Pembangunan sistem perlindungan maklumat sulit

Pendedahan CI bermaksud tindakan sengaja atau cuai orang yang dimasukkan ke CI, yang membawa kepada penyebaran pramatang yang tidak disebabkan oleh keperluan rasmi. maklumat yang ditentukan di kalangan orang, termasuk pekerja JSC, yang maklumat ini tidak dimaklumkan secara rasmi mengikut cara yang ditetapkan; Kebocoran CI ialah penyebaran maklumat tanpa kebenaran di luar ruang fizikal yang ditetapkan.

Perlindungan komprehensif CI bertujuan untuk menyelesaikan dua masalah: melindungi hak organisasi untuk CI, termasuk yang berkaitan dengan kategori harta intelek organisasi (yang dicapai melalui penggunaan norma undang-undang perundangan Persekutuan Rusia semasa); pencegahan ancaman terhadap keselamatan maklumat organisasi, pengenalpastiannya dan pengurangan ketara (yang dicapai melalui pelaksanaan satu set langkah undang-undang, organisasi dan teknikal untuk perlindungan CI, yang dipersetujui mengenai tujuan, tempat dan masa permohonan, membentuk maklumat sulit sistem perlindungan (CIPS)).
SZKI memungkinkan untuk mengukuhkan keselamatan ekonomi organisasi, yang membantu mewujudkan keadaan untuk fungsi mampan jangka panjang organisasi.

Apakah maklumat sulit???
Kategori maklumat sulit termasuk semua jenis maklumat akses terhad dilindungi undang-undang -

. komersial,
. rasmi,
. peribadi.

kecuali rahsia negara. (Perkara 727, 771, 1032 Kanun Sivil Persekutuan Rusia, Perkara 16 Kanun Kastam Persekutuan Rusia, Dekri Presiden Persekutuan Rusia 6 Mac 1997 No. 188 “Pada kelulusan senarai maklumat sulit”)

"Rahsia perdagangan ialah sejenis rahsia yang merangkumi maklumat yang ditubuhkan dan dilindungi oleh pemiliknya dalam mana-mana kawasan aktiviti komersialnya, akses kepada yang terhad untuk kepentingan pemilik maklumat itu."
Rahsia perdagangan adalah salah satu jenis rahsia utama, kerana kejayaan perusahaan menghasilkan produk atau perkhidmatan ditentukan oleh keupayaan untuk bersaing, dan oleh itu dapat melihat bagaimana mungkin untuk mencapai peningkatan keuntungan berbanding pesaing. .
Maklumat yang membentuk rahsia perdagangan boleh termasuk sebarang maklumat perniagaan, kecuali sekatan yang dikenakan oleh Dekri Kerajaan Persekutuan Rusia "Pada senarai maklumat yang tidak boleh menjadi rahsia perdagangan" bertarikh 5 Disember 1991. No. 35
Maklumat yang berkaitan dengan maklumat proprietari biasanya tidak menjadi subjek urus niaga bebas, tetapi pendedahannya boleh menyebabkan kerosakan harta benda kepada organisasi dan merosakkan reputasi perniagaannya.
Dalam Undang-undang Persekutuan 20 Februari 1995 N 24-FZ "Mengenai Maklumat, Pemberitahuan dan Perlindungan Maklumat" maklumat tentang warganegara - data peribadi - maklumat tentang fakta, peristiwa dan keadaan kehidupan warganegara, yang membolehkan keperibadiannya dikenal pasti.

Penciptaan sistem perlindungan CI

Untuk terlibat secara sah dalam perlindungan maklumat sulit, anda perlu mendapatkan lesen untuk menjalankan aktiviti bagi perlindungan teknikal maklumat sulit (Selaras dengan PERATURAN TENTANG AKTIVITI PELESENAN UNTUK PERLINDUNGAN TEKNIKAL MAKLUMAT SULIT Diluluskan oleh Dekri Kerajaan Persekutuan Rusia pada 30 April 2002 N 290). :
Untuk melakukan ini, anda mesti memenuhi keperluan berikut:
a) pelaksanaan aktiviti berlesen oleh pakar dengan pendidikan tinggi pendidikan profesional pengkhususan dalam "keselamatan komputer", "keselamatan maklumat yang komprehensif sistem automatik" atau "keselamatan maklumat sistem telekomunikasi", atau oleh pakar yang telah menjalani latihan semula dalam isu keselamatan maklumat.
b) pematuhan premis pengeluaran, pengeluaran, pengujian dan peralatan kawalan dengan piawaian teknikal dan keperluan yang ditetapkan oleh piawaian negeri Persekutuan Rusia dan dokumen peraturan dan metodologi mengenai perlindungan maklumat teknikal; (perenggan "b" sebagaimana yang dipinda oleh Dekri Kerajaan Persekutuan Rusia bertarikh 23 September 2002 N 689)
c) penggunaan sistem automatik yang diperakui (diperakui mengikut keperluan keselamatan maklumat) yang memproses maklumat sulit, serta cara untuk melindungi maklumat tersebut;
d) penggunaan program oleh pihak ketiga untuk komputer elektronik atau pangkalan data berdasarkan perjanjian dengan pemegang hak cipta mereka.
Untuk mendapatkan lesen, pemohon lesen menyerahkan dokumen berikut kepada pihak berkuasa pelesenan:
a) permohonan untuk mendapatkan lesen yang menunjukkan:
aktiviti berlesen;
nama, bentuk undang-undang dan lokasi - untuk entiti undang-undang;
nama keluarga, nama pertama, patronimik, tempat kediaman, butiran dokumen pengenalan - untuk usahawan individu;
b) salinan dokumen konstituen dan dokumen yang mengesahkan kemasukan entiti undang-undang ke dalam Daftar Entiti Undang-undang Negeri Bersatu; (seperti yang dipinda oleh Dekri Kerajaan Persekutuan Rusia bertarikh 06.02.2003 N 64)
c) salinan sijil pendaftaran negeri pemohon lesen - usahawan individu;
d) salinan sijil pendaftaran pemohon lesen dengan pihak berkuasa cukai yang menunjukkan nombor pengenalan pembayar cukai;
e) dokumen yang mengesahkan pembayaran yuran lesen untuk pertimbangan permohonan untuk mendapatkan lesen;
f) maklumat mengenai kelayakan pakar dalam melindungi maklumat pemohon lesen.
Sekiranya salinan dokumen tidak disahkan oleh notari, dokumen asal mesti dikemukakan bersama salinannya.
Tempoh sah laku lesen adalah lima tahun dan boleh dilanjutkan atas permintaan pemegang lesen mengikut cara yang ditetapkan untuk pembaharuan lesen.
Pengeluaran semula lesen dijalankan dalam tempoh sepuluh hari dari tarikh pihak berkuasa pelesenan menerima permohonan yang berkaitan.
Pembangunan langkah-langkah dan memastikan perlindungan maklumat dijalankan oleh unit perlindungan maklumat (perkhidmatan keselamatan) atau pakar individu yang dilantik oleh pengurusan perusahaan (institusi) untuk menjalankan kerja tersebut. Pembangunan langkah keselamatan maklumat juga boleh dilakukan oleh syarikat pihak ketiga yang mempunyai lesen yang sesuai daripada Suruhanjaya Teknikal Negeri Rusia dan/atau FAPSI untuk hak untuk menyediakan perkhidmatan dalam bidang keselamatan maklumat.
Seperti yang diketahui, undang-undang adalah satu set peraturan dan norma tingkah laku yang mengikat secara amnya yang ditetapkan atau dibenarkan oleh negara berhubung dengan bidang kehidupan dan aktiviti tertentu. Agensi-agensi kerajaan, perusahaan (organisasi) dan penduduk (individu).
Piawaian undang-undang untuk memastikan keselamatan dan perlindungan maklumat di mana-mana perusahaan (firma, organisasi) dicerminkan dalam keseluruhan dokumen konstituen, organisasi dan berfungsi.
Keperluan untuk memastikan keselamatan dan perlindungan maklumat ditunjukkan dalam Piagam:

. perusahaan mempunyai hak untuk menentukan komposisi, skop dan prosedur untuk melindungi maklumat sulit, untuk menghendaki pekerjanya memastikan keselamatan dan perlindungan mereka daripada ancaman dalaman dan luaran;
. Perusahaan bertanggungjawab untuk memastikan keselamatan maklumat sulit.
Keperluan sedemikian memberikan hak pentadbiran perusahaan untuk:
. mewujudkan struktur organisasi untuk melindungi maklumat sulit;
. mengeluarkan dokumen normatif dan pentadbiran yang mentakrifkan prosedur untuk peruntukan maklumat sulit dan mekanisme untuk perlindungan mereka;
. sertakan keperluan perlindungan maklumat dalam 5; kontrak untuk semua jenis aktiviti ekonomi;
. menuntut perlindungan kepentingan perusahaan daripada pihak berkuasa negeri dan kehakiman;
. melupuskan maklumat yang menjadi hak milik perusahaan untuk tujuan mengekstrak
faedah dan pencegahan kerosakan ekonomi kepada pasukan perusahaan dan pemilik alat pengeluaran;
. membangunkan "Senarai Maklumat Sulit". Keperluan untuk keselamatan undang-undang perlindungan maklumat disediakan dalam perjanjian kolektif.

Piagam organisasi mesti mengandungi keperluan berikut:
Bahagian "Hak dan Tanggungjawab":
1. Syarikat mempunyai hak:

. memastikan keselamatan ekonomi mereka, menentukan komposisi, jumlah dan prosedur untuk melindungi maklumat sulit;
. memerlukan pekerja memastikan keselamatan ekonomi dan perlindungan maklumat sulit;
. melaksanakan kawalan ke atas pematuhan langkah-langkah untuk memastikan keselamatan ekonomi dan perlindungan maklumat sulit.

2. Syarikat berkewajipan:

. memastikan keselamatan ekonomi dan keselamatan maklumat sulit;
. melaksanakan kawalan yang berkesan ke atas pelaksanaan langkah keselamatan ekonomi dan perlindungan maklumat sulit.

Bahagian "Maklumat Sulit":
Syarikat mengatur perlindungan maklumat sulitnya. Komposisi dan jumlah maklumat sulit dan prosedur untuk perlindungannya ditentukan oleh Ketua Pengarah.
PENGENALAN TAMBAHAN INI MEMBERIKAN HAK PENTADBIRAN UNTUK:

. mewujudkan struktur organisasi untuk melindungi rahsia perdagangan atau menyerahkan fungsi ini kepada pegawai yang berkaitan;
. mengeluarkan dokumen kawal selia dan pentadbiran yang mentakrifkan prosedur untuk mengasingkan maklumat yang membentuk rahsia dagangan dan mekanisme untuk perlindungan mereka;
. termasuk keperluan untuk perlindungan rahsia perdagangan dalam kontrak untuk semua jenis aktiviti perniagaan (kolektif dan bersama dengan subkontraktor);
. menuntut perlindungan kepentingan syarikat di hadapan pihak berkuasa kerajaan dan kehakiman;
. menguruskan maklumat yang menjadi hak milik syarikat bagi mendapatkan faedah dan mengelakkan kerosakan ekonomi kepada pasukan dan pemilik alat pengeluaran.
Perjanjian kolektif mesti mengandungi keperluan berikut:
Bahagian "Subjek perjanjian"
. Untuk mengelakkan kerosakan ekonomi kepada pasukan, pentadbiran berjanji untuk memastikan pembangunan dan pelaksanaan langkah-langkah untuk keselamatan ekonomi dan perlindungan maklumat sulit.
. Tenaga kerja memikul tanggungjawab untuk mematuhi keperluan yang ditetapkan oleh syarikat untuk keselamatan ekonomi dan perlindungan maklumat sulit.
. Pentadbiran harus mengambil kira keperluan untuk keselamatan ekonomi dan perlindungan maklumat sulit dalam peraturan buruh dalaman, dalam tanggungjawab fungsional pekerja dan peraturan mengenai unit struktur.

