Головне становище описує єдиний підхід до конфіденційності і є головною керівною ланкою, яка є обов'язковою для виконання всіх співробітників:

• Список даних, що становлять комерційну таємницю. Список конфіденційних даних, список персональних даних співробітників тощо
• Обмеження вільного доступу до такої інформації
• Документи щодо використання та передачі конфіденційної інформації
• Обмеження на копіювання конфіденційної інформації на носії
• У разі потреби використання технічних/організаційних/програмних заходів для захисту конфіденційної інформації, які не порушують законодавство країни
• Повинна визначатися відповідальність за недотримання режиму збереження конфіденційності

Нормативні документи

• Федеральний закон від 20 лютого 1995р. №24-03 «Про інформацію, інформатизацію та захист інформації»
• Закон РФ від 29 липня 2004р. №98-Ф3 «Про комерційну таємницю»
• Закон РФ від 10 січня 2002р. №1-Ф3 «Про електронний цифровий підпис»
• Федеральний закон РФ від 30 грудня 2001р. №197-Ф3 «Трудовий кодекс РФ»

Терміни

Режим конфіденційності- Організаційні, правові та технічні заходи, що вживаються підприємством.

Конфіденційні дані— дані про предмети, особи, факти, процеси незалежно від форми, що становлять комерційну таємницю, що охороняються законодавством країни, та нормативними актами та документами підприємства.

Передача конфіденційної інформації- Власник у документованому вигляді доводить до співробітників конфіденційну інформацію, в установленому порядку законів. Конфіденційний документ — зафіксована на матеріальному носії конфіденційна інформація з реквізитами, що дозволяє її ідентифікувати.

Гриф конфіденційності-бувають такі:

• Комерційна таємниця — вид грифу конфіденційності для документів, які мають дані та становлять комерційну таємницю підприємства
• Персональні дані - вид грифу на документи, які містять персональні дані співробітників
• Для внутрішнього користування — вид грифу конфіденційності для документів, які мають іншу інформацію, що захищається.

Обмежувальні позначки: позначки, які обмежують доступ до даних.

Схема віднесення інформації до категорії конфіденційної

Конфіденційна інформація підприємства може складатися з:

• даних, що визначають комерційну таємницю
• персональних даних працівників підприємства
• інших даних, на яких накладено гриф конфіденційності

До конфіденційної інформації можна відносити:

• дані про події, факти життя співробітника, які дозволяють ідентифікувати його особистість
• дані, що підпадають під законодавство країни, що знаходяться в руках підприємства
• технічну, організаційну чи іншу підприємницьку інформацію:
  • яка може мати потенційну або дійсну комерційну цінність
  • до якої немає доступу в паблиці
  • щодо якої, власник бачить у ній цінність

Інформація дійсно має цінність, якщо вона:

• має відомості про збільшення доходів
• про уникнення збитків
• іншу вигоду

• держава, що міститься в реєстрах держави
• дані про діяльність підприємця, ліцензії та інші документи, що вказують на даний вид діяльності
• Все що пов'язано з федеральним бюджетом, і тими речами, на які було витрачено ці гроші
• Про стан протипожежної безпеки, екологічної, тощо.
• Про чисельність співробітників, про наявність вільних місць
• Про заборгованість із виплати заробітної плати та інших виплат
• про порушення законів країни та їх наслідки
• Про умови приватизації об'єктів державної власності, про учасників укладання договорів приватизації
• про список осіб, які мають без доручення виступати від імені юридичної особи

Рівень конфіденційності даних повинен відповідати тяжкості шкоди, яку може завдати підприємству або його співробітникам. Під збитком розуміють витрати, які витратить на відновлення порушеного права, втрати, пошкодження, не отримані доходи.

Схема доступу до документів та конфіденційної інформації

Допуск співробітників підприємства до конфіденційних даних реалізується наказом головного директора з безпеки підприємства. Допуск співробітників до конфіденційної інформації можливий лише після підписання трудового договору.

Права осіб, допущених до конфіденційної інформації

Співробітники, які допущені до конфіденційної інформації, повинні:

• реалізовувати режим конфіденційності
• не розголошувати конфіденційну інформацію протягом трьох років після закінчення трудового договору
• одразу ж повідомляти вищому посібнику про факт розголошення або про відому загрозу розголошення конфіденційної інформації
• Якщо працівник винен у факті розголошення, має відшкодувати збитки
• Віддати всі матеріальні носії підприємству з конфіденційною інформацією після припинення трудового договору

Співробітниками, допущеними до конфіденційної інформації ЗАБОРОНЯЄТЬСЯ:

• вести розмови щодо конфіденційної інформації незахищеними каналами зв'язку, використовувати не документовані засоби захисту
• використовувати конфіденційну інформацію у відкритих статтях, виступах
• реалізовувати фото чи відео зйомки у приміщеннях, де проводяться роботи з конфіденційною інформацією

Алгоритм поводження з конфіденційною інформацією

• Облік конфіденційних документів
• Оформлення конфіденційних документів

Режим конфіденційності під час роботи в інформаційній системі визначається Положенням про порядок та організацію робіт із захисту конфіденційної інформації. При розміщенні конфіденційної інформації на переносному носії гриф конфіденційності вказується на паперовій етикетці. Надруковані та підписані документи передаються для реєстрації. Чернетки знищуються. Кожна копія конфіденційного документа має таку значимість, як і оригінал. Копія також реєструється, має свій номер у загальному списку.

