità è assicurata principalmente attraverso un intenso scambio di informazioni.

Pertanto, nelle nuove condizioni, sorgono molti problemi relativi a garantire la sicurezza e la riservatezza delle informazioni commerciali come forma di proprietà intellettuale.

Elenco delle fonti e della letteratura utilizzata

1. V. N. Lopatin Informazioni di sicurezza.
2. Concetti fondamentali sulla sicurezza delle informazioni: un tutorial / V. A. Minaev , S.V. Skryl , A.P. Fisun , V. E. Potanin , S.V. Dvoryankin .
3. GOST ST 50922-96. Protezione dati. Termini e definizioni di base.
4. www.intuit.ru

In Odnoklassniki

introduzione

Conclusione

Bibliografia

introduzione

Nell'attuale fase di sviluppo della nostra società, molte risorse tradizionali del progresso umano stanno gradualmente perdendo il loro valore originario. Vengono sostituiti da una nuova risorsa, l'unico prodotto che non diminuisce, ma cresce nel tempo, chiamato informazione. L'informazione sta diventando oggi la principale risorsa per lo sviluppo scientifico, tecnico e socio-economico della comunità mondiale. Quanto più informazioni di qualità vengono introdotte nell'economia nazionale e applicazioni speciali, tanto più elevato è il tenore di vita delle persone, il potenziale economico, difensivo e politico del Paese.

L'integrità del mondo moderno come comunità è assicurata principalmente attraverso un intenso scambio di informazioni. La sospensione dei flussi informativi globali, anche per breve tempo, può portare a una crisi non meno che alla rottura delle relazioni economiche interstatali. Pertanto, nelle nuove condizioni di mercato competitivo, ci sono molti problemi associati non solo a garantire la sicurezza delle informazioni commerciali (imprenditoriali) come un tipo di proprietà intellettuale, ma anche le persone fisiche e giuridiche, la loro proprietà e la sicurezza personale.

Lo scopo di questo lavoro è considerare la sicurezza delle informazioni come parte integrante della sicurezza nazionale, nonché identificare il grado della sua sicurezza nella fase attuale, analizzare le minacce interne ed esterne, considerare i problemi e i modi per risolverli.

Al riguardo sono stati fissati alcuni compiti:

.Determinare il posto e l'importanza della sicurezza delle informazioni nell'attuale fase di sviluppo;

2.Considerare il quadro giuridico nel campo della protezione delle informazioni;

.Identificare i principali problemi e minacce e modi per risolverli.

Capitolo 1. Problemi e minacce alla sicurezza delle informazioni

1.1 Il posto della sicurezza delle informazioni nel sistema di sicurezza nazionale della Russia

La sicurezza nazionale della Federazione Russa dipende essenzialmente dal garantire la sicurezza delle informazioni e, nel corso del progresso tecnologico, questa dipendenza aumenterà.

Nel mondo moderno, la sicurezza dell'informazione sta diventando una condizione vitale per garantire gli interessi degli individui, della società e dello Stato e il collegamento più importante e cardine dell'intero sistema di sicurezza nazionale del Paese.

La Dottrina della Sicurezza delle Informazioni della Federazione Russa, approvata dal Presidente della Federazione Russa nel 2001, è diventata la base normativa e legale per regolare la protezione delle informazioni.Si tratta di un insieme di punti di vista ufficiali sugli scopi, gli obiettivi, i principi e le principali indicazioni per garantire la sicurezza delle informazioni in Russia. La Dottrina si rivolge:

oggetti, minacce e fonti di minacce alla sicurezza delle informazioni;

possibili conseguenze delle minacce alla sicurezza delle informazioni;

metodi e mezzi per prevenire e neutralizzare le minacce alla sicurezza delle informazioni;

caratteristiche di garantire la sicurezza delle informazioni in varie sfere della vita della società e dello stato;

le principali disposizioni della politica statale per garantire la sicurezza delle informazioni nella Federazione Russa.

La dottrina esamina tutti i lavori nel campo dell'informazione sulla base e nell'interesse del Concetto di sicurezza nazionale della Federazione Russa.

Identifica quattro componenti principali degli interessi nazionali della Russia nella sfera dell'informazione.

La prima componente include l'osservanza dei diritti e delle libertà costituzionali dell'uomo e del cittadino nel campo dell'ottenimento e dell'utilizzo delle informazioni, garantendo il rinnovamento spirituale della Russia, preservando e rafforzando i valori morali della società, le tradizioni del patriottismo e dell'umanesimo, il potenziale culturale e scientifico del Paese.

Per la sua attuazione è necessario:

aumentare l'efficienza dell'utilizzo dell'infrastruttura informativa nell'interesse dello sviluppo sociale, del consolidamento della società russa, del risveglio spirituale delle multinazionali del paese;

migliorare il sistema di formazione, conservazione e uso razionale delle risorse informative, che costituiscono la base del potenziale scientifico, tecnico e spirituale della Russia;

garantire i diritti e le libertà costituzionali umani e civili di cercare, ricevere, trasmettere, produrre e diffondere liberamente informazioni in qualsiasi modo legale, per ricevere informazioni affidabili sullo stato dell'ambiente;

assicurare i diritti e le libertà costituzionali dell'uomo e del cittadino ai segreti personali e familiari, al segreto della corrispondenza, alle conversazioni telefoniche, postali, telegrafiche e altri messaggi, per proteggere il loro onore e il loro buon nome;

rafforzare i meccanismi di regolamentazione giuridica dei rapporti nel campo della protezione della proprietà intellettuale, creare le condizioni per il rispetto delle restrizioni all'accesso alle informazioni riservate stabilite dalla legislazione federale;

garantire la libertà dei media e vietare la censura;

non consentire la propaganda e l'agitazione che contribuiscono all'incitamento all'odio e all'inimicizia sociale, razziale, nazionale o religiosa;

protezione delle informazioni riservate russia

garantire il divieto di raccolta, conservazione, utilizzo e diffusione di informazioni sulla vita privata di una persona senza il suo consenso e altre informazioni il cui accesso è limitato dalla legge federale.

La seconda componente degli interessi nazionali nella sfera dell'informazione include il supporto informativo della politica statale del paese, associato al portare alla comunità russa e internazionale informazioni affidabili sulla sua posizione ufficiale sugli eventi socialmente significativi nella vita russa e internazionale, garantendo ai cittadini accesso a risorse informative statali aperte. Questo richiede:

rafforzare i mass media statali, espandere le loro capacità per la consegna tempestiva di informazioni affidabili ai cittadini russi e stranieri;

intensificare la formazione di risorse informative statali aperte, per aumentare l'efficienza del loro uso economico.

La terza componente degli interessi nazionali nella sfera dell'informazione include lo sviluppo delle moderne tecnologie dell'informazione, compresa l'industria delle tecnologie dell'informazione, delle telecomunicazioni e delle comunicazioni, garantendo le esigenze del mercato interno con questi prodotti e l'ingresso nel mercato mondiale, oltre a garantire l'accumulo , sicurezza e uso efficace delle risorse informatiche nazionali.

Per ottenere un risultato in questo settore, è necessario:

sviluppare e migliorare l'infrastruttura di uno spazio informativo unico in Russia;

sviluppare l'industria dei servizi di informazione nazionale e migliorare l'efficienza nell'utilizzo delle risorse informative statali;

sviluppare la produzione nel paese di mezzi e sistemi competitivi di informatizzazione, telecomunicazioni e comunicazioni, espandere la partecipazione della Russia alla cooperazione internazionale dei produttori di questi mezzi e sistemi;

fornire sostegno statale alla ricerca fondamentale e applicata, agli sviluppi nei settori dell'informatizzazione, delle telecomunicazioni e delle comunicazioni.

La quarta componente degli interessi nazionali nella sfera dell'informazione comprende la protezione delle risorse informative dall'accesso non autorizzato, la garanzia della sicurezza dei sistemi informativi e di telecomunicazione.

Per questi scopi è richiesto:

aumentare la sicurezza dei sistemi informativi (comprese le reti di comunicazione), in primis, primari reti di comunicazione e sistemi informativi delle autorità pubbliche, sfera finanziaria e creditizia e bancaria, sfera dell'attività economica, sistemi e mezzi di informatizzazione di armi e materiale militare , sistemi di comando e controllo di truppe e armi, industrie pericolose per l'ambiente ed economicamente importanti;

intensificare lo sviluppo della produzione interna di hardware e software per la protezione delle informazioni e metodi per monitorarne l'efficacia;

assicurare la protezione delle informazioni costituenti segreto di Stato;

espandere la cooperazione internazionale della Russia nel campo dell'uso sicuro delle risorse informative, contrastando la minaccia di scontro nella sfera dell'informazione.