Bahagian “Kakitangan. Memastikan disiplin buruh"
Pentadbiran berjanji untuk mempertanggungjawabkan pelanggar syarat untuk keselamatan ekonomi dan perlindungan maklumat sulit mengikut perundangan Persekutuan Rusia.

Adalah dinasihatkan untuk menambah peraturan buruh dalaman untuk pekerja dan pekerja perusahaan dengan keperluan berikut:
Bahagian "Prosedur pengambilan dan pemecatan pekerja dan pekerja"
Apabila mengambil pekerja atau memindahkannya mengikut cara yang ditetapkan ke pekerjaan lain yang berkaitan dengan maklumat sulit, serta apabila memecatnya, pentadbiran bertanggungjawab untuk:

. mengarahkan pekerja mengenai peraturan keselamatan ekonomi dan pemeliharaan maklumat sulit;
. merangka komitmen bertulis untuk tidak mendedahkan maklumat sulit. Pihak pentadbiran mempunyai hak:
. membuat keputusan mengenai penyingkiran daripada kerja orang yang melanggar keperluan untuk perlindungan maklumat sulit;
. melaksanakan kawalan ke atas pematuhan langkah-langkah untuk perlindungan dan tidak mendedahkan maklumat sulit dalam perusahaan.
Bahagian "Tanggungjawab asas pekerja dan pekerja"
Pekerja dan pekerja diwajibkan:
. mengetahui dan mematuhi dengan ketat keperluan untuk keselamatan ekonomi dan perlindungan maklumat sulit;
. memberi aku janji bertulis secara sukarela untuk tidak mendedahkan maklumat sulit;
. merawat penyimpanan dokumen dan produk peribadi dan rasmi yang mengandungi maklumat sulit. Sekiranya mereka hilang, segera maklumkan kepada pihak pentadbiran.
Bahagian "Tanggungjawab utama pentadbiran"
Pentadbiran dan ketua-ketua jabatan bertanggungjawab untuk:
. memastikan pematuhan ketat terhadap keperluan keselamatan ekonomi dan perlindungan maklumat sulit;
. secara konsisten menjalankan kerja organisasi, ekonomi dan pendidikan yang bertujuan untuk melindungi kepentingan ekonomi dan maklumat sulit;
. termasuk keperluan khusus untuk keselamatan ekonomi dan perlindungan maklumat sulit dalam peraturan mengenai jabatan dan huraian kerja;
. sentiasa mematuhi keperluan piagam, perjanjian kolektif, kontrak pekerjaan, peraturan buruh dalaman dan dokumen ekonomi dan organisasi lain dari segi memastikan keselamatan ekonomi dan perlindungan maklumat sulit.

Pentadbiran dan ketua jabatan bertanggungjawab secara langsung ke atas organisasi dan pematuhan terhadap langkah-langkah keselamatan ekonomi dan perlindungan maklumat sulit.

Dalam kontrak untuk menjalankan kerja bersama Keperluan berikut mesti terkandung:
Bahagian "Syarat Kerahsiaan"
Pihak-pihak berjanji untuk tidak memindahkan lesen kepada orang dan tidak mendedahkan maklumat secara terbuka tentang kerja bersama tanpa persetujuan bersama. Bagi pelanggaran syarat ini, pihak-pihak memikul tanggungjawab kewangan untuk kerosakan, kehilangan keuntungan dan kerosakan moral.
Orang yang melanggar syarat kerahsiaan boleh dipertanggungjawabkan mengikut undang-undang yang terpakai.

Kewajipan pekerja, pekerja atau pekerja tertentu dari segi perlindungan maklumat mesti dinyatakan dalam perjanjian pekerjaan (kontrak). Selaras dengan Kod Buruh (Bab III), apabila membuat kontrak pekerjaan, pekerja mengaku janji untuk memenuhi keperluan tertentu yang berkuat kuasa di perusahaan yang diberikan. Terlepas dari bentuk menyimpulkan kontrak (lisan atau bertulis), tandatangan pekerja pada perintah pengambilan pekerja mengesahkan persetujuannya dengan syarat kontrak (Kod Buruh Rusia, Seni. 18).
Keperluan untuk perlindungan maklumat sulit boleh dinyatakan dalam teks perjanjian jika perjanjian itu dibuat secara bertulis. Sekiranya perjanjian itu dibuat secara lisan, maka keperluan perlindungan maklumat yang timbul daripada dokumen pengawalseliaan perusahaan terpakai. Apabila menamatkan kontrak pekerjaan dan mengeluarkan perintah untuk mengambil pekerja baharu, nota dibuat tentang kesedarannya tentang prosedur perlindungan maklumat syarikat. Ini mencipta elemen yang diperlukan kemasukan orang ini ke dalam mekanisme keselamatan maklumat.
Penggunaan perjanjian bukan pendedahan sama sekali bukan langkah bebas untuk melindunginya. Anda tidak sepatutnya berfikir bahawa selepas menandatangani perjanjian sedemikian dengan pekerja baru, rahsia itu akan disimpan. Ini hanyalah amaran kepada pekerja bahawa sistem langkah untuk melindungi maklumat akan mula dimainkan, dan asas undang-undang untuk menghentikan tindakannya yang salah atau menyalahi undang-undang. Tugas seterusnya adalah untuk mengelakkan kehilangan rahsia perdagangan.
Pelaksanaan norma dan akta undang-undang yang bertujuan untuk melindungi maklumat di peringkat organisasi adalah berdasarkan bentuk organisasi dan undang-undang tertentu, termasuk menjaga kerahsiaan kerja dan tindakan, kontrak (perjanjian) dan pelbagai bentuk hukum wajib.
Kerahsiaan ialah satu bentuk pengendalian maklumat yang membentuk maklumat sulit, berdasarkan langkah organisasi yang mengecualikan pemerolehan maklumat tersebut secara menyalahi undang-undang.
Kontrak adalah perjanjian antara pihak (dua atau lebih orang) mengenai penubuhan, pengubahsuaian atau penamatan kewajipan bersama.
Kewajipan adalah hubungan hukum perdata berdasarkan mana satu pihak (penghutang) diwajibkan untuk melakukan tindakan tertentu yang memihak kepada pihak yang lain.
Peraturan undang-undang adalah perlu untuk menambah baik mekanisme untuk mencegah tindakan menyalahi undang-undang berhubung dengan sumber maklumat, untuk menjelaskan dan menyatukan tugas dan kuasa subjek individu dalam bidang aktiviti pencegahan, perlindungan hak dan kepentingan sah rakyat dan organisasi.
Analisis undang-undang yang mengawal selia aktiviti entiti dalam bidang keselamatan maklumat menunjukkan adanya kekurangan tertentu. Norma undang-undang sedia ada tersebar di pelbagai peraturan yang dikeluarkan dalam masa yang berbeza, V keadaan yang berbeza dan pada tahap yang berbeza. Perundangan semasa tidak sistematik, yang menimbulkan kesukaran besar dalam penggunaannya dalam amalan.
Pertahanan organisasi- ini adalah peraturan aktiviti pengeluaran dan perhubungan antara pelaku berdasarkan undang-undang dan peraturan yang mengecualikan atau merumitkan dengan ketara pemerolehan maklumat sulit secara tidak sah dan manifestasi ancaman dalaman dan luaran.
Perlindungan organisasi menyediakan:

. organisasi keselamatan, rejim, bekerja dengan kakitangan,
dengan dokumen;
. penggunaan cara keselamatan teknikal dan maklumat dan aktiviti analisis untuk mengenal pasti ancaman dalaman dan luaran kepada aktiviti perniagaan.

Langkah-langkah organisasi memainkan peranan penting dalam mewujudkan mekanisme perlindungan maklumat yang boleh dipercayai, kerana kemungkinan penggunaan maklumat sulit tanpa kebenaran sebahagian besarnya ditentukan oleh aspek teknikal, tetapi dengan perbuatan jahat, kecuaian, kecuaian dan kecuaian pengguna atau kakitangan pertahanan. Pengaruh aspek ini hampir mustahil untuk dielakkan menggunakan cara teknikal. Ini memerlukan gabungan organisasi, undang-undang dan organisasi dan teknikal aktiviti yang akan mengecualikan (atau, mengikut sekurang-kurangnya, akan meminimumkan) kemungkinan bahaya maklumat sulit.
Aktiviti utama organisasi termasuk:

. organisasi rejim dan keselamatan. Matlamat mereka adalah untuk mengecualikan kemungkinan kemasukan rahsia ke dalam wilayah dan premis orang yang tidak dibenarkan; memastikan kemudahan mengawal laluan dan pergerakan pekerja dan pelawat; penciptaan zon pengeluaran berasingan mengikut jenis kerja sulit dengan sistem bebas akses; kawalan dan pematuhan dengan rejim kerja sementara dan tinggal di wilayah kakitangan syarikat; mengatur dan mengekalkan kawalan akses yang boleh dipercayai dan kawalan pekerja dan pelawat, dsb.;
. organisasi kerja dengan pekerja, yang termasuk pemilihan dan penempatan kakitangan, termasuk membiasakan diri dengan pekerja, kajian mereka, latihan dalam peraturan bekerja dengan maklumat sulit, membiasakan diri dengan langkah-langkah tanggungjawab untuk melanggar peraturan perlindungan maklumat, dll.;
. organisasi penggunaan cara teknikal
pengumpulan, pemprosesan, pengumpulan dan penyimpanan maklumat sulit;
. organisasi kerja pada analisis dalaman dan
ancaman luar terhadap maklumat sulit dan
membangunkan langkah-langkah untuk memastikan perlindungannya;
. organisasi kerja untuk menjalankan pemantauan sistematik kerja kakitangan dengan maklumat sulit, prosedur untuk merekod, menyimpan dan memusnahkan dokumen dan media teknikal.
. organisasi kerja dengan dokumen dan maklumat yang didokumenkan, termasuk organisasi pembangunan dan penggunaan dokumen dan media maklumat sulit, rakamannya, dan pelaksanaan, pemulangan, penyimpanan dan pemusnahan;
Berdasarkan situasi dan untuk menambah baik sistem keselamatan maklumat, saya mencadangkan untuk menggabungkan semua perkhidmatan yang terlibat dalam keselamatan maklumat menjadi satu perkhidmatan dan memanggilnya sebagai perkhidmatan keselamatan, yang fungsinya adalah seperti berikut:
. mengatur dan memastikan kawalan akses dan kawalan intra-kemudahan dalam bangunan dan premis, prosedur keselamatan, memantau pematuhan terhadap keperluan rejim oleh pekerja, penyewa, rakan kongsi dan pelawat;
. menguruskan kerja mengenai perlindungan teknikal, serta peraturan perundangan dan organisasi perhubungan untuk perlindungan rahsia negara dan maklumat sulit;
. membangunkan dokumen asas untuk menyatukan di dalamnya keperluan untuk memastikan keselamatan dan perlindungan rahsia negara dan maklumat sulit, khususnya piagam, peraturan buruh dalaman, peraturan mengenai jabatan, serta kontrak pekerjaan, perjanjian, kontrak, Penerangan mengenai pekerjaan dan tanggungjawab pengurusan, pakar, pekerja dan pekerja;
. membangun dan melaksanakan, bersama-sama dengan jabatan lain, langkah-langkah untuk memastikan kerja dengan dokumen yang mengandungi maklumat yang merupakan rahsia negara dan maklumat sulit; untuk semua jenis kerja, mengatur dan memantau pematuhan dengan keperluan arahan untuk perlindungan rahsia negara dan maklumat sulit ;
. mengkaji semua aspek pengeluaran, komersial, kewangan dan aktiviti lain untuk mengenal pasti dan menutup saluran yang mungkin kebocoran rahsia negara dan maklumat sulit, menyimpan rekod dan menganalisis pelanggaran keselamatan, mengumpul dan menganalisis data mengenai aspirasi jahat pesaing dan organisasi lain berhubung dengan aktiviti organisasi dan pelanggan, rakan kongsi dan subkontraktornya;
. mengatur dan menjalankan siasatan rasmi ke atas pendedahan maklumat, kehilangan dokumen dan pelanggaran keselamatan organisasi yang lain;
. membangunkan, menyelenggara, mengemas kini dan mengembangkan senarai maklumat yang membentuk maklumat sulit dan peraturan lain yang mengawal prosedur untuk memastikan keselamatan dan perlindungan maklumat;
. memastikan pematuhan ketat terhadap keperluan dokumen peraturan mengenai perlindungan maklumat sulit;
. menjalankan pengurusan perkhidmatan keselamatan dan bahagian perusahaan organisasi dari segi syarat yang ditetapkan dalam kontrak untuk perlindungan rahsia negara dan maklumat sulit;
. menganjurkan dan kerap menjalankan latihan untuk pekerja syarikat dan perkhidmatan keselamatan dalam semua bidang melindungi rahsia negara dan maklumat sulit, memastikan bahawa terdapat pendekatan yang sangat sedar untuk melindungi rahsia perdagangan;
. menyimpan rekod peti besi, kabinet logam, kemudahan penyimpanan khas dan premis lain di mana penyimpanan kekal atau sementara bagi rahsia negara dan maklumat sulit dibenarkan;
. menyimpan rekod premis yang diperuntukkan untuk kerja sulit, peralatan teknikal di dalamnya, yang mempunyai potensi saluran untuk kebocoran maklumat;

Perkhidmatan keselamatan hendaklah unit organisasi bebas, melaporkan terus kepada pengarah besar organisasi.

