Ce înseamnă informații confidențiale. Concept și tipuri de informații confidențiale, clasificare și caracteristici

„Kadrovik.ru”, 2012, N 7

În orice companie există informații confidențiale, care sunt deosebit de atent păzite de angajații care nu au acces la acestea, precum și de concurenți și furnizori. În același timp, este destul de dificil să se determine gradul de secretizare a datelor. Ca urmare, toate informațiile legate de activitățile organizației încep să fie considerate confidențiale. Ca urmare, apar litigii atât cu angajații, cât și cu alte companii.

Lista datelor relevante este dată în mai multe acte legislative, totuși, compania poate restricționa în mod independent accesul la unele informații. Totodată, principalul document care face posibilă determinarea dacă informațiile sunt clasificate drept confidențiale este Legea federală din 29 iulie 2004 N 98-FZ „Cu privire la secretele comerciale” (în continuare - Legea N 98-FZ). Cu toate acestea, lista cuprinsă în prezenta lege este incompletă, iar alte informații despre informații confidențiale sunt cuprinse în alte acte normative de reglementare.

Lista datelor confidențiale definite de lege

Vedere confidenţial informație	Lista de informații	Legislativ normă
Informație, componentă comercial secret	Informații de orice natură (producție, tehnică, economice, organizatorice şi altele), inclusiv rezultatele activitatea intelectuală în ştiinţă sfera tehnică, precum și informații despre modalități de implementare profesională activităţi care au actuale sau potenţiale valoare comercială în virtutea necunoscut terților	Articolul 3. Federalul legea din 29.07.2004 N 98-FZ „O comercial secret"
Bancar secret	Informații despre tranzacții, conturi și depozitele organizaţiilor - clienţi ai băncilor şi corespondenți	Articolul 26 Federalul legea din 02.12.1990 N 395-1 "O bănci și bancar Activități "
Avocat secret, notarial secret	Informații legate de furnizare avocat de asistență juridică al său către director; informații care au devenit cunoscut notarului în legătură cu al lui activitati profesionale	Cele elementare legislație Rusă Federația despre notarii (aprobat Forțele Armate RF 02.11.1993 N 4462-1); Artă. opt Federalul legea din 31.05.2002 N 63-FZ „Pornit avocat activități și advocacy în Rusă federatie"
inteligenta, conectat cu audit organizare	Orice informații și documente primite și/sau întocmit de auditor organizație și angajații săi, precum și un auditor individual și angajați, cu care au intrat în travaliu contracte de prestare de servicii, prevăzute de acest federal potrivit legii, cu exceptia: 1) informații dezvăluite de persoana însăși, cui i-au fost prestate serviciile, furnizate de acest federal prin lege sau cu acordul acestuia; 2) informații despre încheierea cu auditatul persoana contractului pt audit statutar; 3) informații despre valoarea plății servicii de audit	Articolul 9. Federalul legea din 30.12.2008 N 307-FZ „On audit Activități "

În practică, regimul de confidențialitate este definit:

• o listă de informații care constituie un secret comercial; o listă de informații confidențiale din organizație;
• reglementarea contractuala a relatiilor cu angajatii;
• reglementarea contractuala a relatiilor cu contrapartidele prin stabilirea prevederilor relevante din contract;
• aplicarea unor mărci restrictive și a ștampilei de confidențialitate pe medii tangibile de informații confidențiale cu indicarea proprietarului acesteia.

Pe lângă aceste măsuri, compania poate, dacă este necesar, să aplice mijloace și metode de protecție tehnică a informațiilor confidențiale, precum și alte măsuri care nu contravin legislației Federației Ruse.

Regimul secretului comercial nu poate fi stabilit în legătură cu următoarele informații:

• cuprinse în actele constitutive ale unei persoane juridice și documente care confirmă faptul de a face înscrieri despre persoane juridice în registrele de stat;
• cuprinse în documente care dau dreptul de a desfășura activitate de întreprinzător;
• privind poluarea mediului, starea siguranței la incendiu, condițiile sanitar-epidemiologice și de radiații, siguranța alimentelor și alți factori care au un impact negativ asupra asigurării funcționării în siguranță a instalațiilor de producție, a siguranței fiecărui cetățean și a siguranței populației în ansamblu. ;
• privind numărul, componența salariaților, sistemul de salarizare, condițiile de muncă, inclusiv protecția muncii, indicatorii accidentelor de muncă și morbiditatea profesională, disponibilitatea locurilor de muncă vacante;
• privind restanțele angajatorilor la plata salariilor și a altor prestații sociale;
• privind încălcările legislației Federației Ruse și faptele de atragere la răspundere pentru comiterea acestora;
• asupra mărimii și structurii veniturilor organizațiilor nonprofit, asupra mărimii și componenței proprietății acestora, asupra cheltuielilor acestora, asupra numărului și remunerației angajaților acestora, asupra utilizării forței de muncă gratuite a cetățenilor în activitățile unui organizație de profit;
• pe lista persoanelor îndreptățite să acționeze fără împuternicire în numele unei persoane juridice;
• informații, a căror dezvăluire este obligatorie sau inadmisibilitatea restricționării accesului la care este stabilită de legile federale înainte de intrarea în vigoare a Legii N 98-FZ.

Luați în considerare procedura de stabilire a listei într-o anumită companie.

Ce să faci cu un angajat care dezvăluie informații confidențiale?

În multe companii, unui angajat care a dezvăluit informații clasificate se aplică următoarele măsuri: măsuri disciplinare, daune în instanță. Unii angajatori pur și simplu concediază infractorii, considerând că diseminarea informațiilor confidențiale este o abatere gravă. Într-adevăr, există o astfel de posibilitate. Conform paragrafelor. „în” clauza 6, partea 1 a art. 81 din Codul Muncii al Federației Ruse, un contract de muncă poate fi reziliat de către angajator chiar și în cazul dezvăluirii unice a unui secret comercial, care a devenit cunoscut angajatului în legătură cu îndeplinirea îndatoririlor sale de muncă.

În cazul unui litigiu privind reintegrarea unei persoane concediate pe baza motivelor avute în vedere, angajatorului îi revine sarcina de a dovedi toate împrejurările dezvăluirii secretelor comerciale. Este necesar să se analizeze cu atenție toate circumstanțele unui anumit caz, să se analizeze dacă există temeiuri legale pentru concedierea unui angajat suspectat de dezvăluire de informații confidențiale, precum și să se evalueze posibilele riscuri în cazul în care angajatul a contestat concedierea.

De exemplu, un angajat a folosit o unitate flash pentru a imprima un document pe o imprimantă. Cu toate acestea, angajatorul a considerat aceste acțiuni ca fiind dezvăluirea de secrete comerciale, întrucât interzicerea utilizării unei unități flash pentru a transfera informații confidențiale era cuprinsă într-un act local. Cu toate acestea, organizația nu avea o listă exactă a acestor date clasificate. Drept urmare, angajatul a apelat la inspectoratul de muncă, iar după verificare, a reușit să obțină ridicarea sancțiunii disciplinare.

Astfel, atunci când impune o acțiune disciplinară, un angajator trebuie:

• dovediți că angajatul a cauzat un prejudiciu material organizației;
• să stabilească că angajatul a dezvăluit date confidențiale incluse în listă;
• confirma faptul dezvăluirii și familiarizării angajatului cu lista de informații confidențiale.

Dacă compania dorește să recupereze daunele în instanță (de exemplu, managerul a renunțat și a vândut baza de date confidențială concurenților), atunci va fi necesar să se evalueze prejudiciul material. Condiția cheie pentru formarea bazei probatorii este disponibilitatea unei liste de informații confidențiale.

Lista informațiilor confidențiale dintr-o organizație separată

Fiecare organizație întocmește propria listă de informații confidențiale. De regulă, acesta include:

• informatii despre productie si management;
• date privind nivelul salariilor angajaților;
• datele personale ale angajaților;
• decizii de management, planuri de dezvoltare a producției, programe de investiții;
• procese verbale ale ședințelor;
• contracte confidențiale;
• informatii despre negocieri;
• informatii despre personal, masa de personal;
• cost și prețuri;
• raportare contabilă, documentație primară;
• informații despre impozitele și taxele plătite;
• rapoarte de auditor.

Vă rugăm să rețineți: datele personale și informațiile confidențiale nu sunt concepte echivalente. Acesta din urmă este mai larg și poate include diverse situații contabile, date despre personalul organizației și alte informații care sunt protejate de companie în conformitate cu regimul stabilit al secretelor comerciale.