1.2 I principali problemi di sicurezza delle informazioni e le modalità per risolverli

Garantire la sicurezza delle informazioni richiede la risoluzione di un'intera gamma di attività.

Il compito più importante per garantire la sicurezza delle informazioni in Russia è l'attuazione di un resoconto completo degli interessi dell'individuo, della società e dello Stato in questo settore. La dottrina definisce questi interessi come segue:

gli interessi dell'individuo nella sfera dell'informazione sono nella realizzazione dei diritti costituzionali di una persona e di un cittadino di accedere alle informazioni, di utilizzare le informazioni nell'interesse dello svolgimento di attività non vietate dalla legge, dello sviluppo fisico, spirituale e intellettuale, nonché come nella protezione delle informazioni che garantiscono la sicurezza personale;

gli interessi della società nella sfera dell'informazione sono garantire gli interessi della società in questo settore, consolidare la democrazia, creare uno stato sociale legale, raggiungere e mantenere l'armonia sociale, nel rinnovamento spirituale della Russia;

gli interessi dello stato nella sfera dell'informazione sono creare le condizioni per lo sviluppo armonioso dell'infrastruttura informativa russa, l'attuazione dei diritti e delle libertà costituzionali di una persona (cittadino) nel campo dell'ottenimento di informazioni. Allo stesso tempo, è necessario utilizzare questa sfera solo per garantire l'inviolabilità dell'ordine costituzionale, la sovranità e l'integrità territoriale della Russia, la stabilità politica, economica e sociale, nella fornitura incondizionata di legge e ordine e lo sviluppo di una cooperazione internazionale equa e reciprocamente vantaggiosa.

La Dottrina combina metodi generali per risolvere compiti chiave per garantire la sicurezza delle informazioni in tre gruppi:

legale;

organizzativo e tecnico; economico.

I metodi legali includono lo sviluppo di atti legali normativi che regolano le relazioni nella sfera dell'informazione e documenti metodologici normativi su questioni relative alla sicurezza delle informazioni della Federazione Russa (sono discussi in dettaglio nel capitolo 4 di questo manuale).

I metodi organizzativi e tecnici per garantire la sicurezza delle informazioni sono:

creazione e miglioramento dei sistemi di sicurezza delle informazioni;

rafforzare l'attività di contrasto delle autorità, compresa la prevenzione e la repressione dei reati in ambito informativo;

creazione di sistemi e mezzi per impedire l'accesso non autorizzato alle informazioni e impatti che causano distruzione, distruzione, distorsione delle informazioni, modificando le normali modalità di funzionamento dei sistemi e dei mezzi di informatizzazione e comunicazione;

certificazione dei mezzi per la sicurezza delle informazioni, concessione in licenza di attività nel campo della protezione del segreto di Stato, standardizzazione dei metodi e dei mezzi per la sicurezza delle informazioni;

controllo sulle azioni del personale nei sistemi informativi, formazione nel campo della sicurezza delle informazioni;

formazione di un sistema di monitoraggio degli indicatori e delle caratteristiche della sicurezza delle informazioni nelle sfere più importanti della vita e delle attività della società e dello Stato.

I metodi economici per garantire la sicurezza delle informazioni includono:

sviluppo di programmi per la sicurezza delle informazioni e determinazione della procedura per il loro finanziamento;

miglioramento del sistema di finanziamento del lavoro relativo all'attuazione di metodi legali e organizzativi e tecnici di protezione delle informazioni, creazione di un sistema di assicurazione dei rischi informatici di persone fisiche e giuridiche.

Secondo la Dottrina, lo stato nel processo di attuazione delle sue funzioni per garantire la sicurezza delle informazioni: conduce un'analisi e una previsione obiettiva e completa delle minacce alla sicurezza delle informazioni, sviluppa misure per garantirla; organizza il lavoro delle autorità per attuare una serie di misure volte a prevenire, respingere e neutralizzare le minacce alla sicurezza delle informazioni; sostiene le attività delle associazioni pubbliche volte a informare obiettivamente la popolazione sui fenomeni socialmente significativi della vita pubblica, proteggendo la società da informazioni distorte e inesatte; esercita il controllo sullo sviluppo, la creazione, lo sviluppo, l'uso, l'esportazione e l'importazione di strumenti di sicurezza delle informazioni attraverso la loro certificazione e licenza delle attività di sicurezza delle informazioni; conduce la necessaria politica protezionistica nei confronti dei produttori di tecnologie dell'informazione e protezione dell'informazione nel territorio della Federazione Russa e adotta misure per proteggere il mercato interno dalla penetrazione di tecnologie dell'informazione e prodotti dell'informazione di bassa qualità; contribuisce alla fornitura di persone fisiche e giuridiche con accesso a risorse informative mondiali, reti informative globali; formula e attua la politica di informazione statale della Russia; organizza lo sviluppo di un programma federale per garantire la sicurezza delle informazioni, unendo gli sforzi delle organizzazioni statali e non statali in questo settore; contribuisce all'internazionalizzazione delle reti e dei sistemi di informazione globali, nonché all'ingresso della Russia nella comunità dell'informazione mondiale sulla base di un partenariato paritario.

Quando si risolvono i compiti principali e si attuano le misure prioritarie della politica statale per garantire la sicurezza delle informazioni, attualmente domina il desiderio di risolvere principalmente problemi normativi e tecnici. Molto spesso stiamo parlando di "sviluppo e attuazione di norme legali", "aumento della cultura giuridica e dell'alfabetizzazione informatica dei cittadini", "creazione di tecnologie dell'informazione sicure", "garantire l'indipendenza tecnologica", ecc.

Anche lo sviluppo del sistema di formazione per il personale utilizzato nel campo della sicurezza delle informazioni è pianificato di conseguenza, ovvero prevale la formazione nel campo delle strutture di comunicazione, dell'elaborazione delle informazioni e dei mezzi tecnici per la sua protezione. In misura minore, viene svolta la formazione di specialisti nel campo dell'informazione e delle attività analitiche, dell'informazione sociale, della sicurezza delle informazioni dell'individuo. Sfortunatamente, molte istituzioni statali considerano il lato tecnico del problema il più importante, trascurando i suoi aspetti socio-psicologici.

1.3 Fonti di minacce alla sicurezza delle informazioni

Le minacce alla sicurezza delle informazioni sono l'uso di vari tipi di informazioni contro l'uno o l'altro oggetto sociale (economico, militare, scientifico e tecnico, ecc.) Al fine di modificarne la funzionalità o completarne la sconfitta.

Tenendo conto dell'obiettivo generale, la Dottrina suddivide le minacce alla sicurezza delle informazioni nei seguenti tipi:

minacce ai diritti e alle libertà costituzionali dell'uomo e del cittadino nel campo della vita spirituale e delle attività di informazione, della coscienza individuale, di gruppo e pubblica, del risveglio spirituale della Russia;

minacce al supporto informativo della politica statale della Federazione Russa;

minacce allo sviluppo dell'industria dell'informazione nazionale, compresa l'industria dell'informatizzazione, delle telecomunicazioni e delle comunicazioni, soddisfare le esigenze del mercato interno per i suoi prodotti e l'ingresso di questi prodotti nel mercato mondiale, nonché garantire l'accumulo, la sicurezza e uso efficace delle risorse informative nazionali;

minacce alla sicurezza delle strutture e dei sistemi di informazione e telecomunicazioni, sia già dispiegati che creati sul territorio della Russia.