Повинна бути реалізована безпека конфіденційної інформації. Вона має бути розміщена у спеціальних приміщеннях обмеженого доступу.

Алгоритм транспортування конфіденційної інформації іншим підприємствам

Передача контрагентам конфіденційної інформації можлива під час підписання ними «Угода про конфіденційність». Якщо ж агенту не вистачає якоїсь інформації, він звертається до гена. директора безпеки підприємства.

Контроль за підтримкою режиму конфіденційності

Контроль реалізації режиму конфіденційності на підприємстві створено для вивчення та оцінки стану захищеності конфіденційних даних, виявлення недоліків та виявлення порушень режиму. Контроль реалізації режиму підтримує заступник ген. директора безпеки підприємства

Перевірка виконання режиму проводить комісія (окремі люди), що призначаються ген. директор підприємства. Комісія має право підключати сторонніх спеціалістів за погодженням з директором. Перевіряючі мають право знайомитись з усіма документами, проводити консультації. Підрозділ, у якому проводилася перевірка, реалізує план усунення виявлених недоліків. План узгоджується із заступником. ген. директора з безпеки підприємства.

Проведення службового розслідування за фактами розголошення конфіденційної інформації

Для проведення службового розслідування, не пізніше ніж наступного дня після факту виявлення факту витоку наказом ген. директора створюється комісія щонайменше 3 людина. Члени комісії мають право:

• реалізовувати огляд приміщення та місць де знаходилися конф. документи
• опитувати співробітників
• залучати додаткових людей, які не зацікавлені у результаті справи за погодженням ген. директора

Службове розслідування повинно проводитись максимально у короткий термін.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

• Вступ
• 1.2 Цінність інформації
• 1.4 Загрози та система захисту конфіденційної інформації
• Глава 2. Організація роботи з документами, які містять конфіденційні відомості
• 2.1 Нормативно-методична база конфіденційного діловодства
• 2.2 Організація доступу та порядок роботи персоналу з конфіденційними відомостями, документами та базами даних
• 2.3 Технологічні засади обробки конфіденційних документів
• Глава 3. Захист інформації обмеженого доступу у ВАТ "ЧЗПСН - Профнастил"
• 3.1 Характеристика ВАТ "ЧЗПСП - Профнастил"
• 3.2 Система захисту інформації у ВАТ "ЧЗПСН - Профнастил"
• 3.3 Удосконалення системи безпеки інформації обмеженого доступу
• Висновок
• Список використаних джерел та літератури

Вступ

Однією з найважливіших складових частин національної безпеки будь-якої країни нині одностайно називається її інформаційна безпека. Проблеми забезпечення інформаційної безпеки стають дедалі складнішими і концептуально значущими у зв'язку з масовим переходом інформаційних технологій у керуванні безпаперову автоматизовану основу.

Вибір теми даної випускний кваліфікаційної роботи зумовлений тим фактом, що сучасної російської ринкової економіки обов'язковою умовою успіху підприємця в бізнесі, отримання прибутку та збереження у цілісності створеної ним організаційної структури є забезпечення економічної безпеки його діяльності. І однією із головних складових частин економічної безпеки є інформаційна безпека.

Об'єктом дослідження у цій роботі є формування та функціонування інформаційних ресурсів у системі управління організацією.

Базою дослідження є ВАТ "ЧЗПСП - Профнастил"

Предметом дослідження – діяльність із забезпечення безпеки інформаційних ресурсів у системі управління організацією.

Мета дослідження – аналіз сучасних технологій, способів, методів та засобів захисту конфіденційної інформації підприємства.

До завдань дослідження, відповідно до поставленої мети, входить:

1. Розкрити основні складові інформаційної безпеки;

2. Визначити склад інформації, яку доцільно зарахувати до категорії конфіденційної;

3. Виявити найпоширеніші загрози, канали поширення та витоку конфіденційності;

4. Розглянути методи та засоби захисту конфіденційної інформації;

5. Проаналізувати нормативно-правову основу конфіденційного діловодства;

6. Вивчити безпекову політику в організації доступу до відомостей конфіденційного характеру та порядок роботи персоналу з конфіденційними документами;

7. Розглянути технологічні системи обробки конфіденційних документів;

8. Дати оцінку системі захисту інформації підприємства ВАТ "ЧЗПСН - Профнастил" та навести рекомендації щодо її вдосконалення.

Діяльність були використані такі методи дослідження: методи пізнання (опис, аналіз, спостереження, опитування); загальнонаукові методи (аналіз публікаційного масиву на тему), а також такий документознавчий метод як аналіз документації підприємства.

Нормативно-правова основа випускної кваліфікаційної роботи базується насамперед на Конституції як основному законі Російської Федерації) (1). Стаття 23 Конституції РФ гарантує право на особисту, сімейну таємницю, таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень. У цьому обмеження цього права допускається лише підставі судового рішення. Конституцією РФ не допускається (ст.24) збирання, зберігання, використання та поширення інформації про приватне життя особи без її згоди (1).

