Asigurarea protectiei si securitatii informatiilor confidentiale. Căi de scurgere de informații

• - o reclamă;
• - oficial;
• - personal (personal), cu excepția secretelor de stat (articolele 727, 771, 1032 din Codul civil al Federației Ruse, articolul 16 din Codul vamal al Federației Ruse, Decretul președintelui Federației Ruse din 6 martie, 1997 Nr. 188 „Cu privire la aprobarea listei de informații confidențiale”).

Caracteristicile legale ale informațiilor confidențiale sunt documentarea, restricționarea accesului la informații în conformitate cu legea și absența acces liber la ea pe legal.

„Un secret comercial este un tip de secret care include informații stabilite și protejate de proprietarul său în orice domeniu al activității sale comerciale, accesul la care este limitat în interesul proprietarului informațiilor.” Un secret comercial este unul dintre principalele tipuri de secrete, deoarece succesul unei întreprinderi care produce produse sau servicii este determinat de capacitatea de a concura și, prin urmare, de a putea vedea cum este posibil să se obțină o creștere a profiturilor în comparație cu concurenții. .

Informațiile care constituie un secret comercial pot include orice informații comerciale, cu excepția restricțiilor impuse de Decretul Guvernului Federației Ruse „Cu privire la lista informațiilor care nu pot constitui un secret comercial” din 5 decembrie 1991 nr. 35.

În Rusia, legislația în domeniul protecției drepturilor la informații comerciale confidențiale abia începe să prindă contur. Ceea ce este nou în reglementarea relațiilor în acest domeniu este adoptarea Legii federale din 29 iulie 2004 nr. 98-FZ „Cu privire la secretele comerciale”.

Impresia generală care rămâne după citirea textului Legii poate fi definită drept contradictorie. Pe de o parte, a apărut un singur act de reglementare care definește în detaliu regimul și procedura de protecție a informațiilor care constituie secret comercial. Pe de altă parte, Legea este departe de a fi fără cusur. Când a fost creat, legiuitorul a introdus norme care, în opinia cercetătorilor, îngreunează protejarea secretelor comerciale și restabilirea drepturilor încălcate.

Legea nu exclude aplicarea regulilor generale privind secretele comerciale prevăzute la art. 139 din Codul civil al Federației Ruse și numește surse Codul civil al Federației Ruse și alte legi federale. Astfel, Legea completează cadrul normativ existent și îl înlocuiește doar parțial.

Cu toate acestea, chiar și atunci când citim definiția unui secret comercial, vedem inconsecvențe terminologice între lege și Codul civil al Federației Ruse. Legea definește conceptul de secret comercial prin proprietatea informațiilor: un secret comercial este „confidențialitatea informațiilor” (clauza 1 a articolului 3 din lege) (în engleză: confidence - secret). Codul civil al Federației Ruse consideră un secret comercial în primul rând ca un tip de informație care are „valoare comercială din cauza necunoașterii sale față de terți”, cu privire la care se aplică măsuri pentru a-i proteja confidențialitatea (articolul 139 din Codul civil al Federației Ruse). Federația Rusă). În ciuda nesemnificației la prima vedere a discrepanței dintre concepte, am primit două definiții diferite care concurează în forța lor juridică.

Legea face distincție între forma în care există informații valoroase și conținutul informațiilor în sine. Acestea includ „informații științifice, tehnice, tehnologice, de producție, financiare, economice sau de altă natură, inclusiv cele care constituie secrete comerciale (know-how)” (clauza 2 a articolului 3 din lege.

Lista tipurilor de informații care pot avea valoare comercială este deschisă.

Legea îi oferă în continuare proprietarului (deținătorului) informațiilor dreptul de a determina în mod independent valoarea acesteia.

Definiția secretului comercial cuprinsă în Lege reflectă natura Legii în sine. Accentul principal este pus pe procedurile de protecție a informațiilor comerciale. Conform Legii, ei sunt cei care fac posibilă asigurarea minim necesar condițiile pentru protejarea dreptului încălcat în instanță și, de asemenea, să facă distincția între accesul legal și ilegal ca element al infracțiunii.

În acest sens, este greu de înțeles definiția proprietarului informațiilor care constituie secret comercial dată în Lege. În conformitate cu paragraful 4 al art. 3 din Lege este o persoană care deține astfel de informații „legal”. Astfel, prin dovedirea faptului încălcării unui drept, va fi necesară stabilirea legalității dreptului de proprietate al acestuia. Este posibil să documentați drepturile asupra unui secret comercial dacă, de exemplu, acestea sunt supuse înregistrării de stat (brevete, certificate). În acest caz, interesele proprietarului sunt protejate de legea brevetelor și dreptului de autor. Dacă un secret comercial constă în acorduri înregistrate pe medii audio, sau acestea sunt idei nebrevettate, va fi destul de dificil să se dovedească primatul și legalitatea deținerii unor astfel de informații.

Evident, va fi necesar să se confirme legătura obiectivă a informațiilor cu proprietarul acesteia. De exemplu, informațiile despre organizația proprietară, tranzacțiile acesteia etc. trebuie să conțină o indicație a organizației proprietare și să fie protejate prin link-uri speciale pe mediile de confidențialitate, conform prevederilor clauzei 5, partea 1, art. 10 din Lege.

Legea se referă la transferul de informații numai pe un suport tangibil (clauza 6 al articolului 3 din Lege) și în condițiile unui acord special. În această parte, Legea limitează volumul informațiilor protejate în regim secret în comparație cu definiția dată în Codul civil al Federației Ruse, la art. 139 care nu menționează mediile materiale, ci se ocupă de protecția informațiilor confidențiale.

În consecință, conform legii, cazurile, de exemplu, de dezvăluire a informațiilor care nu sunt înregistrate pe suporturi materiale sunt excluse de la protecția juridică. În special, acestea pot fi informații despre orice decizie luată de organizație de a-și promova produsul și informații similare.

Pe de o parte, această abordare simplifică procesul de probă, pe de altă parte, limitează posibilitățile de protejare a intereselor proprietarului informațiilor.

Legea introduce pentru prima dată o definiție a conceptului de „regim secret comercial”. Atunci când se analizează temeiul legal pentru protejarea secretelor comerciale, regimului secretului comercial ar trebui să i se acorde o atenție deosebită. Nerespectarea acestuia atrage pierderea oportunității de a proteja dreptul încălcat la un secret comercial (partea 1 a articolului 7 și partea 2 a articolului 10 din lege).

Sistemul de condiții care alcătuiește regimul secretului comercial este foarte voluminos și necesită costuri semnificative din partea deținătorului sau destinatarului secretului comercial.

În special, partea 1 a art. 10 din lege prevede:

• - stabilirea listei de informații care constituie secret comercial;
• - restricționarea accesului la informațiile care constituie secret comercial prin stabilirea unei proceduri de prelucrare a acestor informații și monitorizarea respectării unei astfel de proceduri;
• - contabilizarea persoanelor care au primit acces la informații care constituie un secret comercial și (sau) a persoanelor cărora le-au fost furnizate sau transferate aceste informații;
• - reglementarea relatiilor privind utilizarea informatiilor constitutive de secret comercial de catre salariati pe baza de contracte de munca si contractori pe baza de contracte de drept civil;
• - plasarea pe suporturi tangibile (documente) care conțin informații care constituie un secret comercial, a ștampilei „Secret comercial” care indică deținătorul acestor informații (pentru persoane juridice - nume complet și locație, pentru întreprinzătorii individuali - nume, prenume, patronim un cetățean care este antreprenor individual și locul de reședință).

Deținătorul unui secret comercial trebuie să stabilească o anumită procedură de circulație a informațiilor confidențiale, precum și să ofere unități suplimentare de personal pentru a controla această circulație. În plus, este necesar să se alinieze sau să se dezvolte din nou pachet mare documentație de reglementare internă.

Cel puțin, organizația care deține secretul comercial trebuie să:

• - elaborarea prevederilor privind secretele comerciale și fluxul de documente al tuturor mijloacelor de informare etichetate „Secret comercial”;
• - emite un ordin către organizație privind accesul la secretele comerciale;
• - se stipuleaza in contractul de munca conditii suplimentare privind obligația voluntară a salariatului de a respecta regimul secretului comercial.

Astfel, pe de o parte, Legea a extins competențele organelor de stat de a controla activitățile economice ale organizațiilor. Pe de altă parte, procesul de protecție a drepturilor deținătorilor de informații a devenit semnificativ mai complicat.

Informațiile legate de informațiile de proprietate nu fac, de obicei, obiectul tranzacțiilor independente, dar dezvăluirea lor poate cauza daune materiale organizației și prejudicii reputației sale de afaceri.

Necesitatea unui sistem sistematic reglementare legală instituirea secretelor oficiale este cauzată de o serie de motive, printre care: absența în legislație a unei abordări unificate a categoriei corespunzătoare de informații cu acces restricționat; numeroase exemple de diseminare (vânzare) ilegală a informațiilor acumulate în organele guvernamentale și referitoare fie la o persoană fizică, fie la activitățile entităților comerciale; restricții privind difuzarea informațiilor impuse la discreția lor de către șefii organismelor guvernamentale și angajații de stat (municipali) cu privire la furnizarea de informații cetățenilor, organizațiilor publice și mass-media.

Nivelul de reglementare a procedurii de manipulare a informațiilor oficiale cu distribuție limitată, a cărei instituție poate fi acum percepută ca un analog al secretelor oficiale ale perioadei socialiste, nu poate fi considerat satisfăcător din mai multe motive. Singurul act normativ care reglementează acest grup de raporturi juridice este „Regulamentul privind procedura de gestionare a informațiilor oficiale cu difuzare limitată în autoritățile executive federale”, aprobat prin decret guvernamental. Federația Rusă din 3 noiembrie 1994 nr. 1233 (DSP). Prezentul regulament se aplică numai activităților autorităților executive federale, deși informații similare sunt generate și primite de orice autorități de stat și guverne locale. Mulți conditii importante, care determină procedura de clasificare a informațiilor ca informații oficiale, nu sunt stabilite în Regulamente și sunt date șefilor autorităților executive federale, ceea ce nu poate fi considerat corect, deoarece restricțiile privind accesul la informații ar trebui stabilite numai prin legea federală. Astfel, nivelul de reglementare legal este în mod evident insuficient; în plus, la nivelul unui decret al Guvernului Federației Ruse, este imposibil să se construiască un sistem stabil și pe termen lung de protecție a informațiilor care au o perioadă lungă de stocare, în special când vine vorba de stabilirea unui număr de norme de drept civil. În ciuda absenței aproape completă a reglementărilor de reglementare în domeniul clasificării informațiilor ca secrete oficiale, protecția acestora și stabilirea de sancțiuni pentru difuzarea ilegală a unor astfel de informații, această categorie este prezentă în cantitati mari legi federale (aproximativ 40), inclusiv: Legea federală „Cu privire la fundamente serviciu civil a Federației Ruse”, Legea federală „Cu privire la Guvernul Federației Ruse”, Legea federală „Cu privire la serviciul în organele vamale ale Federației Ruse”, Legea federală „Cu privire la Banca Centrală a Federației Ruse (Banca Rusiei)” , Legea federală „Cu privire la fundamentele serviciului municipal al Federației Ruse”, Legea federală „Cu privire la restructurarea organizațiilor de credit”, Legea federală „Cu privire la piața valorilor mobiliare”, etc. În același timp, absența unei definiții clare instituția juridică a secretului oficial a condus la o varietate de abordări juridice care au fost consacrate în legislație.Astfel, Legea federală „Cu privire la restructurarea instituțiilor de credit” menționează secretul oficial al unei organizații de credit (art. 41), Legea federală „Cu privire la măsurile de protecție a intereselor economice ale Federației Ruse în implementarea comerțului exterior cu mărfuri” circulă „informații confidențiale” în autoritățile executive (articolul 18), Legea federală „Cu privire la fundamentele serviciului public al Federației Ruse” și o serie de alte legi folosesc termenul „informații oficiale”, în Legea federală „Cu privire la tarifele vamale”, informațiile care constituie secret comercial și informațiile confidențiale circulă în autoritatea vamală (art. 14). Legea federală nr. 119-FZ din 20 august 2004 „Cu privire la protecția de stat a victimelor, martorilor și altor participanți la procedurile penale” prevede, printre o serie de măsuri de securitate în legătură cu persoana protejată, asigurarea confidențialității informațiilor despre aceasta.

Aceste informații, prin conținutul ei, constituie un secret oficial, iar consolidarea legislativă a mecanismelor de eliminare a acestor informații va ajuta la implementarea prezentei legi federale. Aceste exemple indică faptul că nu numai terminologia, ci și conținutul instituției de protecție a informațiilor deținute nu este reflectat clar în legislație.

Legislația abordează problema structurii informațiilor confidențiale și a relației dintre diferitele tipuri de secrete. În această privință, includerea categoriei „secret oficial” în dispozițiile articolului 139 din Codul civil al Federației Ruse, în cazul în care informațiile corespunzătoare din motive sistemice sunt practic fuzionate cu un secret comercial, este deosebit de îngrijorătoare, deși, urmând o logică juridică solidă, aceste sisteme de restricții privind accesul la informații, prin natura lor, ar trebui să fie diferite. Pe piețele electronice ale țării și prin trimiterea de mesaje e-mail nesolicitate (așa-numitele „spam”), CD-urile care conțin baze de date cu informații despre personalități și organizații sunt distribuite necontrolat. De exemplu, DB „Vamă”, Inspectoratul de Stat pentru Siguranța Circulației, BTI (Biroul de inventar tehnic), „Înregistrare”, „Activitate economică străină”, Registrul unificat de stat al întreprinderilor (Înregistrarea unificată de stat a întreprinderilor), „Proprietari de apartamente”, „ Venituri ale persoanelor fizice”, „Fișierul Ministerului Afacerilor Interne” (caziere judiciare etc.), OVIR (pașapoarte înregistrate), DB „Ministerul Justiției”, „Sirena” (transportul persoanelor fizice pe calea ferată în Rusia), DB pentru non- plăți în numerar ale întreprinderilor cu furnizorii și consumatorii și altele.Evident, astfel de informații nu pot fi accesate pe piață fără participarea oficialilor guvernamentali.