Perkhidmatan keselamatan diketuai oleh ketua perkhidmatan dalam jawatan timbalan Ketua pengarah atas keselamatan.
Secara organisasi, perkhidmatan keselamatan terdiri daripada unit struktur berikut:

. jabatan keselamatan;
. Jabatan Perlindungan Maklumat Sulit:
. Sektor pemprosesan dokumen diklasifikasikan sebagai "maklumat sulit";
. makmal untuk memantau keselamatan daripada akses tanpa kebenaran kepada maklumat sistem dan alatan automatik Teknologi komputer.
. Makmal untuk pemantauan menyeluruh keberkesanan menentang perisikan teknikal asing dan keselamatan maklumat teknikal;
. kumpulan untuk menganalisis kemungkinan mewujudkan saluran teknikal untuk kebocoran maklumat;

Untuk melindungi maklumat sulit, dokumen kawal selia dan undang-undang berikut mesti dibangunkan dalam organisasi:

. Senarai maklumat yang membentuk maklumat sulit organisasi;
. Kewajipan kontrak ketakdedahan CI
. Arahan untuk melindungi maklumat sulit

Perlindungan maklumat pada komputer mesti dijalankan mengikut keperluan Suruhanjaya RD Gostekh, dan STR-k ( keperluan khas dan cadangan untuk perlindungan teknikal maklumat sulit).

Pertama sekali, anda harus membangunkan senarai maklumat yang membentuk maklumat sulit organisasi. Senarai itu mesti termasuk semua maklumat yang menjadi hak milik organisasi.
Maklumat (dan medianya) bermaksud:

. Data yang diperoleh hasil daripada pemprosesan maklumat menggunakan cara teknikal (peralatan pejabat);
. Maklumat sebagai sekeping data yang mengandungi maklumat berguna dan digunakan oleh pekerja organisasi untuk bekerja bagi tujuan rasmi;
. Dokumen (media) yang terbentuk hasil daripada aktiviti mental pekerja organisasi, termasuk maklumat dari mana-mana asal, jenis dan tujuan, tetapi perlu untuk berfungsi normal organisasi.

Maklumat yang disertakan dalam Senarai mempunyai penggunaan terhad (aplikasi). Sekatan yang diperkenalkan ke atas penggunaan maklumat yang membentuk maklumat sulit bertujuan untuk melindungi harta intelek, material, harta kewangan dan kepentingan lain yang timbul dalam organisasi aktiviti buruh pekerja (kakitangan) jabatannya, serta dalam kerjasama mereka dengan pekerja perusahaan lain. .
Secara keseluruhan, maklumat sulit mesti difahami sebagai maklumat yang bukan rahsia negara, tetapi yang berkaitan, pertama sekali, dengan pengeluaran, pengurusan, kewangan atau aktiviti ekonomi lain organisasi, pendedahan (pemindahan, kebocoran, kecurian) yang boleh membahayakan kepentingannya atau kepentingan pemiliknya.
Asas perundangan untuk perlindungan maklumat sulit adalah bahagian dua Kanun Sivil Persekutuan Rusia.
Apabila membangunkan senarai, anda harus dipandu oleh:

. Perlembagaan Persekutuan Rusia, diterima pakai pada 12 Disember 1993
. Undang-undang Persekutuan Rusia "Mengenai Rahsia Negara" No. 5485-1 pada 21 Julai 1993
. Undang-undang Persekutuan Persekutuan Rusia "Mengenai maklumat, maklumat dan perlindungan maklumat" No. 24-FZ bertarikh 02.20.95
. Dekri Presiden Persekutuan Rusia "atas kelulusan Senarai maklumat yang diklasifikasikan sebagai rahsia negara" No. 1203 bertarikh 30 November 1995
. Dekri Presiden Persekutuan Rusia "atas kelulusan Senarai maklumat yang bersifat sulit" No. 188 bertarikh 03/06/97
. Dekri Kerajaan Persekutuan Rusia "Pada Senarai maklumat yang tidak boleh menjadi rahsia komersial" No. 35 bertarikh 12/05/91
. Maklumat yang tersedia secara umum secara sah, termasuk menurut Dekri Kerajaan Persekutuan Rusia No. 35 pada 5 Disember 1991:
. Dokumen konstituen (keputusan untuk menubuhkan perusahaan atau perjanjian pengasas) dan piagam;
. Dokumen yang memberi hak untuk terlibat dalam aktiviti keusahawanan (sijil pendaftaran, lesen, paten);
. Maklumat mengenai bentuk pelaporan yang ditetapkan mengenai aktiviti kewangan dan ekonomi dan maklumat lain yang diperlukan untuk mengesahkan ketepatan pengiraan dan pembayaran cukai dan pembayaran wajib lain kepada negara. sistem belanjawan Rusia;
. Dokumen kesolvenan; maklumat tentang bilangan, komposisi pekerja, gaji dan keadaan kerja mereka, serta ketersediaan pekerjaan yang tersedia;
. Dokumen mengenai pembayaran cukai dan pembayaran wajib;
. Maklumat tentang pencemaran alam sekitar, pelanggaran undang-undang antimonopoli, ketidakpatuhan terhadap keadaan kerja yang selamat, penjualan produk yang berbahaya kepada kesihatan awam, serta pelanggaran lain undang-undang Persekutuan Rusia dan tahap kerosakan yang disebabkan;
. Maklumat mengenai penyertaan pegawai syarikat dalam koperasi, perusahaan kecil, perkongsian dan organisasi lain yang terlibat dalam aktiviti keusahawanan.
. Analisis kebaikan dan keburukan untuk penggunaan terbuka dan tertutup (dalaman) maklumat tersebut.
. Analisis sifat kerosakan yang mungkin berlaku sekiranya penyebaran maklumat sulit tanpa kebenaran;

Selepas draf senarai telah dibangunkan, ia dibincangkan dan diluluskan di ETC dan dipersetujui dengan pengarah besar organisasi, ketua-ketua perkhidmatan utama dan jabatan. Senarai itu diperkenalkan melalui perintah pengarah besar organisasi sebagai lampiran kepadanya.
Kakitangan organisasi yang, disebabkan sifat kerja atau tanggungjawab fungsi mereka, dibenarkan untuk mengakses maklumat yang membentuk maklumat sulit, mesti membiasakan diri dengan perintah ini dan lampirannya dengan tandatangan.
Senarai itu hendaklah diedarkan dalam cara yang berbeza sekurang-kurangnya sekali setahun kepada semua pekerja organisasi yang menggunakan dalam kerja mereka sebahagian atau dalam maklumat penuh, maklumat, data atau bekerja dengan dokumen DSP dan media mereka. Semua orang yang diupah oleh organisasi mesti menjalani latihan dan membaca memo mengenai mengekalkan maklumat sulit.
Pekerja yang telah mendapat akses kepada maklumat dan dokumen sulit mesti menandatangani obligasi kontrak bertulis individu (Lampiran 2) mengenai ketidakdedahan mereka. Kewajipan itu disediakan dalam satu salinan dan disimpan dalam fail peribadi pekerja selama sekurang-kurangnya 5 tahun selepas pemecatannya. Selepas dipecat daripada organisasi, dia diberi aku janji untuk tidak mendedahkan maklumat sulit organisasi.
Seterusnya, arahan perlu dibangunkan yang mengawal selia prosedur untuk pekerja mengakses data komputer, prosedur untuk mencipta, merekod, menyimpan dan memusnahkan dokumen sulit organisasi. Apabila menulis arahan sedemikian, seseorang harus dipandu oleh peruntukan GOST R6 30-2003- "Sistem dokumentasi bersatu.", serta "Sistem bersatu dokumentasi organisasi dan pentadbiran. Keperluan untuk penyediaan dokumen", yang diterima pakai dan dikuatkuasakan oleh Dekri Piawaian Negeri Persekutuan Rusia bertarikh 3 Mac 2003 No. 65-Art.
Arahan untuk melindungi maklumat sulit hendaklah terdiri daripada bahagian berikut:

1. PERUNTUKAN AM.
2. MAKLUMAT SULIT
3. TANGGUNGJAWAB UNTUK PENDEDAHAN MAKLUMAT SULIT
4. SISTEM AKSES PEKERJA KEPADA KOMPONEN MAKLUMAT CI.
4.1 JUMLAH ORANG YANG BERHAK MEMBERI KEBENARAN UNTUK MENGAKSES DOKUMEN SULIT
4.2 TATACARA PENDAFTARAN KEBENARAN MENGAKSES DOKUMEN SULIT
4.3. PROSEDUR AKSES KE MESYUARAT MENGENAI ISU YANG MENGANDUNGI MAKLUMAT SULIT
5. PENYEDIAAN DAN PENERBITAN DOKUMEN SULIT
6. PERAKAUNAN, LALUAN DAN PENGHANTARAN DOKUMEN SULIT YANG DITERBITKAN
7. PENERIMAAN, PERAKAUNAN DAN LALUAN DOKUMEN YANG DITERIMA
8. PERAKAUNAN DOKUMEN SULIT DALAM PENYIMPANAN DEDIKASI
9. PERAKAUNAN JURNAL DAN FAIL KAD
10. ORGANISASI PENYIMPANAN DOKUMEN SULIT
11. ORGANISASI DAN TEKNOLOGI UNTUK KAWALAN PELAKSANAAN DOKUMEN SULIT
12. PENGELUARAN SEMULA DOKUMEN
13. KEMUSNAHAN DOKUMEN
14. PENYUSUNAN DAN PENDAFTARAN PENAMAAN KES YANG DIKLASIFIKASIKAN “SULIT”
15. PEMBENTUKAN DAN PENDAFTARAN KES
16.MENYEMAK KESEDIAAN DOKUMEN SULIT.
17. PENYEDIAAN DOKUMEN SULIT UNTUK PENYIMPANAN ARKIB
18. PROSEDUR UNTUK MEMPINDAHKAN DOKUMEN SULIT KE ARKIB
19.PERMOHONAN

Perlindungan CI adalah salah satu faktor terpenting dalam mewujudkan prasyarat untuk kewujudan stabil dan pembangunan progresif sesebuah organisasi.
Syarat utama untuk memastikan keselamatan maklumat organisasi dalam konteks pendekatan yang dimaksudkan untuk menyelesaikan masalah perlindungan CI ialah:

. membina model penyerang dan pesaing berdasarkan pencarian dan pengesahan maklumat tentang niat dan aspirasi mereka;
. menentukan senarai maklumat yang menjadi objek untuk melindungi kepentingan pihak berkenaan dalam bidang tertentu aktivitinya;
. pembentukan struktur sistem perlindungan CI diutamakan untuk kebimbangan berdasarkan sintesis, pengoptimuman struktur dan penilaian teknikal dan ekonomi pilihan alternatif SKZKI;
. menguruskan proses pelaksanaan pelan yang dipilih untuk perlindungan CI dan kerja penyelarasan untuk mengatur perlindungan CI antara semua bahagian struktur organisasi yang berminat;
. menggabungkan langkah-langkah organisasi dan pentadbiran untuk melindungi CI dengan penglibatan aktif semua kakitangan organisasi dalam proses ini;
. pengenalan liabiliti peribadi (termasuk bahan) pegawai di semua peringkat, serta pekerja lain dalam kebimbangan yang diterima masuk ke CI, untuk memastikan rejim kerahsiaan ditubuhkan dalam JSC.