Informațiile care constituie secret comercial (secretul producției) sunt informații de orice natură (de producție, tehnică, economică, organizatorică și altele), inclusiv informații despre rezultatele activității intelectuale în sfera științifică și tehnică, precum și informații despre metodele de desfășurarea de activități profesionale care au valoare comercială reală sau potențială datorită necunoscutelor terților, la care terții nu au acces liber în temeiul legal și în privința cărora deținătorul unor astfel de informații a introdus un regim de secret comercial. Dezvăluirea unor informații care constituie un secret comercial este o acțiune sau o omisiune, în urma căreia astfel de informații sub orice formă posibilă (orale, scrisă, alta, inclusiv prin utilizarea mijloacelor tehnice) devin cunoscute terților fără acordul proprietarului. sau în ciuda contractului juridic de muncă sau civil (Definiția Tribunalului orașului Moscova din 14.11.2011 în cazul N 33-36486).

Conceptul de date cu caracter personal este stabilit în Legea federală din 27.07.2006 N 152-FZ „Cu privire la datele cu caracter personal”. Aceasta este orice informație care se referă direct sau indirect la o persoană specifică sau identificabilă (subiect al datelor cu caracter personal).

Adică, dacă informațiile confidențiale se pot referi atât la persoane fizice, cât și la persoane juridice, datele personale - numai la persoane fizice. Lista datelor confidențiale clasificate ca atare la nivel legislativ este redată în anexă.

Este necesar să se acorde atenție faptului că informațiile recunoscute de companie ca fiind confidențiale nu pot fi atribuite acestora. Documentele situațiilor financiare furnizate participanților companiei numai pentru cunoștință pot fi clasificate drept confidențiale (Rezoluția FAS din Districtul Volga din 05.04.2005 N A12-12462 / 04-C56). O concluzie asemănătoare s-a făcut și în Rezoluția FAS a Districtului Orientul Îndepărtat din 16 mai 2007, 05.08.2007 N F03-A73 / 07-1 / 1090 în cauza N A73-9822 / 2006-9, în care instanța a recunoscut că nici normele Legii federale din 21.11 .1996 N 129-FZ „Cu privire la contabilitate”, nici art. 89 din Legea federală din 26.12.1995 N 208-FZ „Cu privire la societățile pe acțiuni” nu prevede furnizarea obligatorie a acționarului de copii ale documentelor contabile primare, a fișelor de cifra de afaceri ale contabilității analitice și a unei baze de date electronice a programului contabil al companiei. . În același timp, de exemplu, informațiile despre îndeplinirea de către contribuabili a obligațiilor lor de a plăti impozitele nu sunt un secret fiscal și pot fi dezvăluite (Rezoluția Serviciului Federal Antimonopol al Districtului Siberiei de Vest din 27.07.2010 privind cazul nr. A27-25441 / 2009).

Astfel, angajatorul trebuie să întocmească în mod independent o listă de informații confidențiale și să le stabilească cu un document administrativ, în funcție de importanța acestor informații. Cu toate acestea, confidențialitatea datelor poate fi contestată în instanță. În același timp, un punct important este nu numai stabilirea listei informațiilor confidențiale în sine, ci și procedura de protecție a acestora.

Procedura de protectie a informatiilor confidentiale

În conformitate cu art. 10 din Legea N 98-FZ, măsurile de protejare a confidențialității informațiilor luate de proprietarul acesteia ar trebui să includă:

• stabilirea listei de date care constituie secret comercial;
• restricționarea accesului la astfel de informații prin stabilirea unei proceduri de tratare a acestora și monitorizarea respectării acestei proceduri;
• păstrarea evidențelor persoanelor care au obținut acces la informații confidențiale și (sau) persoanelor cărora acestea au fost furnizate sau transferate;
• reglementarea raporturilor privind utilizarea datelor constitutive de secret comercial de catre salariati pe baza de contracte de munca si contrapartidele pe baza de contracte de drept civil;
• desenând pe suporturi tangibile care conțin informații confidențiale, sau includ în cerințele documentelor care conțin astfel de informații, ștampila „Secret comercial” care indică proprietarul acestor informații.

Pentru a proteja confidențialitatea informațiilor, angajatorul trebuie:

• să familiarizeze, contra primirii, salariatul care are nevoie de acces la astfel de informații pentru a-și îndeplini atribuțiile de serviciu, cu lista informațiilor constitutive de secret comercial, ai căror deținători sunt angajatorul și contrapărțile acestuia;
• familiarizează salariatul, contra primirii, cu regimul secretului comercial stabilit de angajator și cu măsurile de răspundere pentru încălcarea acestuia;
• să creeze condițiile necesare pentru ca salariatul să respecte regimul stabilit (articolul 11 ​​din Legea N 98-FZ).

Contractul de muncă cu șeful organizației ar trebui să prevadă obligațiile acestui angajat de a asigura protecția confidențialității informațiilor deținute de organizație și de contrapartidele acesteia, precum și responsabilitatea pentru măsurile adecvate.

Recunoașterea datelor ca fiind confidențiale poate fi contestată în instanță

În acest caz, compania poate întreprinde următoarele măsuri:

• implementarea unui sistem de autorizare pentru accesul artiștilor executanți (utilizatori, personal de service) la informații și lucrări și documente conexe;
• restricționarea accesului personalului și persoanelor neautorizate la incintele protejate și în incinta în care sunt amplasate mijloacele de informare și comunicare, precum și purtători de informații;
• stenogramele întâlnirilor;
• diferențierea accesului utilizatorilor și personalului de servicii la resursele informaționale, prelucrarea (transmiterea) software și protecția datelor;
• contabilizarea și păstrarea în siguranță a suporturilor de date pe hârtie și mașini, chei (documentația cheii) și circulația acestora, cu excepția furtului, înlocuirii și distrugerii acestora;
• rezervarea mijloacelor tehnice și duplicarea matricelor și purtătoarelor de informații;
• protecția împotriva copierii informațiilor, utilizarea mijloacelor certificate de protecție a acestora;
• utilizarea canalelor de comunicare sigure;
• transformarea criptografică a datelor prelucrate și transmise prin tehnologia informatică și comunicare.

Este foarte important să se stabilească în actul local al organizației nu numai o listă de informații confidențiale, ci și procedura de utilizare a acestora.

În relațiile cu angajații, companiile folosesc de obicei două tactici: protecția intereselor în instanță, protecția intereselor în ordine preliminară prin rezilierea contractului cu angajatul. Să luăm în considerare prima cale. Ca exemplu, putem cita Definiția Tribunalului orașului Moscova din 22 decembrie 2011 în cauza N 4g / 8-10945 / 11. Soluționarea pretențiilor expuse, îndrumat de art. 81 din Codul Muncii al Federației Ruse, Legea federală „Cu privire la secretele comerciale”, instanța a concluzionat că concedierea reclamantului a fost legală și justificată, întrucât acesta a divulgat un secret comercial. Reclamanta a transmis prin e-mail documente unei organizații terțe, la care terții nu au avut acces liber și în privința căreia angajatorul a introdus un regim de secret comercial.

În instanță, societatea a dovedit următoarele fapte: familiarizarea salariatului cu regulamentul „Cu privire la secretele comerciale”, respectarea procedurii disciplinare, faptul de a transmite documente directorului general adjunct al unei organizații terțe - informații despre contrapărți, informații despre momentul și metodele de prestare a serviciilor, cuantumul remunerației.

Însă, dacă informațiile confidențiale nu sunt transferate către terți, faptul de a copia informații fără a fi transferate către terți nu poate fi considerată dezvăluire. Deci, prin Decizia din 12.12.2011 în dosarul nr. 4g/8-10961/2011, Tribunalul din Moscova a concluzionat că informațiile copiate de reclamant pe cardul flash constituie un secret comercial al companiei, dar existau dovezi că această informație a fost transmisă de aceasta către terți, pârâta nu s-a prezentat, iar reclamanta a negat săvârșirea unor astfel de acțiuni. De asemenea, instanța nu a primit probe că reclamanta ar fi transmis informațiile specificate către căsuțele de e-mail ale terților, precum și faptele de postare pe internet. La examinarea calculatorului de acasă al reclamantei și la scoaterea din acesta a informațiilor copiate, pârâta nu a consemnat astfel de fapte. Nu existau note în acest sens în actul privind eliminarea informațiilor. Acțiunile salariatului, în urma cărora informațiile specificate devin disponibile altor angajați care exercită controlul asupra respectării regimului secretului comercial în organizație, nu pot fi calificate conform paragrafelor. „în” clauza 6, partea 1 a art. 81 din Codul Muncii al Federației Ruse. În astfel de circumstanțe, atunci când informațiile confidențiale nu au fost dezvăluite unor terți, o persoană poate fi reintegrată la locul de muncă cu compensație pentru timpul absenteismului forțat.