În prezent, legiuitorii au pregătit un proiect de lege „Cu privire la secretele oficiale”, care reglementează protecția acestor informații.

Datele personale (personale) includ numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, familia, statutul social, statutul de proprietate, educația, profesia, venitul unei persoane. Datele cu caracter personal trebuie să includă și informații legate de intrarea într-un loc de muncă (serviciu), finalizarea și concedierea acestuia; date despre soțul proprietarului, copiii și alți membri ai familiei, date care permit stabilirea locului de reședință, adresa poștală, telefonul și alte mijloace individuale de comunicare ale unui funcționar public, precum și ale soției acestuia (soției sale), copiilor și altor membri ai familiei acestuia, date care să permită stabilirea locației imobilelor aflate în proprietatea unui funcționar public sau în folosința acestuia; informații despre venituri, proprietăți și obligații legate de proprietate, informații despre fapte, evenimente și circumstanțe intimitate cetățean, permițând identificarea identității sale, informații care au devenit cunoscute de angajatul oficiului de stare civilă în legătură cu înregistrarea de stat a unui act de stare civilă, cunoștințe lingvistice (limba maternă, limba rusă, altă limbă sau alte limbi), general educație (primar general, de bază general, secundar (complet) general) și profesional (primar profesional, secundar profesional, profesional superior, postuniversitar profesional), condiții de locuință (tipul de locuințe, timpul de construcție a casei, dimensiunea totală și suprafața de locuit, numărul de camere de locuit, tipurile de îmbunătățire a locuințelor), surse de existență (venituri din muncă sau din altă ocupație, pensie, inclusiv pensie de invaliditate, bursă, alocație, alt tip de sprijin guvernamental, altă sursă de trai). Prin definirea datelor cu caracter personal ca pe o listă deschisă de informații, indiferent de forma în care sunt prezentate, legiuitorul păstrează astfel posibilitatea extinderii acestora pe măsură ce statutul social al proprietarului acestora se modifică la o anumită etapă a vieții sale.

Datele cu caracter personal aparțin categoriei informațiilor confidențiale, ceea ce presupune absența accesului liber la acestea și prezența unui sistem eficient de protecție a acestora. Includerea datelor cu caracter personal în categoria informațiilor confidențiale are ca scop prevenirea acțiunilor neautorizate de distrugere, modificare, denaturare, copiere, blocare a informațiilor și prevenirea altor forme de interferență ilegală în viața personală a unui cetățean.

Temeiul legal pentru construirea unui sistem de protecție a datelor cu caracter personal este prevederile Constituției Federației Ruse. Articolele 22 și 23 conțin norme care proclamă drepturile individuale fundamentale legate de viața privată. Ele consacră dreptul la intimitate, secrete personale și de familie. Colectarea, stocarea, utilizarea și diseminarea informațiilor despre viața privată a unei persoane fără consimțământul acesteia sunt interzise.

Atunci când formează baza legislativă pentru prelucrarea datelor cu caracter personal, legiuitorul ia ca bază normele de drept internațional care cuprind principiile de bază ale lucrului cu datele cu caracter personal în procesul de prelucrare a acestora. Inițial, aceste principii au fost consacrate în Convenția internațională „Cu privire la protecția persoanelor cu privire la prelucrare automată date cu caracter personal" ETS N 108 (28 ianuarie 1981), care a devenit principiul unificator pentru legislația națională relevantă. Sistemul de protecție a datelor cu caracter personal dezvoltat atunci în Directiva 95/46/CE a Uniunii Europene și a Parlamentului din 24 octombrie. , 1995 privind protecția persoanelor cu drepturi private în legătură cu prelucrarea datelor cu caracter personal și libera circulație a acestor date și Directiva 97/66/CE din 15 decembrie 1997 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor .Aceste documente contin o lista cu masurile de baza pentru protectia datelor cu caracter personal acumulate in baze de date automatizate date, din distrugerea accidentală sau neautorizată sau pierderea accidentală, precum și din accesul, modificarea sau distribuirea neautorizată.

Principala lege federală care protejează confidențialitatea datelor cu caracter personal este Legea „Cu privire la datele cu caracter personal”, adoptată la 27 iulie 2006.

Legea definește principiile și condițiile de prelucrare a datelor cu caracter personal. Prin instituirea unei interdicții generale privind prelucrarea datelor cu caracter personal fără consimțământul subiectului datelor cu caracter personal, Legea prevede cazurile în care acest consimțământ nu este necesar.

Relațiile privind prelucrarea unor categorii speciale de date cu caracter personal (informații despre rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, stare de sănătate, viață intima) sunt reglementate separat. Prelucrarea acestor categorii de informații nu este permisă fără acordul prealabil al subiectului datelor cu caracter personal, cu excepția cazurilor în care datele cu caracter personal sunt disponibile public și prelucrarea datelor este necesară pentru a asigura viața și sănătatea persoanei; prelucrarea se efectuează în legătură cu înfăptuirea justiției, precum și în alte împrejurări.

Cea mai importantă garanție a drepturilor subiectului datelor cu caracter personal este obligația operatorilor și a terților care au acces la datele cu caracter personal de a asigura confidențialitatea acestora (cu excepția cazurilor de depersonalizare și a datelor cu caracter personal disponibile public), precum și dreptul de a subiectul datelor cu caracter personal pentru a-și proteja drepturile și interesele legitime, inclusiv pentru daune și (sau) despăgubiri pentru daune morale în instanță. Controlul și supravegherea prelucrării datelor cu caracter personal sunt încredințate organului executiv federal care exercită funcții de control și supraveghere în domeniul tehnologiei informației și comunicațiilor, care este înzestrat cu drepturile și responsabilitățile corespunzătoare. În special, organismul autorizat are dreptul de a inspecta sistemul informatic de prelucrare a datelor cu caracter personal, de a solicita blocarea, ștergerea datelor cu caracter personal nesigure sau obținute ilegal, de a stabili o interdicție permanentă sau temporară a prelucrării datelor cu caracter personal și de a efectua investigații prin mijloace administrative. proceduri privind încălcarea legii. Sunt stabilite principiile transferului transfrontalier de date, care trebuie să asigure o protecție adecvată a drepturilor persoanelor vizate de date cu caracter personal.

Pe lângă actele menționate mai sus, legiuitorul include și alte legi în sistemul de legislație în domeniul datelor cu caracter personal:

Codul Muncii al Federației Ruse, al cărui capitol 14 stabilește cerințele fundamentale pentru protecția datelor cu caracter personal ale angajaților. Angajarea unui angajat pe baza calităților de afaceri presupune utilizarea anumitor metode de colectare a informațiilor despre angajat, astfel încât acestea să identifice suficient de complet o gamă prestabilită de criterii necesare pentru ocuparea unei anumite poziții, adică angajatorul colectează efectiv datele personale ale angajatului;

Codul Vamal al Federației Ruse din 28 mai 2003 N 61-FZ, care reglementează procedura de prelucrare a datelor cu caracter personal ale persoanelor care desfășoară activități legate de circulația mărfurilor și vehiculelor peste frontiera vamală sau care desfășoară activități în domeniul afacerilor vamale , pentru a realiza control vamalși perceperea taxelor vamale;

Legea federală din 27 iulie 2006 N 149-FZ „Cu privire la informații, tehnologia de informațieși privind protecția informațiilor” oferă o definiție generală a datelor cu caracter personal, stabilește principiile de bază ale reglementării legale a activităților legate de datele cu caracter personal. De asemenea, introduce răspunderea pentru încălcarea confidențialității acestora, precum și licențierea obligatorie pentru organizațiile neguvernamentale. organizații și persoane fizice ale activităților legate de prelucrarea și furnizarea de date cu caracter personal;

Legea federală din 15 noiembrie 1997 N 143-FZ „Cu privire la actele de stare civilă” reglementează procedura de protecție a informațiilor confidențiale în procesul de înregistrare a actelor de stare civilă.

În plus, problemele de reglementare legală a muncii cu date personale sunt ridicate în legile federale din 22 octombrie 2004 N 125-FZ „Cu privire la arhivarea în Federația Rusă”, din 12 august 1995 N 144-FZ „Cu privire la activitățile operaționale de investigare” , din 12 iunie 2002 N 67-FZ „Cu privire la garanțiile de bază ale drepturilor electorale și dreptul de a participa la un referendum al cetățenilor Federației Ruse”, Codul Fiscal al Federației Ruse, Fundamentele legislației Federației Ruse privind protecția sănătății cetățenilor din 22 iulie 1993 N 5487-1, Legile Federației Ruse din 21 iulie 1993 N 5485-1 „Cu privire la secretele de stat”, din 28 martie 1998 N 53-FZ „Cu privire la serviciul militar și Serviciul Militar”, Legile federale din 1 aprilie 1996 N 27-FZ „Cu privire la contabilitatea individuală (personalizată) în sistemul de asigurări obligatorii de pensie”, din 8 august 2001 N 129-FZ „Cu privire la înregistrarea de stat a persoanelor juridice și a întreprinzătorilor individuali”. " și un număr de alții. În Codul civil al Federației Ruse, articolul 152 protejează onoarea, demnitatea și reputația de afaceri a unui cetățean. În Codul penal al Federației Ruse în art. 137 stabilește răspunderea penală „pentru colectarea sau difuzarea ilegală de informații despre viața privată a unei persoane care constituie secretul său personal sau de familie”.

Protecția eficientă a informațiilor din sistemele informatice se realizează prin utilizarea instrumentelor adecvate, care pot fi împărțite în mai multe grupuri:

1) restricționarea accesului la informații;

2) protecția informațiilor la transmiterea acestora prin canale de comunicare;

3) protecția împotriva scurgerilor de informații prin diverse domenii fizice care apar în timpul funcționării mijloacelor tehnice ale sistemelor informatice;

4) protecție împotriva efectelor programelor de virus;

5) securitatea stocării și transportului informațiilor pe suport și protecția acestora împotriva copierii.

Scopul principal al unor astfel de instrumente este de a restricționa accesul la resursele informaționale locale și de rețea ale sistemelor informatice, care asigură: identificarea și autentificarea utilizatorilor, restricționarea accesului utilizatorilor înregistrați la resursele de informații, înregistrarea acțiunilor utilizatorului, protecția încărcării sistemului de operare. din medii flexibile, monitorizarea integrității instrumentelor de securitate a informațiilor și resurse informaționale. În ciuda comunității funcționale a instrumentelor de securitate a informațiilor din acest grup, acestea diferă unele de altele în condițiile de funcționare, complexitatea configurarii și gestionării parametrilor, identificatorii utilizați, lista evenimentelor înregistrate și costul. Mijloacele de securitate a informațiilor sunt împărțite în formal , care îndeplinesc această funcție conform unei proceduri prestabilite fără intervenție umană și informal (limitarea activităților personalului sau reglementarea severă a acestora).

Principalele mijloace de protecție includ tehnic Și software ; mijloacele tehnice se împart de obicei în fizicȘi hardware.

Mijloace fizice sunt implementate prin dispozitive autonome și sisteme de securitate (alarme antiefracție, carcase de ecranare pentru echipamente, ecranare interioară de protecție a spațiilor individuale, echipamente de supraveghere externă și internă, încuietori etc.).

Hardware- acestea sunt dispozitive care sunt integrate direct în dispozitive care sunt interfațate cu echipamentele utilizate pentru procesarea datelor interfata standard(circuite de control al informației de paritate, circuite de protecție a câmpului de memorie prin cheie și registre speciale).

LA software Acestea includ programe și/sau module speciale care îndeplinesc funcții de securitate a informațiilor.

Utilizarea doar a uneia dintre metodele de mai sus de protecție a informațiilor nu rezolvă problema - este necesară o abordare integrată. Există două metode principale utilizate în mod obișnuit: bariera și controlul accesului.

bloc– crearea de obstacole fizice (pentru accesul pe teritoriul organizației, direct la medii fizice informație).

Controlul accesului– reglementarea si reglementarea accesului autorizat la resursele tehnice, software, informatice ale sistemului.

La rândul său, controlul accesului autorizat este asigurat prin anumite functii de protectie:

Identificarea utilizatorului – atribuirea inițială fiecărui utilizator a unui nume personal, cod, parolă, ale căror analogi sunt stocați în sistemul de securitate;

Autentificare (verificare de autoritate) – procesul de comparare a identificatorilor prezentați cu cei stocați în sistem;

Crearea condițiilor de lucru în cadrul reglementărilor stabilite, adică elaborarea și implementarea unor măsuri cuprinzătoare în care accesul neautorizat este redus la minimum;

Înregistrarea cererilor către resurse protejate;

Răspuns adecvat la acțiunile neautorizate.

Programe antivirus- cele mai comune mijloace de protecție - de la computerele individuale ale utilizatorilor casnici la rețelele corporative uriașe ( Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).

Semnătură digitală electronică (EDS)- o secvență de caractere obținută ca urmare a transformării criptografice a datelor electronice. Semnătura digitală este adăugată blocului de date și permite destinatarului blocului să verifice sursa și integritatea datelor și să protejeze împotriva falsificării. EDS este folosit ca un analog al unei semnături scrise de mână.

Instrumente transparente de criptare protejați datele împotriva dezvăluirii neintenționate și împiedicați spionii să se infiltreze în datele altor utilizatori. În același timp, cheile de criptare sunt stocate în conturi, astfel încât pentru proprietarii legali ai informațiilor, decriptarea acesteia are loc neobservată. Există mai multe astfel de soluții pe piață; le oferă în special Compania Microsoft. Soluția Microsoft este utilizată în sistemul de operare sub forma sistemului de fișiere criptografic EFS. Cu toate acestea, dacă un angajat care are drepturi de acces la date criptate le trimite accidental prin e-mail sau le transferă pe medii necriptate, protecția va fi compromisă. Pentru a elimina riscul unor astfel de scurgeri accidentale, compania poate controla transferul de date prin e-mail și protocoale Web (pentru a proteja transmisia prin e-mail Web). Dar împotriva transferului ascuns de date cu care spionii pot veni, cel mai probabil astfel de sisteme nu vor putea oferi securitate. În special, nicio protecție nu poate deschide un fișier criptat corect și, prin urmare, nu poate verifica conținutul acestuia. Cu toate acestea, cele mai interesante servicii pentru companiile autohtone sunt dezvoltarea unui sistem de securitate cuprinzător, care include și crearea de mecanisme de prevenire a amenințărilor interne.