Норми регулювання відносин, що виникають при поводженні з конфіденційною інформацією, містяться також у Цивільному кодексі РФ. У цьому конфіденційна інформація належить у Цивільному кодексі РФ до нематеріальних благ (ст.150) (2).

Критерії, за якими відомості належать до службової та комерційної таємниці , містяться у ст.139 Цивільного кодексу РФ. Вона свідчить, що інформація становить службову чи комерційну таємницю у разі, коли:

1. Ця інформація має дійсну чи потенційну цінність через невідомість її третім особам;

2. До цієї інформації немає вільного доступу на законній підставі і власник інформації вживає заходів щодо охорони її конфіденційності (2).

З іншого боку, визначення конфіденційності комерційної інформації міститься у ст.727 Цивільного кодексу РФ (2).

27 липня 2006 року було прийнято два найважливіших для сфери захисту інформації конфіденційного характеру федеральних закону: № 149-ФЗ "Про інформацію, інформаційні технології та про захист інформації" (8) та № 152-ФЗ "Про персональні дані" (9). Вони дано базові поняття інформації та її захисту. Такі як "інформація", "конфіденційність інформації", "персональні дані" та ін.

10 січня 2002 року Президентом РФ був підписаний дуже важливий закон "Про електронний цифровий підпис" (5), що розвиває та конкретизує положення наведеного вище закону "Про інформацію ..." (8).

Основними у сфері безпеки конфіденційної інформації також є закони РФ:

1. "Про державну таємницю" від 22 липня 2004 р. (4);

2. "Про комерційну таємницю" від 29 липня 2004 року (він містить у собі інформацію, що становить комерційну таємницю, режим комерційної таємниці, розголошення інформації, що становить комерційну таємницю) (6);

3. "Про затвердження Переліку відомостей конфіденційного характеру" (11);

4. Про затвердження Переліку відомості, які можуть становити комерційну таємницю" (13).

Стандарт, що закріплює основні терміни та визначення у сфері захисту інформації - ГОСТ Р 50922-96 (29).

Детально нормативно-методична база конфіденційного діловодства викладена в другому розділі цієї роботи. У випускній кваліфікаційній роботі було використано праці провідних фахівців-документознавців: І.В. Кудряєва (83), А.І. Алексєнцева (31; 32), Т.В. Кузнєцової (45; 67; 102), А.В. Пшенка (98), Л.В. Санкіної (92), Є.А. Степанова (81; 96).

Поняття інформаційної безпеки, основні її складові, викладені у працях В.А. Галатенко (82), В.М. Ярочкіна (56), Г. Зотова (66).

К. Ільїн (52) у своїх роботах розглядає питання безпеки інформації при електронному документообігу). Аспекти інформаційної безпеки описані у статтях В.Я. Іщейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Є.А. Степанова (96).

Система захисту інформації описана у роботах Е.А. Степанова (81), З. Богатиренка (74), Т.А. Королькова (69), Г.Г. Аралбаєвої (100), А.А. Шиверського (103), В.М. Мартинова та В.М. Мартинова (49).

Правовому регулюванню інформації обмеженого доступу присвячено роботи авторів: А.А. Антопольського (33), Є.А. Степанова (81), І.Л. Бачило (37, 38), О. Гаврилова (41). Останній у своїй статті вказує на недосконалість законодавства у сфері, що розглядається.

Технології обробки конфіденційних документів присвятили свою працю Р.Н. Мосєєв (75), М.І. Петров (89), В.І. Андрєєва (34), В.В. Галахов (44), А.І. Олексєнцева (32).

У процесі підготовки роботи було використано наукові, навчальні, практичні, методичні рекомендації щодо організації захисту конфіденційної інформації, підготовлені такими провідними фахівцями у цій галузі як О.І. Алексенцев (31; 32) та Є.А. Степанов (81; 96).

Роботи І.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовській (48), В.М. Кравцова (51) присвячені спірним аспектам інформаційної безпеки.

Загалом, можна сказати, що проблема інформаційної безпеки загалом забезпечена джерелами, джерельна база дозволяє висвітлити поставлені завдання. Значимість літератури з цього питання велика і його актуальності.

Але в нашій країні немає нормативного правового акта, який би встановлював єдиний порядок обліку, зберігання, використання документів, що містять конфіденційні відомості. І за оцінками аналітиків, чиї статті було використано у роботі, Е.А. Войніканіса (40), Т.А. Партики (57), В.А. Мазурова (71) та інших., навряд це доцільно.

До неопублікованих джерел, використаних у роботі, належать виписка зі Статуту ВАТ "ЧЗПСН - Профнастил" (Додаток 11), документи поточного діловодства підприємства.

Випускна кваліфікаційна робота складається із вступу, трьох розділів, висновків, списку використаних джерел та літератури, додатків.

У вступі формулюються актуальність та практична значимість теми, мета дослідження, завдання, ступінь розробленості досліджуваної проблеми, об'єкт, предмет, база дослідження, дослідний інструментарій структура та зміст випускної кваліфікаційної роботи

Перший розділ: "Основи інформаційної безпеки та захисту інформації" містить у собі історію питання та основні поняття інформаційної безпеки. Такі як цінність інформації, конфіденційність. У параграфі 1.2 зазначені канали розповсюдження, витоку інформації, в наступному, розглядається система загрози та система захисту конфіденційної інформації.