Le minacce ai diritti e alle libertà costituzionali dell'uomo e del cittadino nel campo della vita spirituale e delle attività di informazione, della coscienza individuale, di gruppo e pubblica, il risveglio spirituale della Russia possono essere:

l'adozione da parte delle autorità di atti giuridici che violino i diritti e le libertà costituzionali dei cittadini nel campo della vita spirituale e delle attività di informazione;

creazione di monopoli sulla formazione, ricezione e distribuzione di informazioni nella Federazione Russa, compreso l'utilizzo di sistemi di telecomunicazione;

opposizione, anche da parte di strutture criminali, all'esercizio da parte dei cittadini dei loro diritti costituzionali ai segreti personali e familiari, al segreto della corrispondenza, alle conversazioni telefoniche e ad altri messaggi;

restrizione eccessiva dell'accesso alle informazioni necessarie;

uso illegale di mezzi speciali per influenzare la coscienza individuale, di gruppo e pubblica;

inadempimento da parte delle pubbliche amministrazioni e delle autonomie locali, degli enti e dei cittadini degli obblighi previsti dalla normativa che regola i rapporti in materia di informazione;

restrizione illegale dell'accesso dei cittadini alle risorse informative delle autorità statali e degli organi di autogoverno locale, ai materiali d'archivio aperti, ad altre informazioni socialmente significative aperte;

disorganizzazione e distruzione del sistema di accumulazione e conservazione dei beni culturali, compresi gli archivi;

violazione dei diritti e delle libertà costituzionali umani e civili nel campo dei mass media;

l'espulsione delle agenzie di stampa e dei mass media russi dal mercato dell'informazione nazionale e la crescente dipendenza della sfera spirituale, economica e politica della vita pubblica russa dalle strutture informative straniere;

svalutazione dei valori spirituali, propaganda di modelli di cultura di massa basati sul culto della violenza, su valori spirituali e morali che contraddicono i valori accettati nella società russa;

diminuzione del potenziale spirituale, morale e creativo della popolazione della Russia;

manipolazione delle informazioni (disinformazione, occultamento o distorsione delle informazioni).

Le minacce al supporto informativo della politica statale della Federazione Russa possono essere:

monopolizzazione del mercato dell'informazione in Russia, nei suoi singoli settori, da parte di strutture informative nazionali ed estere;

bloccare le attività dei media statali per informare il pubblico russo e straniero;

bassa efficienza del supporto informativo della politica statale della Federazione Russa a causa della carenza di personale qualificato, dell'assenza di un sistema per la formazione e l'attuazione della politica dell'informazione statale.

Le minacce allo sviluppo dell'industria dell'informazione nazionale possono essere:

contrastare l'accesso alle ultime tecnologie dell'informazione, partecipazione reciprocamente vantaggiosa ed equa dei produttori russi nella divisione globale del lavoro nel settore dei servizi di informazione, tecnologia dell'informazione, telecomunicazioni e comunicazioni, prodotti dell'informazione, creazione di condizioni per rafforzare la dipendenza tecnologica della Russia nel campo dell'informazione tecnologia;

approvvigionamento da parte di enti pubblici di mezzi di informatizzazione, telecomunicazioni e comunicazioni importati in presenza di controparti nazionali;

spostamento dal mercato interno dei produttori russi di tecnologia dell'informazione, telecomunicazioni e comunicazioni;

l'uso di tecnologie dell'informazione nazionali ed estere non certificate, mezzi di sicurezza dell'informazione, tecnologia dell'informazione, telecomunicazioni e comunicazioni;

il deflusso di specialisti e titolari di proprietà intellettuale all'estero.

La Dottrina divide tutte le fonti di minaccia alla sicurezza delle informazioni in esterne e interne.

La Dottrina fa riferimento a fonti esterne di minacce:

attività di strutture politiche, economiche, militari, di intelligence e di informazione straniere contro gli interessi della Federazione Russa;

il desiderio di un certo numero di paesi di dominare lo spazio dell'informazione globale, di cacciare la Russia dai mercati dell'informazione;

attività di organizzazioni terroristiche internazionali;

aumentare il divario tecnologico tra le principali potenze mondiali e rafforzare le loro capacità per contrastare la creazione di tecnologie dell'informazione russe competitive;

attività di spazio, aria, mare e terra tecnica e altri mezzi (tipi) di ricognizione di stati esteri;

lo sviluppo da parte di un certo numero di stati di concetti di guerra dell'informazione, che prevede la creazione di mezzi di influenza pericolosa sulle sfere dell'informazione di altri paesi, l'interruzione del funzionamento dei sistemi di informazione e telecomunicazione e l'ottenimento di un accesso non autorizzato ad essi.

Le fonti interne di minacce, secondo la Dottrina, includono: lo stato critico di un certo numero di industrie nazionali;

una situazione criminale sfavorevole, accompagnata da tendenze alla fusione di strutture statali e criminali nella sfera dell'informazione, affinché le strutture criminali possano accedere a informazioni riservate, aumentare l'influenza della criminalità organizzata sulla vita della società, ridurre il grado di protezione dei legittimi interessi dei cittadini, della società e dello Stato nella sfera dell'informazione;

coordinamento insufficiente delle attività delle autorità a tutti i livelli nell'attuazione di una politica statale unificata nel campo della sicurezza delle informazioni;

carenze del quadro giuridico che disciplina i rapporti nel settore dell'informazione e della prassi delle forze dell'ordine;

sottosviluppo delle istituzioni della società civile e controllo statale insufficiente sullo sviluppo del mercato dell'informazione in Russia;

finanziamento insufficiente delle misure per garantire la sicurezza delle informazioni;

numero insufficiente di personale qualificato nel campo della sicurezza delle informazioni;

attività insufficiente delle autorità federali nell'informare il pubblico sulle loro attività, nello spiegare le decisioni prese, nella formazione di risorse statali aperte e nello sviluppo di un sistema di accesso dei cittadini alle stesse;

La Russia è in ritardo rispetto ai paesi leader al mondo in termini di informatizzazione delle autorità e delle autonomie locali, credito e finanza, industria, agricoltura, istruzione, sanità, servizi e vita quotidiana dei cittadini.

Capitolo 2. Protezione delle informazioni riservate

2.1 Classificazione delle informazioni da proteggere

Attualmente, vari documenti normativi indicano un numero significativo (più di 40) di tipi di informazioni che richiedono una protezione aggiuntiva. Per comodità di considerare il regime giuridico delle risorse informative sulla base dell'accesso, possono essere raggruppate condizionatamente in quattro gruppi:

segreto di stato;

segreto commerciale;

informazioni confidenziali;

proprietà intellettuale.

Segreto di Stato. La Legge RF "Sui Segreti di Stato" definisce i segreti di Stato come segue: si tratta di informazioni protette dallo Stato nel campo delle attività militari, di politica estera, economiche, di intelligence, di controspionaggio e di ricerca operativa, la cui diffusione può nuocere alla sicurezza dei Russia (articolo 2).

L'articolo 5 di questa legge definisce un elenco di informazioni classificate come segreti di Stato:

informazioni in campo militare - sul contenuto dei piani strategici e operativi, sui piani per la costruzione delle Forze Armate, sullo sviluppo, sulla tecnologia, sulla produzione, sugli impianti di produzione, sullo stoccaggio, sullo smaltimento delle munizioni nucleari, sugli aspetti tattici e tecnici caratteristiche e possibilità dell'uso in combattimento di armi ed equipaggiamenti militari, sul dispiegamento di missili e strutture critiche, ecc.;

informazioni nel campo dell'economia, della scienza e della tecnologia - sul contenuto dei piani per la preparazione della Federazione Russa e delle sue singole regioni per possibili operazioni militari, sui volumi di produzione, sui piani per gli ordini statali, sulla produzione e fornitura di armi, equipaggiamento militare, sulle conquiste della scienza e della tecnologia che hanno un importante valore difensivo o economico, ecc .;

informazioni nel campo della politica estera e dell'economia - sulla politica estera e sull'attività economica estera della Federazione Russa, la cui diffusione prematura può danneggiare la sicurezza dello stato, ecc .;

forze e mezzi dell'attività nominata, sue fonti, piani e risultati;

soggetti che collaborano o hanno cooperato in via riservata con gli enti che svolgono le predette attività;

sistemi di comunicazione presidenziale, governativa, criptati, inclusi criptati e segreti;

cifrari e sistemi di analisi delle informazioni per scopi speciali, metodi e mezzi per proteggere le informazioni classificate, ecc.

Qualsiasi informazione utile negli affari e che dia un vantaggio rispetto ai concorrenti che non dispongono di tali informazioni può costituire un segreto commerciale. In molti casi, i segreti commerciali sono una forma di proprietà intellettuale.