Controlul conținutului. Cea mai recentă creștere a interesului pentru sistemele de control al conținutului a fost determinată de preocupările legate de spam. Cu toate acestea, scopul principal al instrumentelor de control al conținutului este de a preveni scurgerea de informații confidențiale și de a suprima utilizarea abuzivă a Internetului. Una dintre prioritățile producătorilor de astfel de instrumente este să se asigure că funcționarea sistemului de control al conținutului nu este simțită de utilizator.

Firewall-uri au fost și sunt instrumentul de bază care asigură protecția conexiunilor la rețele externe, controlul accesului între segmentele rețelei corporative și protecția fluxurilor de date transmise prin rețele deschise. Primul (și cel mai important) lucru de făcut pentru a asigura securitatea rețelei este să instalați și să configurați corect un firewall (numit și firewall). Firewall - în informatică - o barieră software și/sau hardware între două rețele, permițând doar stabilirea conexiunilor la internet autorizate. Firewall-ul protejează rețeaua corporativă conectată la Internet împotriva pătrunderii din exterior și împiedică accesul la informații confidențiale. Configurarea și întreținerea corectă a unui firewall este responsabilitatea unui administrator de sistem cu experiență.

Pentru pază rețele mici, unde nu este nevoie să faceți o mulțime de setări legate de distribuția flexibilă a lățimii de bandă și restricțiile de trafic prin protocol, este mai bine ca utilizatorii să folosească gateway-uri de internet sau routere de internet.

Firewall-urile efectuează, de asemenea, scanări antivirus ale conținutului WEB sau e-mail descărcat. Baze de date antivirus datele sunt actualizate prin Internet pentru a asigura protecția rețelei pe măsură ce apar noi viruși. Toate statisticile privind fluxul de date, alarmele despre atacuri de pe Internet și informațiile despre activitatea utilizatorului pe navigarea web sunt salvate în timp real și pot fi furnizate sub forma unui raport.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

• Introducere
• 1.2 Valoarea informațiilor
• 1.4 Amenințări și sistem de protecție a informațiilor confidențiale
• Capitolul 2. Organizarea muncii cu documente care conțin informații confidențiale
• 2.1 Baza normativă și metodologică pentru gestionarea înregistrărilor confidențiale
• 2.2 Organizarea accesului și procedurilor pentru ca personalul să lucreze cu informații confidențiale, documente și baze de date
• 2.3 Baza tehnologică pentru prelucrarea documentelor confidențiale
• Capitolul 3. Protecția informațiilor cu acces restricționat la SA „ChZPSN - Profnastil”
• 3.1 Caracteristicile OJSC „ChZPSN - Profnastil”
• 3.2 Sistemul de securitate a informațiilor la SA „ChZPSN - Profnastil”
• 3.3 Îmbunătățirea sistemului de securitate pentru informații cu acces restricționat
• Concluzie
• Lista surselor și literaturii utilizate

Introducere

Unul dintre cele mai importante componente Securitatea națională a oricărei țări este acum numită în unanimitate securitatea informațiilor sale. Problemele de asigurare a securității informațiilor devin din ce în ce mai complexe și semnificative din punct de vedere conceptual, datorită tranziției masive a tehnologiilor informaționale în management la o bază fără hârtie, automatizată.

Alegerea subiectului acestei lucrări de calificare finală se datorează faptului că economia de piață rusă modernă condiție prealabilă succesul unui antreprenor în afaceri, realizarea de profit și păstrarea integrității a ceea ce a creat structura organizationala este de a asigura securitatea economică a activităților sale. Iar una dintre componentele principale ale securității economice este securitatea informațiilor.

Obiectul cercetării în această lucrare este formarea și funcționarea resurselor informaționale în sistemul de management al organizației.

Baza de cercetare este OJSC „ChZPSN - Profnastil”

Obiectul studiului îl constituie activitățile de asigurare a securității resurselor informaționale în sistemul de management al organizației.

Scopul studiului este de a analiza tehnologiile, metodele, metodele și mijloacele moderne de protejare a informațiilor confidențiale ale unei întreprinderi.

Obiectivele studiului, în conformitate cu scopul, includ:

1. Dezvăluie principalele componente ale securității informațiilor;

2. Determinați componența informațiilor care ar trebui clasificate drept confidențiale;

3. Identificați cele mai comune amenințări, canale de distribuție și scurgeri de confidențialitate;

4. Luați în considerare metode și mijloace de protejare a informațiilor confidențiale;

5. Analizează cadrul de reglementare pentru gestionarea înregistrărilor confidențiale;

6. Studierea politicii de securitate în organizarea accesului la informații confidențiale și procedura personalului care lucrează cu documente confidențiale;

7. Luați în considerare sistemele tehnologice de prelucrare a documentelor confidențiale;

8. Evaluează sistemul de securitate a informațiilor al întreprinderii SA ChZPSN - Profnastil și oferă recomandări pentru îmbunătățirea acestuia.

În lucrare au fost utilizate următoarele metode de cercetare: metode cognitive (descriere, analiză, observare, anchetă); metode științifice generale (analiza publicațiilor pe această temă), precum și o astfel de metodă documentară precum analiza documentației întreprinderii.

Cadrul de reglementare pentru munca finală de calificare se bazează în principal pe Constituție ca lege fundamentală a Federației Ruse) (1). Articolul 23 din Constituția Federației Ruse garantează dreptul la secrete personale și de familie, confidențialitatea corespondenței, convorbiri telefonice, mesaje poștale, telegrafice și alte mesaje. În același timp, restrângerea acestui drept este permisă numai pe bază decizie judecătorească. Constituția Federației Ruse nu permite (articolul 24) colectarea, stocarea, utilizarea și difuzarea informațiilor despre viața privată a unei persoane fără consimțământul acesteia (1).

Regulile de reglementare a relațiilor care apar la manipularea informațiilor confidențiale sunt, de asemenea, cuprinse în Codul civil al Federației Ruse. În același timp, informațiile confidențiale sunt clasificate drept beneficii intangibile în Codul civil al Federației Ruse (articolul 150) (2).

Criterii după care informația este considerată secret oficial și comercial , sunt cuprinse în articolul 139 din Codul civil al Federației Ruse. Se precizează că informațiile constituie secret oficial sau comercial în cazul în care:

1. Aceste informații au valoare reală sau potențială din cauza necunoscutei față de terți;

2. Nu există acces liber la aceste informații în temeiul legal, iar proprietarul informațiilor ia măsuri pentru a le proteja confidențialitatea (2).

În plus, definiția confidențialității informațiilor comerciale este cuprinsă în articolul 727 din Codul civil al Federației Ruse (2).

La 27 iulie 2006 au fost adoptate două legi federale care au fost cele mai importante pentru protecția informațiilor confidențiale: nr. 149-FZ „Cu privire la informații, tehnologiile informaționale și protecția informațiilor” (8) și nr. 152-FZ „Cu privire la datele cu caracter personal”. ” (9). Ele oferă concepte de bază despre informații și protecția acesteia. Cum ar fi „informații”, „confidențialitatea informațiilor”, „date cu caracter personal”, etc.

La 10 ianuarie 2002, Președintele Federației Ruse a semnat o lege foarte importantă „Cu privire la semnătura electronică digitală” (5), elaborând și precizând prevederile legii de mai sus „Cu privire la informații...” (8).

Următoarele legi ale Federației Ruse sunt, de asemenea, fundamentale în domeniul securității informațiilor confidențiale:

1. „Despre secretele de stat” din 22 iulie 2004 (4);

2. „Despre secretele comerciale” din 29 iulie 2004 (conține informații constitutive de secret comercial, regim de secret comercial, divulgare de informații constitutive de secret comercial) (6);

3. „La aprobarea Listei de informații confidențiale” (11);

4. La aprobarea Listei de informații care nu pot constitui secret comercial” (13).

Standardul care stabilește termenii și definițiile de bază în domeniul securității informațiilor este GOST R 50922-96 (29).

Baza de reglementare și metodologică pentru munca de birou confidențială este descrisă în detaliu în capitolul al doilea. a acestei lucrări. În lucrarea finală de calificare s-au folosit lucrările unor specialiști documentari de frunte: I.V. Kudryaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pshenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).

Conceptul de securitate a informațiilor și componentele sale principale sunt expuse în lucrările lui V.A. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

K. Ilyin (52) în lucrările sale ia în considerare problemele de securitate a informațiilor în managementul documentelor electronice). Aspecte ale securității informațiilor sunt descrise în articolele lui V.Ya. Ishcheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

Sistemul de securitate a informațiilor este descris în lucrările E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiverskogo (103), V.N. Martynov și V.M. Martynova (49).

Lucrările următorilor autori sunt consacrate reglementării legale a informațiilor cu acces restricționat: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Acesta din urmă, în articolul său, subliniază imperfecțiunea legislației în domeniul luat în considerare.

R.N. și-a dedicat lucrările tehnologiilor de prelucrare a documentelor confidențiale. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galahov (44), A.I. Aleksentseva (32).

În procesul de pregătire a lucrării, recomandările științifice, educaționale, practice, metodologice privind organizarea protecției informațiilor confidențiale elaborate de astfel de experți de frunte în acest domeniu precum A.I. Aleksentsev (31; 32) și E.A. Stepanov (81; 96).

Lucrări de I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsova (51) sunt dedicate aspectelor controversate ale securității informațiilor.

În general, putem spune că problema securității informației, în general, este furnizată de surse; baza sursei face posibilă evidențierea sarcinilor atribuite. Semnificația literaturii despre această problemă este mare și corespunde relevanței sale.

Dar în țara noastră nu există un act juridic de reglementare care să stabilească o procedură uniformă de înregistrare, stocare și utilizare a documentelor care conțin informații confidențiale. Și conform analiștilor ale căror articole au fost folosite în lucrare, E.A. Voynikanis (40), T.A. Partyki (57), V.A. Mazurov (71) și alții, acest lucru nu este recomandabil.

Sursele nepublicate utilizate în lucrare includ un extras din Carta OJSC „ChZPSN - Profnastil” (Anexa 11), documente ale activității curente de birou a întreprinderii.

Lucrarea finală de calificare constă dintr-o introducere, trei capitole, o concluzie, o listă de surse și literatură utilizate și aplicații.

Introducerea formulează relevanța și semnificația practică a temei, scopul cercetării, obiectivele, gradul de dezvoltare a problemei studiate, obiectul, subiectul, baza studiului, instrumentele de cercetare, structura și conținutul finalului. munca de calificare

Primul capitol: „Fundamentele securității informațiilor și protecției informațiilor” conține istoria problemei și conceptele de bază ale securității informațiilor. Cum ar fi, valoarea informațiilor, confidențialitatea. Punctul 1.2 indică canalele de distribuție și scurgere de informații; în secțiunea următoare se discută sistemul de amenințări și sistemul de protecție a informațiilor confidențiale.

Capitolul „Organizarea muncii cu documente confidențiale”. constă în fundamentele normative și metodologice ale muncii confidențiale de birou, urmate de procedura de lucru pentru angajați și organizarea accesului acestora la informații confidențiale. Tehnologia de lucru cu informațiile indicate este descrisă în ultimul paragraf al celui de-al doilea capitol.

În al treilea capitol, folosind exemplul întreprinderii JSC ChZPSN - Profnastil, este luat în considerare sistemul de protecție a informațiilor cu acces limitat și analiza muncii cu documente confidențiale. Recomandări, modificări și completări sunt date la tehnologia muncii de birou confidențiale care a fost formată la întreprindere.

Concluzia conține concluzii privind lucrarea finală calificată.

Lista surselor și literaturii utilizate include 110 titluri.

Lucrarea este completată de anexe care prezintă: regulamente, instrucțiuni care reglementează procedura de manipulare a documentelor care conțin informații cu acces limitat la întreprindere, modele de formulare de documente, formulare de înregistrare, un extras din Carta OJSC „ChZPSN - Profnastil”.

Capitolul 1. Fundamentele securității informațiilor și protecției informațiilor

1.1 Evoluția termenului „securitate informațională” și a conceptului de confidențialitate

De mult s-a crezut că oricine deține informațiile controlează situația. Prin urmare, chiar și în zorii societății umane, apar activități de informații. Prin urmare, apar secrete de stat și comerciale (compoziția porțelanului, mătasea), iar în timpul războaielor - secrete militare (dispunerea trupelor, arme). Dorința de a păstra secret față de ceilalți ceea ce oferă avantaj și putere pare a fi principala motivație a oamenilor din perspectivă istorică. Mulți proprietari, pentru a-și proteja interesele, clasifică informațiile și le protejează cu grijă sau le brevetează. Clasificarea informațiilor conduce la îmbunătățirea constantă a mijloacelor și metodelor de obținere a informațiilor protejate; și pentru a îmbunătăți mijloacele și metodele de securitate a informațiilor (89, p.45).

În practica mondială, termenii „secret industrial”, „secret comercial”, „secretul relațiilor de credit” au fost folosiți pentru prima dată, adică. numele secretului era legat de un anumit domeniu de activitate. Avocatul rus V. Rosenberg a încercat să combine aceste nume într-unul singur - „secretul comercial” și chiar a publicat o carte cu același nume în 1910. Cu toate acestea, acest termen nu a prins. Atât în ​​Imperiul Rus, cât și în străinătate, termenul de „secret comercial” a fost stabilit în cele din urmă, unind secretul oricărei activități care vizează obținerea de profit (46, p. 20).

Din a doua jumătate a secolului al XIX-lea. Apar și diverse definiții ale conceptului de secret comercial, în primul rând în domeniul legislației penale și civile. De exemplu, legislația germană a definit un secret comercial ca fiind secretul proceselor tehnice de fabricație a unui produs și secretul operațiunilor sale de vânzare sau, după cum spune mai mult limba înaltă, secretul producerii mărfurilor și secretul distribuirii acestora.