Diseminarea de informații neclasificate nu este dezvăluirea de informații confidențiale. Această concluzie rezultă din Definiția Tribunalului orașului Moscova din 14.11.2011 în cazul N 33-36486. Instanța a ajuns la concluzia că informațiile despre disponibilitatea echipamentelor, costul acestuia, informații despre distribuitori nu constituie un secret comercial, întrucât postate în liste de prețuri, cataloage și broșuri. Astfel, confidențialitatea nu a fost încălcată. O concluzie similară a fost făcută de Tribunalul orașului Moscova în Decizia din 18.10.2011 în cazul N 33-33741. În soluționarea litigiului și soluționarea parțială a pretențiilor, instanța a pornit în mod rezonabil de la faptul că angajatorul este responsabil pentru dovedirea existenței unui temei legal pentru concediere și respectarea procedurii de concediere stabilite. Angajatorul nu a furnizat nici dovezi că sistemul B2B ar conține informații confidențiale, nici dovezi că reclamantul a difuzat date care constituie un secret comercial.

Desigur, multe companii nu își pot dovedi cazul în instanță, deoarece cadrul de reglementare nu conține o listă specifică de documente care pot confirma pierderile asociate cu dezvăluirea ilegală de informații confidențiale. În plus, este foarte dificil de evaluat cu precizie componenta materială, de exemplu, scurgeri de informații despre contrapărți sau indicatori financiari, precum și chiar faptul dezvăluirii. La urma urmei, dezvăluirea poate fi efectuată atât în ​​scris, cât și oral. În acest sens, multe companii sunt nevoite să folosească astfel de metode de pedepsire a angajaților neglijenți ca măsuri disciplinare.

Cu toate acestea, uneori companiile preferă să nu-și spele lenjeria murdară în public și să se despartă de astfel de angajați într-un mod amiabil. În astfel de situații, este de preferat să se oficializeze concedierea prin acordul părților, prevăzută la art. 78 din Codul Muncii al Federației Ruse. Unul dintre avantajele semnificative este că este aproape imposibil să contestați o astfel de concediere, deoarece există un acord reciproc al părților.

În concluzie, trebuie menționat că integritatea secretelor comerciale, protecția intereselor organizației și posibilitatea restabilirii justiției în instanță depind de cât de clar definește compania lista de informații confidențiale, precum și de procedura de protecție a acestora. .

Apendice

Exemplu lista datelor confidențiale Lista informațiilor clasificate drept informații confidențiale (proprietate) în biroul central al Agenției Federale pentru Transport Feroviar și al întreprinderilor și instituțiilor sale subordonate, aprobată. Prin ordinul Agenției Federale pentru Transport Feroviar din 24 ianuarie 2011 N 18

N p/p	Informații clasificate drept informații confidențiale (proprietate).
I. Informații despre activitățile de management al industriei
1	Materiale selectate ale reuniunilor Agenției Federale de Căi Ferate transport (denumit în continuare - Roszheldor) și informațiile conținute în acesta, restricție de acces la care se stabilește prin decizia ședinței PDTK Roszheldor
2	Informații (informații) pregătite de Roszheldor pentru incoming din autorităţi publice, întreprinderi, instituţii şi organizațiilor, indiferent de forma și forma organizatorică și juridică proprietate marcată „Pentru uz oficial”, „Comercial secret "," Confidențial "și altele în partea care nu conține informații, constituind un secret de stat
3	Informații care conțin indicatori ai ordinului de apărare a statului în parte care nu conține informații care constituie secret de stat
4	Informații conținute în materialele auditului serviciului (investigație), înainte de aprobarea actului (încheierii) de verificare, și de asemenea dacă informaţiile obţinute în urma verificării (investigație), poate fi folosit în viitor pentru acțiune ilegală (daune)
5	Informații despre organizarea muncii, despre măsuri specifice sau efectuate măsuri menite să asigure securitatea informaţiei în implementarea cooperării internaționale cu participarea reprezentanți ai Roszheldor, precum și cei cuprinsi în pregătire sau documente de raportare (formulare) asupra întâlnirii
II. Informații despre activități administrative și economice
6	Informații despre datele personale ale angajatului Roszheldor, conținute în dosarul personal al salariatului, cu excepția cazurilor prevăzute legislația Federației Ruse
7	Informații obținute atunci când un cetățean este admis în stat serviciu public necesar pentru înregistrarea admiterii la secrete de stat
8	Informații despre conștientizarea angajatului cu informații constitutive secret de stat
9	Procesele-verbale ale ședințelor comisiilor de concurs pentru desfășurarea concursurilor pt ocuparea posturilor vacante din functia publica
10	Acte de inspecţii ale activităţilor direcţiilor teritoriale şi organizatii subordonate
11	Informații despre tabloul de personal al Roszheldor
12	Informații despre amplasarea unităților structurale din clădire
13	Procesele-verbale ale ședințelor comisiei pentru locuințe
14	Procesele-verbale ale ședințelor comisiei de licitație pentru desfășurare examen de calificare și certificare
III. Informații despre regimul de secretizare, pregătire de mobilizare, apărare civilă, situații de urgență și securitate a transporturilor
15	Acte de inspecții ale controlului accesului la administrativ clădirea Roszheldor
16	Informații privind rezultatele evaluării vulnerabilității instalațiilor de transport infrastructură și vehicule, altele decât cele furnizate a căror securitate este realizată exclusiv de federal autoritatile executive
17	Informații conținute în planurile de securitate a transporturilor infrastructura de transport si vehicul
18	Informații care reprezintă resursele informaționale ale statului unificat sistem informatic pentru asigurarea securității transporturilor, întocmit de Roszheldor, cu excepția extraselor din registru obiecte clasificate ale infrastructurii de transport și transportului fonduri
IV. Informații privind protecția datelor
19	Informații despre organizarea prelucrării informațiilor de serviciu asupra mijloacelor tehnologia informatică a lui Roszheldor
20	Informații care dezvăluie organizația, starea de securitate a informațiilor sau purtători de informații sau proces de informare
21	Informații despre metode, mijloace sau eficacitate (starea protecției) informații confidențiale în informații automatizate sisteme, facilitati informatice, altele tehnice mijloace
22	Informații generalizate conținute în schema de calcul locală rețelele de Roszheldor, indicând organizațional și tehnologic parametrii sau caracteristicile tehnice și locațiile acestuia componente critice, noduri informaționale (definite la sistem)
23	Informații despre activități specifice în curs și (sau) planificate pentru securitatea informatiei informatiilor confidentiale
V. Alte informații
24	Informații despre organizarea, starea sau locația sistemelor de inginerie supraveghere video, alarmă de incendiu sau efracție a clădirii Roszheldor
25	Informații care dezvăluie conținutul planurilor și măsurilor specifice pentru protecția clădirii Roszheldor, incinta în care se efectuează lucrările, materialele sunt depozitate, negocieri confidențiale sunt în curs
26	Date de supraveghere video de securitate, repararea sistemului de securitate al spațiilor, sistem electronic de trecere a clădirii

Confidențialitate

Confidențialitate.(ing. încredere- încredere) - necesitatea de a preveni scurgerea (dezvăluirea) oricărei informații.

În tradiția anglo-americană, există două tipuri principale de confidențialitate: voluntară (confidențialitate) și forțată (secret). (Vezi Edward Shiels - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee), corporație, agenție guvernamentală, organizație publică sau politică. Deși confidențialitatea și secretul sunt similare ca înțeles, în practică, de obicei, se contrazic reciproc : secretul crescut duce la încălcarea și scăderea vieții private.În statele totalitare și autoritare, confidențialitatea înseamnă de obicei doar secret.

Definiții

Confidențialitate informație - principiul auditului, care constă în faptul că auditorii sunt obligați să asigure siguranța documentelor primite sau întocmite de aceștia în cursul activităților de audit și nu au dreptul să transfere aceste documente sau copiile acestora unor terți sau să dezvăluie verbal informațiile conținute în acestea fără acordul proprietarului entității economice, cu excepția cazurilor prevăzute de actele legislative.

Confidențialitate informație - o cerință obligatorie pentru o persoană care are acces la anumite informații să nu transfere astfel de informații către terți fără acordul proprietarului acesteia.

Informații confidențiale- informații, la care accesul este limitat în conformitate cu legislația Federației Ruse și reprezintă secrete comerciale, oficiale sau personale protejate de proprietarul acesteia.

Secret de serviciu- informațiile confidențiale protejate de lege, care au devenit cunoscute în organele de stat și organele autoguvernamentale locale numai din motive legale și în virtutea îndeplinirii atribuțiilor lor oficiale de către reprezentanții acestora, precum și informații oficiale despre activitățile organelor de stat; accesul la care este limitat de legea federală sau din cauza necesității oficiale. Nu există o definiție clară a conceptului de „secret oficial” în legislația actuală a Federației Ruse. Secretele oficiale sunt unul dintre obiectele drepturilor civile conform legislației civile a Federației Ruse. Modul de protecție a secretelor oficiale este în general similar cu modul de protecție a secretelor comerciale. Într-o serie de cazuri, legea prevede răspunderea penală pentru dezvăluirea secretelor oficiale (de exemplu, pentru divulgarea secretului adopției sau pentru divulgarea de informații care constituie secrete comerciale, fiscale sau bancare de către o persoană căreia astfel de informații au fost cunoscute în timpul serviciului). ).