Ai sensi dell'articolo 139, parte 1, del codice civile della Federazione Russa, le informazioni che costituiscono un segreto commerciale comprendono le informazioni che hanno un valore commerciale effettivo o potenziale in quanto sconosciute a terzi e alle quali non esiste un libero accesso su base legale. Può includere varie idee, invenzioni e altre informazioni commerciali.

Decreto del governo della Federazione Russa del 5.12.1991, n. 35 "Nell'elenco delle informazioni che non possono costituire un segreto commerciale". Tali informazioni includono:

informazioni organizzative (carta e documenti costitutivi dell'impresa, certificati di registrazione, licenze, brevetti);

informazioni finanziarie (documenti sul calcolo e sul pagamento delle imposte, altri pagamenti previsti dalla legge, documenti sullo stato di solvibilità);

informazioni sul personale e sulle condizioni di attività (il numero e la composizione dei dipendenti, i loro salari, la disponibilità di posti vacanti, l'impatto della produzione sull'ambiente naturale, la vendita di prodotti che danneggiano la salute della popolazione, la partecipazione dei funzionari a iniziative imprenditoriali attività, violazione della legislazione antimonopolio);

informazioni sulla proprietà (dimensione della proprietà, fondi, investimenti di pagamenti in titoli, obbligazioni, prestiti, fondi legali di joint venture).

Informazioni confidenziali. La riservatezza delle informazioni è una caratteristica delle informazioni che indica la necessità di imporre restrizioni alla gamma dei soggetti che hanno accesso a tali informazioni. La riservatezza presuppone la conservazione dei diritti all'informazione, la sua non divulgazione (segretezza) e l'invariabilità in tutti i casi, tranne che per l'uso legittimo.

Il DPR 6 marzo 1997, n. 188, ha approvato un elenco di informazioni riservate. Questo elenco include:

informazioni su fatti, eventi e circostanze della vita privata di un cittadino, che consentano di identificare la sua personalità (dati personali);

informazioni che costituiscono il segreto dell'indagine e del procedimento giudiziario;

informazioni ufficiali, il cui accesso è limitato dalle autorità statali in conformità con il codice civile della Federazione Russa e le leggi federali (segreto ufficiale);

informazioni su attività professionali (mediche, notarili, segreti legali, riservatezza della corrispondenza, ecc.);

informazioni sull'essenza dell'invenzione o dei disegni industriali prima della pubblicazione ufficiale delle informazioni su di essi.

L'elenco delle informazioni riservate è integrato da altri atti normativi: Fondamenti della legislazione della Federazione Russa "Sulla protezione della salute dei cittadini", le leggi della Federazione Russa "Sulle cure psichiatriche e le garanzie dei diritti dei cittadini in la sua disposizione", "Sui notai", "Sulla professione legale", "Sulle garanzie fondamentali dei diritti elettorali dei cittadini della Federazione Russa "," Sulle banche e attività bancarie ", nonché sul Codice Fiscale della Federazione Russa, il Codice di famiglia della Federazione Russa, ecc.

Di conseguenza, si possono distinguere diversi gruppi di informazioni riservate, formando alcuni "segreti":

segreto medico (medico);

segreto bancario;

segreto fiscale;

segreto notarile;

segreto assicurativo;

privilegio avvocato-cliente;

il segreto dell'atteggiamento nei confronti della religione e il segreto della confessione; segreto di voto; segreti ufficiali, ecc.

Le informazioni definite dal concetto di proprietà intellettuale comprendono la maggior parte delle suddette informazioni di natura scientifica e tecnologica, nonché opere letterarie e artistiche, prodotti di attività inventiva e di razionalizzazione e altri tipi di creatività. In conformità con la legge della Federazione Russa "Sulla protezione giuridica dei programmi per computer elettronici e banche dati" del 23 settembre 1992, anche i programmi per computer e le banche dati sono oggetto del diritto d'autore, la cui violazione comporta responsabilità civile, penale e amministrativa ai sensi con la normativa RF.

Anche una certa parte delle informazioni classificate come segreti di stato e commerciali rientra nella definizione di proprietà intellettuale.

2.2 Organizzazione della protezione delle informazioni

La maggior parte degli esperti considera le seguenti misure "protettive" come lo sforzo più ragionevole in questa direzione:

adeguata definizione dell'elenco delle informazioni da proteggere;

identificare i livelli di accessibilità e prevedere possibili vulnerabilità nell'accesso alle informazioni;

adottare misure per limitare l'accesso a informazioni o un oggetto;

organizzazione della sicurezza dei locali e controllo costante sulla sicurezza delle informazioni (in particolare, necessità di armadi con serratura, casseforti, uffici, telecamere di sicurezza televisiva, ecc.);

la presenza di regole chiare per la gestione dei documenti e la loro riproduzione. Come sapete, l'invenzione della tecnica di duplicazione provocò letteralmente un'impennata nello spionaggio industriale;

la presenza sui documenti delle iscrizioni "Segreto", "Per uso ufficiale" e sulle porte - "Vietato l'ingresso non autorizzato". Ciascun supporto informativo (documento, disco, ecc.) deve avere una designazione e un luogo di conservazione appropriati (camera, cassaforte, scatola metallica);

firmare un accordo di riservatezza con i dipendenti dell'organizzazione, l'impresa.

Attualmente, i principali mezzi di protezione delle informazioni sono le misure di sicurezza volte a prevenire la fuga di informazioni specifiche. L'adozione di tali misure dipende, in primo luogo, dai proprietari delle informazioni, dall'ambiente competitivo nel loro campo di attività, dal valore che la produzione o l'informazione commerciale rappresenta per loro e da altri fattori.

Tra le misure di protezione delle informazioni si possono distinguere esterne ed interne.

Le attività esterne includono: studiare i partner, i clienti con cui si deve fare affari, raccogliere informazioni sulla loro affidabilità, solvibilità e altri dati, nonché prevedere le azioni previste dei concorrenti e degli elementi criminali. Quando possibile, vengono individuate le persone che mostrano interesse per le attività dell'organizzazione (impresa), per il personale che lavora nell'organizzazione.

Le misure interne per garantire la sicurezza includono la selezione e la verifica delle persone che entrano nel lavoro: vengono studiati i loro dati personali, il comportamento nel luogo di residenza e al lavoro precedente, le qualità personali e aziendali, la compatibilità psicologica con i dipendenti; vengono scoperte le ragioni per lasciare il posto di lavoro precedente, la presenza di condanne, ecc. viene effettuata.

I dipendenti sono l'elemento più importante del sistema di sicurezza. Possono svolgere un ruolo significativo nella protezione dei segreti commerciali, ma allo stesso tempo possono essere la ragione principale della loro fuga di notizie. Questo accade spesso a causa di incuria, analfabetismo. Pertanto, una formazione regolare e comprensibile del personale sulle questioni relative alla segretezza è una condizione essenziale per mantenere la segretezza. Tuttavia, non si possono escludere casi di trasferimento deliberato (vendita) di segreti aziendali da parte di un dipendente. La base motivazionale per tali azioni è l'interesse personale o la vendetta, ad esempio, da parte di un dipendente licenziato. La pratica di tali azioni è radicata nell'antichità.

La protezione delle informazioni comporta l'uso di mezzi tecnici speciali, dispositivi elettronici, che consentono non solo di contenere le loro perdite, ma anche di fermare un tipo di attività come lo spionaggio industriale (commerciale). La maggior parte di questi sono mezzi tecnici di rilevamento e mezzi per contrastare i dispositivi di ascolto:

neutralizzatore telefonico (per sopprimere il funzionamento del mini-trasmettitore e neutralizzare la rimozione delle informazioni audio);

disturbatore telefonico di dispositivi di ascolto;

rilevatore professionale (utilizzato per la localizzazione "approssimativa" dei segnalibri radio);

mini-rilevatore di trasmettitori (utilizzato per determinare con precisione la posizione delle patch radio);

generatore di rumore.

Le organizzazioni che dispongono di informazioni preziose dovrebbero conservarle in appositi armadietti ignifughi o casseforti, per non permettere che le chiavi vengano smarrite o trasferite ad altre persone, anche particolarmente fidate, per la conservazione.

Uno dei metodi diffusi di tutela della proprietà intellettuale è il brevetto, cioè un certificato rilasciato a un inventore oa un suo avente causa per l'uso esclusivo di un'invenzione da lui realizzata. Il brevetto ha lo scopo di proteggere l'inventore (autore) dalla riproduzione, vendita e utilizzo della sua invenzione da parte di altri.