În Rusia, conform Codului penal din 1903, secretele comerciale erau înțelese ca metode speciale de producție utilizate sau destinate a fi utilizate, iar într-o altă ediție - caracteristicile individuale ale proceselor de producție și comerț. Secretul proceselor de producție a fost clasificat ca un secret de proprietate, iar comerțul - ca un secret de afaceri.

În Rusia, în noiembrie 1917, secretele comerciale au fost abolite. În timpul NEP, a „renascut” neoficial, dar mai târziu a fost folosit numai de întreprinderile de comerț exterior ale URSS în contacte cu alte țări, dar nu a existat o bază legislativă internă pentru aceasta. Activitatea științifică și în acest domeniu a încetat (31, p.78).

În a doua jumătate a anilor 80. activitatea antreprenorială a necesitat elaborarea documentelor de reglementare aferente, inclusiv a celor referitoare la secretele comerciale. În primul rând, a fost necesar să se formuleze o definiție a secretului comercial. Această definiție a fost făcută în Legea „Cu privire la întreprinderile din URSS”. Se spune: „Secretul comercial al unei întreprinderi este înțeles ca informații care nu sunt secrete de stat, legate de producție, informații tehnologice, management, finanțare și alte activități ale întreprinderii, a căror dezvăluire (transfer, scurgere) poate dăuna acesteia. interese.”

Secretul comercial în interpretarea modernă este informații, date, informații, obiecte, a căror dezvăluire, transfer sau scurgere de către terți pot prejudicia interesele sau siguranța proprietarului (32, p. 13).

ISO/IEC 17799 definește securitatea informațiilor ca fiind asigurarea confidențialității, integrității și disponibilității informațiilor. (56, p.212).

Securitatea nu înseamnă doar protecția împotriva atacurilor criminale, ci și asigurarea siguranței documentelor și informațiilor (în special electronice), precum și măsuri de protecție a documentelor critice și de asigurare a continuității și/sau restabilirii activităților în caz de dezastre (71, p. 5 8).

Securitatea informației ar trebui înțeleasă ca protecția subiecților relațiilor informaționale. Componentele sale principale sunt confidențialitatea, integritatea și disponibilitatea (82, p. 15).

În Doctrina Securității Informaționale a Federației Ruse (19), termenul „securitate informațională” denotă starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

Confidențialitate - protecție împotriva accesului neautorizat (83, p. 17). Următoarea definiție a confidențialității este dată de Legea federală „Cu privire la informații, tehnologiile informaționale și protecția informațiilor” (8) Articolul 2.p.7: confidențialitatea este o cerință obligatorie pentru ca o persoană care a obținut acces la anumite informații să nu transfere astfel de informații. informații către terți fără acordul proprietarului acestuia.

Securitatea resurselor informaționale (informației) este înțeleasă ca securitatea informațiilor în timp și spațiu față de orice amenințări (pericole) obiective și subiective care apar în condiții normale de funcționare a unei companii în situații extreme: dezastre naturale, alte evenimente incontrolabile, pasive și încercări active ale unui atacator de a crea un potențial sau amenințare reală acces neautorizat la documente, fișiere, baze de date (61, p. 32).

Confidențialitate - reguli și condiții pentru siguranța transferului de date și informații. Există o distincție între confidențialitatea externă - ca o condiție a nedezvăluirii informațiilor către mediul extern și confidențialitatea internă - în rândul personalului.

Securitatea informațiilor (documentelor) valoroase documentate este determinată de gradul de protecție a acestora împotriva consecințelor situațiilor extreme, inclusiv a dezastrelor naturale, precum și a încercărilor pasive și active ale unui atacator de a crea o amenințare potențială sau reală (pericol) de apariție neautorizată. accesul la documente folosind canale organizatorice și tehnice, ca urmare ceea ce se poate întâmpla este furtul și utilizarea abuzivă a informațiilor de către un atacator în scopuri proprii, modificarea, înlocuirea, falsificarea, distrugerea acesteia (68, p. 36).

Secretul este regulile și condiția accesului și accesului la obiectele informaționale (89, p. 50).

Astfel, expresia „securitatea informațiilor” nu se limitează la protecția împotriva accesului neautorizat la informații.

Acesta este un concept fundamental larg. Un subiect al informației poate suferi (suferă pierderi și/sau primește daune morale) nu numai din cauza accesului neautorizat, ci și din cauza unei defecțiuni a sistemului care provoacă o întrerupere a activității.

Deși confidențialitatea este sinonimă cu secretul, termenul este utilizat pe scară largă exclusiv pentru a se referi la resurse de informații restricționate care nu sunt clasificate ca secrete de stat.

Confidențialitatea reflectă restricția pe care proprietarul informațiilor o impune accesului la acestea de către alte persoane, de ex. proprietarul stabilește regimul juridic al acestor informații în condițiile legii (91, p. 208).

1.2 Valoarea informațiilor

Informațiile protejate includ: informații secrete (informații care conțin secrete de stat), confidențiale (informații care conțin secrete comerciale, secrete referitoare la viața personală și activitățile cetățenilor) (100, p. 38).

Există întotdeauna documente de management, a căror scurgere de conținut este nedorită sau pur și simplu dăunătoare, deoarece poate fi folosit direct sau indirect în detrimentul autorilor săi. Astfel de informații și, în consecință, documentele care le conțin sunt considerate confidențiale (închise, protejate). Informațiile documentate cu acces limitat aparțin întotdeauna unuia dintre tipurile de secrete - de stat sau non-statale. În conformitate cu aceasta, documentele sunt împărțite în secrete și neclasificate. O trăsătură obligatorie (criteriul de apartenență) a unui document secret este prezența în acesta a unor informații care constituie secret de stat în condițiile legii. Documentele neclasificate care includ informații clasificate ca secrete de stat (oficiale, comerciale, bancare, profesionale, industriale etc.) sau care conțin date personale ale cetățenilor se numesc confidențiale.

Informații - informații despre persoane, obiecte, fapte, evenimente, fenomene și procese, indiferent de forma de prezentare a acestora (8).

Legislația Federației Ruse stabilește că informațiile (documentele) documentate sunt disponibile publicului, cu excepția celor clasificate de lege drept acces restricționat (11).

În acest caz, informațiile documentate cu acces limitat sunt împărțite în informații clasificate ca secrete de stat și informații confidențiale. Ambele tipuri de informații sunt supuse protecției împotriva difuzării ilegale (dezvăluire) și sunt clasificate ca secrete protejate de lege.

O caracteristică obligatorie a unui document confidențial este prezența în el a informațiilor care trebuie protejate. Particularitatea unui astfel de document este că reprezintă simultan nu numai informațiile în sine - un obiect obligatoriu de protecție, ci și un mediu de stocare în masă a informațiilor, principala sursă de acumulare și diseminare a acestor informații, inclusiv scurgerea acesteia. Adică, informațiile sunt confidențiale, în primul rând, și abia apoi documentele în care sunt înregistrate aceste informații devin confidențiale. Categoria de informații confidențiale include toate tipurile de informații restricționate protejate de lege - comerciale, oficiale, personale. Cu excepția secretelor de stat (94, p.78).

Informațiile pot fi împărțite în trei categorii (82, p.33).

Primul este neclasificat (sau deschis), care este destinat utilizării atât în ​​interiorul, cât și în afara companiei.

Al doilea este pentru uz oficial, care este destinat numai utilizării în cadrul companiei. Este împărțit, la rândul său, în două subcategorii:

1. Disponibil tuturor angajaților companiei;

2. Disponibil pentru anumite categorii de salariati, dar poate fi transferat integral altui salariat pentru a presta munca necesara.

Al treilea este informații clasificate (sau informații restricționate), care sunt destinate utilizării numai de către angajații special autorizați ai companiei și nu sunt destinate transferului către alți angajați integral sau parțial.

Informațiile din a doua și a treia categorii sunt de obicei numite confidențiale (35, p.9).

Informațiile confidențiale pot constitui, de asemenea, un anumit set de informații deschise, la fel cum un anumit set de informații pentru uz oficial poate constitui informații cu acces restricționat. Prin urmare, este necesar să se definească clar condițiile în care clasificarea informațiilor poate și trebuie mărită (55, p.83).

De exemplu, la JSC ChZPSN - Profnastil, informațiile despre detaliile contractelor încheiate, precum și care dintre angajați le încheie, sunt confidențiale. În același timp, informațiile deschise includ date despre personal, distribuția acestora între departamente și responsabilitățile oficiale ale angajaților. Pe site-ul lor, știrile raportează în mod regulat despre ce întreprinderi (în ce profil) negociază compania, cu cine intenționează să încheie un contract etc. Este clar că, luate împreună, cele trei surse de informare deschise de mai sus (personal, responsabilități, informații despre contractele încheiate) pot forma informații confidențiale despre angajatul care încheie un anumit contract.

Condițiile în care informațiile pot fi clasificate drept confidențiale sunt enumerate la articolul 13 partea 1 din Codul civil al Federației Ruse (2). Acestea includ:

1. Valoarea comercială reală sau potențială a informațiilor din cauza necunoscutei acestora față de terți;

2. Lipsa accesului liber la aceste informații în temeiul legal;

3. Deținătorul informațiilor ia măsurile necesare pentru a le proteja confidențialitatea.

Astfel, asigurarea confidențialității informațiilor din document conține trei aspecte:

1. Determinarea compoziției informațiilor care ar trebui clasificate drept confidențiale;

2. Determinarea cercului de angajați care ar trebui să aibă acces la una sau alta informație confidențială și stabilirea unor relații adecvate cu aceștia;

3. Organizarea muncii de birou cu documente confidențiale. (99, p. 7-9).

Dacă aceste condiții nu sunt îndeplinite, organizația nu va avea motive să tragă la răspundere pe cineva pentru dezvăluirea de informații confidențiale.

Conform Legii federale „Cu privire la informații, tehnologii informaționale și protecția informațiilor” (8), următoarele nu pot constitui secret comercial:

1. Actele constitutive (decizia de înființare a unei întreprinderi sau acordul fondatorilor) și Carta;

2. Documente care dau dreptul de a se angaja în activități antreprenoriale (certificate de înregistrare, licențe, brevete);

3. Informații despre formele stabilite de raportare a activităților financiare și economice și alte informații necesare pentru a verifica corectitudinea calculării și plății impozitelor și a altor plăți obligatorii către sistemul bugetului de stat al Federației Ruse;

4. Documente privind solvabilitatea;

5. Informații privind numărul, componența angajaților, salariile și condițiile de muncă ale acestora, precum și disponibilitatea locurilor de muncă disponibile;

6. Documente privind plata impozitelor si platilor obligatorii;

7. Informații despre poluarea mediului, încălcarea legislației antimonopol, nerespectarea condițiilor de muncă sigure, vânzările de produse dăunătoare sănătății publice, precum și alte încălcări ale legislației Federației Ruse și amploarea daunelor cauzate;

8. Informații privind participarea funcționarilor întreprinderii în cooperative, întreprinderi mici, parteneriate, societăți pe acțiuni, asociații și alte organizații care desfășoară activități comerciale.

Informațiile enumerate despre întreprinderile și persoanele implicate în activități antreprenoriale, șefii de stat și întreprinderile municipale sunt obligate să prezinte la cererea autorităților, conducerii, supravegherii și aplicarea legii, alte persoane juridice îndreptățite la aceasta în conformitate cu legislația Federației Ruse, precum și forța de muncă a întreprinderii (21).

Informațiile privind aspectele incluse de lege în conceptul de secret de stat nu pot fi clasificate drept confidențiale (12). În ceea ce privește problemele de lucru cu documente care conțin astfel de informații, în conformitate cu Legea Federației Ruse „Cu privire la secretele de stat” (4), se stabilește că cetățenii, oficialii și organizațiile ar trebui să fie ghidate numai de actele legislative care reglementează protecția secrete de stat.

Conform legii, informațiile confidențiale sunt informații documentate, accesul la care este limitat în conformitate cu legislația Federației Ruse (11). Informațiile confidențiale sunt considerate a fi astfel de informații, a căror dezvăluire ar putea dăuna intereselor companiei (35, p.6). Se mai poate spune că atribuirea confidențialității anumitor informații, printre altele, contribuie la păstrarea secretelor comerciale (8).

Conceptul generalizat de informații confidențiale este în mare măsură specificat în „Lista informațiilor confidențiale” (11). Potrivit acesteia, informațiile confidențiale sunt grupate în mai multe categorii principale.

În primul rând, acestea sunt informații despre faptele, evenimentele și circumstanțele vieții private a unui cetățean, permițând identificarea unei persoane (date cu caracter personal), cu excepția informațiilor supuse difuzării în mass-media în cazurile stabilite de legea federală.

A doua categorie de informații specificate sunt informațiile care constituie secretul anchetei și al procedurilor judiciare. . Lista definește în continuare un grup de informații oficiale, accesul la care este limitat de autoritățile guvernamentale în conformitate cu Codul civil al Federației Ruse (2, p. 52) și legea federală (secretele oficiale).

Un alt grup de informații din listă indică informații legate de activități profesionale, accesul la care este limitat în conformitate cu Constituția Federației Ruse (1, p. 25) și legea federală (medic, notar, avocat (16), confidențialitatea corespondenței, a convorbirilor telefonice, trimiteri poștale(10), mesaje telegrafice sau de altă natură (17) și așa mai departe).

Următorul grup de informații confidențiale include informații legate de activități comerciale, accesul la care este limitat în conformitate cu Codul civil al Federației Ruse (2) și legile federale (secretele comerciale) (6).

Lista informațiilor confidențiale se termină cu informații despre esența invenției, model de utilitate sau design industrial înainte de publicarea oficială despre acestea (53, p. 51; 82, p. 33).

Informațiile documentate utilizate de un antreprenor în afaceri și în managementul unei întreprinderi, organizații, bănci, companii sau alte structuri sunt informații proprii sau private care au o valoare semnificativă pentru el, proprietatea sa intelectuală.

Valoarea informațiilor poate fi o categorie de cost care caracterizează o anumită sumă de profit atunci când este utilizată sau valoarea pierderilor atunci când este pierdută. Informațiile devin adesea valoroase datorită semnificației sale juridice pentru companie sau dezvoltarea afacerii, de exemplu, documente constitutive, programe și planuri, acorduri cu parteneri și intermediari etc. Valoarea informației poate reflecta și semnificația sa viitoare științifică, tehnică sau tehnologică (58, p. 224).