Глава "Організація роботи з конфіденційними документами". складається з нормативно-методичних засад конфіденційного діловодства, далі дано порядок роботи співробітників та організація їхнього доступу до конфіденційних відомостей. Технологію роботи з зазначеними відомостями описано в останньому параграфі другого розділу.

У третьому розділі з прикладу підприємства ВАТ " ЧЗПСН - Профнастил " розглядається система захисту інформації обмеженого доступу, аналіз роботи з конфіденційними документами. даються рекомендації, зміни та доповнення до технології конфіденційного діловодства, що сформувалася на підприємстві.

Висновок містить висновки щодо випускної кваліфікованої роботи.

Список використаних джерел та літератури включає 110 найменувань.

Роботу доповнюють додатки, в яких подано: положення, інструкції, що регламентують порядок поводження з документами, що містять відомості обмеженого доступу на підприємстві, зразки бланків документів, реєстраційні форми, витяг зі Статуту ВАТ "ЧЗПСП - Профнастил".

Глава 1. Основи інформаційної безпеки та захисту інформації

1.1 Еволюція терміна "інформаційна безпека" та поняття конфіденційності

Здавна вважалося, хто володіє інформацією – той володіє ситуацією. Тому ще на зорі людського суспільства виникає розвідувальна діяльність. Тому з'являються державні та комерційні (склад порцеляни, шовку) секрети, а в період воєн - військові (розташування військ, знаряддя). Прагнення зберегти в таємниці від інших те, що дає перевагу та владу, мабуть, є головною мотивацією людей в історичній перспективі. Багато власників з метою захисту своїх інтересів засекречують інформацію та ретельно її охороняють чи патентують. Засекречування інформації призводить до постійного вдосконалення засобів і методів добування інформації, що охороняється; та до вдосконалення засобів та методів захисту інформації (89, с.45).

У світовій практиці спочатку застосовувалися терміни " промислова таємниця " , " торгова таємниця " , " таємниця кредитних відносин " , тобто. назва таємниці узгоджувалося з конкретною сферою діяльності. Російський юрист В. Розенберг зробив спробу об'єднати ці назви в одному - "промислова таємниця" і навіть випустив 1910 р. однойменну книгу. Однак, цей термін не прижився. І в Російській імперії і за кордоном остаточно утвердився термін "комерційна таємниця", що поєднує таємницю будь-якої діяльності, що має на меті отримання прибутку (46, с. 20).

З другої половини ХІХ ст. виникають і різні визначення поняття комерційної таємниці, насамперед, у сфері кримінального та цивільного законодавства. Наприклад, німецьке законодавство визначало комерційну таємницю як таємницю технічних процесів виготовлення продукції та таємницю операцій з її збуту або, як висловлювалися вищою мовою, таємницю виробництва благ та таємницю їх розподілу.

У Росії за Кримінальним укладанням 1903 р. під комерційною таємницею розумілися особливі вживані чи передбачувані до вживання прийоми виробництва, а інший редакції - індивідуальні особливості процесів виробництва та торгівлі. Таємниця процесів виробництва класифікувалася таємницею майнової, а торгівлі - таємною діловою.

У Росії у листопаді 1917 р. комерційна таємниця була скасована. Під час НЕПу вона неофіційно "відродилася", але надалі використовувалася лише зовнішньоторговельними підприємствами СРСР при контактах з іншими країнами, проте вітчизняної законодавчої основи під цим не було. Припинилася і наукова діяльність у цій галузі (31, с.78).

У другій половині 80-х р.р. підприємницька діяльність зажадала розробки пов'язаних із нею нормативних документів, зокрема які стосуються комерційної таємниці. Насамперед потрібно було сформулювати визначення комерційної таємниці. Таке визначення було зроблено у Законі "Про підприємства в СРСР". У ньому сказано: "Під комерційною таємницею підприємства розуміються відомості, що не є державними секретами, пов'язані з виробництвом, технологічною інформацією, управлінням, фінансами та іншою діяльністю підприємства, розголошення (передача, витік) яких може завдати шкоди його інтересам".

Комерційна таємниця в сучасному трактуванні - інформація, дані, відомості, об'єкти, розголошення, передача або витік яких третіми особами можуть завдати шкоди інтересам чи безпеці власника (32, с.13).

Стандарт ISO/IEC 17799 визначає інформаційну безпеку як забезпечення конфіденційності, цілісності та наявності інформації. (56, с.212).

Безпека - це не тільки захист від злочинних посягань, а й забезпечення збереження (особливо електронних) документів та інформації, а також заходи щодо захисту найважливіших документів та забезпечення безперервності та/або відновлення діяльності у разі катастроф (71, с.5 8).

Під інформаційною безпекою слід розуміти захист суб'єктів інформаційних відносин. Основні її складові – конфіденційність, цілісність, доступність (82, с.15).

У Доктрині інформаційної безпеки РФ (19) термін "інформаційна безпека" означає стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави.

Конфіденційність – захист від несанкціонованого доступу (83, с.17). Наступне визначення конфіденційності дає ФЗ "Про інформацію, інформаційні технології та захист інформації" (8) ст.2.п.7: конфіденційність - обов'язкова для виконання особою, яка отримала доступ до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника.