L'attuazione di speciali misure interne ed esterne per proteggere i sistemi di informazione di valore dovrebbe essere affidata a persone appositamente addestrate. A tal fine, un imprenditore può chiedere aiuto a società di investigatori privati ​​specializzati nella ricerca e nella protezione della proprietà. Possono essere creati anche servizi di sicurezza propri. Poiché le misure di protezione richiedono costi significativi, l'imprenditore stesso deve decidere cosa è più redditizio per lui: sopportare la fuga di informazioni o coinvolgere servizi specializzati per proteggerlo.

Conclusione

L'attuale stato della sicurezza informatica in Russia è un nuovo stato, che sta solo prendendo forma, tenendo conto dei dettami dei tempi di un'istituzione statale-pubblica. Molto è già stato fatto sulla via della sua formazione, ma qui ci sono ancora più problemi che richiedono la più rapida soluzione. Negli ultimi anni, la Federazione Russa ha implementato una serie di misure per migliorare la sicurezza delle informazioni, vale a dire:

È iniziata la formazione di una base giuridica per la sicurezza delle informazioni. Sono state adottate una serie di leggi che regolano le relazioni pubbliche in questo settore e sono stati avviati i lavori per creare meccanismi per la loro attuazione. Il risultato graduale e la base legale per risolvere ulteriormente i problemi in questo settore è stata l'approvazione da parte del Presidente della Federazione Russa nel settembre 2001 della Dottrina della Sicurezza dell'Informazione della Federazione Russa;

La sicurezza delle informazioni è facilitata dal creato:

sistema di protezione delle informazioni statali;

sistema di autorizzazione delle attività nel campo della protezione dei segreti di Stato;

sistema di certificazione dei mezzi di sicurezza delle informazioni.

Allo stesso tempo, un'analisi dello stato della sicurezza delle informazioni mostra che ci sono ancora una serie di problemi che ostacolano seriamente la piena fornitura di sicurezza delle informazioni di una persona, della società e dello stato. La dottrina nomina i seguenti problemi principali in quest'area.

Le attuali condizioni di sviluppo politico e socio-economico del Paese conservano ancora forti contraddizioni tra le esigenze della società di ampliare il libero scambio di informazioni e la necessità di alcune restrizioni regolamentate alla sua diffusione.

L'incoerenza e il sottosviluppo della regolamentazione giuridica delle relazioni pubbliche nella sfera dell'informazione complica significativamente il mantenimento del necessario equilibrio degli interessi dell'individuo, della società e dello stato in questo settore. La regolamentazione legale imperfetta non consente di completare la formazione di agenzie di informazione e mass media russi competitivi sul territorio della Federazione Russa.

La mancanza dei diritti dei cittadini di accedere alle informazioni e la manipolazione delle informazioni provocano una reazione negativa della popolazione, che in alcuni casi porta alla destabilizzazione della situazione socio-politica nella società.

I diritti dei cittadini all'inviolabilità della vita privata, ai segreti personali e familiari e al segreto della corrispondenza, sanciti dalla Costituzione della Federazione Russa, praticamente non hanno un supporto legale, organizzativo e tecnico sufficiente. La protezione dei dati sugli individui (dati personali) raccolti dagli organi del governo federale, dagli organi governativi delle entità costituenti della Federazione Russa e dagli organi del governo locale è scarsamente organizzata.

Non c'è chiarezza nella condotta della politica statale nel campo della formazione dello spazio informativo russo, nonché nell'organizzazione dello scambio internazionale di informazioni e nell'integrazione dello spazio informativo della Russia nello spazio informativo globale, che crea le condizioni per l'espulsione delle agenzie di stampa e dei media russi dal mercato interno dell'informazione, portando alla deformazione della struttura dello scambio internazionale.

Il sostegno del governo alle attività delle agenzie di stampa russe non è sufficiente per promuovere i loro prodotti sul mercato dell'informazione estero.

La situazione nel garantire la sicurezza delle informazioni che costituiscono un segreto di Stato non sta migliorando.

Gravi danni sono stati inflitti al potenziale del personale delle squadre scientifiche e industriali che operano nel campo della creazione di tecnologie dell'informazione, delle telecomunicazioni e delle comunicazioni, a seguito dell'esodo di massa degli specialisti più qualificati di queste squadre.

Bibliografia

1.Dottrina della sicurezza delle informazioni della Federazione Russa (approvata dal Presidente della Federazione Russa del 09.09.2000, n. Pr-1895)

.Legge RF "Sulla sicurezza" 2010

.Legge della Federazione Russa "Sui segreti di Stato", adottata il 21 luglio 1993 (modificata l'11/08/2011)

.La legge della Federazione Russa "Sul diritto d'autore e diritti correlati", entrata in vigore il 3 agosto 1993 (e successive modifiche),

.Legge federale "Sui fondamenti del servizio civile", adottata il 31 luglio 1995,

.Codice penale della Federazione Russa 2013

introduzione

Capitolo 1. Nozioni di base sulla sicurezza delle informazioni e sulla protezione delle informazioni

1.1 Evoluzione del termine "sicurezza delle informazioni" e del concetto di riservatezza

1.2 Valore delle informazioni

1.3 Canali di distribuzione e fuga di informazioni riservate

1.4 Minacce e sistema di protezione delle informazioni riservate

Capitolo 2. Organizzazione del lavoro con documenti contenenti informazioni riservate

2.1 Base normativa e metodologica del lavoro d'ufficio riservato

2.2 Organizzazione degli accessi e delle procedure per il personale con informazioni riservate, documenti e banche dati

2.3 Base tecnologica per il trattamento dei documenti riservati

Capitolo 3. Protezione delle informazioni di accesso limitato in JSC "CHZPSN - Profiled"

3.1 Caratteristiche di JSC "ChZPSN - Profilato"

3.2 Sistema di sicurezza delle informazioni in JSC "ChZPSN - Profiled"

3.3 Miglioramento del sistema di sicurezza delle informazioni riservate

Conclusione

Elenco delle fonti e della letteratura utilizzata

introduzione

La sicurezza delle informazioni è ora unanimemente definita una delle componenti più importanti della sicurezza nazionale di qualsiasi paese. I problemi di garantire la sicurezza delle informazioni stanno diventando più complessi e concettualmente significativi in ​​connessione con la massiccia transizione delle tecnologie dell'informazione nella gestione verso una base automatizzata senza carta.

La scelta dell'argomento per questo lavoro di qualificazione finale è dovuta al fatto che nella moderna economia di mercato russa, un prerequisito per il successo di un imprenditore negli affari, realizzare un profitto e mantenere l'integrità della struttura organizzativa da lui creata è garantire la sicurezza economica delle sue attività. E una delle componenti principali della sicurezza economica è la sicurezza delle informazioni.

L'oggetto della ricerca in questo lavoro è la formazione e il funzionamento delle risorse informative nel sistema di gestione dell'organizzazione.

La base di ricerca è JSC "ChZPSN - Profiled"

L'oggetto della ricerca sono le attività per garantire la sicurezza delle risorse informative nel sistema di gestione dell'organizzazione.

Lo scopo della ricerca è analizzare le moderne tecnologie, metodi, metodi e mezzi per proteggere le informazioni riservate di un'impresa.

I compiti di ricerca, in accordo con l'obiettivo prefissato, comprendono:

1. Per rivelare le componenti principali della sicurezza delle informazioni;

2. Determinare la composizione delle informazioni che è consigliabile classificare come riservate;

3. Identificare le minacce, i canali di distribuzione e le perdite di riservatezza più comuni;

4. Considerare metodi e mezzi per proteggere le informazioni riservate;

5. Analizzare il quadro normativo del lavoro d'ufficio riservato;

6. Studiare la politica di sicurezza nell'organizzazione dell'accesso alle informazioni di natura riservata e la procedura per il personale che lavora con documenti riservati;

7. Considerare sistemi tecnologici per l'elaborazione di documenti riservati;

8. Valutare il sistema di protezione delle informazioni dell'impresa "ChZPSN - Profiled" e fornire raccomandazioni per il suo miglioramento.

Nel lavoro sono stati utilizzati i seguenti metodi di ricerca: metodi di cognizione (descrizione, analisi, osservazione, indagine); metodi scientifici generali (analisi della matrice di pubblicazione sull'argomento), nonché un metodo documentario come l'analisi della documentazione aziendale.