Dokumen di atas telah dibangunkan dengan mengambil kira keperluan am kepada kandungan dan format dokumen tersebut.
Anda boleh menerima dokumen yang dibangunkan oleh pengarang; untuk melakukan ini, hanya hantar permintaan untuk arahan tersebut kepada saya melalui e-mel, menunjukkan nama organisasi, bidang aktiviti).

Perlindungan maklumat yang berkesan dalam sistem komputer ah dicapai dengan menggunakan cara yang sesuai, yang boleh dibahagikan kepada beberapa kumpulan:

1) sekatan akses kepada maklumat;

2) perlindungan maklumat apabila menghantarnya melalui saluran komunikasi;

3) perlindungan terhadap kebocoran maklumat melalui pelbagai bidang fizikal yang timbul semasa operasi cara teknikal sistem komputer;

4) perlindungan daripada kesan program virus;

5) keselamatan penyimpanan dan pengangkutan maklumat pada media dan perlindungannya daripada penyalinan.

Tujuan utama alat tersebut adalah untuk menyekat akses kepada sumber maklumat tempatan dan rangkaian sistem komputer, yang menyediakan: pengenalpastian dan pengesahan pengguna, sekatan akses pengguna berdaftar kepada sumber maklumat, pendaftaran tindakan pengguna, perlindungan memuatkan sistem pengendalian. daripada media fleksibel, memantau integriti alatan keselamatan maklumat dan sumber maklumat. Walaupun kesamaan fungsi alat keselamatan maklumat kumpulan ini, ia berbeza antara satu sama lain dalam keadaan operasi, kerumitan penyediaan dan pengurusan parameter, pengecam yang digunakan, senarai acara berdaftar dan kos. Cara keselamatan maklumat terbahagi kepada rasmi , yang melaksanakan fungsi ini mengikut prosedur yang telah ditetapkan tanpa campur tangan manusia, dan tidak formal (mengehadkan aktiviti kakitangan atau mengawal selia mereka dengan teruk).

Cara perlindungan utama termasuk teknikal Dan perisian ; cara teknikal biasanya dibahagikan kepada fizikal Dan perkakasan.

Maksud fizikal direalisasikan melalui peranti kendiri Dan sistem keselamatan (penggera keselamatan, cangkerang perisai untuk peralatan, perlindungan perisai dalaman premis individu, cara pengawasan luaran dan dalaman, kunci pintu, dsb.).

Perkakasan- ini ialah peranti yang dibina terus ke dalam peranti yang bersambung dengan peralatan yang digunakan untuk memproses data melalui antara muka standard (litar kawalan maklumat pariti, litar perlindungan medan memori mengikut kunci dan daftar khas).

KEPADA perisian kaitkan program khas, dan/atau modul yang melaksanakan fungsi keselamatan maklumat.

Penggunaan hanya satu daripada kaedah perlindungan maklumat di atas tidak menyelesaikan masalah - pendekatan bersepadu diperlukan. Terdapat dua kaedah utama yang biasa digunakan: kawalan halangan dan akses.

Sekat– penciptaan halangan fizikal (untuk akses ke wilayah organisasi, terus ke media storan fizikal).

Kawalan Akses– kawal selia dan kawal selia akses yang dibenarkan kepada teknikal, perisian, sumber maklumat sistem.

Sebaliknya, kawalan akses yang dibenarkan dipastikan melalui tertentu fungsi perlindungan:

Pengenalan pengguna – tugasan awal kepada setiap pengguna nama peribadi, kod, kata laluan, analog yang disimpan dalam sistem keselamatan;

Pengesahan (pemeriksaan kuasa) – proses membandingkan pengecam yang dibentangkan dengan yang disimpan dalam sistem;

Mewujudkan syarat untuk bekerja dalam peraturan yang ditetapkan, iaitu pembangunan dan pelaksanaan langkah-langkah komprehensif di mana akses tanpa kebenaran dikurangkan kepada minimum;

Pendaftaran permintaan kepada sumber yang dilindungi;

Respons yang mencukupi terhadap tindakan yang tidak dibenarkan.

Program antivirus - cara perlindungan yang paling biasa adalah terhadap komputer individu pengguna rumah kepada rangkaian korporat yang besar ( Antivirus Kaspersky 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).

Tandatangan digital elektronik (EDS)- urutan aksara yang diperoleh hasil daripada transformasi kriptografi data elektronik. Tandatangan digital ditambahkan pada blok data dan membolehkan penerima blok mengesahkan sumber dan integriti data dan melindungi daripada pemalsuan. EDS digunakan sebagai analog tandatangan tulisan tangan.

Kemudahan penyulitan telus melindungi data daripada pendedahan yang tidak disengajakan dan menghalang pengintip daripada menyusup data pengguna lain. Pada masa yang sama, kunci penyulitan disimpan dalam akaun, jadi bagi pemilik sah maklumat, penyahsulitannya berlaku tanpa disedari. Terdapat beberapa penyelesaian sedemikian di pasaran; khususnya, ia ditawarkan oleh Microsoft. Penyelesaian Microsoft digunakan dalam sistem pengendalian dalam bentuk sistem fail kriptografi EFS. Walau bagaimanapun, jika pekerja yang mempunyai hak akses kepada data yang disulitkan secara tidak sengaja menghantarnya melalui e-mel atau memindahkannya ke media yang tidak disulitkan, perlindungan akan terjejas. Untuk menghapuskan risiko kebocoran tidak sengaja tersebut, syarikat boleh mengawal pemindahan data melalui e-mel dan protokol Web (untuk melindungi penghantaran melalui mel Web). Tetapi terhadap pemindahan data tersembunyi yang boleh dibuat oleh pengintip, sistem sedemikian kemungkinan besar tidak akan dapat memberikan keselamatan. Khususnya, tiada perlindungan boleh membuka fail yang disulitkan dengan betul, dan oleh itu tidak boleh menyemak kandungannya. Walau bagaimanapun, bagi syarikat domestik yang paling menarik ialah perkhidmatan pembangunan sistem bersepadu perlindungan, yang juga termasuk penciptaan mekanisme untuk mencegah ancaman dalaman.

Kawalan kandungan. Lonjakan minat terkini dalam sistem kawalan kandungan telah didorong oleh kebimbangan spam. Walau bagaimanapun, tujuan utama alat kawalan kandungan adalah untuk mengelakkan kebocoran maklumat sulit dan menyekat penyalahgunaan Internet. Salah satu keutamaan pengeluar alat tersebut adalah untuk memastikan operasi sistem kawalan kandungan tidak dirasai oleh pengguna.

Tembok api adalah dan merupakan alat asas yang memastikan perlindungan sambungan ke rangkaian luaran, kawalan akses antara segmen rangkaian korporat, dan perlindungan aliran data yang dihantar melalui rangkaian terbuka. Perkara pertama (dan paling penting) yang perlu dilakukan untuk memastikan keselamatan rangkaian ialah memasang dan mengkonfigurasi tembok api dengan betul (juga dipanggil tembok api). Firewall - dalam sains komputer - penghalang perisian dan/atau perkakasan antara dua rangkaian, membenarkan hanya sambungan internet yang dibenarkan diwujudkan. Firewall melindungi rangkaian korporat yang disambungkan ke Internet daripada penembusan luar dan menghalang akses kepada maklumat sulit. Mengkonfigurasi dan menyelenggara tembok api dengan betul adalah tanggungjawab pentadbir sistem yang berpengalaman.

Untuk melindungi rangkaian kecil, di mana tidak perlu membuat banyak tetapan yang berkaitan dengan pengedaran jalur lebar yang fleksibel dan mengehadkan trafik mengikut protokol untuk pengguna, lebih baik menggunakan gerbang Internet atau penghala Internet.

Firewall juga melakukan pengimbasan anti-virus bagi kandungan WEB atau E-mel yang dimuat turun. Pangkalan data anti-virus data dikemas kini melalui Internet untuk memastikan perlindungan rangkaian apabila virus baru muncul. Semua statistik mengenai aliran data, penggera tentang serangan daripada Internet dan maklumat tentang aktiviti pengguna pada navigasi web disimpan dalam masa nyata dan boleh disediakan dalam bentuk laporan.

Tinjauan perlindungan maklumat sulit adalah relevan untuk semua orang perusahaan moden. Data syarikat yang sulit mesti dilindungi daripada kebocoran, kerugian dan aktiviti penipuan lain, kerana ini boleh membawa kepada akibat kritikal untuk perniagaan. Adalah penting untuk memahami apa yang data memerlukan perlindungan dan untuk menentukan cara dan kaedah mengatur keselamatan maklumat.

Data yang memerlukan perlindungan

Maklumat yang sangat penting untuk perniagaan harus mempunyai akses terhad dalam perusahaan, dan penggunaannya tertakluk pada peraturan yang ketat. Data yang perlu dilindungi dengan teliti termasuk:

• rahsia perdagangan;
• dokumentasi pengeluaran yang bersifat rahsia;
• pengetahuan syarikat;
• asas pelanggan;
• data peribadi pekerja;
• data lain yang dianggap perlu oleh syarikat untuk melindungi daripada kebocoran.

Kerahsiaan maklumat sering dilanggar akibat tindakan penipuan oleh pekerja, pengenalan perisian hasad dan operasi penipuan oleh penyerang luar. Tidak kira dari mana ancaman datang, anda perlu mengamankan data sulit dalam kompleks yang terdiri daripada beberapa blok berasingan:

• menentukan senarai aset yang akan dilindungi;
• pembangunan dokumentasi yang mengawal selia dan mengehadkan akses kepada data syarikat;
• menentukan bulatan orang yang akan mempunyai akses kepada CI;
• menentukan prosedur tindak balas;
• penilaian risiko;
• pengenalan cara teknikal untuk perlindungan CI.

Undang-undang persekutuan menetapkan keperluan untuk mengehadkan akses kepada maklumat sulit. Keperluan ini mesti dipenuhi oleh orang yang mengakses data tersebut. Mereka tidak mempunyai hak untuk memindahkan data ini kepada pihak ketiga jika pemiliknya tidak memberikan persetujuannya (Perkara 2, perenggan 7 Undang-undang Persekutuan Persekutuan Rusia "Mengenai Maklumat, Teknologi Maklumat dan Perlindungan Maklumat").

Undang-undang persekutuan memerlukan perlindungan asas sistem perlembagaan, hak, kepentingan, kesihatan rakyat, prinsip moral, memastikan keselamatan negeri dan keupayaan pertahanan negara. Dalam hal ini, adalah penting untuk mematuhi CI, akses kepada yang dihadkan oleh undang-undang persekutuan. Peraturan ini mentakrifkan:

• dalam keadaan apa maklumat itu diklasifikasikan sebagai rahsia rasmi, komersial atau lain-lain;
• pematuhan mandatori dengan syarat kerahsiaan;
• tanggungjawab untuk pendedahan CI.