Під безпекою інформаційних ресурсів (інформації) розуміється захищеність інформації в часі та просторі від будь-яких об'єктивних та суб'єктивних загроз (небезпек), що виникають у звичайних умовах функціонування фірми в умовах екстремальних ситуацій: стихійних лих, інших некерованих подій, пасивних та активних спроб зловмисника створити потенційну реальну загрозу несанкціонованого доступу до документів, справ, баз даних (61, с.32).

Конфіденційність - правила та умови безпеки передачі даних та інформації. Розрізняють конфіденційність зовнішню – як умову нерозголошення інформації у зовнішнє середовище, та внутрішню – серед персоналу.

Безпека цінної документованої інформації (документів) визначається ступенем її захищеності від наслідків екстремальних ситуацій, у тому числі стихійних лих, а також пасивних та активних спроб зловмисника створити потенційну чи реальну загрозу (небезпека) несанкціонованого доступу до документів з використанням організаційних та технічних каналів. чого можуть статися розкрадання та неправомірне використання зловмисником інформації у своїх цілях, її модифікація, підміна, фальсифікація, знищення (68, с.36).

Секретність - правила та умова доступу та допуску до об'єктів інформації (89, с.50).

Таким чином, словосполучення "інформаційна безпека" не зводиться виключно до захисту від несанкціонованого доступу до інформації.

Це широке поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків та/або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що викликала перерву в роботі.

Незважаючи на те, що конфіденційність є синонімом секретності, цей термін широко використовується виключно для позначення інформаційних ресурсів обмеженого доступу, які не віднесені до державної таємниці.

Конфіденційність відбиває обмеження, яке накладає власник інформації па доступу до неї інших, тобто. власник встановлює правовий режим цієї інформації відповідно до закону (91, с. 208).

1.2 Цінність інформації

До інформації, що захищається відносять: секретну інформацію (відомості, що містять держтаємницю), конфіденційну (відомості, що містять комерційну таємницю, таємницю, що стосується особистого життя та діяльності громадян) (100, с.38).

Завжди є управлінські документи, витік змісту яких небажаний або просто шкідливий, тому що може бути використаний прямо або безпосередньо на шкоду її авторам. Така інформація і відповідно документи, які її містять, вважаються конфіденційними (закритими, що захищаються). Документована інформація обмеженого доступу завжди належить до одного з видів таємниці - державної чи недержавної. Відповідно до цього документи поділяються на секретні та несекретні. Обов'язковою ознакою (критерієм належності) секретного документа є наявність у ньому відомостей, що становлять відповідно до законодавства державну таємницю. Несекретні документи, які включають відомості, що належать до недержавної таємниці (службової, комерційної, банківської, професійної, виробничої та інших.), чи містять особисті дані громадян, називаються конфіденційними.

Інформація - відомості про осіб, предмети, факти, події, явища та процеси незалежно від форми їх подання (8).

Законодавством РФ встановлено, що документована інформація (документи) загальнодоступною, крім віднесеної законом до категорії обмеженого доступу (11).

При цьому документована інформація з обмеженим доступом поділяється на інформацію, віднесену до державної таємниці, та конфіденційну інформацію. Обидва зазначені види інформації підлягають захисту від незаконного розповсюдження (розголошення) і відносяться до таємниці, що охороняється законодавством.

Обов'язковою ознакою конфіденційного документа є наявність у ньому інформації, що підлягає захисту. Особливістю такого документа і те, що він є одночасно як саму інформацію - обов'язковий об'єкт захисту, а й масовий носій інформації, основне джерело накопичення та поширення цієї інформації, зокрема і її витоку. Тобто конфіденційна, перш за все, інформація, а потім уже стають конфіденційними і документи, в яких ця інформація зафіксована. До категорії конфіденційної інформації відносяться всі види інформації обмеженого доступу, яку захищає закон - комерційна, службова, особиста. Крім державних секретів (94, с.78).

Інформація може бути поділена на три категорії (82, с.33).

Перша - несекретна (або відкрита), яка призначена для використання як усередині фірми, так і поза нею.

Друга – для службового користування, яка призначена лише для використання усередині фірми. Вона поділяється, своєю чергою, на дві підкатегорії:

1. Доступну всім співробітників фірми;

2. Доступну для певних категорій співробітників, але яка може бути передана у повному обсязі іншому співробітнику для виконання необхідної роботи.

Третя - секретна інформація (або інформація обмеженого доступу), яка призначена для використання лише спеціально уповноваженими співробітниками фірми та не призначена для передачі іншим співробітникам у повному обсязі або частинами.

Інформацію другої та третьої категорії зазвичай називають конфіденційною (35, с.9).

Конфіденційну інформацію може становити певна сукупність відкритої інформації, так само як і певна сукупність інформації для службового користування може становити інформацію обмеженого доступу. Тому необхідно чітко визначити умови, за яких гриф секретності інформації може і має бути підвищений (55, с.83).

Наприклад, у ВАТ "ЧЗПСН - Профнастил" інформація про деталі укладених договорів, а також про те, хто із співробітників їх укладає – конфіденційна. У той же час до відкритої інформації належать дані про персонал, його розподіл по відділах, службові обов'язки співробітників. На їхньому сайті в новинах регулярно повідомляється про те, з якими підприємствами (за яким профілем) компанія веде переговори, з ким має намір укласти контракт тощо. Зрозуміло, що в сукупності, наведені три джерела відкритої інформації (кадри, службові обов'язки, інформація про контракти, що укладаються) може утворити конфіденційну інформацію про співробітника, що укладає конкретний контракт.