Secret de serviciu- informatii cu acces limitat, cu exceptia informatiilor clasificate ca secrete de stat si a datelor cu caracter personal, continute in resursele informatice de stat (municipale), acumulate pe cheltuiala bugetului de stat (municipal) si care sunt in proprietatea statului, protectia dintre care se realizează în interesul statului.

Protejarea confidențialității este una dintre cele trei sarcini ale securității informațiilor (împreună cu protejarea integrității și disponibilității informațiilor).

Relevanța confidențialității

De la începutul utilizării tehnologiei informatice în toate sferele activității umane, au apărut multe probleme legate de protecția confidențialității. Acest lucru se datorează în principal procesării documentelor folosind tehnologia computerizată. Multe măsuri administrative pentru protejarea vieții private a persoanelor și organizațiilor și-au pierdut puterea în legătură cu tranziția fluxului de documente către un mediu complet nou.

La primirea scrisorilor personale, la încheierea contractelor, în timpul corespondenței de afaceri, în timpul convorbirilor telefonice cu cunoscuți și străini, o persoană a folosit diverse mijloace de autentificare. Scrisorile personale erau trimise cu indicarea adresei poștale existente sau aveau ștampila exact oficiilor poștale unde au fost procesate astfel de scrisori. La încheierea contractelor se foloseau formulare, produse la tipografii, pe care, folosind mașini de scris cu numere de serie unice, se tipări textul, care apoi era semnat de un funcționar și certificat cu sigiliul organizației. Când vorbea la telefon, se știa în mod sigur că conversația era purtată cu persoana a cărei voce era cunoscută anterior. Multe sute de măsuri administrative au fost luate pentru a proteja confidențialitatea comunicațiilor umane.

Multe s-au schimbat odată cu introducerea tehnologiilor informatice în viața umană. Când se folosește, de exemplu, e-mailul, a devenit posibil să se specifice o adresă de retur inexistentă sau să simuleze primirea unei scrisori de la o persoană cunoscută. În comunicarea de zi cu zi prin internet, multe dintre semnele care identifică cutare sau cutare persoană în viața de zi cu zi (sex, vârstă, grad de educație) au încetat să mai fie astfel. A apărut așa-numita „realitate virtuală”.

Este imposibil să rezolvi rapid și eficient problemele asociate cu protecția confidențialității în sistemele informatice. Era nevoie de o abordare integrată pentru rezolvarea acestor probleme. Această abordare ar trebui să implice utilizarea măsurilor organizatorice și legale, precum și a firmware-ului, pentru a asigura protecția confidențialității, integrității și disponibilității.

Astăzi, organizațiile au un set de norme pentru a asigura manipularea corectă a informațiilor confidențiale. Șeful organizației semnează o listă de informații confidențiale. În acordul semnat de angajat și angajator, există o clauză care vorbește despre responsabilitatea pentru munca incorectă cu informații confidențiale, drept urmare, dacă nu sunt respectate regulile de lucru cu aceste informații prevăzute în acord, există un temei legal pentru atragerea acestor angajați la răspundere administrativă sau penală... Și, de asemenea, în organizații există un set de măsuri care vizează asigurarea protecției informațiilor confidențiale. De exemplu, astfel de măsuri pot fi: selectarea personalului calificat, prognozarea posibilelor amenințări și luarea de măsuri pentru prevenirea acestora, utilizarea diferitelor niveluri de acces a personalului la informații cu diferite secrete.

Întrucât este imposibil să studiem acest domeniu în detaliu într-un timp scurt, a fost introdusă o direcție de pregătire a specialiștilor în domeniul securității informaționale.

Cu ajutorul instrumentelor software și hardware de securitate a informațiilor furnizate de diverși producători, este posibil să se realizeze indicatori de eficiență mai mari dacă aceștia sunt aplicați într-o manieră complexă. Astfel de mijloace includ echipamente pentru protecția criptografică a informațiilor de vorbire, programe pentru protecția criptografică a textului sau a altor informații, programe pentru asigurarea autentificării mesajelor poștale prin intermediul unei semnături digitale electronice, programe de protecție antivirus, programe de protecție împotriva intruziunilor în rețea, detecție a intruziunilor. programe, programe pentru ascunderea adreselor inverse ale expeditorului de e-mail.

O astfel de listă de software și hardware, de regulă, este elaborată de specialiști în domeniul securității informațiilor, luând în considerare mulți factori, de exemplu, caracteristicile unui sistem automatizat, numărul de utilizatori din acest sistem, diferențele în nivelul de acces al acestor utilizatori etc.

Confidențialitate în legislația Federației Ruse

Note (editare)

Literatură

• Un mare dicționar juridic. Ed. a 3-a, Add. și revizuită / Ed. prof. A. Ya. Sukhareva. - M .: INFRA-M, 2007. - VI, 858 s - (B-ka a dicționarelor „INFRA-M”)

Legături

• Informații confidențiale în legislația rusă

Vezi si

Fundația Wikimedia. 2010.

Sinonime:

Antonime:

Vedeți ce înseamnă „Confidențialitate” în alte dicționare:

Secret, secret, confidențialitate, secret. Furnică. openness, glasnost Dicționar de sinonime rusești. confidențialitate vezi confidențialitate Dicționar de sinonime ale limbii ruse. Ghid practic. M.: Limba rusă... Dicţionar de sinonime

confidențialitatea- Proprietatea informațiilor, care constă în faptul că nu poate fi disponibilă spre revizuire de către utilizatori și/sau procese neautorizate. Păstrarea informațiilor critice secrete; accesul la acesta este limitat la un cerc restrâns de utilizatori (persoane fizice ... ... Ghidul tehnic al traducătorului

CONFIDENT IAL [de], oh, oh; in, in (carte). Secret, confidențial. K. conversaţie. Raportați confidențial (adv.). Dicționarul explicativ al lui Ozhegov. SI. Ozhegov, N.Yu. Şvedova. 1949 1992... Dicționarul explicativ al lui Ozhegov

Confidențialitate- O cerință etică aplicabilă atât în ​​cercetarea experimentală, cât și în psihoterapie. În conformitate cu această cerință, participanții sau pacienții au dreptul de a se asigura că informațiile colectate în timpul unei ședințe de examinare sau de tratament nu ... ... Mare enciclopedie psihologică

confidențialitatea- 2.6 confidențialitate: proprietatea informațiilor de a fi inaccesibilă și închisă pentru o persoană, entitate sau proces neautorizat. [ISO / IEC 7498-2] Sursa... Dicționar-carte de referință de termeni ai documentației normative și tehnice

confidențialitatea- ▲ acces limitat, la (subiect), confidențialitatea informațiilor. confidențial care nu face obiectul unei ample publicitate; accesibil unui cerc restrâns de persoane (# conversație). confidenţial. confidențialitatea. confidențial (# ton). confidenţial. încredere (#… … Dicționar ideologic al limbii ruse

Informații confidențiale - informații, la care accesul este limitat în conformitate cu legislația țării și nivelul de acces la resursa informațională. Informațiile confidențiale devin disponibile sau dezvăluite numai persoanelor, obiectelor sau proceselor autorizate.

Legislația rusă distinge mai multe tipuri de informații confidențiale - secrete de stat, secrete oficiale, secrete comerciale, secrete medicale (medicale), secrete notariale, secrete de audit, secrete avocaților, secrete bancare, secrete fiscale, secrete personale și de familie, secrete de adopție, confidențialitatea judecătorilor. ' deliberări, secretul cercetării și procedurilor judiciare, secretul asigurării etc. Potrivit lui V. A. Kolomiets, în prezent în actele juridice normative de diferite niveluri sunt menționate aproximativ 50 de tipuri de informații confidențiale.

Valoarea informațiilor în viața și munca fiecărei persoane moderne este binecunoscută. De asemenea, se știe cât de important este rolul informației pentru rezolvarea cu succes a unei probleme specifice, pentru atingerea scopurilor stabilite. Găsirea răspunsului exact la întrebarea de rezolvat, evitarea greșelilor în luarea deciziilor este mai bine gestionată de cineva care este clar orientat în spațiul informațional, care, dacă este necesar, are posibilitatea de a primi cu ușurință și în timp util informațiile de interes.

44. Formarea și definirea modernă a conceptului de „secret de stat”

Conceptul de secret de stat este unul dintre cele mai importante în sistemul de protejare a secretelor de stat din orice țară. Politica conducerii țării în domeniul ocrotirii secretelor depinde de definirea corectă a acesteia.

Definiția acestui concept este dată în Legea Federației Ruse „Cu privire la secretele de stat”: „Secretele de stat sunt informații protejate de stat în domeniul activităților sale militare, externe, economice, de informații, contrainformații și de căutare operațională, a căror răspândire poate dăuna securității Federației Ruse”.