Maklumat yang diterima oleh pekerja syarikat dan organisasi yang terlibat dalam jenis aktiviti tertentu mesti dilindungi mengikut keperluan undang-undang untuk perlindungan maklumat sulit, jika menurut Undang-undang Persekutuan mereka diberikan tanggungjawab tersebut. Data yang berkaitan dengan rahsia profesional boleh diberikan kepada pihak ketiga jika ini ditetapkan oleh Undang-undang Persekutuan atau terdapat keputusan mahkamah (apabila mempertimbangkan kes pendedahan maklumat peribadi, mengenal pasti kes kecurian, dsb.).

Melindungi maklumat sulit dalam amalan

Semasa proses kerja, majikan dan pekerja membuat pertukaran jumlah yang besar maklumat pelbagai jenis, termasuk surat-menyurat sulit, bekerja dengan dokumen dalaman (contohnya, data peribadi pekerja, perkembangan syarikat).

Tahap kebolehpercayaan perlindungan maklumat secara langsung bergantung pada betapa berharganya ia untuk syarikat. Set langkah undang-undang, organisasi, teknikal dan lain-lain yang disediakan untuk tujuan ini terdiri daripada pelbagai cara, kaedah dan aktiviti. Mereka boleh mengurangkan kerentanan maklumat yang dilindungi dengan ketara dan menghalang capaian yang tidak dibenarkan kepadanya, merekod dan mencegah kebocoran atau pendedahannya.

Kaedah undang-undang mesti digunakan oleh semua syarikat, tanpa mengira kesederhanaan sistem perlindungan yang digunakan. Jika komponen ini hilang atau tidak dipatuhi sepenuhnya, syarikat tidak akan dapat memastikan perlindungan CI, tidak akan dapat secara sah membawa ke muka pengadilan mereka yang bertanggungjawab atas kehilangan atau pendedahannya. Perlindungan undang-undang- ini pada asasnya celik huruf terma undang-undang penyediaan dokumentasi, kerja yang betul dengan pekerja organisasi. Orang adalah asas kepada sistem untuk melindungi maklumat sulit yang berharga. Dalam kes ini, adalah perlu untuk memilih kaedah yang berkesan untuk bekerja dengan pekerja. Apabila perusahaan membangunkan langkah untuk memastikan keselamatan CI, isu pengurusan harus menjadi keutamaan.

Perlindungan maklumat dalam perusahaan

Jika undang-undang sivil dan pertikaian buruh timbul mengenai pendedahan, kecurian atau tindakan berbahaya lain yang berkaitan dengan rahsia perdagangan, keputusan tentang penglibatan orang tertentu akan bergantung pada ketepatan mewujudkan sistem untuk melindungi maklumat ini dalam organisasi.

Perhatian khusus harus diberikan untuk mengenal pasti dokumentasi yang menjadi rahsia perdagangan, menandakannya dengan inskripsi yang sesuai yang menunjukkan pemilik maklumat, nama, lokasi dan kalangan orang yang mempunyai akses kepadanya.

Pekerja, apabila diambil bekerja dan semasa aktiviti kerja mereka sebagai pangkalan CI dibentuk, mesti membiasakan diri dengan akta tempatan yang mengawal selia penggunaan rahsia perdagangan dan mematuhi keperluan untuk mengendalikannya dengan tegas.

Kontrak pekerjaan mesti menetapkan klausa mengenai ketidakdedahan oleh pekerja maklumat tertentu yang diberikan kepadanya oleh majikan untuk digunakan dalam kerjanya, dan liabiliti untuk pelanggaran keperluan ini.

perlindungan maklumat IT

Tempat penting dalam perlindungan data komputer diduduki oleh penyediaan langkah teknikal, kerana dalam dunia maklumat teknologi tinggi moden, pengintipan korporat, akses tanpa kebenaran kepada data perusahaan, dan risiko kehilangan data akibat serangan siber virus. agak biasa. Hari ini, bukan sahaja syarikat besar berhadapan dengan masalah kebocoran maklumat, malah perniagaan sederhana dan kecil merasakan keperluan untuk melindungi data sulit.

Pelanggar boleh mengambil kesempatan daripada sebarang ralat yang dibuat dalam perlindungan maklumat, sebagai contoh, jika cara untuk memastikan ia telah dipilih secara salah, dipasang atau dikonfigurasikan dengan salah.

Penggodaman, penggodaman Internet dan pencurian maklumat sulit, yang hari ini menjadi lebih berharga daripada emas, memerlukan pemilik syarikat untuk melindunginya dengan pasti dan menghalang percubaan untuk mencuri dan merosakkan data ini. Kejayaan perniagaan secara langsung bergantung kepada ini.

Banyak syarikat menggunakan sistem pertahanan siber moden yang sangat berkesan yang melaksanakan tugas yang kompleks untuk mengesan ancaman, mencegahnya dan melindungi daripada kebocoran. Ia adalah perlu untuk menggunakan nod berkualiti tinggi, moden dan boleh dipercayai yang mampu bertindak balas dengan cepat kepada mesej daripada sistem perlindungan blok maklumat. DALAM organisasi besar disebabkan oleh kerumitan skim interaksi, infrastruktur pelbagai peringkat dan jumlah yang besar maklumat adalah sangat sukar untuk mengesan aliran data dan mengenal pasti fakta pencerobohan ke dalam sistem. Di sinilah sistem "pintar" boleh datang untuk menyelamatkan, yang boleh mengenal pasti, menganalisis dan melakukan tindakan lain dengan ancaman untuk mengelakkan akibat negatifnya tepat pada masanya.

Untuk mengesan, menyimpan, mengenal pasti sumber, penerima dan kaedah kebocoran maklumat, pelbagai teknologi IT digunakan, antaranya ia patut ditonjolkan sistem DLP dan SIEM yang berfungsi secara bersepadu dan menyeluruh.

Sistem DLP untuk mengelakkan kehilangan data

Untuk mengelakkan kecurian maklumat sulit syarikat, yang boleh menyebabkan kemudaratan yang tidak boleh diperbaiki kepada perniagaan (data pelaburan, pangkalan pelanggan, pengetahuan, dsb.), adalah perlu untuk memastikan kebolehpercayaan pemeliharaannya. (Pencegahan Kehilangan Data) ialah pelindung yang boleh dipercayai terhadap kecurian CI. Mereka melindungi maklumat secara serentak melalui beberapa saluran yang mungkin terdedah kepada serangan:

• Penyambung USB;
• pencetak tempatan yang beroperasi dan disambungkan ke rangkaian;
• pemacu luaran;
• Internet;
• perkhidmatan pos;
• akaun, dsb.

Tujuan utama sistem DLP adalah untuk mengawal keadaan, menganalisisnya dan mewujudkan keadaan untuk berkesan dan kerja selamat. Tugasnya adalah untuk menganalisis sistem tanpa memaklumkan kepada pekerja syarikat tentang penggunaan kaedah menjejaki nod pekerja ini. Pekerja tidak menyedari kewujudan perlindungan sedemikian.

Sistem DLP mengawal data yang paling banyak dihantar pelbagai saluran. Ia mengemas kini mereka dan mengenal pasti maklumat mengikut kepentingannya dari segi kerahsiaan. Secara ringkas, DLP menapis data dan memantau keselamatannya, menilai setiap maklumat individu dan membuat keputusan tentang kemungkinan melangkaunya. Jika kebocoran dikesan, sistem akan menyekatnya.

Menggunakan program ini membolehkan anda bukan sahaja menyimpan data, tetapi juga untuk menentukan siapa yang menghantarnya. Jika, sebagai contoh, pekerja syarikat memutuskan untuk "menjual" maklumat kepada pihak ketiga, sistem akan mengenal pasti tindakan sedemikian dan menghantar data ini ke arkib untuk penyimpanan. Ini akan membolehkan anda menganalisis maklumat, mengambilnya dari arkib pada bila-bila masa, mengesan pengirim, dan menentukan tempat dan untuk tujuan apa data ini dihantar.

Sistem DLP khusus ialah program yang kompleks dan pelbagai fungsi yang menyediakan tahap perlindungan yang tinggi terhadap maklumat sulit. Mereka dinasihatkan untuk digunakan untuk pelbagai jenis perusahaan yang memerlukan perlindungan khas terhadap maklumat sulit:

• maklumat peribadi;
• harta intelek;
• data kewangan;
• maklumat perubatan;
• data kad kredit dan lain-lain.

sistem SIEM

Pakar percaya bahawa cara yang berkesan untuk memastikan keselamatan maklumat ialah program (Maklumat Keselamatan dan Pengurusan Acara), yang membolehkan anda meringkaskan dan menggabungkan semua log proses yang sedang berjalan pada pelbagai sumber dan sumber lain (sistem DLP, perisian, peranti rangkaian, IDS, log OS, penghala, pelayan, stesen kerja pengguna, dsb.).

Jika ancaman itu tidak dikenal pasti tepat pada masanya, dan sistem keselamatan sedia ada berfungsi untuk menangkis serangan (yang tidak selalu berlaku), "sejarah" serangan sedemikian kemudiannya menjadi tidak boleh diakses. SIEM akan mengumpul data ini merentas keseluruhan rangkaian dan menyimpannya untuk tempoh masa tertentu. Ini membolehkan anda menggunakan log peristiwa pada bila-bila masa menggunakan SIEM untuk menggunakan datanya untuk analisis.

Selain itu, sistem ini membolehkan anda menggunakan alatan terbina dalam yang mudah untuk menganalisis dan memproses insiden yang telah berlaku. Ia menukar format maklumat yang sukar dibaca tentang insiden, menyusunnya, memilih yang paling penting dan menghapuskan yang tidak penting.

Peraturan SIEM khas menyatakan syarat untuk pengumpulan peristiwa yang mencurigakan. Ia akan melaporkannya apabila kuantiti sedemikian (tiga atau lebih) terkumpul yang menunjukkan kemungkinan ancaman. Contohnya ialah kata laluan yang salah. Jika satu peristiwa suntikan direkodkan kata laluan salah, SIEM tidak akan melaporkan perkara ini kerana ralat kata laluan sekali sahaja semasa log masuk adalah perkara biasa. Tetapi merekodkan percubaan berulang untuk memasukkan kata laluan yang tidak sah semasa log masuk ke akaun yang sama mungkin menunjukkan akses yang tidak dibenarkan.

Mana-mana syarikat hari ini memerlukan sistem sedemikian jika ia penting untuk mengekalkan keselamatan maklumatnya. SIEM dan DLP menyediakan lengkap dan boleh dipercayai keselamatan maklumat syarikat, bantu mengelakkan kebocoran dan membolehkan anda mengenal pasti seseorang yang cuba membahayakan majikan dengan mencuri, memusnahkan atau merosakkan maklumat.

Penyata Induk menggariskan pendekatan seragam terhadap kerahsiaan dan merupakan garis panduan utama yang mengikat semua pekerja:

• Senarai data yang menjadi rahsia perdagangan. Senarai data sulit, senarai data peribadi pekerja, dsb.
• Sekatan akses percuma kepada maklumat tersebut
• Dokumen mengenai penggunaan dan pemindahan maklumat sulit
• Sekatan untuk menyalin maklumat sulit kepada media
• Jika perlu, gunakan langkah teknikal/organisasi/perisian untuk melindungi maklumat sulit yang tidak melanggar undang-undang negara
• Tanggungjawab untuk ketidakpatuhan terhadap rejim kerahsiaan mesti ditentukan

peraturan

• Undang-undang Persekutuan 20 Februari 1995 No. 24-03 "Mengenai maklumat, pemformatan dan perlindungan maklumat"
• Undang-undang Persekutuan Rusia pada 29 Julai 2004 No. 98-F3 "Mengenai rahsia perdagangan"
• Undang-undang Persekutuan Rusia pada 10 Januari 2002 No. 1-F3 "Pada tandatangan digital elektronik"
• Undang-undang Persekutuan Persekutuan Rusia pada 30 Disember 2001 No. 197-F3 "Kod Buruh Persekutuan Rusia"

Syarat

Mod privasi- organisasi, perundangan dan langkah teknikal diterima oleh perusahaan.