Умови, за яких інформація може бути віднесена до конфіденційної, перелічені у ст.13 частини 1 Цивільного кодексу РФ (2). До них відносяться:

1. Дійсна чи потенційна комерційна цінність інформації через її невідомість третім особам;

2. відсутність вільного доступу до цієї інформації на законній підставі;

3. Вжиття власником інформації необхідних заходів для охорони її конфіденційності.

Таким чином, забезпечення конфіденційності документної інформації містить три аспекти:

1. Визначення складу інформації, яку доцільно зарахувати до категорії конфіденційної;

2. Визначення кола співробітників, які повинні мати доступ до тієї чи іншої конфіденційної інформації, та оформлення з ними відповідних взаємин;

3. Організація діловодства з конфіденційними документами. (99, с.7-9).

Якщо ці умови не виконуватимуться, організація не матиме підстав для притягнення будь-кого до відповідальності за розголошення конфіденційної інформації.

Відповідно до ФЗ "Про інформацію, інформаційні технології та захист інформації" (8) не можуть становити комерційну таємницю:

1. Установчі документи (рішення про створення підприємства або договір засновників) та Статут;

2. Документи, що дають право займатися підприємницькою діяльністю (реєстраційні посвідчення, ліцензії, патенти);

3. Відомості за встановленими формами звітності про фінансово-господарську діяльність та інші відомості, необхідні перевірки правильності обчислення та сплати податків та інших обов'язкових платежів до державної бюджетної системи РФ;

4. Документи про платоспроможність;

5. Відомості про чисельність, склад працюючих, їх заробітну плату та умови праці, а також про наявність вільних робочих місць;

6. Документи про сплату податків та обов'язкові платежі;

7. Відомості про забруднення навколишнього середовища, порушення антимонопольного законодавства, недотримання безпечних умов праці, реалізації продукції, що завдає шкоди здоров'ю населення, а також інші порушення законодавства РФ і розміри заподіяної при цьому шкоди;

8. Відомості про участь посадових осіб підприємства у кооперативах, малих підприємствах, товариствах, акціонерних товариствах, об'єднаннях та інших організаціях, які займаються підприємницькою діяльністю.

Перелічені відомості підприємства та особи, які займаються підприємницькою діяльністю, керівники державних та муніципальних підприємств зобов'язані представляти на вимогу органів влади, управління, контролюючих та правоохоронних органів, інших юридичних осіб, що мають на це право відповідно до законодавства РФ, а також трудового колективу підприємства (21) ).

Не можуть бути віднесені до конфіденційних та відомості з проблем, включених законодавчо до поняття державної таємниці (12). Що ж до питань роботи з документами, що містять таку інформацію, то відповідно до Закону РФ "Про державну таємницю" (4) визначено, що громадянам, посадовим особам та організаціям слід керуватися лише законодавчими актами, що регламентують забезпечення захисту державних секретів.

Згідно із законодавством, конфіденційна інформація - документована інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації (11). Конфіденційною інформацією вважається така інформація, розголошення якої може завдати шкоди інтересам фірми (35, с.6). Можна також сказати, що присвоєння певної інформації грифу конфіденційності, зокрема, сприяє збереженню комерційної таємниці (8).

Узагальнене поняття конфіденційної інформації значною мірою конкретизовано у "Переліку відомостей конфіденційного характеру" (11). Відповідно, йому відомості конфіденційного характеру групуються за кількома основними категоріями.

По-перше, це відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати особу (персональні дані), крім відомостей, що підлягають поширенню у засобах масової інформації у встановлених федеральними законом випадках.

Другою категорією зазначених відомостей інформація, яка становить таємницю слідства та судочинства . Далі у переліку визначено групу службових відомостей, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу РФ (2, с.52) та федеральним законом (службова таємниця).

Інший групою відомостей у переліку зазначена інформація, пов'язана з професійною діяльністю, доступ до якої обмежений відповідно до Конституції РФ (1, с.25) та федеральним законом (лікарська, нотаріальна, адвокатська (16), таємниця листування, телефонних переговорів, поштових відправлень (10), телеграфних чи інших повідомлень (17) тощо.

До наступної групи конфіденційних відомостей віднесена інформація, пов'язана з комерційною діяльністю, доступ до якої обмежений відповідно до Цивільного кодексу РФ (2) та федеральними законами (комерційна таємниця) (6).

Завершується Перелік відомостей конфіденційного характеру інформацією про сутність винаходу, корисної моделі чи промислового зразка до офіційної публікації про них (53, с.51; 82, с.33).

Документована інформація, що використовується підприємцем у бізнесі та управлінні підприємством, організацією, банком, компанією або іншою структурою, є його власною або приватною інформацією, що становить для нього значну цінність, його інтелектуальну власність.