Il quadro giuridico per il lavoro di qualificazione finale si basa principalmente sulla Costituzione come legge principale della Federazione Russa) (1). L'articolo 23 della Costituzione della Federazione Russa garantisce il diritto ai segreti personali, familiari, alla riservatezza della corrispondenza, delle conversazioni telefoniche, postali, telegrafiche e di altro tipo. Allo stesso tempo, la limitazione di questo diritto è consentita solo sulla base di una decisione del tribunale. La Costituzione della Federazione Russa non consente (articolo 24) la raccolta, l'archiviazione, l'uso e la diffusione di informazioni sulla vita privata di una persona senza il suo consenso (1).

Le norme per la regolamentazione dei rapporti derivanti dal trattamento delle informazioni riservate sono contenute anche nel Codice Civile della Federazione Russa. Allo stesso tempo, le informazioni riservate sono indicate nel codice civile della Federazione Russa come beni immateriali (articolo 150) (2).

Criteri in base ai quali le informazioni sono classificate come segreto ufficiale e commerciale , contenuto nell'articolo 139 del codice civile della Federazione Russa. Essa afferma che le informazioni costituiscono un segreto ufficiale o commerciale nel caso in cui:

1. Queste informazioni hanno valore effettivo o potenziale in quanto sconosciute a terzi;

2. Non esiste un libero accesso a queste informazioni su base legale e il proprietario delle informazioni adotta misure per proteggerne la riservatezza (2).

Inoltre, la definizione di riservatezza delle informazioni commerciali è contenuta nell'articolo 727 del codice civile della Federazione Russa (2).

Il 27 luglio 2006 sono state adottate due leggi federali che sono le più importanti per la protezione delle informazioni riservate: n. 149-FZ "Sull'informazione, tecnologia dell'informazione e protezione delle informazioni" (8) e n. 152-FZ "Sui dati personali " (9). Forniscono i concetti di base dell'informazione e della sua protezione. Come "informazioni", "riservatezza delle informazioni", "dati personali", ecc.

Il 10 gennaio 2002, il Presidente della Federazione Russa ha firmato un'importantissima legge "Sulla firma elettronica digitale" (5), sviluppando e concretizzando le disposizioni della suddetta legge "Sulle informazioni ..." (8).

Le principali leggi nel campo della sicurezza delle informazioni riservate sono anche le leggi della Federazione Russa:

2. “Sui segreti commerciali” del 29 luglio 2004 (contiene informazioni costituenti segreto commerciale, regime di segreto commerciale, divulgazione di informazioni costituenti segreto commerciale) (6);

3. "All'approvazione dell'Elenco delle informazioni riservate" (11);

4. Su approvazione dell'Elenco delle informazioni che non possono costituire segreto commerciale”(13).

Lo standard che fissa i termini e le definizioni di base nel campo della sicurezza delle informazioni è GOST R 50922-96 (29).

Un quadro normativo e metodologico dettagliato per il lavoro d'ufficio riservato è descritto nel secondo capitolo di questo lavoro. Nel lavoro di qualificazione finale sono stati utilizzati i lavori dei principali specialisti della documentazione: I.V. Kudryaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pshenko (98), L.V. Sankina (92), E.A. Stepanov (81; 96).

Il concetto di sicurezza delle informazioni, le sue componenti principali, sono esposte nei lavori di V.A. Galatenko (82), V.N. Yarochkin (56), G. Zotova (66).

K. Ilyin (52) nelle sue opere considera le questioni della sicurezza delle informazioni nel flusso di documenti elettronici). Gli aspetti della sicurezza delle informazioni sono descritti negli articoli di V.Ya. Isheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuk (74), V.K. Senchagova (93), E.A. Stepanov (96).

Il sistema di sicurezza delle informazioni è descritto nei lavori di E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkov (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov e V.M. Martynov (49).

I lavori degli autori sono dedicati alla disciplina giuridica delle informazioni ad accesso limitato: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Quest'ultimo, nel suo articolo, sottolinea l'imperfezione della normativa nel settore in esame.

Le tecnologie per il trattamento dei documenti riservati sono state dedicate a R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksentsev (32).

Nel processo di preparazione del lavoro, sono state utilizzate raccomandazioni scientifiche, educative, pratiche e metodologiche per organizzare la protezione delle informazioni riservate preparate da esperti di spicco in questo campo come A.I. Aleksentsev (31; 32) e E.A. Stepanov (81; 96).

Le opere di I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsova (51) sono dedicati ad aspetti controversi della sicurezza delle informazioni.

In generale, possiamo dire che il problema della sicurezza delle informazioni, in generale, è fornito con fonti, la base delle fonti consente di evidenziare i compiti. Il significato della letteratura su questo tema è grande e corrisponde alla sua attualità.

Ma nel nostro paese non esiste un atto giuridico normativo che stabilisca una procedura unificata per la contabilità, l'archiviazione e l'uso di documenti contenenti informazioni riservate. E secondo gli analisti, i cui articoli sono stati utilizzati nel lavoro, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurov (71) e altri, questo è poco consigliabile.

Il lavoro di qualificazione finale consiste in un'introduzione, tre capitoli, una conclusione, un elenco di fonti e letteratura, applicazioni.

L'introduzione formula la pertinenza e il significato pratico dell'argomento, lo scopo dello studio, i compiti, il grado di sviluppo del problema oggetto di studio, oggetto, soggetto, base di ricerca, strumenti di ricerca, struttura e contenuto del lavoro qualificante finale

Il primo capitolo: "Fondamenti di sicurezza e protezione delle informazioni" contiene la storia della questione ei concetti base della sicurezza delle informazioni. Come il valore delle informazioni, la riservatezza. Il paragrafo 1.2 indica i canali di distribuzione, le fughe di informazioni, nel successivo si considerano il sistema di minaccia e il sistema di protezione delle informazioni riservate.

Capitolo "Organizzazione del lavoro con documenti riservati". consiste nei fondamenti normativi e metodologici del lavoro d'ufficio riservato, quindi vengono fornite le procedure per il lavoro dei dipendenti e l'organizzazione del loro accesso alle informazioni riservate. La tecnologia per lavorare con le informazioni indicate è descritta nell'ultimo paragrafo del secondo capitolo.

Nel terzo capitolo, sull'esempio dell'impresa OJSC "CHZPSN - Profiled", viene considerato il sistema di protezione delle informazioni di accesso limitato, l'analisi del lavoro con documenti riservati. vengono fornite raccomandazioni, modifiche e aggiunte alla tecnologia del lavoro d'ufficio riservato formato presso l'impresa.

Informazioni di sicurezza. Corso di lezione Artyomov A.V.

Domanda 3. Sistema di protezione delle informazioni riservate

L'attuazione pratica della politica di sicurezza delle informazioni dell'azienda (concetto) è un sistema tecnologico di sicurezza delle informazioni. La protezione delle informazioni è un processo tecnologico strettamente regolamentato e dinamico che previene violazioni della disponibilità, integrità, affidabilità e riservatezza delle risorse informative di valore e, in definitiva, garantisce una sicurezza delle informazioni sufficientemente affidabile nel processo di gestione e attività di produzione dell'azienda.

Il sistema di sicurezza delle informazioni è un insieme razionale di direzioni, metodi, mezzi e misure che riducono la vulnerabilità delle informazioni e impediscono l'accesso non autorizzato alle informazioni, la loro divulgazione o fuga. I requisiti principali per l'organizzazione dell'effettivo funzionamento del sistema sono: responsabilità personale di dirigenti e dipendenti per la sicurezza del mezzo e la riservatezza delle informazioni, regolamentazione della composizione delle informazioni riservate e dei documenti soggetti a protezione, regolamentazione della procedura per l'accesso del personale ad informazioni e documenti riservati, la presenza di un servizio di sicurezza specializzato che assicuri l'attuazione pratica del sistema di protezione e il supporto normativo e metodologico delle attività di tale servizio.