Data sulit- data tentang objek, orang, fakta, proses, tanpa mengira bentuk, membentuk rahsia perdagangan, yang dilindungi oleh undang-undang negara, dan peraturan dan dokumen perusahaan.

Pemindahan maklumat sulit— pemilik menyampaikan maklumat sulit kepada pekerja dalam bentuk yang didokumenkan, mengikut prosedur undang-undang yang ditetapkan. Dokumen sulit ialah maklumat sulit yang direkodkan pada medium ketara dengan butiran yang membolehkan pengenalannya.

Cop kerahsiaan- terdapat perkara berikut:

• Rahsia perdagangan - sejenis cop kerahsiaan untuk dokumen yang mempunyai data dan merupakan rahsia perdagangan sesebuah perusahaan
• Data peribadi - jenis setem pada dokumen yang mengandungi data peribadi pekerja
• Untuk kegunaan dalaman - sejenis label kerahsiaan untuk dokumen yang mempunyai maklumat lain yang dilindungi

Tanda sekatan: tanda yang menyekat akses kepada data.

Skim untuk mengklasifikasikan maklumat sebagai sulit

Maklumat sulit perusahaan mungkin terdiri daripada:

• data yang menentukan rahsia perdagangan
• data peribadi pekerja syarikat
• data lain yang diklasifikasikan sebagai sulit

Maklumat sulit mungkin termasuk:

• data tentang peristiwa dan fakta kehidupan pekerja yang membolehkan identitinya dikenal pasti
• data tertakluk kepada perundangan negara di tangan perusahaan
• maklumat teknikal, organisasi atau perniagaan lain:
  • yang mungkin mempunyai potensi atau nilai komersial sebenar
  • yang tidak boleh diakses di khalayak ramai
  • berhubung dengan mana pemilik melihat nilai di dalamnya

Maklumat benar-benar berharga jika ia:

• mempunyai maklumat tentang peningkatan pendapatan
• tentang mengelakkan kerugian
• faedah lain

• terkandung dalam daftar negeri
• data mengenai aktiviti usahawan, lesen dan dokumen lain yang menunjukkan jenis ini aktiviti
• Segala-galanya yang berkaitan dengan belanjawan persekutuan dan perkara-perkara di mana wang ini dibelanjakan
• Mengenai keadaan keselamatan kebakaran, alam sekitar, dsb.
• Mengenai bilangan pekerja, ketersediaan
• Mengenai tunggakan pembayaran gaji dan bayaran lain
• tentang pelanggaran undang-undang negara dan akibatnya
• Mengenai syarat penswastaan ​​objek milik negara, mengenai peserta dalam penyediaan perjanjian penswastaan
• dalam senarai orang yang boleh bertindak bagi pihak entiti undang-undang tanpa surat kuasa wakil

Tahap kerahsiaan data mesti sepadan dengan keterukan kerosakan yang mungkin berlaku kepada perusahaan atau pekerjanya. Kerosakan merujuk kepada perbelanjaan yang akan dibelanjakan untuk: pemulihan hak yang dilanggar, kerugian, kerosakan, kehilangan pendapatan.

Skim akses kepada dokumen dan maklumat sulit

Akses kepada data sulit untuk pekerja perusahaan dijalankan menggunakan perintah daripada ketua pengarah keselamatan perusahaan. Akses pekerja kepada maklumat sulit hanya boleh dilakukan selepas menandatangani kontrak pekerjaan.

Hak orang yang diberi akses kepada maklumat sulit

Pekerja yang mempunyai akses kepada maklumat sulit mesti:

• melaksanakan rejim kerahsiaan
• tidak mendedahkan maklumat sulit selama tiga tahun selepas tamat kontrak pekerjaan
• Beritahu pihak pengurusan kanan dengan segera tentang sebarang pendedahan atau ancaman pendedahan maklumat sulit yang diketahui
• Jika pekerja itu bersalah atas fakta pendedahan, dia mesti membayar ganti rugi
• Berikan semua media material kepada perusahaan dengan maklumat sulit selepas penamatan kontrak pekerjaan

Pekerja yang mempunyai akses kepada maklumat sulit DILARANG:

• menjalankan perbualan mengenai maklumat sulit melalui saluran komunikasi yang tidak selamat, gunakan cara perlindungan yang tidak didokumenkan
• menggunakan maklumat sulit dalam artikel terbuka, ucapan
• menjalankan penggambaran foto atau video di premis di mana kerja dengan maklumat sulit dijalankan

Algoritma untuk mengendalikan maklumat sulit

• Perakaunan untuk dokumen sulit
• Penyediaan dokumen sulit

Rejim kerahsiaan semasa bekerja dalam sistem maklumat ditentukan oleh Peraturan mengenai prosedur dan organisasi kerja untuk melindungi maklumat sulit. Apabila meletakkan maklumat sulit pada medium mudah alih, tanda kerahsiaan ditunjukkan pada label kertas. Dokumen yang dicetak dan ditandatangani diserahkan untuk pendaftaran. Draf dimusnahkan. Setiap salinan dokumen sulit mempunyai kepentingan yang sama dengan yang asal. Salinan itu juga didaftarkan dan mempunyai nombor sendiri dalam senarai umum.

Keselamatan maklumat sulit mesti dipastikan. Ia mesti diletakkan di premis khas dengan akses terhad.

Algoritma untuk mengangkut maklumat sulit ke perusahaan lain

Pemindahan maklumat sulit kepada rakan niaga adalah mungkin jika mereka menandatangani "Perjanjian Kerahsiaan". Jika ejen kekurangan maklumat, dia beralih kepada gen. pengarah keselamatan perusahaan.

Kawalan kerahsiaan

Pemantauan pelaksanaan rejim kerahsiaan di perusahaan diwujudkan untuk mengkaji dan menilai keadaan keselamatan data sulit, mengenal pasti kekurangan dan mengenal pasti pelanggaran rejim. Kawalan ke atas pelaksanaan rejim disokong oleh Timbalan Jeneral. pengarah keselamatan perusahaan.

Pelaksanaan rejim disemak oleh suruhanjaya (orang perseorangan) yang dilantik oleh jeneral. pengarah perusahaan. Suruhanjaya mempunyai hak untuk melibatkan pakar pihak ketiga dalam persetujuan dengan pengarah. Pemeriksa mempunyai hak untuk membiasakan diri dengan semua dokumen dan menjalankan perundingan. Jabatan tempat pemeriksaan dijalankan sedang melaksanakan rancangan untuk menghapuskan kekurangan yang dikenalpasti. Pelan itu dipersetujui dengan timbalan. gen. pengarah keselamatan perusahaan.

Menjalankan siasatan dalaman terhadap pendedahan maklumat sulit

Untuk menjalankan siasatan rasmi, selewat-lewatnya pada hari berikutnya selepas penemuan kebocoran atas perintah jeneral. Pengarah membuat komisen sekurang-kurangnya 3 orang. Ahli suruhanjaya mempunyai hak:

• menjalankan pemeriksaan ke atas premis dan tempat di mana persidangan itu berada. dokumentasi
• temuduga pekerja
• menarik orang tambahan yang tidak berminat dengan keputusan kes seperti yang dipersetujui oleh gen. pengarah

Siasatan rasmi harus dijalankan secepat mungkin.

• - komersial;
• - rasmi;
• - peribadi (peribadi) dengan pengecualian rahsia negara (Perkara 727, 771, 1032 Kanun Sivil Persekutuan Rusia, Perkara 16 Kanun Kastam Persekutuan Rusia, Dekri Presiden Persekutuan Rusia pada 6 Mac, 1997 No. 188 "Pada kelulusan senarai maklumat sulit").

Ciri undang-undang maklumat sulit ialah dokumentasi, sekatan akses kepada maklumat mengikut undang-undang dan kekurangan akses percuma kepadanya berdasarkan undang-undang.

"Rahsia perdagangan ialah sejenis rahsia yang merangkumi maklumat yang ditubuhkan dan dilindungi oleh pemiliknya dalam mana-mana kawasan aktiviti komersialnya, akses kepada yang terhad untuk kepentingan pemilik maklumat itu." Rahsia perdagangan adalah salah satu jenis rahsia utama, kerana kejayaan perusahaan menghasilkan produk atau perkhidmatan ditentukan oleh keupayaan untuk bersaing, dan oleh itu dapat melihat bagaimana mungkin untuk mencapai peningkatan keuntungan berbanding pesaing. .

Maklumat yang membentuk rahsia perdagangan boleh termasuk sebarang maklumat perniagaan, kecuali sekatan yang dikenakan oleh Dekri Kerajaan Persekutuan Rusia "Pada senarai maklumat yang tidak boleh menjadi rahsia perdagangan" bertarikh 5 Disember 1991 No. 35.

Di Rusia, undang-undang dalam bidang melindungi hak kepada maklumat komersial sulit baru mula terbentuk. Apa yang baru dalam mengawal selia hubungan dalam bidang ini ialah penggunaan Undang-undang Persekutuan 29 Julai 2004 No. 98-FZ "Mengenai Rahsia Perdagangan".

Kesan umum yang kekal selepas membaca teks Undang-undang boleh ditakrifkan sebagai bercanggah. Di satu pihak, satu akta pengawalseliaan telah muncul yang mentakrifkan secara terperinci rejim dan prosedur untuk melindungi maklumat yang menjadi rahsia perdagangan. Sebaliknya, Undang-undang jauh dari sempurna. Apabila ia diwujudkan, penggubal undang-undang memperkenalkan norma yang, pada pendapat penyelidik, menyukarkan untuk melindungi rahsia perdagangan dan memulihkan hak yang dilanggar.

Undang-undang tidak mengecualikan pemakaian peraturan am mengenai rahsia perdagangan yang diperuntukkan dalam Seni. 139 Kanun Sivil Persekutuan Rusia, dan menamakan Kanun Sivil Persekutuan Rusia dan undang-undang persekutuan lain sebagai sumber. Oleh itu, Undang-undang melengkapkan rangka kerja kawal selia yang sedia ada dan hanya menggantikan sebahagiannya.

Walau bagaimanapun, walaupun apabila membaca definisi rahsia perdagangan, kita melihat ketidakselarasan istilah antara Undang-undang dan Kanun Sivil Persekutuan Rusia. Undang-undang mentakrifkan konsep rahsia perdagangan melalui harta maklumat: rahsia perdagangan ialah “kerahsiaan maklumat” (Klausa 1 Perkara 3 Undang-undang) (Bahasa Inggeris: confident - secrecy). Kanun Sivil Persekutuan Rusia menganggap rahsia perdagangan terutamanya sebagai jenis maklumat yang mempunyai "nilai komersial kerana ketidaktahuannya kepada pihak ketiga," yang berkenaan dengan langkah-langkah yang digunakan untuk melindungi kerahsiaannya (Perkara 139 Kanun Sivil Persekutuan Rusia). Walaupun tidak penting pada pandangan pertama percanggahan antara konsep, kami menerima dua definisi berbeza yang bersaing dalam kuasa undang-undang mereka.

Undang-undang membezakan bentuk di mana ia wujud maklumat yang berharga, dan kandungan maklumat itu sendiri. Ini termasuk “maklumat saintifik, teknikal, teknologi, pengeluaran, kewangan, ekonomi atau lain-lain, termasuk maklumat yang membentuk rahsia perdagangan (pengetahuan)” (Klausa 2 Perkara 3 Undang-undang.