Această definiție indică categoriile de informații care sunt protejate de stat și că difuzarea acestor informații poate prejudicia interesele securității statului.

Modelul de determinare a secretelor de stat include de obicei următoarele caracteristici esențiale:

1. Subiecte, fenomene, evenimente, domenii de activitate care constituie secret de stat.

2. Adversarul (prezent sau potențial), față de care se realizează în principal protecția secretelor de stat.

3. Indicarea în lege, listă, instrucțiuni a informațiilor care constituie secret de stat.

4. Pagubele cauzate apărării, politicii externe, economiei, progresului științific și tehnologic al țării etc. în cazul dezvăluirii (scurgerii) de informaţii care constituie secret de stat.

Spre comparație, iată scurtele definiții ale conceptului de secrete de stat date de experți din alte țări.

Codul Penal al Republicii Federale Germania prevede că un secret de stat reprezintă fapte, obiecte sau cunoștințe care sunt accesibile doar unui cerc restrâns de persoane și trebuie păstrate secrete față de un guvern străin pentru a preveni pericolul de deteriorare gravă a securitatea externă a Republicii Federale Germania.

Ordinul executiv al președintelui Statelor Unite din 2 aprilie 1982 prevede că informațiile privind securitatea națională includ anumite informații privind apărarea națională și afacerile internaționale care sunt protejate împotriva dezvăluirii neautorizate.

În unele țări, acest concept este exprimat în alți termeni, de exemplu, în Japonia - „Secretul apărării”.

Ce informații pot fi clasificate drept secret de stat sunt definite în Decretul președintelui Federației Ruse din 30 noiembrie 1995 nr. 1203. Acestea includ informații (sunt indicate doar secțiuni): în domeniul militar; privind politica externă și activitatea economică externă; în domeniul economiei, științei și tehnologiei; în domeniul activităților de informații, contrainformații și căutare operațională.

Informațiile nu pot fi clasificate drept secret de stat:

Dacă scurgerea acesteia (dezvăluire etc.) nu atrage prejudicii securității naționale a țării;

Cu încălcarea legilor aplicabile;

Dacă reținerea de informații ar încălca drepturile constituționale și legislative ale cetățenilor;

Pentru a ascunde activități care dăunează mediului natural și amenință viața și sănătatea cetățenilor. Această listă este cuprinsă mai detaliat în art. 7 din Legea RF „Cu privire la secretele de stat”.

Un semn important al secretelor de stat este gradul de secretizare a informațiilor care i se atribuie. În țara noastră a fost adoptat următorul sistem de desemnare a informațiilor constitutive de secret de stat: „de importanță deosebită”, „secret”, „secret”. Aceste ștampile sunt aplicate pe documente sau produse (ambalajul acestora sau documentele însoțitoare). Informațiile conținute sub aceste ștampile sunt secrete de stat.

Care sunt criteriile folosite pentru clasificarea informațiilor, în primul rând, ca secret de stat, și în al doilea rând, într-un anumit grad de secretizare?

Răspunsul la această întrebare este dat de Regulile de clasificare a informațiilor care constituie secret de stat la diferite grade de secret, specificate în Decretul Guvernului Federației Ruse nr. 870 din 4 septembrie 1995.

Informațiile de o importanță deosebită ar trebui să includă informații a căror difuzare poate dăuna intereselor Federației Ruse în unul sau mai multe domenii.

Informațiile secrete ar trebui să includă informații, a căror difuzare poate dăuna intereselor ministerului (departamentului) sau sectoarelor economiei ruse într-unul sau mai multe domenii.

Toate celelalte informații care constituie secret de stat ar trebui clasificate ca informații clasificate. Prejudiciul poate fi adus intereselor întreprinderii, instituției sau organizației.

Din aceste definiții, se poate observa un grad relativ ridicat de incertitudine a trăsăturilor care caracterizează unul sau altul grad de secretizare a informațiilor constituind un secret de stat.

S-au încercat să echivaleze gradul de secretizare a informațiilor cu valoarea prejudiciului (de exemplu, în termeni monetari) care poate apărea în cazul unei scurgeri de informații. Cu toate acestea, ei nu au primit nicio acceptare sau aprobare pe scară largă.

Nu există claritate în această problemă și în Decretul președintelui SUA „Informații privind securitatea națională”. Spune în mod specific:

1. Eticheta „top secret” ar trebui utilizată în legătură cu informațiile a căror dezvăluire neautorizată ar putea cauza, în limite rezonabile, daune extrem de grave securității naționale.

2. Eticheta „secret” ar trebui utilizată în legătură cu informațiile a căror dezvăluire neautorizată ar putea cauza, în limite rezonabile, daune grave securității naționale.

3. Ștampila „confidențial” este aceeași, doar cuantumul prejudiciului este indicat ca „prejudiciu adus securității naționale”.

După cum se poate observa din cele de mai sus, diferența dintre cele trei niveluri de secret depinde de valoarea prejudiciului, care este desemnat ca „extrem de grav”, „grav” sau pur și simplu „daune”.

Aceste semne calitative - criteriile pentru gradul de secretizare a informațiilor care conțin secrete de stat, lasă întotdeauna loc introducerii voluntare sau involuntare a unui factor subiectiv în procesul de clasificare a informațiilor.

Conceptul, tipurile și valoarea prejudiciului nu au fost încă suficient dezvoltate și, aparent, vor fi diferite pentru fiecare obiect specific de protecție - conținutul informațiilor care constituie un secret de stat, esența faptelor, evenimentelor și fenomenelor realității reflectate. în ea. În funcție de tip, conținut și

valoarea prejudiciului poate fi împărțită în grupe de anumite tipuri de daune în cazul scurgerii (sau posibilei scurgeri) de informații constituind secret de stat.

Pagubele politice pot apărea odată cu scurgerea de informații de natură politică și de politică externă, despre activitățile de informații ale serviciilor speciale ale statului etc. unele zone, deteriorarea relațiilor cu orice țară sau grup de țări etc.

Prejudiciul economic poate apărea odată cu scurgerea de informații de orice conținut: politic, economic, militar, științific și tehnic etc. Prejudiciul economic poate fi exprimat în primul rând în termeni monetari. Pierderile economice din scurgerea de informații pot fi directe și indirecte.

Astfel, pierderile directe pot apărea ca urmare a scurgerii de informații secrete despre sistemele de armament, apărarea țării, care ca urmare și-au pierdut sau și-au pierdut practic eficacitatea și necesită costuri mari pentru înlocuirea sau reajustarea lor. De exemplu, A. Tolkachev, un agent CIA al SUA, un inginer de frunte la Institutul de Cercetare al Industriei de Inginerie Radio, le-a oferit americanilor o mulțime de informații importante și valoroase. Americanii au estimat valoarea informațiilor primite de la el la aproximativ șase miliarde de dolari.

Pierderile indirecte se exprimă cel mai adesea sub formă de profituri pierdute: întreruperea negocierilor cu firmele străine, asupra tranzacțiilor profitabile cu care a existat anterior un acord; pierderea priorității în cercetarea științifică, în urma căreia rivalul și-a dus mai repede cercetarea la bun sfârșit și a brevetat-o ​​etc.

Prejudiciul moral, de regulă, de natură non-proprietă are loc din scurgerea de informații care a provocat sau a inițiat o campanie ilegală de propagandă de stat care a subminat reputația țării, ceea ce a dus la expulzarea din unele state a diplomaților noștri, ofițerilor de informații care operau sub acoperire diplomatică. , etc.

Informațiile confidențiale din orice domeniu sunt protejate cu grijă de lege. Prin urmare, datoria angajaților care au acces la el este să protejeze datele și să nu permită ca acestea să fie făcute publice. Există o responsabilitate diferită pentru dezvăluirea informațiilor confidențiale. O persoană poate fi chiar condamnată în temeiul unui articol din Codul penal dacă a comis o încălcare gravă. Prin urmare, este în interesul angajaților înșiși, pentru ca, din vina lor, informațiile să nu se scurgă către terți.

Ce sunt informațiile confidențiale

Informațiile confidențiale sunt informații personale cu acces limitat. Există diferite tipuri de astfel de date, dar toate sunt protejate de lege. Angajații care au acces la acestea sunt obligați să păstreze secretul și să nu permită publicitatea. Mai mult, ei înșiși nu ar trebui să dezvăluie astfel de informații, nici măcar în cercul familiei.