Informațiile care au valoare intelectuală pentru un antreprenor sunt de obicei împărțite în două tipuri:

1. Tehnic, tehnologic: metode de fabricare a produselor, software, indicatori de producție, formule chimice, rezultate ale testelor prototipurilor, date de control al calității etc. (53, p.50);

2. Afaceri: indicatori de cost, rezultate cercetări de piață, liste de clienți, previziuni economice, strategie de piață etc.

Informațiile valoroase sunt protejate de lege (brevet, drepturi de autor, legi conexe), o marcă comercială sau sunt incluse în categoria de informații care constituie un secret al companiei (58, p. 54).

Astfel, de regulă, toate informațiile care circulă în cadrul unei organizații pot fi împărțite în două părți - deschisă și confidențială (65, p.5).

Valoarea comercială a informației, de regulă, este de scurtă durată și este determinată de timpul necesar unui concurent pentru a dezvolta aceeași idee sau pentru a o fura și a o reproduce, a o publica și a face cunoscută informația publicului. Gradul de valoare al informației și fiabilitatea protecției acesteia sunt direct dependente.

Identificarea și reglementarea compoziției efective a informațiilor care sunt valoroase pentru întreprinzător și constituie un secret al companiei sunt părți fundamentale ale sistemului de securitate a informațiilor. Compus informatie pretioasa este înregistrată într-o listă specială care determină perioada (termenul) și nivelul (clasa) de confidențialitate (adică inaccesibilitatea tuturor), o listă a angajaților companiei cărora li se acordă dreptul de a utiliza aceste informații în munca lor. O listă bazată pe compoziția tipică a informațiilor protejate ale companiilor acest profil, este un material de lucru permanent pentru conducerea companiei, serviciile de securitate si documentatia confidentiala. Este o listă clasificată de informații valoroase tipice și specifice despre lucrările efectuate, produsele fabricate, ideile științifice și de afaceri și inovațiile tehnologice. Lista include informații cu adevărat valoroase despre fiecare lucrare a companiei (51, pp. 45-51).

În plus, poate fi compilată o listă de documente în care aceste informații sunt reflectate (documentate). Lista include și documente care nu conțin informații protejate, dar sunt valoroase pentru companie și sunt supuse protecției. Listele sunt întocmite individual de fiecare companie în conformitate cu recomandările unei comisii speciale și aprobate de primul șef al companiei. Aceeași comisie efectuează în mod regulat modificări curente ale listelor în conformitate cu dinamica efectuării activității specifice a companiei.

Documentele care conțin informații valoroase fac parte din resursele informaționale ale companiei, care pot fi: a) deschise (disponibile pentru personalul fără permisiunea specială) și b) limitate pentru accesul personalului (clasificate ca unul dintre tipurile de secrete - de stat sau nestatale) .

Lista informațiilor clasificate drept informații confidențiale, precum și lista angajaților admiși la aceasta, se întocmesc prin ordin pentru societate.

1.3 Canale de distribuție și scurgere de informații confidențiale

Informația sursă se răspândește întotdeauna în mediul extern. Canalele de difuzare a informațiilor sunt obiective prin natura lor, caracterizate prin activitate și includ: comunicații de afaceri, management, comerț, științifice, reglementate; rețele de informare; canale tehnice naturale.

Canalul de diseminare a informațiilor este o cale de mutare a informațiilor valoroase de la o sursă la alta într-un mod autorizat (permis) sau datorită legilor obiective sau datorită legilor obiective (83, p. 48).

Termenul „scurgere de informații confidențiale” nu este probabil cel mai eufonic, dar reflectă mai succint esența fenomenului decât alți termeni. Ea a fost mult timp înrădăcinată în literatura științifică și documentele de reglementare (99, p. 11). Scurgerile de informații confidențiale constituie ilegale, de ex. eliberarea neautorizată a unor astfel de informații dincolo de zona protejată a funcționării acesteia sau de cercul stabilit de persoane care au dreptul de a lucra cu acestea, dacă această eliberare a dus la primirea de informații (familiarizarea cu acestea) de către persoane care nu au acces autorizat la aceasta. Scurgerile de informații confidențiale înseamnă nu numai primirea acestora de către persoane care nu lucrează la întreprindere, ci accesul neautorizat la informații confidențiale de către persoane dintr-o anumită întreprindere duce, de asemenea, la scurgeri (104, p. 75).

Pierderea și scurgerea de informații confidențiale documentate este cauzată de vulnerabilitatea informațiilor. Vulnerabilitatea informațiilor ar trebui înțeleasă ca incapacitatea informațiilor de a rezista în mod independent influențelor destabilizatoare, de ex. asemenea influențe care încalcă statutul său stabilit (94, p.89). Încălcarea stării oricărei informații documentate constă într-o încălcare a siguranței sale fizice (în general sau cu un anumit proprietar în întregime sau parțial), a structurii și conținutului logic și a accesibilității pentru utilizatorii autorizați. Încălcarea statutului informațiilor confidențiale documentate include, în plus, încălcarea confidențialității acestora (închiderea față de persoane neautorizate). Vulnerabilitatea informațiilor documentate este un concept colectiv. Nu există deloc, dar apare sub diferite forme. Acestea includ: furtul unui mediu de stocare sau a informațiilor afișate pe acesta (furt); pierderea suportului de stocare (pierdere); distrugerea neautorizată a unui mediu de stocare sau a informațiilor afișate în acesta (distrugerea, denaturarea informațiilor (modificare neautorizată, modificare neautorizată, falsificare, falsificare); blocarea informațiilor; dezvăluire de informații (distribuire, dezvăluire).

Termenul „distrugere” este folosit în principal în legătură cu informațiile de pe medii magnetice. Variantele existente ale denumirilor: modificarea, falsificarea, falsificarea nu sunt pe deplin adecvate termenului „denaturare”; au nuanțe, dar esența lor este aceeași - modificare neautorizată parțială sau completă a compoziției informațiilor originale (36, p. 59).

Blocarea informațiilor aici înseamnă blocarea accesului la acestea de către utilizatorii autorizați, nu de către atacatori.

Dezvăluirea informațiilor este doar o formă de manifestare a vulnerabilității informațiilor confidențiale.

Cutare sau cutare formă de vulnerabilitate a informațiilor documentate poate fi realizată ca urmare a unor efecte destabilizatoare intenționate sau accidentale în diverse moduri asupra purtătorului de informații sau asupra informațiilor în sine din sursele de influență. Astfel de surse pot fi persoane, mijloace tehnice de prelucrare și transmitere a informațiilor, mijloace de comunicare, dezastre naturale etc. Metodele de influență destabilizatoare asupra informației sunt copierea (fotografie), înregistrarea, transmiterea, îndepărtarea, infectarea programelor de prelucrare a informațiilor cu un virus. , încălcarea informațiilor tehnologice de prelucrare și stocare, retragere (sau eșec) și întreruperea modului de funcționare a mijloacelor tehnice de prelucrare și transmitere a informațiilor, impact fizic asupra informațiilor etc.

Vulnerabilitatea informațiilor documentate duce sau poate duce la pierderea sau scurgerea de informații. (97, p.12).

Pierderea informațiilor documentate este cauzată de furtul și pierderea suporturilor de stocare, distrugerea neautorizată a suporturilor de stocare sau numai a informațiilor afișate pe acestea, denaturarea și blocarea informațiilor. Pierderea poate fi totală sau parțială, ireversibilă sau temporară (atunci când informațiile sunt blocate), dar în orice caz provoacă daune proprietarului informațiilor.

Dezvăluirea acestuia duce la scurgeri de informații confidențiale documentate. După cum notează unii autori (77, p.94; 94, p.12) în literatură și chiar în documentele de reglementare, termenul „scurgere de informații confidențiale” este adesea înlocuit sau identificat cu termenii: „dezvăluire de informații confidențiale”, „diseminarea informațiilor confidențiale”. Această abordare, din punctul de vedere al specialiștilor, este ilegală. Dezvăluirea sau diseminarea informațiilor confidențiale înseamnă livrarea neautorizată a acestora către consumatori care nu au dreptul de a le accesa. Mai mult, o astfel de livrare trebuie să fie efectuată de cineva, să provină de la cineva. O scurgere apare atunci când informații confidențiale sunt dezvăluite (distribuție neautorizată), dar nu se limitează la acestea. O scurgere poate apărea și ca urmare a pierderii unui mediu de informații documentate confidențiale, precum și a furtului suportului de informare sau a informațiilor afișate pe acesta în timp ce mediul este păstrat în siguranță de către proprietarul său (posesor). Asta nu înseamnă că se va întâmpla. Un transportator pierdut poate cădea în mâini greșite sau poate fi „prins” de o mașină de colectare a gunoiului și distrus în modul stabilit pentru gunoi. În acest din urmă caz, nu are loc nicio scurgere de informații confidențiale. De asemenea, furtul de informații documentate confidențiale nu este întotdeauna asociat cu primirea acestora de către persoanele care nu au acces la acestea. Există multe exemple în care furtul de purtători de informații confidențiale a fost efectuat de la colegii de muncă de către persoane care au avut acces la aceste informații în scopul de a „ajuta” sau de a provoca prejudicii unui coleg. Astfel de media sunt de obicei au fost distruse de persoanele care i-au răpit. Dar, în orice caz, pierderea și furtul informațiilor confidențiale, dacă nu duc la scurgerea acestora, creează întotdeauna o amenințare de scurgere. Prin urmare, putem spune că scurgerea de informații confidențiale este cauzată de dezvăluirea acestora și poate rezulta din furt și pierdere. Dificultatea constă în faptul că deseori este imposibil de împărțit, în primul rând, însuși faptul dezvăluirii sau furtului de informații confidențiale în timp ce purtătorul de informații este păstrat în siguranță de proprietarul său (posesor) și, în al doilea rând, dacă informațiile au ajuns la persoane neautorizate. ca urmare a furtului sau pierderii acestuia.

Deținătorul unui secret comercial este o persoană fizică sau juridică care deține în mod legal informații care constituie un secret comercial și drepturile corespunzătoare în totalitate (91, p. 123).

Informațiile care constituie un secret comercial nu există de la sine. Este afișat în diverse medii care îl pot salva, acumula și transmite. Cu ajutorul lor se folosesc și informațiile. (8; 91, p.123)

Un purtător de informații este un individ sau un obiect material, inclusiv un câmp fizic, în care informația se reflectă sub formă de simboluri, imagini, semnale, soluții tehnice și procese (8; 68, p. 37).

Din această definiție rezultă, în primul rând, că obiectele materiale nu sunt doar ceea ce poate fi văzut sau atins, ci și câmpuri fizice, precum și creierul uman și, în al doilea rând, că informațiile din media sunt afișate nu numai prin simboluri, adică . litere, cifre, semne, dar și imagini sub formă de imagini, desene, diagrame, alte modele iconice, semnale în câmpuri fizice, soluții tehnice în produse, procese tehnice în tehnologia de fabricație a produselor (39, p. 65).

Tipurile de obiecte materiale ca purtători de informații sunt diferite. Acestea pot fi benzi magnetice, discuri magnetice și laser, fotografii, filme, filme video și audio, tipuri diferite produse industriale, procese tehnologice etc. Dar cel mai răspândit tip este suportul pe hârtie (46, p. 11). Informațiile din ele sunt înregistrate de mână, dactilografiate, electronice, tipografice sub formă de text, desen, diagramă, imagine, formulă, grafic, hartă etc. În aceste medii, informațiile sunt afișate sub formă de simboluri și imagini. Astfel de informații din Legea federală „Cu privire la informații...” (8) sunt clasificate ca informații documentate și reprezintă diferite tipuri de documente.

Recent, au avut loc ajustări semnificative ale formelor și mijloacelor de obținere a informațiilor confidențiale prin mijloace informale. Desigur, aceasta se referă în principal la impactul asupra unei persoane ca purtător de informații confidențiale.

O persoană ca obiect de influență este mai susceptibilă la influențe informale decât mijloacele tehnice și alți purtători de informații confidențiale, datorită unei anumite vulnerabilități juridice la momentul actual, a slăbiciunilor umane individuale și a circumstanțelor vieții (64, p. 82).

O astfel de influență informală este, de regulă, ascunsă, ilegală în natură și poate fi efectuată fie individual, fie de către un grup de persoane.

Următoarele tipuri de canale de scurgere de informații sunt posibile pentru o persoană care este purtătoare de informații confidențiale: canal de vorbire, canal fizic și canal tehnic.

Canalul vorbirii de scurgere - informațiile sunt transmise de la proprietarul informațiilor confidențiale prin cuvinte personal către obiectul interesat să primească această informație (29).

Canalul fizic de scurgere - informațiile sunt transmise de la proprietarul informațiilor confidențiale (purtător) prin intermediul hârtiei, electronice, magnetice (criptate sau deschise) sau prin alte mijloace către un obiect interesat să primească această informație (36, p. 62).

Canal de scurgere tehnică - informațiile sunt transmise prin mijloace tehnice (29).

Formele de influență asupra unei persoane care este purtătoare de informații protejate pot fi deschise și ascunse (33).

Influența deschisă asupra proprietarului (purtătorului) a informațiilor confidențiale pentru primirea de către obiectul interesat implică contact direct (101, p. 256).

Influența ascunsă asupra proprietarului (purtătorului) a informațiilor confidențiale pentru primirea acestora de către obiectul interesat se realizează indirect (101, p. 256).

Mijloacele de influență informală ale proprietarului (purtătorului) de informații confidențiale pentru a obține anumite informații de la acesta printr-un canal de vorbire deschis sunt o persoană sau un grup de persoane care interacționează prin: promisiuni de ceva, solicitări, sugestii (107, p. 12). ).

Drept urmare, deținătorul (transportatorul) informațiilor confidențiale este obligat să-și schimbe comportamentul, obligațiile sale oficiale și să transfere informațiile solicitate (91, p. 239).

Influența ascunsă prin canalul de vorbire asupra proprietarului (purtătorului) informațiilor confidențiale se realizează prin constrângere indirectă - șantaj prin intermediul unui terț, interceptări neintenționate sau intenționate etc.