Senarai jenis maklumat yang mungkin mempunyai nilai komersial dibuka.

Undang-undang masih memberi pemilik (pemilik) maklumat hak untuk menentukan nilainya secara bebas.

Definisi rahsia perdagangan yang terkandung dalam Undang-undang mencerminkan sifat Undang-undang itu sendiri. Penekanan utama di dalamnya adalah pada prosedur untuk perlindungan maklumat komersial. Menurut Undang-undang, mereka memungkinkan untuk menyediakan syarat minimum yang diperlukan untuk perlindungan hak yang dicabuli di mahkamah, dan juga membezakan antara akses yang sah dan tidak sah sebagai elemen kesalahan.

Dalam hal ini, adalah sukar untuk memahami definisi pemilik maklumat yang membentuk rahsia perdagangan yang diberikan dalam Undang-undang. Selaras dengan perenggan 4 Seni. 3 Undang-undang ialah seseorang yang memiliki maklumat sedemikian "secara sah". Oleh itu, dengan membuktikan fakta pelanggaran hak, adalah perlu untuk membuktikan kesahihan pemilikannya. Adalah mungkin untuk mendokumenkan hak kepada rahsia perdagangan jika, sebagai contoh, ia tertakluk kepada pendaftaran negeri (paten, sijil). Dalam kes ini, kepentingan pemilik dilindungi oleh undang-undang paten dan hak cipta. Jika rahsia dagangan terdiri daripada perjanjian yang dirakam pada media audio, atau ini adalah idea yang tidak dipatenkan, agak sukar untuk membuktikan keutamaan dan kesahihan pemilikan maklumat tersebut.

Jelas sekali, adalah perlu untuk mengesahkan sambungan objektif maklumat dengan pemiliknya. Contohnya, maklumat tentang organisasi pemilik, transaksinya, dsb. mesti mengandungi petunjuk organisasi pemilik dan dilindungi oleh pautan khas pada media kerahsiaan, seperti yang diperuntukkan dalam fasal 5, bahagian 1, seni. 10 Undang-undang.

Undang-undang merujuk kepada pemindahan maklumat hanya pada medium ketara (fasal 6 Perkara 3 Undang-undang) dan di bawah syarat perjanjian khas. Dalam bahagian ini, Undang-undang mengehadkan jumlah maklumat yang dilindungi di bawah rejim rahsia berbanding dengan definisi yang diberikan dalam Kanun Sivil Persekutuan Rusia, dalam Seni. 139 yang tidak menyebut media material, tetapi berkaitan dengan perlindungan maklumat sulit.

Akibatnya, berpandukan Undang-undang, kes-kes, sebagai contoh, pendedahan maklumat yang tidak direkodkan pada media ketara dikecualikan daripada perlindungan undang-undang. Khususnya, ini mungkin maklumat tentang sebarang keputusan diterima pakai oleh organisasi tentang mempromosikan produk anda, dan maklumat yang serupa.

Di satu pihak, pendekatan ini memudahkan proses pembuktian, sebaliknya, mengehadkan kemungkinan melindungi kepentingan pemilik maklumat.

Undang-undang memperkenalkan buat pertama kalinya definisi konsep "rejim rahsia perdagangan". Dengan menyemak semula alasan undang-undang Untuk melindungi rahsia perdagangan, perhatian khusus harus diberikan kepada rejim rahsia perdagangan. Kegagalan untuk mematuhinya melibatkan kehilangan peluang untuk melindungi hak yang dicabuli terhadap rahsia perdagangan (Bahagian 1 Perkara 7 dan Bahagian 2 Perkara 10 Undang-undang).

Sistem syarat yang membentuk rejim rahsia perdagangan adalah sangat besar dan memerlukan kos yang besar di pihak pemilik atau penerima rahsia perdagangan.

Khususnya, Bahagian 1 Seni. 10 Undang-undang memperuntukkan:

• - penentuan senarai maklumat yang membentuk rahsia perdagangan;
• - menyekat akses kepada maklumat yang membentuk rahsia dagangan dengan mewujudkan prosedur untuk mengendalikan maklumat ini dan memantau pematuhan prosedur sedemikian;
• - perakaunan orang yang menerima akses kepada maklumat yang membentuk rahsia perdagangan dan (atau) orang yang maklumat tersebut telah diberikan atau dipindahkan;
• - peraturan perhubungan mengenai penggunaan maklumat yang membentuk rahsia dagangan oleh pekerja berdasarkan kontrak pekerjaan dan kontraktor berdasarkan kontrak undang-undang sivil;
• - meletakkan pada media ketara (dokumen) yang mengandungi maklumat yang membentuk rahsia perdagangan, setem "Rahsia Dagangan" yang menunjukkan pemilik maklumat ini (untuk entiti undang-undang - nama penuh dan lokasi, untuk usahawan individu - nama keluarga, nama pertama, patronimik warganegara yang merupakan usahawan individu, dan tempat tinggal).

Pemilik rahsia perdagangan mesti menetapkan prosedur tertentu untuk pengedaran maklumat sulit, serta menyediakan unit kakitangan tambahan untuk mengawal peredaran tersebut. Di samping itu, adalah perlu untuk membawa kepada pematuhan atau membangunkan semula pakej besar dokumentasi pengawalseliaan dalaman.

Sekurang-kurangnya, organisasi yang memiliki rahsia dagangan mesti:

• - membangunkan peruntukan mengenai rahsia perdagangan dan aliran dokumen semua media maklumat berlabel "Rahsia Dagangan";
• - mengeluarkan perintah kepada organisasi mengenai akses kepada rahsia perdagangan;
• - ditetapkan dalam kontrak pekerjaan syarat-syarat tambahan mengenai kewajipan sukarela pekerja untuk mematuhi rejim rahsia perdagangan.

Oleh itu, di satu pihak, Undang-undang meluaskan kuasa badan-badan negara untuk mengawal aktiviti ekonomi organisasi. Sebaliknya, proses melindungi hak pemilik maklumat telah menjadi lebih rumit.

Maklumat yang berkaitan dengan maklumat proprietari biasanya tidak menjadi subjek urus niaga bebas, tetapi pendedahannya boleh menyebabkan kerosakan harta benda kepada organisasi dan merosakkan reputasi perniagaannya.

Keperluan yang sistematik peraturan undang-undang institusi rahsia rasmi disebabkan oleh beberapa sebab, termasuk: ketiadaan dalam perundangan pendekatan bersatu untuk kategori maklumat akses terhad yang sepadan; banyak contoh penyebaran (penjualan) maklumat secara haram yang terkumpul dalam badan kerajaan dan berkaitan sama ada dengan individu atau aktiviti entiti perniagaan; sekatan ke atas penyebaran maklumat yang dikenakan mengikut budi bicara mereka oleh ketua badan kerajaan dan kakitangan negeri (perbandaran) mengenai pemberian maklumat kepada rakyat, organisasi awam, dan media.

Tahap peraturan peraturan prosedur untuk mengendalikan maklumat proprietari pengedaran terhad, institusi yang kini boleh dianggap sebagai analog rahsia rasmi zaman sosialis, atas beberapa sebab tidak boleh dianggap memuaskan. Satu-satunya akta undang-undang yang mengawal selia kumpulan ini perhubungan undang-undang - "Peraturan mengenai prosedur untuk mengendalikan maklumat rasmi pengedaran terhad dalam pihak berkuasa eksekutif persekutuan", diluluskan oleh Dekri Kerajaan Persekutuan Rusia pada 3 November 1994 No. 1233 (DSP). Peraturan ini hanya terpakai kepada aktiviti pihak berkuasa eksekutif persekutuan, walaupun maklumat serupa dijana dan diterima oleh mana-mana pihak berkuasa negeri dan kerajaan tempatan. Banyak syarat penting yang menentukan prosedur untuk mengklasifikasikan maklumat sebagai maklumat rasmi tidak ditetapkan dalam Peraturan dan diserahkan kepada ketua pihak berkuasa eksekutif persekutuan, yang tidak boleh dianggap betul, kerana sekatan ke atas akses kepada maklumat harus ditetapkan hanya oleh undang-undang persekutuan. Oleh itu, tahap peraturan undang-undang jelas tidak mencukupi; lebih-lebih lagi, pada peringkat dekri Kerajaan Persekutuan Rusia, adalah mustahil untuk membina sistem jangka panjang dan stabil untuk melindungi maklumat yang mempunyai tempoh penyimpanan yang panjang, terutamanya apabila ia datang untuk mewujudkan beberapa norma undang-undang sivil. Walaupun secara praktikal ketiadaan sepenuhnya peraturan kawal selia dalam bidang mengklasifikasikan maklumat sebagai rahsia rasmi, perlindungannya dan penubuhan sekatan untuk penyebaran maklumat tersebut secara tidak sah, kategori ini hadir dalam kuantiti yang besar undang-undang persekutuan (kira-kira 40), termasuk: Undang-undang Persekutuan "Mengenai Asas perkhidmatan Awam Persekutuan Rusia", Undang-undang Persekutuan "Mengenai Kerajaan Persekutuan Rusia", Undang-undang Persekutuan "Mengenai Perkhidmatan di Badan Kastam Persekutuan Rusia", Undang-undang Persekutuan "Mengenai Bank Pusat Persekutuan Rusia (Bank Rusia)" , Undang-undang Persekutuan "Mengenai Asas Perkhidmatan Perbandaran Persekutuan Rusia", Undang-undang Persekutuan "Mengenai Penyusunan Semula organisasi Kredit", Undang-undang Persekutuan "Mengenai Pasaran Sekuriti", dll. Pada masa yang sama, ketiadaan yang ditakrifkan dengan jelas institusi undang-undang kerahsiaan rasmi telah membawa kepada pelbagai pendekatan undang-undang yang telah termaktub dalam perundangan.Oleh itu, Undang-undang Persekutuan "Mengenai Penstrukturan Semula Institusi Kredit" menyebut kerahsiaan rasmi organisasi kredit (Art. 41), Undang-undang Persekutuan "Mengenai langkah-langkah untuk melindungi kepentingan ekonomi Persekutuan Rusia dalam pelaksanaan perdagangan asing dalam barangan" mengedarkan "maklumat sulit" dalam pihak berkuasa eksekutif (Perkara 18), Undang-undang Persekutuan "Mengenai Asas-asas Perkhidmatan Awam Persekutuan Rusia" dan beberapa undang-undang lain menggunakan istilah "maklumat rasmi", dalam Undang-undang Persekutuan "Mengenai Tarif Kastam", maklumat yang membentuk rahsia perdagangan dan maklumat sulit diedarkan di pihak berkuasa kastam (Art. 14). Undang-undang Persekutuan No. 119-FZ pada 20 Ogos 2004 "Mengenai Perlindungan Negara terhadap Mangsa, Saksi dan Peserta Lain dalam Prosiding Jenayah" menyediakan, antara beberapa langkah keselamatan berhubung dengan orang yang dilindungi, memastikan kerahsiaan maklumat mengenainya.

Maklumat ini, mengikut kandungannya, merupakan rahsia rasmi dan penyatuan perundangan mekanisme untuk melupuskan maklumat ini akan membantu pelaksanaan Undang-undang Persekutuan ini. Contoh-contoh ini menunjukkan bahawa bukan sahaja terminologi, tetapi juga kandungan institusi perlindungan maklumat proprietari tidak digambarkan dengan jelas dalam perundangan.