I proprietari delle risorse informative, comprese le agenzie governative, le organizzazioni e le imprese, determinano autonomamente (ad eccezione delle informazioni classificate come segreti di Stato) il grado di sicurezza delle risorse richiesto e il tipo di sistema, metodi e mezzi di protezione, in base al valore di l'informazione. Il valore dell'informazione e la necessaria affidabilità della sua protezione sono direttamente proporzionali. È importante che la struttura del sistema di protezione riguardi non solo i sistemi informativi elettronici, ma l'intero complesso gestionale dell'impresa nell'unità delle sue reali unità funzionali e produttive, dei tradizionali processi documentali. Non è sempre possibile abbandonare i documenti cartacei e spesso la tecnologia di gestione di routine e storicamente consolidata, soprattutto se la questione riguarda la sicurezza di informazioni preziose e riservate.

La caratteristica principale del sistema è la sua complessità, cioè la presenza di elementi obbligatori al suo interno, che coprono tutte le aree della protezione delle informazioni. Il rapporto tra gli elementi e il loro contenuto fornisce l'individualità di costruire un sistema per proteggere le informazioni di una determinata azienda e garantisce l'unicità del sistema, la difficoltà di superarlo. Un sistema di protezione specifico può essere rappresentato come un muro di mattoni, costituito da molti elementi diversi (mattoni). Gli elementi del sistema sono: legale, organizzativo, ingegneristico, hardware e software e crittografico.

Elemento legale i sistemi di sicurezza delle informazioni si basano sulle norme del diritto dell'informazione e implicano il consolidamento giuridico del rapporto tra l'impresa e lo Stato per quanto riguarda la liceità dell'uso del sistema di sicurezza delle informazioni, l'azienda e il personale per quanto riguarda l'obbligo del personale di rispettare le restrizioni restrittive e misure tecnologiche di protezione stabilite dal titolare delle informazioni, nonché la responsabilità del personale per violazione delle informazioni sulla procedura di protezione. Questo elemento include:

La presenza nei documenti organizzativi dell'azienda, dei regolamenti interni del lavoro, dei contratti conclusi con i dipendenti, delle disposizioni di lavoro e delle istruzioni di lavoro e degli obblighi di protezione delle informazioni riservate;

Formulazione e comunicazione a tutti i dipendenti della società (compresi quelli non legati a informazioni riservate) disposizioni in materia di responsabilità legale per divulgazione di informazioni riservate, distruzione non autorizzata o falsificazione di documenti;

Spiegare alle persone reclutate, le disposizioni sulla volontarietà delle restrizioni che assumono, relative all'adempimento degli obblighi di protezione delle informazioni.

Elemento organizzativo sistema di sicurezza delle informazioni contiene misure di natura gestionale, restrittiva (regime) e tecnologica che determinano la base e il contenuto del sistema di sicurezza, incoraggiando il personale al rispetto delle regole per la protezione delle informazioni riservate della società. Queste misure sono associate all'istituzione di un regime di riservatezza nell'impresa. L'elemento comprende il regolamento:

Formazione e organizzazione delle attività del servizio di sicurezza e del servizio di documentazione riservata (o il responsabile della sicurezza, o l'assistente dell'amministratore delegato), garantendo le attività di questi servizi (dipendente) con documenti normativi e metodologici sull'organizzazione e la tecnologia della protezione delle informazioni ;

Compilazione e aggiornamento periodico della composizione (elenco, elenco, matrice) delle informazioni protette dell'azienda, compilazione e mantenimento dell'elenco (inventario) dei documenti protetti cartacei, a lettura ottica ed elettronici dell'azienda;

Sistema di autorizzazione (schema gerarchico) per delimitare l'accesso del personale alle informazioni protette;

Metodi di selezione del personale per lavorare con le informazioni protette, metodi di formazione e istruzione dei dipendenti;

Indicazioni e metodi di lavoro educativo con il personale, monitorando il rispetto da parte dei dipendenti della procedura per la protezione delle informazioni;

Tecnologie per la protezione, elaborazione e conservazione dei documenti cartacei, leggibili da una macchina ed elettronici dell'azienda (tecnologie d'ufficio, automatizzate e miste); tecnologia off-machine per la protezione di documenti elettronici;

La procedura per proteggere le informazioni preziose dell'azienda da azioni accidentali o deliberate non autorizzate del personale;

Ordini di tutti i tipi di lavoro analitico;

La procedura per la protezione delle informazioni durante riunioni, riunioni, trattative, ricezione di visitatori, collaborazione con rappresentanti di agenzie pubblicitarie, media;

Attrezzature e certificazione dei locali e delle aree di lavoro deputate al trattamento delle informazioni riservate, concessione in licenza di sistemi tecnici e mezzi di protezione e sicurezza delle informazioni, certificazione di sistemi informativi atti al trattamento di informazioni protette;

Controllo accessi sul territorio, nell'edificio e nei locali dell'azienda, identificazione del personale e dei visitatori;

Sistemi di sicurezza del territorio, degli edifici, dei locali, delle attrezzature, dei trasporti e del personale aziendale;

Azioni del personale in situazioni estreme;

Questioni organizzative di acquisizione, installazione e funzionamento di mezzi tecnici di protezione e protezione delle informazioni;

Aspetti organizzativi della protezione di personal computer, sistemi informativi, reti locali;

Lavori di gestione del sistema di sicurezza delle informazioni;

Criteri e procedura per lo svolgimento delle attività di valutazione per determinare il grado di efficienza del sistema di protezione delle informazioni.

L'elemento di tutela organizzativa è il fulcro, la parte principale del complesso sistema in esame. Secondo la maggior parte degli esperti, le misure di protezione organizzativa delle informazioni rappresentano il 50-60% nella struttura della maggior parte dei sistemi di protezione delle informazioni. Ciò è dovuto a una serie di fattori e anche al fatto che una parte importante della protezione organizzativa delle informazioni è la selezione, il collocamento e la formazione del personale che implementerà nella pratica il sistema di protezione delle informazioni. La coscienziosità, la formazione e la responsabilità del personale possono essere giustamente definite la pietra angolare di qualsiasi sistema di sicurezza delle informazioni anche tecnicamente avanzato. Le misure di protezione organizzativa si riflettono nei documenti normativi e metodologici del servizio di sicurezza, il servizio di documentazione riservata di un'istituzione o di una società. A questo proposito, viene spesso utilizzato un nome comune per i due elementi del sistema di protezione discussi sopra: "un elemento di protezione organizzativa e legale delle informazioni".

Elemento di ingegneria i sistemi di sicurezza delle informazioni sono progettati per la contrapposizione passiva e attiva all'intelligenza tecnica e la formazione di linee di protezione del territorio, edifici, locali e attrezzature utilizzando una serie di mezzi tecnici. Nella protezione dei sistemi informativi, questo elemento è molto importante, sebbene il costo della protezione tecnica e delle apparecchiature di sicurezza sia elevato. L'articolo include:

Strutture di protezione fisica (ingegneria) contro la penetrazione di persone non autorizzate nel territorio, nell'edificio e nei locali (recinzioni, grate, porte in acciaio, serrature a combinazione, identificatori, casseforti, ecc.);

Mezzi di protezione dei canali tecnici di perdita di informazioni che si verificano durante il funzionamento di computer, strutture di comunicazione, fotocopiatrici, stampanti, fax e altri dispositivi e apparecchiature per ufficio, durante riunioni, riunioni, conversazioni con visitatori e dipendenti, dettatura di documenti, ecc.;

Mezzi per proteggere i locali dai metodi visivi di ricognizione tecnica;

Mezzi per assicurare la protezione del territorio, degli edifici e dei locali (mezzi di osservazione, notifica, segnalazione, informazione e identificazione);

Mezzi di protezione antincendio;

Mezzi per rilevare dispositivi e dispositivi di intelligenza tecnica (dispositivi di intercettazione e trasmissione, apparecchiature di registrazione del suono e televisive in miniatura installate segretamente, ecc.);

Controlli tecnici per impedire al personale di prelevare dai locali oggetti, documenti, floppy disk, libri, ecc. appositamente contrassegnati. Elemento hardware e software i sistemi di sicurezza delle informazioni sono progettati per proteggere le informazioni preziose elaborate e archiviate in computer, server e workstation di reti locali e vari sistemi informativi. Tuttavia, frammenti di questa protezione possono essere utilizzati come mezzi ausiliari nell'ingegneria e nella protezione tecnica e organizzativa. L'articolo include:

Programmi autonomi che garantiscono la protezione delle informazioni e ne controllano il grado di sicurezza;

Programmi di sicurezza delle informazioni che funzionano insieme a programmi di elaborazione delle informazioni;

Programmi di sicurezza delle informazioni che funzionano in combinazione con dispositivi tecnici di sicurezza delle informazioni (hardware) (interruzione del funzionamento dei computer in caso di violazione del sistema di accesso, cancellazione dei dati in caso di ingresso non autorizzato nel database, ecc.).