Mijloacele de influență menționate, în cele din urmă, îl obișnuiesc pe proprietarul (purtatorul) informațiilor confidențiale cu toleranța (toleranța) acestuia față de influențele exercitate asupra acestuia (85, p. 220).

Formele de influență asupra proprietarului (purtătorului) informațiilor confidențiale printr-un canal fizic de scurgere pot fi, de asemenea, deschise și ascunse.

Influența deschisă se realizează prin intimidare forța (fizică) (bătăi) sau forță cu rezultat fatal, după primire (bătăi) sau forță cu rezultat fatal, după primirea informațiilor (95, p. 78).

Impactul ascuns este mai subtil și mai extins în ceea ce privește utilizarea fondurilor. Aceasta poate fi reprezentată sub forma următoarei structuri de influență (95, p.79). Obiect interesat - interesele și nevoile purtătorului de informații confidențiale.

În consecință, obiectul interesat acționează în mod ascuns (indirect) asupra intereselor și nevoilor persoanei care deține informațiile confidențiale.

O astfel de influență ascunsă se poate baza pe: frică, șantaj, manipularea faptelor, mită, mită, intimitate, corupție, persuasiune, furnizare de servicii, asigurări cu privire la viitorul unei persoane care este purtătoare de informații confidențiale. (94, p.87)

Forma de influență asupra proprietarului (purtătorului) informațiilor confidențiale prin canale tehnice poate fi, de asemenea, deschisă sau ascunsă.

Mijloace deschise (directe) - fax, telefon (inclusiv sisteme mobile), Internet, comunicații radio, telecomunicații, media.

Mijloacele ascunse includ: ascultarea folosind mijloace tehnice, vizualizarea de pe un ecran de afișare și alte mijloace de afișare a acestuia, accesul neautorizat la un computer personal și software și hardware.

Toate mijloacele de influență avute în vedere, indiferent de formele lor, au un impact informal asupra persoanei care este purtătoarea informațiilor confidențiale și sunt asociate cu metode ilegale și criminale de obținere a informațiilor confidențiale (72).

Posibilitatea de a manipula caracteristicile individuale ale deținătorului (purtătorului) de informații confidențiale cu nevoile sale sociale în vederea obținerii acesteia trebuie luată în considerare la plasarea, selectarea personalului și implementarea politicilor de personal la organizarea muncii cu informații confidențiale.

Trebuie să vă amintiți întotdeauna că faptul de a documenta informații (aplicând-o pe orice mediu tangibil) crește riscul de scurgere de informații. Un mediu material este întotdeauna mai ușor de furat și există un grad înalt în care informațiile necesare nu sunt distorsionate, așa cum se întâmplă atunci când informațiile sunt dezvăluite oral.

Amenințările la adresa siguranței, integrității și confidențialității) informațiilor cu acces restricționat se realizează practic prin riscul formării de canale pentru primirea (extragerea) neautorizată de informații și documente valoroase de către un atacator. Aceste canale sunt un set de direcții neprotejate sau slab protejate de către organizație de posibile scurgeri de informații, pe care atacatorul le folosește pentru a obține informațiile necesare, acces ilegal deliberat la informații protejate și protejate.

Fiecare întreprindere specifică are propriul set de canale pentru accesul neautorizat la informații; în acest caz, companiile ideale nu există.

Aceasta depinde de mulți factori: volumul de informații protejate și protejate; tipuri de informații protejate și protejate (constituind un secret de stat, sau un alt secret - oficial, comercial, bancar etc.); nivelul profesional al personalului, amplasarea clădirilor și a incintelor etc.

Funcționarea canalelor de acces neautorizat la informații atrage în mod necesar scurgerea de informații, precum și dispariția purtătorului acesteia.

Dacă vorbim de scurgeri de informații din vina personalului, se folosește termenul „dezvăluire de informații”. O persoană poate dezvălui informații oral, în scris, prin obținerea de informații folosind mijloace tehnice (copiatoare, scanere etc.), folosind gesturi, expresii faciale și semnale convenționale. Și transmiteți-l personal, prin intermediari, prin canale de comunicare etc. (56, p.458).

Scurgerea (dezvăluirea) informațiilor este caracterizată de două condiții:

1. Informațiile ajung direct la persoana interesată de ea, atacatorul;

2. Informațiile sunt transmise unei terțe părți aleatorii.

În acest caz, o terță parte este înțeleasă ca orice străin care a primit informații din cauza unor circumstanțe independente de controlul acestei persoane, sau a iresponsabilității personalului, care nu are dreptul de a deține informațiile și, cel mai important, această persoană. nu este interesat de această informație (37, p.5 ). Cu toate acestea, informațiile de la o terță parte pot trece cu ușurință unui atacator. În acest caz, o terță parte, din cauza circumstanțelor stabilite de atacator, acționează ca un „blotter” pentru interceptarea informațiilor necesare.

Transferul de informații către o terță parte pare a fi un eveniment destul de comun și poate fi numit neintenționat, spontan, deși faptul dezvăluirii informațiilor apare.

Transferul neintenționat de informații către o terță parte are loc ca urmare a:

1. Pierderea sau distrugerea necorespunzătoare a unui document pe orice suport, a unui pachet de documente, a unui dosar, a înregistrărilor confidențiale;

2. Ignorarea sau nerespectarea deliberată de către angajat a cerințelor de protecție a informațiilor documentate;

3. Vorbarea excesivă a lucrătorilor în absența unui intrus - cu colegii de muncă, rudele, prietenii, alte persoane din locuri publice: cafenele, transport etc. (recent acest lucru a devenit vizibil odată cu răspândirea comunicațiilor mobile);

4. Lucrați cu informații documentate cu acces limitat la organizație în prezența unor persoane neautorizate, transferul neautorizat al acesteia către un alt angajat;

5. Utilizarea informațiilor cu acces limitat în documente deschise, publicații, interviuri, note personale, jurnale etc.;

6. Absența ștampilelor de secret (confidențialitate) pe informațiile de pe documente, marcajele cu ștampilele corespunzătoare pe suporturi tehnice;

7. Prezența în texte a documentelor deschise a informațiilor inutile cu acces limitat;

8. Copierea (scanarea) neautorizată a documentelor, inclusiv a celor electronice, de către un angajat în scopuri oficiale sau de colectare.

Spre deosebire de un terț, un atacator sau complicele acestuia obține intenționat informații specifice și stabilește în mod deliberat, ilegal contactul cu sursa acestor informații sau transformă canalele de difuzare obiectivă a acesteia în canale de dezvăluire sau scurgere a acestora.

Canalele organizaționale de scurgere de informații se disting printr-o mare varietate de tipuri și se bazează pe stabilirea unor relații diverse, inclusiv juridice, între atacator și întreprindere sau angajații întreprinderii pentru accesul ulterior neautorizat la informațiile de interes.

Principalele tipuri de canale organizaționale pot fi:

1. Un atacator este angajat de o întreprindere, de obicei într-o poziție tehnică sau de suport (operator computer, expeditor, curier, curățenie, îngrijitor, paznic, șofer etc.);

2. Participarea la activitatea întreprinderii ca partener, intermediar, client, utilizarea diferitelor metode frauduloase;

3. Căutarea de către atacator a unui complice (asistent de inițiativă) care lucrează în organizație, care devine complice al acestuia;

4. Stabilirea de către atacator a unei relații de încredere cu un angajat al organizației (pentru interese comune, până la relații comune de băutură și dragoste) sau un vizitator obișnuit, un angajat al unei alte organizații care deține informații de interes pentru atacator;

5. Utilizarea legăturilor de comunicare ale organizației - participarea la negocieri, întâlniri, expoziții, prezentări, corespondență, inclusiv corespondență electronică, cu organizația sau cu angajații ei specifici etc.;

6. Utilizarea acțiunilor eronate ale personalului sau provocarea deliberată a acestor acțiuni de către un atacator;

7. Intrare secretă sau fictivă în clădirile și sediile întreprinderii, infracțiune, acces forțat la informații, adică furtul de documente, dischete, hard disk-uri (hard disk) sau computere în sine, șantaj și incitare la cooperare a angajaților individuali, mită și șantajul angajaților, crearea de situații limită etc.;

8. Obținerea informațiilor necesare de la o a treia persoană (aleatorie).

Canalele organizaționale sunt selectate sau formate de către atacator în mod individual, în conformitate cu abilitățile sale profesionale și situația specifică și este extrem de dificil să le prezici. Detectarea canalelor organizaționale necesită o cercetare serioasă și o muncă analitică (75, p. 32).

Oportunități larg răspândite pentru primirea neautorizată de informații cu acces limitat creează suport tehnic tehnologiile fluxului documentelor financiare ale organizației. Orice activitate manageriala si financiara este intotdeauna asociata cu discutarea informatiilor in birouri sau prin intermediul liniilor si canalelor de comunicare (desfasurarea de telefoane video si conferinta), efectuarea de calcule si analizarea situatiilor pe computere, producerea si reproducerea documentelor etc.

Documente similare

Documentatie organizatorica si administrativa. Cerințe de înregistrare, procedură de manipulare documente confidențiale. Modalități de a menține gestionarea confidențială a înregistrărilor. Arhive secrete. Asigurarea securității muncii de birou confidențiale.

lucrare de curs, adăugată 15.01.2017


Direcţii pentru asigurarea securităţii resurselor informaţionale. Caracteristici ale concedierii angajaților care dețin informații confidențiale. Accesul personalului la informații confidențiale, documente și baze de date. Protejarea informațiilor în timpul întâlnirilor.

lucrare curs, adăugată 20.11.2012


Caracteristicile lucrului cu personal care deține secrete confidențiale. Particularități ale angajării și transferării angajaților la locuri de muncă legate de deținerea de informații confidențiale. Accesul personalului la informații confidențiale, documente și baze de date.

lucrare de curs, adăugată 06.09.2011


Analiza sistemului de securitate a informatiilor la intreprindere. Serviciul de Protecție a Informațiilor. Amenințări la securitatea informațiilor specifice întreprinderii. Metode și mijloace de securitate a informațiilor. Modelul unui sistem informatic din perspectiva securitatii.

lucru curs, adăugat 02/03/2011


Caracteristici ale concedierii angajaților care dețin informații confidențiale. Efectuarea transferului de personal la locul de muncă legat de informații clasificate. Metode de realizare a certificării personalului. Intocmirea documentatiilor si comenzilor pentru intreprindere.

rezumat, adăugat 27.12.2013


Conceptul de „informații confidențiale”. Procedura de clasificare a informațiilor comerciale ca secret comercial. caracteristici generale OJSC „Svyaznoy Ural” Îmbunătățirea mecanismului de protecție a informațiilor confidențiale în întreprindere. Analiza eficacității recomandărilor.

lucrare curs, adaugat 26.09.2012


Concept și transfer de date cu caracter personal. Protecția și controlul informațiilor. Răspunderea penală, administrativă și disciplinară pentru încălcarea regulilor de lucru cu datele cu caracter personal. Principalele reguli pentru desfășurarea activității de birou confidențiale.

lucrare curs, adaugat 19.11.2014


Esența informațiilor și clasificarea acesteia. Analiza informațiilor clasificate ca secret comercial. Cercetarea posibilelor amenințări și canale de scurgere de informații. Analiza masurilor de protectie. Analiza asigurării fiabilității și protecției informațiilor din Tism-Yugnefteprodukt LLC.

teză, adăugată 23.10.2013


Securitatea informațiilor și infrastructura de sprijin împotriva impacturilor accidentale sau intenționate de natură naturală și artificială. Protecția informațiilor în timpul negocierilor și în activitatea departamentului de personal, pregătirea unei întâlniri confidențiale.

rezumat, adăugat 27.01.2010


În rezolvarea problemei securității informațiilor, un loc aparte îl ocupă construirea unui sistem eficient de organizare a muncii cu personal care deține informații confidențiale. În structurile de afaceri, personalul include toți angajații.

Secret comercial. Secret oficial. Secrete profesionale. Informații personale.

Termeni și concepte de bază:

Secret comercial (oficial).

Informații personale

Secretul profesional

Cu dezvoltarea societate informaţională Problemele legate de protecția informațiilor confidențiale devin din ce în ce mai mari valoare mai mare. În prezent, aceste probleme nu au fost rezolvate pe deplin și sistematic în legislația rusă. O clasificare detaliată a informațiilor confidențiale, așa cum s-a menționat mai sus, este dată în lista informațiilor confidențiale stabilită prin Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188. În continuare, vom analiza mai detaliat câteva tipuri de informații confidențiale. informație.

secret comercial

Activitățile comerciale ale unei organizații sunt strâns legate de primirea, acumularea, stocarea, prelucrarea și utilizarea diferitelor informații. Nu toate informațiile sunt supuse protecției, ci doar cele care sunt valoroase pentru organizație. Atunci când se determină valoarea informațiilor comerciale, este necesar să se ghideze după proprietățile acesteia, cum ar fi utilitatea, promptitudinea și fiabilitatea.

Utilitatea informaţiei constă în faptul că creează condiţii favorabile pentru acceptarea subiectului solutie promptași obținerea de rezultate eficiente. La rândul său, utilitatea informațiilor depinde de primirea și livrarea la timp către executant. Din cauza primirii în timp util a unor informații importante, oportunitatea de a încheia o tranzacție profitabilă sau o altă tranzacție este adesea ratată.

Criteriile de utilitate și promptitudine sunt strâns legate și interdependente de criteriul fiabilității informațiilor. Motivele apariției unor informații nesigure sunt diferite: percepția incorectă (datorită unei concepții greșite, experienței insuficiente sau cunoștințelor profesionale) a faptelor sau denaturarea deliberată a faptelor întreprinsă într-un anumit scop. Prin urmare, de regulă, informațiile de interes comercial, precum și sursa primirii lor, trebuie verificate dublu.

Deținătorul informațiilor comerciale, pe baza totalității criteriilor enumerate, determină valoarea acestora pentru activitățile sale de afaceri și ia o decizie operațională adecvată.