Tipuri de informații confidențiale:

1. Datele personale ale unei persoane fizice. Acestea includ tot ceea ce este legat de evenimente și fapte din viața privată.
2. Secret de serviciu. Numai funcționarii guvernamentali care dețin o anumită funcție au acces la acesta. Acestea pot include secrete fiscale, informații despre adopție etc.
3. Secret profesional. Este protejat de Constituția Rusiei și este cunoscut despre el unui număr limitat de persoane care își îndeplinesc datoria profesională.
4. Dosarele personale ale celor condamnați pentru infracțiuni.
5. Secret comercial. Aceste informații trebuie stocate pentru a proteja persoana juridică de concurență sau pentru a obține beneficii.
6. Informații despre hotărârile judecătorești și executarea acestora în cadrul procedurilor.
7. Secretul anchetei și al procedurilor judiciare. Acestea pot include informații despre victime și martori care au nevoie de protecție de stat. De asemenea, secrete sunt date despre judecători și oamenii legii.

Aceste informații sunt confidențiale și nu fac obiectul dezvăluirii. Este necesar să se păstreze confidențialitatea acestor informații pentru a proteja interesele persoanelor fizice și juridice. Nedezvăluirea este o necesitate, deoarece publicitatea poate avea consecințe grave. De exemplu, la falimentul unei companii, condamnarea publică a unei persoane, pericolul care a apărut pentru martori și victime. Dacă un angajat permite difuzarea de informații, atunci are dreptul să-l pedepsească în funcție de gravitatea încălcării.

Acord de confidentialitate

Pentru a permite unui angajat să acceseze date clasificate, va trebui să semnați un acord de nedivulgare. Pentru ca pe baza acestui document se va putea face apel la responsabilitate in cazul in care angajatul nu isi respecta obligatiile privind siguranta datelor. Nu există un model specific pentru un acord, dar toate punctele importante, cum ar fi obligațiile părților și responsabilitatea pentru dezvăluire, trebuie să fie prezente.

Dar, de asemenea, trebuie să înțelegeți că fără el, nu puteți avea acces la informații clasificate. În orice caz, merită să discutăm personal despre situația actuală cu autoritățile pentru a rezolva problema cu contractul.

Cum se dovedește dezvăluirea informațiilor personale

Pedeapsa, de exemplu, o amendă în temeiul unui acord de nedezvăluire, va fi aplicată numai dacă este posibil să se confirme faptul încălcării. Orice dovadă va fi potrivită pentru asta. De regulă, nu este dificil să le obțineți dacă a fost posibil să identificați un angajat fără scrupule.

Cu toate acestea, în primul rând, este necesar să se confirme faptul că datele secrete au existat cu adevărat și o anumită persoană a avut acces la ele. Pentru a face acest lucru, trebuie să utilizați documente, de exemplu, un acord de nedivulgare. Vor fi necesare probe în orice caz, chiar și pentru acțiuni disciplinare. Mai mult decât atât, vor fi necesare instanței, deoarece pentru urmărirea penală în temeiul articolului sunt necesare motive temeinice și probe.

Ce responsabilitate este asigurată

Angajatul trebuie să știe ce informații vor fi clasificate și ce vor fi disponibile publicului. Prin urmare, nu poate dezvălui date confidențiale doar pentru motivul că nu știa de accesul limitat la acestea. În cele mai multe cazuri, lucrătorii vor elibera în mod deliberat informații care vor fi protejate. Acest lucru se face din motive personale sau în scopuri egoiste.

Pedeapsa depinde de modul în care se va manifesta încălcarea. Luați în considerare tipurile în funcție de responsabilitatea la care poate fi adus vinovat.

Ce pedeapsă poate fi:

1. Pedeapsa disciplinara. El este numit de conducerea organizației în urma unei verificări și investigații oficiale. Un angajat poate fi mustrat, mustrat sau chiar concediat. Soluția exactă depinde de situație.
2. Responsabilitate administrativă. Poate apărea în timpul dezvăluirii datelor cu caracter personal, precum și cu încălcarea protecției informațiilor, pe lângă secretele de stat. O persoană vinovată poate fi pedepsită cu amendă de până la 10.000 de ruble.
3. Răspunderea penală. Corpurile delicte sunt destul de diverse și sunt determinate individual. Dacă încălcarea este de natură penală, atunci ei pot fi chiar privati ​​de libertate.
4. Răspundere civilă. Victima poate recupera prejudiciul moral.

În Ucraina, există aproximativ aceleași reguli în ceea ce privește pedeapsa pentru divulgarea informațiilor clasificate. Răspunderea poate fi evitată doar în anumite cazuri.

Descriere bibliografica:

A.K. Nesterov Securitatea informațiilor [Resursă electronică] // Site de enciclopedie educațională

Concomitent cu dezvoltarea tehnologiilor informaționale și creșterea importanței resurselor informaționale pentru organizații, crește și numărul amenințărilor la adresa securității informațiilor acestora, precum și posibilele daune din încălcările acestora. Există o necesitate obiectivă de a asigura securitatea informațională a întreprinderii. În acest sens, progresul este posibil doar în contextul prevenirii direcționate a amenințărilor la securitatea informațiilor.

Instrumente de securitate a informațiilor

Securitatea informației este asigurată prin două tipuri de instrumente:

• software și hardware
• canale de comunicare sigure

Mijloacele software și hardware de asigurare a securității informațiilor în condițiile moderne de dezvoltare a tehnologiilor informaționale sunt cele mai frecvente în activitatea organizațiilor interne și străine. Să aruncăm o privire mai atentă la principalele instrumente de securitate a informațiilor software și hardware.

Firmware-ul de protecție împotriva accesului neautorizat include măsuri de identificare, autentificare și control al accesului la sistemul informațional.

Identificarea este atribuirea unor identificatori unici pentru a accesa subiectele.

Acestea includ etichete RFID, tehnologii biometrice, carduri magnetice, chei magnetice universale, autentificare etc.

Autentificare - verificarea ca subiectul de acces aparține identificatorului prezentat și confirmarea autenticității acestuia.

Procedurile de autentificare includ parole, coduri PIN, carduri inteligente, chei USB, semnături digitale, chei de sesiune etc. Partea procedurală a mijloacelor de identificare și autentificare este interconectată și, de fapt, reprezintă baza de bază a întregului software și hardware pentru asigurarea securității informațiilor, întrucât toate celelalte servicii sunt concepute pentru a deservi subiecte specifice, corect recunoscute de sistemul informațional. În general, identificarea permite subiectului să se identifice pentru sistemul informațional, iar cu ajutorul autentificării, sistemul informațional confirmă că subiectul este cu adevărat cine pretinde a fi. Pe baza parcurgerii acestei operațiuni se efectuează o operațiune de asigurare a accesului la sistemul informațional. Procedurile de control al accesului permit entităților autorizate să efectueze acțiuni permise de reglementări, iar sistemul informațional să controleze aceste acțiuni pentru corectitudinea și corectitudinea rezultatului. Controlul accesului permite sistemului să ascundă de utilizatori datele la care aceștia nu au acces.

Următorul mijloc de protecție software și hardware este înregistrarea și auditarea informațiilor.

Înregistrarea include colectarea, acumularea și stocarea informațiilor despre evenimente, acțiuni, rezultate care au avut loc în timpul funcționării sistemului informațional, utilizatori individuali, procese și toate programele și hardware-ul care alcătuiesc sistemul informațional al întreprinderii.

Deoarece fiecare componentă a sistemului informațional are un set predeterminat de evenimente posibile în conformitate cu clasificatorii programați, evenimentele, acțiunile și rezultatele sunt împărțite în:

• extern, cauzat de acțiunile altor componente,
• intern, cauzat de acțiunile componentei în sine,
• partea clientului, cauzată de acțiunile utilizatorilor și ale administratorilor.

Auditul informațional constă în efectuarea analizei operaționale în timp real sau într-o perioadă dată.

Pe baza rezultatelor analizei, fie se generează un raport cu privire la evenimentele care au avut loc, fie se inițiază un răspuns automat la o situație de urgență.

Implementarea înregistrării și auditării rezolvă următoarele sarcini:

• ținerea la răspundere a utilizatorilor și a administratorilor;
• oferirea capacității de a reconstrui succesiunea evenimentelor;
• detectarea încercărilor de încălcare a securității informațiilor;
• furnizarea de informații pentru identificarea și analiza problemelor.

Protecția informațiilor este adesea imposibilă fără utilizarea mijloacelor criptografice. Acestea sunt folosite pentru a asigura funcționarea serviciilor de criptare, control al integrității și autentificare, atunci când mijloacele de autentificare sunt stocate de utilizator în formă criptată. Există două metode principale de criptare: simetrică și asimetrică.

Controlul integrității vă permite să stabiliți autenticitatea și identitatea unui obiect, care este o matrice de date, porțiuni individuale de date, o sursă de date, precum și să vă asigurați că este imposibil să marcați o acțiune efectuată în sistem cu o matrice De informații. Implementarea controlului integrității se bazează pe tehnologii de transformare a datelor folosind criptare și certificate digitale.

Un alt aspect important este utilizarea screening-ului, tehnologie care permite, delimitând accesul subiecților la resursele informaționale, controlul tuturor fluxurilor de informații dintre sistemul informațional al întreprinderii și obiectele externe, matricele de date, subiecții și contrasubiecții. Controlul fluxului constă în filtrarea acestora și, dacă este necesar, convertirea informațiilor transmise.