Elemento crittografico sistema di sicurezza delle informazioni è progettato per proteggere le informazioni riservate utilizzando metodi crittografici. L'articolo include:

Regolamentazione dell'uso di vari metodi crittografici nei computer e nelle reti locali;

Determinazione delle condizioni e dei metodi per la crittografia del testo di un documento durante la trasmissione attraverso canali non protetti di posta, telegrafo, telescrivente, fax e comunicazioni elettroniche;

Regolamentazione dell'uso di mezzi crittografici di negoziazione su canali telefonici e di comunicazione radio non protetti;

Regolazione dell'accesso a banche dati, file, documenti elettronici tramite password personali, comandi di identificazione e altri metodi;

Regolazione dell'accesso del personale ai locali assegnati mediante codici identificativi, cifrari.

Le parti costitutive della protezione crittografica, i codici, le password e gli altri suoi attributi sono sviluppati e modificati da un'organizzazione specializzata. Gli utenti non sono autorizzati a utilizzare i propri sistemi di crittografia.

In ogni elemento di protezione possono essere concretamente implementate solo singole componenti, a seconda dei compiti di protezione assegnati nelle grandi e medie imprese di vario profilo, piccole imprese. La struttura del sistema, la composizione e il contenuto degli elementi, la loro interrelazione dipendono dal volume e dal valore delle informazioni protette, dalla natura delle minacce emergenti alla sicurezza delle informazioni, dall'affidabilità richiesta della protezione e dal costo del sistema . Ad esempio, in un'azienda di medie dimensioni con una piccola quantità di informazioni protette, puoi limitarti alla regolamentazione della tecnologia per l'elaborazione e la conservazione dei documenti, l'accesso del personale a documenti e file. È inoltre possibile separare in un gruppo separato e contrassegnare documenti cartacei di valore, leggibili meccanicamente ed elettronici, tenere un inventario di essi, stabilire una procedura per i dipendenti per firmare l'obbligo di non rivelare i segreti dell'azienda, organizzare una formazione regolare e istruire i dipendenti , svolgere attività di analisi e controllo. L'uso dei metodi di protezione più semplici, di regola, dà un effetto significativo.

Nelle grandi aziende manifatturiere e di ricerca con molti sistemi informativi e quantità significative di informazioni protette, si forma un sistema di sicurezza delle informazioni multilivello, caratterizzato dall'accesso gerarchico alle informazioni. Tuttavia, questi sistemi, come i più semplici metodi di protezione, non dovrebbero creare gravi disagi per i dipendenti nel loro lavoro, cioè dovrebbero essere "trasparenti".

Il contenuto delle parti costitutive degli elementi, dei metodi e dei mezzi di protezione delle informazioni nell'ambito di qualsiasi sistema di sicurezza dovrebbe essere modificato regolarmente al fine di impedirne la divulgazione da parte di una persona interessata. Lo specifico sistema di protezione delle informazioni aziendali è sempre strettamente riservato, segreto. Nell'uso pratico del sistema, va ricordato che le persone che progettano e modernizzano il sistema, monitorano e analizzano il suo lavoro, non possono essere utenti di questo sistema.

Conclusione: la sicurezza delle informazioni nelle moderne condizioni di informatizzazione dei processi informativi è di fondamentale importanza per prevenire usi illeciti e spesso criminali di informazioni preziose. Le attività di sicurezza delle informazioni sono implementate da un sistema integrato di protezione delle informazioni, che, per il suo scopo, è in grado di risolvere molti problemi che sorgono nel processo di lavoro con informazioni e documenti riservati. La condizione principale per la sicurezza delle risorse informative di accesso limitato da vari tipi di minacce è, prima di tutto, l'organizzazione in compagnia di studi analitici, costruiti a livello scientifico moderno e che consentono di avere informazioni costanti sull'efficacia della protezione sistema e le direzioni del suo miglioramento in accordo con i problemi situazionali emergenti.

Dal libro Technical Business Security l'autore Aleshin Alessandro

Capitolo 5 Mezzi tecnici di protezione delle informazioni 5.1. Sicurezza delle informazioni La sicurezza delle informazioni si riferisce alla sicurezza delle informazioni e della relativa infrastruttura di supporto da qualsiasi influenza accidentale o dolosa che possa risultare in

Dal libro Camion. La sicurezza e la salute sul lavoro autore Melnikov Ilya

5.4. Metodi di protezione delle informazioni

Dal libro Sicurezza delle informazioni. corso di lezione l'autore Artemov A.V.

Sistema di informazione sui rischi (HIS) I conducenti e gli altri lavoratori delle organizzazioni di trasporto su strada direttamente coinvolti nella registrazione, preparazione e manutenzione del trasporto di merci pericolose devono rispettare i requisiti delle regole del Ministero delle situazioni di emergenza, quando

Dal libro dell'autore

Domanda 1. Risorse informative e riservatezza delle informazioni In conformità con l'attuale legge federale "Sull'informazione, l'informatizzazione e la protezione delle informazioni", risorse informative di un'impresa, organizzazione, istituzione, banca, società e altri

Dal libro dell'autore

Domanda 2. Minacce alle informazioni riservate dell'organizzazione Tutte le risorse informative dell'azienda sono costantemente esposte a minacce oggettive e soggettive di perdita del mezzo o del valore delle informazioni.Sotto la minaccia o il pericolo di perdita di informazioni si intende una singola o

Dal libro dell'autore

Domanda 2. Modello e metodologia del sistema di sicurezza delle informazioni aziendali Ai sensi dell'art. 20 della legge federale "Sull'informazione, l'informatizzazione e la protezione delle informazioni", gli obiettivi della protezione delle informazioni sono, tra l'altro, prevenire perdite, furto, perdita, distorsione, contraffazione

Dal libro dell'autore

Lezione 5 Fondamenti concettuali della sicurezza delle informazioni nei sistemi automatizzati Domande educative: 1. Analisi e tipizzazione delle strutture organizzative e hardware-software dei sistemi automatizzati aziendali 2. Analisi delle possibili minacce e loro specificità nelle varie tipologie

Dal libro dell'autore

Domanda 3. Sistematizzazione dei tipi di protezione delle informazioni Nelle attività pratiche sull'applicazione di misure e mezzi di protezione delle informazioni, si distinguono le seguenti aree indipendenti, determinate in base alle strutture del settore e ai tipi di informazioni esistenti

Dal libro dell'autore

Domanda 3. Principi di protezione dei sistemi bancari automatizzati Ciascun sistema di elaborazione delle informazioni di sicurezza dovrebbe essere sviluppato individualmente, tenendo conto delle seguenti caratteristiche:? struttura organizzativa della banca ;? il volume e la natura dei flussi informativi (all'interno della banca in

Dal libro dell'autore

Domanda 2. Il concetto unificato di sicurezza delle informazioni.

Dal libro dell'autore

Dal libro dell'autore

Domanda 2. Modelli formali di protezione Si consideri il cosiddetto modello a matrice di protezione, il più diffuso nella pratica In termini di modello a matrice, lo stato del sistema di protezione è descritto da una tripla: (S, O, M ), dove S è un insieme di soggetti

Dal libro dell'autore

Domanda 1. Lo scopo dei modelli matematici per garantire la sicurezza delle informazioni in un sistema di controllo automatizzato.

Dal libro dell'autore

Domanda 2. Analisi comparativa e definizioni di base dei modelli matematici per garantire la sicurezza delle informazioni Le tecnologie esistenti per la descrizione formale dei processi di sicurezza delle informazioni si basano sui concetti della teoria degli automi finiti, teoria

Dal libro dell'autore

Domanda 1. Misure di protezione legale e organizzativa I rimedi legali si riducono principalmente alla responsabilità amministrativa e penale per la creazione e la diffusione deliberata di un virus o "cavalli di Troia" con l'obiettivo di causare danni Difficoltà della loro applicazione

Dal libro dell'autore

Domanda 2. Metodi e mezzi di protezione hardware e software Nei moderni personal computer viene implementato il principio della separazione tra software e hardware. Pertanto, virus software e cavalli di Troia non possono influenzare efficacemente l'hardware, a meno che