Perundangan itu menangani isu struktur maklumat sulit dan hubungan antara pelbagai jenis rahsia. Dalam hal ini, kemasukan kategori "rahsia rasmi" dalam peruntukan Perkara 139 Kanun Sivil Persekutuan Rusia, di mana maklumat yang sepadan mengenai alasan sistemik secara praktikal digabungkan dengan rahsia komersial, adalah kebimbangan khusus, walaupun, mengikut logik undang-undang yang kukuh, sistem sekatan ke atas akses kepada maklumat mengikut sifatnya sepatutnya berbeza. Di pasaran elektronik negara dan melalui penghantaran mesej e-mel yang tidak diminta (yang dipanggil "spam"), CD yang mengandungi pangkalan data dengan maklumat tentang personaliti dan organisasi diedarkan secara tidak terkawal. Contohnya, DB "Kastam", Inspektorat Keselamatan Lalu Lintas Negeri, BTI (Biro Inventori Teknikal), "Pendaftaran", "Aktiviti Ekonomi Asing", Daftar Perusahaan Negeri Bersatu (Pendaftaran Perusahaan Negeri Bersatu), "Pemilik Pangsapuri", " Pendapatan Individu”, “Fail Kementerian Dalam Negeri” (rekod jenayah dsb.), OVIR (pasport berdaftar), DB "Kementerian Keadilan", "Sirena" (pengangkutan individu persendirian melalui kereta api di Rusia), DB pada bukan- pembayaran tunai perusahaan dengan pembekal dan pengguna dan lain-lain. Jelas sekali, maklumat tersebut tidak boleh diakses ke pasaran tanpa penyertaan pegawai kerajaan.

Pada masa ini, penggubal undang-undang telah menyediakan draf undang-undang "Mengenai Rahsia Rasmi", mengawal selia perlindungan maklumat tersebut.

Data peribadi (peribadi) termasuk nama keluarga, nama pertama, patronimik, tahun, bulan, tarikh dan tempat lahir, alamat, keluarga, sosial, status harta, pendidikan, profesion, pendapatan individu. Data peribadi juga mesti termasuk maklumat yang berkaitan dengan kemasukan ke dalam pekerjaan (perkhidmatan), penyiapan dan pemecatannya; data tentang pasangan, anak-anak dan ahli keluarga pemilik yang lain, data yang membolehkan untuk menentukan tempat kediaman, alamat pos, telefon dan alat komunikasi individu lain penjawat awam, serta isterinya (suaminya), anak-anak dan ahli keluarganya yang lain, data yang membolehkan untuk menentukan lokasi objek hartanah yang dimiliki oleh penjawat awam atau dalam penggunaannya, maklumat tentang pendapatan, harta dan kewajipan harta, maklumat tentang fakta, peristiwa dan keadaan privasi warganegara, membenarkan identitinya dikenal pasti, maklumat yang diketahui oleh pekerja pejabat pendaftaran awam berkaitan dengan pendaftaran negeri akta status sivil, kemahiran bahasa (bahasa ibunda, bahasa Rusia, bahasa lain atau bahasa lain), umum pendidikan (awal rendah, am asas , am menengah (penuh)) dan profesional (vokasional rendah, vokasional menengah, profesional tinggi, profesional lepasan ijazah), keadaan perumahan (jenis tempat tinggal, masa pembinaan rumah, saiz jumlah dan ruang tamu, bilangan ruang tamu, jenis penambahbaikan tempat tinggal), sumber mata pencarian (pendapatan daripada kerja atau pekerjaan lain, pencen, termasuk pencen hilang upaya, biasiswa, elaun, jenis lain peruntukan negeri, satu lagi sumber rezeki). Dengan mentakrifkan data peribadi sebagai senarai maklumat terbuka, tanpa mengira bentuk ia dibentangkan, penggubal undang-undang dengan itu mengekalkan kemungkinan untuk mengembangkannya apabila perubahan berubah. status sosial pemiliknya pada peringkat tertentu dalam laluan hidupnya.

Data peribadi tergolong dalam kategori maklumat sulit, yang membayangkan kekurangan akses percuma kepadanya dan ketersediaannya sistem yang berkesan perlindungannya. Kemasukan data peribadi dalam kategori maklumat sulit adalah bertujuan untuk mencegah tindakan yang tidak dibenarkan untuk memusnahkan, mengubah suai, memutarbelit, menyalin, menyekat maklumat, dan mencegah bentuk campur tangan haram lain dalam kehidupan peribadi seseorang warganegara.

Asas undang-undang untuk membina sistem perlindungan data peribadi adalah peruntukan Perlembagaan Persekutuan Rusia. Perkara 22 dan 23 mengandungi peraturan yang mengisytiharkan hak asasi individu yang berkaitan dengan kehidupan peribadi. Mereka mengabadikan hak privasi, rahsia peribadi dan keluarga. Pengumpulan, penyimpanan, penggunaan dan penyebaran maklumat tentang kehidupan peribadi seseorang tanpa persetujuannya adalah dilarang.

Apabila membentuk asas perundangan untuk pemprosesan data peribadi, penggubal undang-undang mengambil sebagai asas norma undang-undang antarabangsa yang mengandungi prinsip asas bekerja dengan data peribadi dalam proses pemprosesannya. Pada mulanya, prinsip-prinsip ini telah termaktub dalam Konvensyen Antarabangsa “Mengenai Perlindungan Orang berkenaan dengan pemprosesan automatik data peribadi" ETS N 108 (28 Januari 1981), yang menjadi prinsip penyatuan bagi perundangan negara yang berkaitan. Sistem untuk perlindungan data peribadi kemudiannya dibangunkan dalam Arahan 95/46/EC Kesatuan Eropah dan Parlimen 24 Oktober , 1995 mengenai perlindungan hak peribadi orang berhubung dengan pemprosesan data peribadi dan pergerakan bebas data tersebut dan Arahan 97/66/EC pada 15 Disember 1997 mengenai pemprosesan data peribadi dan perlindungan privasi dalam telekomunikasi sector.Dokumen ini mengandungi senarai langkah-langkah asas untuk perlindungan data peribadi yang terkumpul dalam data pangkalan data automatik, daripada kemusnahan yang tidak disengajakan atau tidak dibenarkan atau kehilangan tidak sengaja, serta daripada akses, pengubahsuaian atau pengedaran yang tidak dibenarkan.

Undang-undang persekutuan utama yang melindungi kerahsiaan data peribadi ialah Undang-undang “Mengenai Data Peribadi”, yang diterima pakai pada 27 Julai 2006.

Undang-undang mentakrifkan prinsip dan syarat untuk pemprosesan data peribadi. Dengan menetapkan larangan am ke atas pemprosesan data peribadi tanpa persetujuan subjek data peribadi, Undang-undang memperuntukkan kes apabila persetujuan sedemikian tidak diperlukan.

Perhubungan mengenai pemprosesan kategori khas data peribadi (maklumat tentang bangsa, kewarganegaraan, pandangan politik, kepercayaan agama atau falsafah, keadaan kesihatan, kehidupan intim) dikawal secara berasingan. Pemprosesan kategori maklumat ini tidak dibenarkan tanpa kebenaran subjek data peribadi terlebih dahulu, kecuali dalam kes di mana data peribadi tersedia secara umum dan pemprosesan data diperlukan untuk memastikan kehidupan dan kesihatan orang itu; pemprosesan dijalankan berkaitan dengan pentadbiran keadilan, serta keadaan lain.

Jaminan paling penting bagi hak subjek data peribadi ialah kewajipan pengendali dan pihak ketiga yang mempunyai akses kepada data peribadi untuk memastikan kerahsiaan mereka (kecuali dalam kes penyahperibadian dan data peribadi yang tersedia secara umum), serta hak untuk subjek data peribadi untuk melindungi hak dan kepentingan sah mereka, termasuk untuk ganti rugi dan (atau) pampasan untuk kerosakan moral di mahkamah. Kawalan dan penyeliaan ke atas pemprosesan data peribadi diamanahkan kepada badan eksekutif persekutuan yang menjalankan fungsi kawalan dan penyeliaan dalam bidang teknologi maklumat dan komunikasi, yang dikurniakan hak dan tanggungjawab yang sepadan. Khususnya, badan yang diberi kuasa mempunyai hak untuk menyemak sistem informasi pemprosesan data peribadi, membuat tuntutan untuk menyekat, memadam data peribadi yang tidak boleh dipercayai atau diperoleh secara tidak sah, mewujudkan larangan kekal atau sementara terhadap pemprosesan data peribadi, menjalankan siasatan melalui prosiding pentadbiran berhubung pelanggaran undang-undang. Prinsip pemindahan data rentas sempadan diwujudkan, yang mesti memastikan perlindungan yang mencukupi terhadap hak subjek data peribadi.

Sebagai tambahan kepada akta yang disebutkan di atas, penggubal undang-undang juga memasukkan undang-undang lain dalam sistem perundangan dalam bidang data peribadi:

Kod Buruh Persekutuan Rusia, Bab 14 yang menetapkan keperluan asas untuk perlindungan data peribadi pekerja. Mengambil pekerja berdasarkan kualiti perniagaan melibatkan penggunaan kaedah tertentu untuk mengumpul maklumat tentang pekerja, supaya mereka mengenal pasti sepenuhnya julat kriteria yang telah ditetapkan yang diperlukan untuk menduduki jawatan tertentu, iaitu majikan sebenarnya mengumpul data peribadi pekerja;

Kod Kastam Persekutuan Rusia bertarikh 28 Mei 2003 N 61-FZ, mengawal selia prosedur untuk memproses data peribadi orang yang menjalankan aktiviti yang berkaitan dengan pergerakan barang dan kenderaan merentasi sempadan kastam atau menjalankan aktiviti dalam bidang hal ehwal kastam , untuk melaksanakan kawalan kastam dan kutipan duti kastam;

Undang-undang Persekutuan 27 Julai 2006 N 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat" memberikan definisi umum data peribadi, meletakkan prinsip asas peraturan undang-undang aktiviti yang berkaitan dengan data peribadi. Ia juga memperkenalkan liabiliti untuk pelanggaran kerahsiaan mereka, serta pelesenan mandatori untuk pertubuhan bukan kerajaan dan individu untuk aktiviti yang berkaitan dengan pemprosesan dan penyediaan data peribadi;

Undang-undang Persekutuan 15 November 1997 N 143-FZ "Mengenai Akta Status Sivil" mengawal prosedur untuk melindungi maklumat sulit dalam proses pendaftaran tindakan status sivil.

Di samping itu, isu peraturan undang-undang kerja dengan data peribadi dibangkitkan dalam Undang-undang Persekutuan 22 Oktober 2004 N 125-FZ "Mengenai Pengarkiban di Persekutuan Rusia", bertarikh 12 Ogos 1995 N 144-FZ "Mengenai Aktiviti Penyiasatan Operasi" , bertarikh 12 Jun 2002 N 67-FZ "Mengenai jaminan asas hak pilihan raya dan hak untuk mengambil bahagian dalam referendum warganegara Persekutuan Rusia", Kod Cukai Persekutuan Rusia, Asas-asas perundangan Persekutuan Rusia mengenai perlindungan kesihatan warganegara bertarikh 22 Julai 1993 N 5487-1, Undang-undang Persekutuan Rusia 21 Julai 1993 N 5485-1 "Mengenai Rahsia Negara", bertarikh 28 Mac 1998 N 53-FZ "Mengenai Tugas Tentera dan perkhidmatan ketenteraan", Undang-undang Persekutuan 1 April 1996 N 27-FZ "Mengenai perakaunan individu (peribadi) dalam sistem mandatori insurans pencen", bertarikh 8 Ogos 2001 N 129-FZ "Mengenai pendaftaran negara entiti undang-undang dan usahawan individu" dan beberapa yang lain. Dalam Kanun Sivil Persekutuan Rusia, Perkara 152 melindungi kehormatan, maruah dan reputasi perniagaan seseorang warganegara Dalam Kanun Jenayah Persekutuan Rusia, Perkara 137 menetapkan liabiliti jenayah "untuk pengumpulan atau penyebaran maklumat yang menyalahi undang-undang tentang kehidupan peribadi seseorang yang menjadi rahsia peribadi atau keluarganya."