Цінність інформації може бути вартісною категорією, що характеризує конкретний розмір прибутку за її використання або розмір збитків за її втрати. Інформація часто стає цінною через її правове значення для фірми або розвитку бізнесу, наприклад установчі документи, програми та плани, договори з партнерами та посередниками тощо. Цінність інформації може також відображати її перспективне наукове, технічне чи технологічне значення (58, с.224).

Інформація, що має інтелектуальну цінність для підприємця, зазвичай поділяється на два види:

1. Технічна, технологічна: методи виготовлення продукції, програмне забезпечення, виробничі показники, хімічні формули, результати випробувань дослідних зразків, дані контролю якості тощо. (53, с.50);

2. Ділова: вартісні показники, результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія на ринку тощо.

Цінна інформація охороняється нормами права (патентного, авторського, суміжного), товарним знаком або входить у категорію інформації, що становить таємницю фірми (58, с.54).

Таким чином, як правило, всю інформацію, що циркулює всередині організації, можна розділити на дві частини – відкриту та конфіденційну (65, с.5).

Комерційна цінність інформації, як правило, недовговічна і визначається часом, необхідним конкуренту для вироблення тієї ж ідеї або її розкрадання та відтворення, опублікування та переходу інформації до категорії загальновідомих. Ступінь цінності інформації та надійність її захисту перебувають у прямій залежності.

Виявлення та регламентація реального складу інформації, що представляє цінність для підприємця та становить таємницю фірми - основні частини системи захисту інформації. Склад цінної інформації фіксується у спеціальному переліку, що визначає період (термін) та рівень (гриф) її конфіденційності (тобто недоступності для всіх), список співробітників фірми, яким надано право використовувати ці відомості у роботі. Перелік, основу якого складає типовий склад відомостей фірм даного профілю, що захищаються, є постійним робочим матеріалом керівництва фірми, служб безпеки та конфіденційної документації. Він являє собою класифікований список типової і конкретної цінної інформації про роботи, виробленої продукції, наукових і ділових ідеях, технологічних нововведеннях. У перелік включаються дійсно цінні відомості про кожну роботу фірми (51, 45-51).

Додатково може складатися перелік документів, у яких ці відомості відображаються (документуються). До переліку включаються також документи, що не містять інформації, що захищається, але представляють цінність для фірми і підлягають охороні. Переліки формуються індивідуально кожною фірмою відповідно до рекомендацій спеціальної комісії та затверджуються першим керівником фірми. Ця ж комісія регулярно вносить поточні зміни до переліків відповідно до динаміки виконання фірмою конкретних робіт.

Документи, що містять цінну інформацію, входять до складу інформаційних ресурсів фірми, які можуть бути: а) відкритими (доступними для роботи персоналу без спеціального дозволу) та б) обмеженими для доступу до них персоналу (віднесеними до одного з видів таємниці - державної чи недержавної) .

Перелік відомостей, які належать до конфіденційної інформації, і навіть перелік співробітників, допущених до неї, оформляється наказом фірмі.

1.3 Канали розповсюдження та витоку конфіденційної інформації

Інформація джерела завжди поширюється на зовнішнє середовище. Канали поширення інформації носять об'єктивний характер, відрізняються активністю та включають: ділові, управлінські, торгові, наукові, комунікативні регламентовані зв'язки; інформаційні мережі; природні технічні канали

Канал поширення інформації являє собою шлях переміщення цінних відомостей з одного джерела до іншого в санкціонованому режимі (дозволений) або через об'єктивні закономірності або через об'єктивні закономірності (83, с.48).

Термін "відплив конфіденційної інформації", ймовірно, не наймилозвучніший, проте він більш ємно, ніж інші терміни, відображає суть явища. Він давно закріпився у науковій літературі, нормативних документах (99, с.11). Витік конфіденційної інформації є неправомірний, тобто. недозволений вихід такої інформації за межі зони її функціонування, що захищається, або встановленого кола осіб, які мають право працювати з нею, якщо цей вихід призвів до отримання інформації (ознайомлення з нею) особами, які не мають до неї санкціонованого доступу. Витік конфіденційної інформації означає як отримання її особами, які працюють на підприємстві, до витоку призводить і несанкціоноване ознайомлення з конфіденційною інформацією осіб цього підприємства (104, с.75).

Втрата та витік конфіденційної документованої інформації обумовлені вразливістю інформації. Уразливість інформації слід розуміти, як нездатність інформації самостійно протистояти дестабілізуючим впливам, тобто. таким впливам, що порушують її встановлений статус (94, с.89). Порушення статусу будь-якої документованої інформації полягає у порушенні її фізичної безпеки (взагалі або у даного власника в повному або частковому обсязі), логічної структури та змісту, доступності для правочинних користувачів. Порушення статусу конфіденційної документованої інформації додатково включає порушення її конфіденційності (закритість для сторонніх осіб). Вразливість документованої інформації – поняття збірне. Вона немає взагалі, а проявляється у різних формах. До них відносяться: розкрадання носія інформації або відображеної в ньому інформації (крадіжка); втрата носія інформації (втрата); несанкціоноване знищення носія інформації або відображеної інформації (руйнування, спотворення інформації (несанкціонована зміна, несанкціонована модифікація, підробка, фальсифікація); блокування інформації; розголошення інформації (поширення, розкриття).