Sarcina de a proteja este de a proteja informațiile interne de factori externi potențial ostili și de subiecții. Principala formă de implementare a scuturilor sunt firewall-urile sau firewall-urile, de diverse tipuri și arhitecturi.

Întrucât unul dintre semnele securității informației este disponibilitatea resurselor informaționale, asigurarea unui nivel ridicat de disponibilitate este o direcție importantă în implementarea măsurilor software și hardware. În special, sunt împărțite două domenii: asigurarea toleranței la erori, i.e. neutralizarea defecțiunilor sistemului, capacitatea de a opera atunci când apar erori și asigurarea recuperării sigure și rapide din defecțiuni, de ex. funcționalitatea sistemului.

Principala cerință pentru sistemele informaționale este ca acestea să funcționeze întotdeauna cu o anumită eficiență, timp minim de indisponibilitate și viteză de răspuns.

În conformitate cu aceasta, disponibilitatea resurselor informaționale este asigurată de:

• utilizarea unei arhitecturi structurale, ceea ce înseamnă că modulele individuale pot fi dezactivate, dacă este necesar, sau înlocuite rapid fără deteriorarea altor elemente ale sistemului informațional;
• asigurarea tolerantei la erori datorata: folosirii elementelor autonome ale infrastructurii suport, introducerii de capacitate in exces in configurarea software-ului si hardware-ului, redundanta hardware, replicarea resurselor informatice in cadrul sistemului, backup datelor etc.
• asigurarea funcționalității prin reducerea timpului de diagnosticare și eliminarea defecțiunilor și a consecințelor acestora.

Canalele de comunicare sigure sunt un alt tip de instrumente de securitate a informațiilor.

Funcționarea sistemelor informaționale este inevitabil asociată cu transferul de date; prin urmare, este necesar și ca întreprinderile să asigure protecția resurselor informaționale transferate prin intermediul canalelor de comunicații securizate. Posibilitatea accesului neautorizat la date la transmiterea traficului prin canale de comunicare deschise se datorează disponibilității lor publice. Deoarece „comunicațiile pe toată lungimea lor nu pot fi protejate fizic, este, prin urmare, mai bine să pornim inițial de la asumarea vulnerabilității lor și, în consecință, să oferiți protecție”. Pentru aceasta se folosesc tehnologii de tunelizare, a căror esență este încapsularea datelor, adică. împachetați sau împachetați pachetele de date transmise, inclusiv toate atributele serviciului, în propriile lor plicuri. În consecință, un tunel este o conexiune sigură prin canale de comunicație deschise prin care sunt transmise pachete de date protejate criptografic. Tunnelarea este utilizată pentru a asigura confidențialitatea traficului prin ascunderea informațiilor de serviciu și asigurarea confidențialității și integrității datelor transmise atunci când sunt utilizate împreună cu elementele criptografice ale sistemului informațional. Combinația de tunelare și criptare permite implementarea unui VPN. În acest caz, punctele finale ale tunelurilor care implementează rețele private virtuale sunt firewall-uri care servesc conexiunii organizațiilor la rețele externe.

Firewall-uri ca puncte de implementare a serviciilor de rețele private virtuale

Astfel, tunelul și criptarea sunt transformări suplimentare efectuate în procesul de filtrare a traficului de rețea împreună cu traducerea adresei. Capetele tunelurilor, pe lângă firewall-urile corporative, pot fi computere personale și mobile ale angajaților, mai exact firewall-urile și firewall-urile lor personale. Această abordare asigură funcționarea canalelor de comunicare securizate.

Proceduri de securitate a informațiilor

Procedurile de securitate a informațiilor sunt de obicei diferențiate la nivel administrativ și organizatoric.

• Procedurile administrative includ acțiuni generale întreprinse de conducerea organizației pentru a reglementa toate lucrările, acțiunile, operațiunile din domeniul asigurării și menținerii securității informațiilor, implementate prin alocarea resurselor necesare și monitorizarea eficacității măsurilor luate.
• Nivelul organizatoric reprezinta proceduri pentru asigurarea securitatii informatiilor, inclusiv managementul personalului, protectia fizica, mentinerea operabilitatii infrastructurii hardware si software, eliminarea prompta a breselor de securitate si planificarea lucrarilor de recuperare.

Pe de altă parte, diferențierea procedurilor administrative și organizatorice este lipsită de sens, întrucât procedurile de la un nivel nu pot exista separat de altul, încălcându-se astfel interconectarea protecției nivelului fizic, protecției personale și organizaționale în conceptul de securitate a informațiilor. În practică, deși se asigură securitatea informațiilor unei organizații, procedurile administrative sau organizaționale nu sunt neglijate, de aceea este mai logic să le considerăm ca o abordare integrată, întrucât ambele niveluri afectează nivelurile fizice, organizaționale și personale de protecție a informațiilor.

Baza procedurilor complexe de asigurare a securității informațiilor este politica de securitate.

Politica de securitate a informațiilor

Politica de securitate a informațiilorîntr-o organizație, este un set de decizii documentate luate de conducerea organizației și care vizează protejarea informațiilor și a resurselor asociate.

Din punct de vedere organizatoric și managerial, politica de securitate a informațiilor poate fi un singur document sau întocmită sub forma mai multor documente sau ordine independente, dar în orice caz ar trebui să acopere următoarele aspecte ale protecției sistemului informațional al organizației:

• protecția obiectelor sistemului informațional, a resurselor informaționale și a operațiunilor directe cu acestea;
• protecția tuturor operațiunilor legate de prelucrarea informațiilor în sistem, inclusiv a software-ului de procesare;
• protecția canalelor de comunicație, inclusiv prin cablu, radio, infraroșu, hardware etc.;
• protecția complexului hardware de radiațiile electromagnetice colaterale;
• managementul securității, inclusiv întreținere, upgrade-uri și acțiuni administrative.

Fiecare dintre aspecte ar trebui descris în detaliu și documentat în documentele interne ale organizației. Documentele interne acoperă trei niveluri ale procesului de securitate: superior, mediu și inferior.

Documentele de politică de securitate a informațiilor la nivel înalt reflectă abordarea principală a organizației în ceea ce privește protejarea propriilor informații și conformitatea cu standardele naționale și/sau internaționale. În practică, o organizație are un singur document de nivel superior intitulat „Conceptul de securitate a informațiilor”, „Regulamente privind securitatea informațiilor”, etc. Formal, aceste documente nu au valoare confidențială, distribuția lor nu este limitată, dar pot fi eliberate în ediție pentru uz intern și publicare deschisă.

Documentele de nivel mediu sunt strict confidențiale și se referă la aspecte specifice ale securității informațiilor organizației: instrumente de securitate a informațiilor utilizate, securitatea bazelor de date, comunicații, instrumente criptografice și alte informații și procese economice ale organizației. Documentația este implementată sub forma unor standarde tehnice și organizatorice interne.

Documentele de nivel inferior sunt împărțite în două tipuri: regulamente de lucru și instrucțiuni de utilizare. Reglementările de muncă sunt strict confidențiale și sunt destinate numai persoanelor care, în serviciu, desfășoară activități de administrare a serviciilor individuale de securitate a informațiilor. Instrucțiunile de operare pot fi fie confidențiale, fie publice; sunt destinate personalului organizației și descriu procedura de lucru cu elementele individuale ale sistemului informațional al organizației.

Experiența mondială arată că politica de securitate a informațiilor este întotdeauna documentată doar în companiile mari care au un sistem informatic dezvoltat care impun cerințe sporite pentru securitatea informațiilor, întreprinderile mijlocii au cel mai adesea doar o politică de securitate a informațiilor parțial documentată, organizațiile mici în marea majoritate o fac. nu-i pasă de documentarea politicii de securitate. Indiferent dacă formatul de documentare este holistic sau distribuit, modul de securitate este aspectul de bază.

Există două abordări diferite care stau la baza politica de securitate a informatiilor:

1. „Orice lucru care nu este interzis este permis”.
2. „Este interzis tot ceea ce nu este permis”.

Defectul fundamental al primei abordări este că în practică este imposibil să se prevadă toate cazurile periculoase și să le interzică. Nu există nicio îndoială că ar trebui folosită doar a doua abordare.

Nivel organizațional de securitate a informațiilor

Din punct de vedere al protecției informațiilor, procedurile organizatorice de asigurare a securității informațiilor sunt prezentate ca „reglementarea activităților de producție și a relației dintre artiștii executanți pe o bază legală care exclude sau complică semnificativ achiziția ilegală de informații confidențiale și manifestarea amenințări externe.”