În literatura economică străină, informația comercială este considerată nu ca un mijloc de obținere a profitului, ci, în primul rând, ca o condiție care promovează sau împiedică realizarea unui profit. Se subliniază în special prezența factorului cost al informațiilor comerciale, adică. capacitatea de a acționa ca subiect de cumpărare și vânzare. Prin urmare, în contextul dezvoltării diverselor forme de proprietate, problema determinării dreptului de proprietate asupra informațiilor este de mare importanță. proprietate intelectuală către o anumită entitate comercială și, în cele din urmă, despre dacă are dreptul de a o proteja.

Definiția și problemele de protecție civilă a secretelor oficiale și comerciale în legislația rusă nu diferă și sunt discutate în art. 139 din prima parte a Codului civil al Federației Ruse, numit „Secrete oficiale și comerciale”:

„Informația constituie secret oficial sau comercial în cazul în care informația are valoare comercială reală sau potențială din cauza necunoscutei acesteia față de terți, nu există acces liber la acestea în temeiul legal, iar proprietarul informațiilor ia măsuri pentru a le proteja. confidențialitatea. Informațiile care nu pot constitui secret oficial sau comercial sunt determinate de lege și de alte acte juridice.

Informațiile care constituie secret oficial sau comercial sunt protejate prin metodele prevăzute de prezentul Cod și de alte legi.

Persoanele care au obținut prin metode ilegale informații care constituie secret oficial sau comercial sunt obligate să compenseze pierderile cauzate. Aceeași obligație este atribuită angajaților care au dezvăluit secrete oficiale sau comerciale contrar unui contract de muncă, inclusiv unui contract, și contractorilor care au făcut acest lucru contrar unui contract de drept civil.”

Asigurarea protecției secretelor de stat nu are legătură directă cu protecția secretelor comerciale. Cu toate acestea, ar trebui remarcate unele posibile excepții. Informațiile comerciale care sunt apreciate ca deosebit de importante nu numai pentru proprietarul său, ci și pentru stat, pot fi preluate sub protecția statului, atunci când este posibil ca un serviciu de informații străin să-și manifeste interesul față de acestea. Problema unei astfel de protecție ar trebui rezolvată pe bază contractuală între antreprenor și agenția federală de securitate, subliniind limitele și funcțiile. activitate profesională acesta din urmă. În ceea ce privește secretul comercial în sine, acesta nu are protecție penală specială sau regim.

Valoarea comercială reală sau potențială a informațiilor este în mare măsură subiectivă și permite unui antreprenor să limiteze accesul la aproape orice informație utilizată în activitățile de afaceri, cu excepția informațiilor determinate de reglementări și acte.

Ce informații nu pot constitui secret comercial? În Decretul Guvernului RSFSR din 5 decembrie 1991 nr. 35 „Pe lista informațiilor care nu pot constitui secret comercial” se precizează:

Actele constitutive (decizia de înființare a unei întreprinderi sau acordul fondatorilor) și Carta;

Documente care dau dreptul de a se angaja în activități comerciale (certificate de înregistrare, licențe, brevete);

Informații privind formele stabilite de raportare a activităților financiare și economice și alte informații necesare pentru verificarea corectitudinii calculării și plății impozitelor și a altor plăți obligatorii către stat sistemul bugetar RSFSR;

Documente privind solvabilitatea;

Informații privind numărul, componența angajaților, a acestora salariile si conditiile de munca, precum si disponibilitatea posturilor vacante;

Documente privind plata impozitelor si platilor obligatorii;

Informații despre contaminare mediu inconjurator, încălcarea legislației antimonopol, nerespectarea condițiilor de muncă sigure, vânzarea de produse care dăunează sănătății publice, precum și alte încălcări ale legislației RSFSR și cuantumul prejudiciului cauzat;

Informații privind participarea funcționarilor companiei în cooperative, întreprinderi mici, parteneriate, societăți pe acțiuni, asociații și alte organizații implicate în activități comerciale.

Același act normativ interzice întreprinderilor de stat și municipale, înainte și în timpul procesului de privatizare a acestora, să clasifice următoarele date ca secret comercial:

Cu privire la mărimea proprietății întreprinderii și a fondurilor acesteia;

Cu privire la investirea fondurilor în active (titluri) profitabile ale altor întreprinderi, în obligațiuni purtătoare de dobândă și împrumuturi, în fondurile autorizate ale asociațiilor în participațiune;

Asupra obligațiilor de credit, comerț și alte obligații ale întreprinderii care decurg din legislația RSFSR și din acordurile încheiate de aceasta;

Cu privire la acorduri cu cooperative, alte întreprinderi nestatale, colective de muncă creative și temporare, precum și cetățeni individuali.

De menționat că restricțiile impuse utilizării informațiilor care constituie secret comercial au drept scop protejarea proprietății intelectuale, materiale, financiare și a altor interese care apar în timpul formării activității de muncă a organizației, personalului departamentului, precum și în perioada cooperarea lor cu angajații altor organizații.

Scopul acestor restricții este de a preveni dezvăluirea, scurgerea sau accesul neautorizat la informații confidențiale. Restricțiile trebuie să fie adecvate și justificate din punctul de vedere al necesității de a asigura securitatea informațiilor. Nu este permisă utilizarea restricțiilor pentru a ascunde greșelile și incompetența conducerii organizației, risipa, concurența neloială și alte fenomene negative în activitățile organizației, precum și pentru a sustrage îndeplinirea obligațiilor contractuale și plata impozitelor.

Secret oficial

Dacă scopul principal al asigurării confidențialității informațiilor care constituie un secret comercial este asigurarea unui avantaj competitiv, atunci protejarea confidențialității secretelor oficiale, deși poate afecta interesele comerciale ale organizației, sarcina principală este asigurarea intereselor clienților sau propriile interese care nu au legătură directă cu activitățile comerciale. Astfel, informațiile referitoare la măsurile de asigurare a siguranței angajaților organizației, securitatea depozitului și a altor spații etc., care nu au legătură directă cu implementarea subiectului, ar trebui clasificate ca secrete oficiale și nu comerciale.

În prezent, instituția secretelor oficiale în dreptul intern este cea mai puțin dezvoltată. Există trei seturi de probleme în această problemă.

În primul rând, problemele informațiilor „limită” și „derivate” necesită reglementare la nivel legislativ. Informația „limită” este o astfel de informație oficială în orice ramură a științei, tehnologiei, producției și managementului, care, cu o anumită generalizare și integrare, devine secret de stat. Informațiile „derivate” sunt informații oficiale obținute ca urmare a fragmentării informațiilor care constituie un secret de stat în componente separate, fiecare dintre acestea neputând fi atribuită acesteia.

În al doilea rând, protecția informațiilor generate în activitățile autorităților publice și managementului necesită o reglementare legală specială. Pentru a forma o instituție administrativ-juridică a secretelor oficiale ar trebui adoptată o lege specială, al cărei efect să se extindă la toate nivelurile sistemului administrației publice.

În al treilea rând, o anumită categorie de informații semnificative ale subiecților raporturilor de drept civil necesită protecție. Aceasta se referă la protecția juridică a informațiilor care în activitățile organizațiilor nu pot fi clasificate ca secret comercial, în ciuda faptului că în Codul civil al Federației Ruse conceptul de secret oficial este direct legat de valoarea comercială reală sau potențială a informație.

Trebuie remarcat faptul că în prezent se practică o abordare simplificată: orice informație despre activitățile de afaceri ale unei organizații, la care accesul este limitat, este clasificată drept secret comercial. Cu toate acestea, prin această abordare, pot apărea dificultăți în determinarea daunelor materiale și a profiturilor pierdute în cazul difuzării ilegale a informațiilor confidențiale, de exemplu, informații despre regimul de securitate al organizației sau alte aspecte ale funcționării acesteia care nu sunt direct legate de implementarea activitatea subiectului. În același timp, aceste informații trebuie protejate, deoarece Succesul comercial al unei organizații depinde în mare măsură de restricționarea accesului la acestea.

Secrete profesionale

În conformitate cu legislația în vigoare, secretele profesionale includ informații legate de activități oficiale lucrători medicali, notari, avocați, detectivi privați, clerici, angajați ai băncilor, oficiilor de registratură, instituții de asigurări. Atât o persoană juridică, cât și o persoană fizică pot acționa ca subiect al secretului profesional.

Păstrarea informațiilor confidențiale primite în legătură cu îndeplinirea funcțiilor profesionale este cauzată în primul rând de standardele de etică profesională, și nu de propriile persoane. interese comerciale antreprenor sau organizație. Corespunzător statut juridic normelor luate în considerare li se acordă consolidarea lor legislativă.

1)secret bancar. Conceptul de secret bancar, în conformitate cu art. 857 din Codul civil al Federației Ruse, acoperă informații despre un cont bancar, depozit, tranzacții în cont, precum și informații despre clienții băncii.

Secretul bancar protejează informațiile confidențiale ale unui client sau informațiile comerciale ale unui corespondent.

Legea federală „Cu privire la bănci și activități bancare” definește responsabilitățile subiecților, categoriile de informații și motivele pentru care informațiile sunt furnizate organismelor guvernamentale, organizațiilor și persoanelor interesate. Instituția de credit și Banca Rusiei garantează secretul tranzacțiilor, conturilor și depozitelor clienților și corespondenților lor. Toți angajații unei instituții de credit sunt obligați să păstreze secrete tranzacțiile, conturile și depozitele clienților și corespondenților săi, precum și alte informații stabilite de instituția de credit, cu excepția cazului în care acest lucru contravine legii federale.

Banca Rusiei nu are dreptul de a dezvălui informații despre conturi, depozite, precum și informații despre anumite tranzacții și operațiuni din rapoartele instituțiilor de credit, primite de aceasta ca urmare a îndeplinirii funcțiilor de licențiere, supraveghere și control, cu excepția: cazurile prevăzute de legile federale.

Astfel, o instituție de credit are dreptul de a clasifica orice informație drept secret bancar, cu excepția celor specificate expres în Lege.

2)secret notarial. Secretul este o regulă specifică actelor notariale. În conformitate cu art. 5 din Fundamentele legislației Federației Ruse privind notarii, notarului în exercitarea atribuțiilor oficiale, precum și persoanelor care lucrează într-un birou notarial, le este interzis să dezvăluie informații, să citească documente care le-au devenit cunoscute în legătură cu cu efectuarea actelor notariale, inclusiv după demisie sau eliberare din funcție, cu excepția cazurilor prevăzute de Fundamente. Obligația păstrării secretului profesional este cuprinsă în textul jurământului notarului.

3)secrete de procedura de obicei împărțit în două tipuri: secret de anchetăşi secretul deliberărilor judecătorilor.

Mister de anchetă este asociat cu interesele desfășurării legale a unei anchete preliminare în cauzele penale (articolul 310 din Codul penal al Federației Ruse „Divulgarea datelor privind investigația preliminară”). Informațiile despre desfășurarea anchetei preliminare pot fi făcute publice numai cu permisiunea procurorului, anchetatorului sau persoanei care efectuează ancheta. Astfel de informații se pot referi atât la natura acțiunilor de investigație care se desfășoară, cât și la baza de probe, la perspectivele anchetei și la cercul de persoane care participă la investigație. Este important de menționat că lista informațiilor care constituie un secret de investigație nu este stabilită legal. Aceasta înseamnă că procurorul, anchetatorul sau persoana care efectuează ancheta are puterea de apreciere de a stabili ce informații despre ancheta preliminară pot fi protejate în mod special și ce nu.

Secretul adunării judecătorilor. Pentru toate cele patru tipuri de procese existente în procedurile judiciare interne, este prevăzută o anumită procedură pentru asigurarea independenței și obiectivității luării unei decizii asupra cazului. Această procedură are unul dintre scopurile de a interzice dezvăluirea informațiilor despre discuțiile, judecățile și rezultatele voturilor care au avut loc în timpul ședinței judecătorilor. Asigurarea secretului ședințelor judecătorilor este stabilită de art. 193 Codul de procedură civilă (Codul de procedură civilă) al Federației Ruse, art. 70 din Legea constituțională federală „Cu privire la Curtea Constituțională a Federației Ruse”, art. 124 din Codul de procedură de arbitraj al Federației Ruse.

4)secretul medical. Potrivit art. 61 din Fundamentele legislației Federației Ruse privind protecția sănătății cetățenilor, informații despre solicitarea de asistență medicală, starea de sănătate a unui cetățean, diagnosticul bolii sale și alte informații obținute în timpul examinării sale și tratamentul constituie un secret medical. Cetăţeanul trebuie să fie confirmat cu o garanţie de confidenţialitate a informaţiilor care i se transmit.

5)privilegiul avocat-client. În conformitate cu Legea federală „Cu privire la avocatura și profesia juridică în Federația Rusă”, un avocat, un avocat asistent și un avocat stagiar nu au dreptul de a dezvălui informațiile furnizate de client în legătură cu acordarea de asistență juridică către l. Mai mult, informațiile confidențiale primite de un avocat pot fi fie sub formă de documente, fie verbale. Legea stabilește garanții pentru independența unui avocat. În special, un avocat nu poate fi audiat în calitate de martor cu privire la împrejurări care i-au fost cunoscute în legătură cu îndeplinirea atribuțiilor sale de avocat sau de reprezentant (articolul 15 din lege).

6)secretul asigurării. Instituția secretului asigurărilor este în multe privințe similară cu instituția secretului bancar. Secretul asigurării, în conformitate cu art. 946 din Codul civil al Federației Ruse, constituie informații primite de asigurător ca urmare a activităților sale profesionale despre asiguratul, persoana asigurată și beneficiarul, starea lor de sănătate, precum și starea proprietății acestor persoane. Pentru încălcarea secretului asigurării, asigurătorul, în funcție de tipul drepturilor încălcate și de natura încălcării, răspunde în conformitate cu regulile prevăzute la art. 139 sau art. 150 Cod civil al Federației Ruse.

Potrivit art. 8 din Legea Federației Ruse „Cu privire la organizarea activității de asigurări în Federația Rusă”, atât persoanele juridice, cât și persoanele fizice - agenți de asigurări și brokerii de asigurări - pot acționa ca o persoană obligată să păstreze secretul asigurării. De asemenea, în conformitate cu art. 33 din menționați funcționari ai Legii organism federal Autoritatea executivă de supraveghere a activităților de asigurare nu are dreptul de a folosi în scop personal sau de a dezvălui sub nicio formă informații care constituie un secret comercial al asigurătorului.