Măsurile de management al personalului care vizează organizarea muncii cu personalul în vederea asigurării securității informațiilor includ separarea sarcinilor și reducerea la minimum a privilegiilor. Segregarea sarcinilor prescrie o distribuție a competențelor și a domeniilor de responsabilitate în care o persoană nu este capabilă să perturbe un proces critic pentru organizație. Acest lucru reduce probabilitatea de eroare și abuz. Minimizarea privilegiilor prescrie acordarea utilizatorilor doar a nivelului de acces care corespunde nevoii de a-și îndeplini atribuțiile oficiale. Acest lucru reduce daunele cauzate de abateri accidentale sau deliberate.

Protecția fizică înseamnă elaborarea și adoptarea măsurilor de protecție directă a clădirilor în care se află resursele informaționale ale organizației, a teritoriilor adiacente, a elementelor de infrastructură, a calculatoarelor, a suporturilor de date și a canalelor de comunicații hardware. Aceasta include controlul accesului fizic, protecția împotriva incendiilor, protecția infrastructurii de sprijin, protecția la interceptarea datelor și protecția sistemelor mobile.

Menținerea operabilității infrastructurii software și hardware constă în prevenirea erorilor stocastice care amenință să deterioreze complexul hardware, funcționarea defectuoasă a programelor și pierderea datelor. Principalele direcții în acest aspect sunt furnizarea de suport pentru utilizatori și software, managementul configurației, backup, management media, documentare și lucru preventiv.

Eliminarea promptă a încălcărilor de securitate are trei obiective principale:

1. Localizarea incidentului și reducerea pagubelor produse;
2. Identificarea infractorului;
3. Prevenirea încălcărilor repetate.

În cele din urmă, planificarea remedierii vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți capacitatea de funcționare cel puțin la minimum.

Utilizarea software-ului și a hardware-ului și a canalelor de comunicații securizate ar trebui implementate în organizație pe baza unei abordări integrate a dezvoltării și aprobării tuturor procedurilor administrative și organizaționale de reglementare pentru asigurarea securității informațiilor. În caz contrar, adoptarea anumitor măsuri nu garantează protecția informațiilor și adesea, dimpotrivă, provoacă scurgeri de informații confidențiale, pierderi de date critice, deteriorarea infrastructurii hardware și perturbarea componentelor software ale sistemului informațional al organizației.

Metode de securitate a informațiilor

Pentru întreprinderile moderne este caracteristic un sistem informațional distribuit, care permite luarea în considerare a birourilor și depozitelor distribuite ale companiei, contabilitate financiară și control de gestiune, informații din baza de clienți, luarea în considerare a eșantionului pe indicatori etc. Astfel, setul de date este foarte semnificativ, iar în marea majoritate este vorba de informații care au o importanță prioritară pentru companie din punct de vedere comercial și economic. De altfel, asigurarea confidentialitatii datelor cu valoare comerciala este una dintre sarcinile principale de asigurare a securitatii informatiilor intr-o companie.

Asigurarea securității informațiilor la nivelul întreprinderii ar trebui reglementat de următoarele documente:

1. Reglementări de securitate a informațiilor. Acesta include formularea scopurilor și obiectivelor pentru asigurarea securității informațiilor, o listă de reglementări interne privind instrumentele de securitate a informațiilor și o reglementare privind administrarea sistemului informațional distribuit al companiei. Accesul la regulament este limitat la conducerea organizației și la șeful departamentului de automatizare.
2. Reglementări pentru suportul tehnic de protecție a informațiilor. Documentele sunt confidențiale, accesul este limitat la angajații departamentului de automatizare și ai conducerii superioare.
3. Reglementări pentru administrarea unui sistem distribuit de securitate a informațiilor. Accesul la reglementări este limitat la angajații departamentului de automatizare responsabil cu administrarea sistemului informațional și la conducerea superioară.

În același timp, aceste documente nu trebuie limitate, ci ar trebui elaborate și nivelurile inferioare. În caz contrar, dacă întreprinderea nu are alte documente legate de securitatea informațiilor, atunci acest lucru va indica un grad insuficient de suport administrativ pentru securitatea informațiilor, deoarece nu există documente de nivel inferior, în special instrucțiuni pentru funcționarea elementelor individuale ale sistemul informatic.

Procedurile organizatorice obligatorii includ:

• măsuri de bază pentru diferențierea personalului în funcție de nivelul de acces la resursele informaționale,
• protecția fizică a birourilor companiei împotriva pătrunderii directe și a amenințărilor de distrugere, pierdere sau interceptare a datelor;
• menținerea operabilității infrastructurii hardware și software se organizează sub formă de backup automatizat, verificarea de la distanță a mediilor de stocare, se asigură la cerere suport utilizator și software.

Aceasta ar trebui să includă și măsuri reglementate pentru a răspunde și a elimina cazurile de încălcare a securității informațiilor.

În practică, se observă adesea că întreprinderile nu acordă suficientă atenție acestei probleme. Toate acțiunile în această direcție se desfășoară exclusiv în stare de funcționare, ceea ce mărește timpul de eliminare a cazurilor de încălcări și nu garantează prevenirea încălcărilor repetate ale securității informațiilor. În plus, practica planificării acțiunilor pentru eliminarea consecințelor accidentelor, scurgerilor de informații, pierderii datelor și situațiilor critice este complet absentă. Toate acestea înrăutățesc semnificativ securitatea informațiilor întreprinderii.

La nivel de software și hardware, ar trebui implementat un sistem de securitate a informațiilor pe trei niveluri.

Criterii minime pentru asigurarea securității informațiilor:

1. Modul de control acces:

• este implementată o intrare închisă în sistemul informațional, este imposibilă intrarea în sistem în afara locurilor de muncă verificate;
• accesul cu funcționalitate limitată de pe computerele personale mobile este implementat pentru angajați;
• autorizarea se realizează cu ajutorul autentificărilor și parolelor generate de administratori.

2. Modul pentru criptare și control al integrității:

• se utilizează o metodă de criptare asimetrică pentru datele transmise;
• rețele de date critice sunt stocate în baze de date într-o formă criptată, ceea ce nu permite accesul la acestea chiar dacă sistemul informațional al companiei este piratat;
• controlul integritatii este asigurat printr-o simpla semnatura digitala a tuturor resurselor informatice stocate, procesate sau transmise in cadrul sistemului informatic.

3. Modul de ecranare:

• a fost implementat un sistem de filtre în firewall-uri, care vă permite să controlați toate fluxurile de informații prin canalele de comunicare;
• conexiunile externe cu resursele informaționale globale și canalele publice de comunicare pot fi realizate numai printr-un set limitat de stații de lucru verificate care au o conexiune limitată la sistemul informațional corporativ;
• accesul securizat de la locurile de muncă al angajaților pentru îndeplinirea atribuțiilor lor oficiale este implementat printr-un sistem cu două niveluri de servere proxy.

În cele din urmă, cu tehnologiile de tunel, întreprinderea trebuie să implementeze un VPN în conformitate cu un model de design tipic pentru a oferi canale de comunicații sigure între diferitele departamente ale companiei, partenerii și clienții companiei.

În ciuda faptului că comunicațiile sunt efectuate direct prin rețele cu un nivel potențial scăzut de încredere, tehnologiile de tunel, folosind instrumente criptografice, pot asigura o protecție fiabilă a tuturor datelor transmise.

concluzii

Scopul principal al tuturor măsurilor luate în domeniul securității informațiilor este acela de a proteja interesele întreprinderii, într-un fel sau altul legate de resursele informaționale de care dispune. Deși interesele întreprinderilor nu se limitează la o anumită zonă, toate se concentrează pe disponibilitatea, integritatea și confidențialitatea informațiilor.

Problema asigurării securității informațiilor se explică prin două motive principale.

1. Resursele informaţionale acumulate de întreprindere sunt valoroase.
2. Dependența critică de tehnologiile informaționale determină utilizarea lor pe scară largă.

Având în vedere varietatea largă de amenințări existente la adresa securității informațiilor, precum distrugerea informațiilor importante, utilizarea neautorizată a datelor confidențiale, întreruperile în funcționarea unei întreprinderi din cauza perturbărilor în funcționarea sistemului informațional, putem concluziona că toate acestea în mod obiectiv. duce la pierderi materiale mari.

În asigurarea securității informațiilor, un rol semnificativ îl joacă instrumentele software și hardware care vizează controlul entităților informatice, adică. echipamente, elemente software, date, formând ultima și cea mai înaltă linie prioritară de securitate a informațiilor. Transmiterea datelor trebuie, de asemenea, să fie sigură în contextul menținerii confidențialității, integrității și disponibilității acestora. Prin urmare, în condiții moderne, tehnologiile de tunelare sunt utilizate în combinație cu mijloace criptografice pentru a oferi canale de comunicații sigure.

Literatură

1. Galatenko V.A. Standarde de securitate a informațiilor. - M .: Internet University of Information Technologies, 2006.
2. Partyka T.L., Popov I.I. Securitatea informațiilor. - M .: Forum, 2012.