7)conexiune secretă . Legea federală „Cu privire la comunicații”, în ceea ce privește protecția informațiilor, reglementează relațiile sociale legate de asigurarea imposibilității accesului ilegal la mesajele transmise de orice entități - persoane fizice sau juridice - prin intermediul comunicațiilor. Odată cu această formulare a problemei, secretul comunicării devine un instrument de asigurare a siguranței informațiilor confidențiale.

Secretul corespondenței, convorbirilor telefonice, trimiterilor poștale, telegrafice și a altor mesaje transmise prin mijloace electrice și serviciu poștal, este protejat de Constituția Federației Ruse. Responsabilitatea de a asigura respectarea secretului comunicațiilor revine operatorului de comunicații, care este înțeles ca persoană fizică sau juridică care are dreptul de a furniza servicii de comunicații electrice sau poștale. De asemenea, operatorii de telecomunicații sunt obligați să păstreze confidențialitatea informațiilor despre abonați și serviciile de comunicații furnizate acestora, care au devenit cunoscute operatorilor ca urmare a îndeplinirii atribuțiilor profesionale.

8)secret de adopție. Instituția secretului adopției este asociată cu interesele de protecție viață de familieși se exprimă în stabilirea răspunderii civile și penale pentru divulgarea secretului adopției. Potrivit art. 155 din Codul penal al Federației Ruse, secretul adopției poate fi de două tipuri. Prima este deținută de persoanele care sunt obligate să păstreze faptul adopției ca secret oficial sau profesional (judecători, angajați ai administrațiilor locale, autorități de tutelă și alte persoane menționate în partea 1 a articolului 139 din RF IC). Al doilea - toate celelalte persoane, dacă motivele lor egoiste sau alte motive de bază sunt stabilite atunci când dezvăluie secretul adopției fără acordul ambilor părinți adoptivi.

9)secretul mărturisirii. Asigurarea secretului spovedaniei este o chestiune internă a preotului; El nu poartă nicio responsabilitate legală pentru dezvăluirea acesteia. Potrivit părții 2 a art. 51 din Constituția Federației Ruse și partea 7 a art. 3 din Legea federală „Cu privire la libertatea conștiinței și a asociațiilor religioase”, un cleric nu poate fi tras la răspundere pentru refuzul de a depune mărturie în circumstanțe care i-au devenit cunoscute din mărturisire.

Sondajele privind protecția informațiilor confidențiale sunt relevante pentru fiecare întreprindere modernă. Datele confidențiale ale companiei trebuie protejate de scurgeri, pierderi și alte activități frauduloase, deoarece acest lucru poate duce la consecințe critice pentru afacere. Este important să înțelegem ce date necesită protecție și să stabilim modalități și metode de organizare a securității informațiilor.

Date care necesită protecție

Informațiile care sunt extrem de importante pentru afaceri ar trebui să aibă acces limitat în cadrul întreprinderii, iar utilizarea lor este supusă unei reglementări stricte. Datele care trebuie protejate cu grijă includ:

• secret comercial;
• documentație de producție cu caracter secret;
• know-how-ul companiei;
• bază de clienți;
• datele personale ale angajaților;
• alte date pe care compania le consideră necesare pentru a le proteja de scurgeri.

Confidențialitatea informațiilor este adesea încălcată ca urmare a acțiunilor frauduloase ale angajaților, a introducerii de programe malware și a operațiunilor frauduloase ale atacatorilor externi. Nu contează de ce parte provine amenințarea, trebuie să securizați datele confidențiale într-un complex format din mai multe blocuri separate:

• stabilirea listei bunurilor care trebuie protejate;
• elaborarea documentației de reglementare și limitare a accesului la datele companiei;
• determinarea cercului de persoane care vor avea acces la CI;
• definirea procedurilor de răspuns;
• evaluare a riscurilor;
• introducerea mijloacelor tehnice pentru protecţia CI.

Legile federale stabilesc cerințe pentru limitarea accesului la informații confidențiale. Aceste cerințe trebuie îndeplinite de către persoanele care accesează astfel de date. Ei nu au dreptul de a transfera aceste date către terți dacă proprietarul lor nu își dă consimțământul (Articolul 2, paragraful 7 din Legea Federală a Federației Ruse „Cu privire la informații, tehnologiile informaționale și protecția informațiilor”).

Legile federale impun protejarea fundamentelor sistemului constituțional, a drepturilor, intereselor, a sănătății oamenilor, a principiilor morale, asigurarea securității statului și a capacității de apărare a țării. În acest sens, este imperativ să se respecte CI, accesul la care este limitat de legile federale. Aceste reglementări definesc:

• în ce condiții informațiile sunt clasificate ca secrete oficiale, comerciale sau de altă natură;
• respectarea obligatorie a condițiilor de confidențialitate;
• responsabilitatea pentru dezvăluirea CI.

Informațiile primite de angajații companiilor și organizațiilor care desfășoară anumite tipuri de activități trebuie protejate în conformitate cu cerințele legii pentru protecția informațiilor confidențiale, dacă în conformitate cu legea federală li se atribuie astfel de responsabilități. Datele legate de secretele profesionale pot fi furnizate terților dacă acest lucru este prescris de Legea federală sau există o hotărâre judecătorească (când se analizează cazuri de dezvăluire de informații private, identificarea cazurilor de furt etc.).

Protejarea informațiilor confidențiale în practică

În timpul procesului de muncă, angajatorul și angajatul schimbă o cantitate mare de informații, care sunt de altă natură, inclusiv corespondența confidențială, lucrul cu documente interne (de exemplu, datele personale ale angajatului, evoluțiile companiei).

Gradul de fiabilitate al protecției informațiilor depinde direct de cât de valoroasă este aceasta pentru companie. Complexul de măsuri legale, organizatorice, tehnice și de altă natură prevăzute în aceste scopuri este format din diverse mijloace, metode și activități. Acestea pot reduce semnificativ vulnerabilitatea informațiilor protejate și pot preveni accesul neautorizat la acestea, pot înregistra și preveni scurgerea sau dezvăluirea acestora.

Metodele legale trebuie aplicate de toate companiile, indiferent de simplitatea sistemului de protectie folosit. Dacă această componentă lipsește sau nu este respectată în totalitate, compania nu va putea asigura protecția CI și nu va putea să-i tragă la răspundere legal pe cei responsabili pentru pierderea sau dezvăluirea acesteia. Protectie legala- aceasta este în principal pregătirea documentației competente din punct de vedere juridic, lucru corect cu angajații organizației. Oamenii sunt baza sistemului de protecție a informațiilor confidențiale valoroase. În acest caz, este necesar să selectați metode eficiente de lucru cu angajații. Atunci când întreprinderile dezvoltă măsuri pentru a asigura siguranța CI, problemele de management ar trebui să fie o prioritate.

Protecția informațiilor în întreprindere

Dacă apar dispute de drept civil și de muncă cu privire la dezvăluirea, furtul sau alte acțiuni vătămătoare în legătură cu secretele comerciale, decizia privind implicarea anumitor persoane va depinde de corectitudinea creării unui sistem de protejare a acestor informații în organizație.

O atenție deosebită trebuie acordată identificării documentației care constituie un secret comercial, marcarea acesteia cu inscripții corespunzătoare care indică proprietarul informațiilor, numele acesteia, locația și cercul persoanelor care au acces la acestea.

Angajații, atunci când sunt angajați și în timpul activităților lor de muncă pe măsură ce se formează baza CI, trebuie să se familiarizeze cu actele locale care reglementează utilizarea secretelor comerciale și să respecte cu strictețe cerințele pentru manipularea acestora.

Contractele de muncă trebuie să prevadă clauze privind nedivulgarea de către angajat a anumitor informații furnizate acestuia de către angajator pentru utilizarea în munca sa și răspunderea pentru încălcarea acestor cerințe.

Protecția informațiilor IT

Un loc important în protecția CI îl ocupă furnizarea de măsuri tehnice, deoarece în înaltă tehnologie modernă lumea informației Spionajul corporativ, accesul neautorizat la datele întreprinderii și riscurile de pierdere a datelor ca urmare a atacurilor cibernetice virale sunt destul de frecvente. Astăzi, nu doar companiile mari se confruntă cu problema scurgerii de informații, ci și întreprinderile mijlocii și mici simt nevoia să protejeze datele confidențiale.

Încălcatorii pot profita de orice eroare comisă în protecția informațiilor, de exemplu, dacă mijloacele de asigurare a acestora au fost alese incorect, instalate sau configurate incorect.

Hackingul, hacking-ul pe internet și furtul de informații confidențiale, care astăzi devin mai valoroase decât aurul, impun proprietarilor companiilor să le protejeze în mod fiabil și să prevină încercările de a fura și deteriora aceste date. Succesul afacerii depinde direct de asta.

Multe companii folosesc sisteme moderne de apărare cibernetică foarte eficiente, care funcționează sarcini complexe privind detectarea amenințărilor, prevenirea și protecția împotriva scurgerilor. Este necesar să se utilizeze noduri de înaltă calitate, moderne și fiabile, care să poată răspunde rapid la mesajele din sistemele de protecție a blocurilor de informații. În organizațiile mari, din cauza complexității schemelor de interacțiune, a infrastructurii pe mai multe niveluri și a volumelor mari de informații, este foarte dificil să monitorizezi fluxurile de date și să identifici intruziunile în sistem. Aici poate veni în ajutor un sistem „inteligent”, care poate identifica, analiza și efectua alte acțiuni cu amenințări pentru a preveni consecințele negative ale acestora în timp util.

Pentru detectarea, stocarea, identificarea surselor, destinatarilor și metodelor de scurgere de informații sunt utilizate diverse tehnologii IT, printre care merită evidențiate sistemele DLP și SIEM care funcționează într-o manieră integrată și cuprinzătoare.

Sisteme DLP pentru a preveni pierderea datelor

Pentru a preveni furtul informațiilor confidențiale ale companiei, care pot cauza prejudicii ireparabile afacerii (date despre investiții, bază de clienți, know-how etc.), este necesar să se asigure fiabilitatea siguranței acesteia. (Data Loss Prevention) este un protector de încredere împotriva furtului CI. Acestea protejează informațiile simultan prin mai multe canale care pot fi vulnerabile la atacuri:

• conectori USB;
• imprimante care operează local și sunt conectate la rețea;
• unități externe;
• Internet;
• servicii poștale;
• conturi etc.

Scopul principal al sistemului DLP este controlul situației, analizarea acesteia și crearea condițiilor pentru o muncă eficientă și sigură. Sarcina sa este de a analiza sistemul fără a informa angajații companiei despre utilizarea acestei metode de urmărire a nodurilor lucrătorilor. Angajații nici măcar nu sunt conștienți de existența unei astfel de protecție.

Sistemul DLP controlează datele care sunt transmise de cele mai multe diverse canale. Le actualizează și identifică informațiile în funcție de importanța lor în ceea ce privește confidențialitatea. Dacă vorbim într-un limbaj simplu, DLP filtrează datele și le monitorizează siguranța, evaluează fiecare informație individuală și ia o decizie cu privire la posibilitatea de a o ignora. Dacă se detectează o scurgere, sistemul o va bloca.

Utilizarea acestui program vă permite nu numai să salvați date, ci și să determinați cine le-a trimis. Dacă, de exemplu, un angajat al companiei decide să „vândă” informații unui terț, sistemul va identifica o astfel de acțiune și va trimite aceste date la arhivă pentru stocare. Acest lucru vă va permite să analizați informațiile, luând-o din arhivă în orice moment, să detectați expeditorul și să stabiliți unde și în ce scop au fost trimise aceste date.

Sistemele DLP specializate sunt programe complexe și multifuncționale care asigură un grad ridicat de protecție a informațiilor confidențiale. Ele sunt recomandabile să fie utilizate pentru o mare varietate de întreprinderi care necesită protecție specială a informațiilor confidențiale:

• informație privată;
• proprietate intelectuală;
• date financiare;
• informatii medicale;
• datele cardului de credit etc.

sisteme SIEM

Experții consideră că o modalitate eficientă de a asigura securitatea informațiilor este programul (Security Information and Event Management), care vă permite să rezumați și să combinați toate jurnalele proceselor în desfășurare pe diverse resurse și alte surse (sisteme DLP, software, dispozitive de rețea, IDS). , jurnalele sistemului de operare, routere, servere, stații de lucru). utilizatori etc.).

Dacă amenințarea nu a fost identificată în timp util și sistem existent sistemul de securitate a funcționat pentru a respinge atacul (ceea ce nu se întâmplă întotdeauna), „istoria” unor astfel de atacuri devine ulterior inaccesibilă. SIEM va colecta aceste date în întreaga rețea și le va stoca pentru o anumită perioadă de timp. Acest lucru vă permite să utilizați jurnalul de evenimente în orice moment folosind SIEM pentru a utiliza datele sale pentru analiză.

În plus, acest sistem vă permite să utilizați instrumente convenabile încorporate pentru a analiza și procesa incidentele care au avut loc. Convertește formate greu de citit de informații despre incidente, le sortează, le selectează pe cele mai semnificative și le elimină pe cele nesemnificative.

Regulile speciale SIEM specifică condițiile pentru acumularea evenimentelor suspecte. Le va raporta atunci când se acumulează o astfel de cantitate (trei sau mai multe) încât indică o posibilă amenințare. Un exemplu este o parolă incorectă. Dacă se înregistrează un singur eveniment de introducere a unei parole incorecte, SIEM nu va raporta acest lucru, deoarece cazurile de erori unice ale parolei în timpul conectării apar destul de des. Dar înregistrarea încercărilor repetate de a introduce o parolă nevalidă în timp ce vă conectați la același cont poate indica acces neautorizat.

Orice companie de astăzi are nevoie de astfel de sisteme dacă este important pentru ea să-și mențină securitatea informațiilor. SIEM și DLP oferă companiei o protecție completă și fiabilă a informațiilor, ajută la evitarea scurgerilor și vă permit să identificați cine încearcă să dăuneze angajatorului prin furtul, distrugerea sau deteriorarea informațiilor.