Термін "руйнування" використовується головним чином стосовно інформації на магнітних носіях. Існуючі варіанти назв: модифікація, підробка, фальсифікація не зовсім адекватні терміну "спотворення", вони мають нюанси, проте суть їх одна і та ж - несанкціонована часткова або повна зміна складу первісної інформації (36, с.59).

Блокування інформації означає блокування доступу до неї правочинних користувачів, а не зловмисників.

Розголошення інформації є формою прояву вразливості лише конфіденційної інформації.

Та чи інша форма вразливості документованої інформації може реалізуватися в результаті навмисного або випадкового дестабілізуючого впливу різними способами на носій інформації або на інформацію з боку джерел впливу. Такими джерелами можуть бути люди, технічні засоби обробки та передачі інформації, засоби зв'язку, стихійні лиха та ін. інформації, виведення (або вихід) з ладу та порушення режиму роботи технічних засобів обробки та передачі інформації, фізичний вплив на інформацію та ін.

Вразливість документованої інформації призводить або може призвести до втрати або витоку інформації. (97, с.12).

До втрати документованої інформації призводять розкрадання та втрата носіїв інформації, несанкціоноване знищення носіїв інформації або лише відображеної в них інформації, спотворення та блокування інформації. Втрата може бути повною або частковою, безповоротною або тимчасовою (при блокуванні інформації), але в будь-якому випадку вона завдає шкоди власнику інформації.

До витоку конфіденційної документованої інформації наводить її розголошення. Як зазначають деякі автори (77, с.94; 94, с.12) у літературі і навіть у нормативних документах термін "відплив конфіденційної інформації" нерідко замінюється або ототожнюється з термінами: "розголошення конфіденційної інформації", "поширення конфіденційної інформації". Такий підхід, з погляду фахівців, є неправомірним. Розголошення або розповсюдження конфіденційної інформації означає несанкціоноване доведення її до споживачів, які не мають права на доступ до неї. При цьому таке доведення має здійснюватись кимось, виходити від когось. Витік відбувається при розголошенні (несанкціонованому поширенні) конфіденційної інформації, але зводиться лише щодо нього. Витік може статися і внаслідок втрати носія конфіденційної документованої інформації, і навіть розкрадання носія інформації чи відображеної у ньому інформації за збереження носія в його власника (власника). Це не означає, що станеться. Втрачений носій може потрапити в чужі руки, а може бути і "прихоплений" сміттєзбиральною машиною та знищений у встановленому для сміття порядку. У разі витоку конфіденційної інформації немає. Розкрадання конфіденційної документованої інформації також не завжди пов'язане з отриманням її особами, які не мають доступу до неї. Чимало прикладів, коли розкрадання носіїв конфіденційної інформації здійснювалося у колег по роботі допущеними до цієї інформації особами з метою "підсидки", заподіяння шкоди колезі. Такі носії, як правило, знищувалися особами, які викрали їх. Але в будь-якому разі втрата та розкрадання конфіденційної інформації, якщо і не призводять до її витоку, то завжди створюють загрозу витоку. Тому можна сказати, що до витоку конфіденційної інформації наводить її розголошення і можуть призвести розкрадання та втрата. Складність полягає в тому, що часто неможливо ділити, по-перше, сам факт розголошення або розкрадання конфіденційної інформації при збереженні носія інформації у її власника (власника), по-друге, чи потрапила інформація внаслідок її розкрадання чи втрати стороннім особам.

Власник комерційної таємниці - фізична або юридична особа, яка має на законній підставі інформацію, що становить комерційну таємницю, та відповідні права у повному обсязі (91, с.123).

Інформація, що становить комерційну таємницю, не існує сама собою. Вона відображається у різних носіях, які можуть її зберігати, накопичувати, передавати. З їхньою допомогою здійснюється і використання інформації. (8; 91, с.123)

Носій інформації - фізична особа або матеріальний об'єкт, у тому числі фізичне поле, в яких інформація знаходить своє відображення у вигляді символів, образів, сигналів, технічних рішень та процесів (8; 68, с.37).

З цього визначення випливає, по-перше, що матеріальні об'єкти - це не тільки те, що можна побачити чи торкнутися, а й фізичні поля, а також мозок людини, по-друге, що інформація в носіях відображається не лише символами, тобто . літерами, цифрами, знаками, а й образами як малюнків, креслень, схем, інших знакових моделей, сигналами у фізичних полях, технічними рішеннями у виробах, технічними процесами у технології виготовлення продукції (39, с.65).

Типи матеріальних об'єктів як носіїв інформації є різними. Ними можуть бути магнітні стрічки, магнітні та лазерні диски, фото-, кіно-, відео- та аудіоплівки, різні види промислової продукції, технологічні процеси та ін Але найбільш масовим типом є носії на паперовій основі (46, с.11). Інформація у яких фіксується рукописним, машинописним, електронним, друкарським методами у вигляді тексту, креслення, схеми, малюнка, формули, графіка, карти тощо. У цих носіях інформація відображається у вигляді символів та образів. Така інформація ФЗ "Про інформацію…" (8) віднесена до розряду документованої інформації та є різними видами документів.

Останнім часом відбулися суттєві корективи у форми та засоби отримання конфіденційної інформації неформальними способами. Звичайно, це стосується переважно впливу на людину як носія конфіденційної інформації.

Людина як об'єкт впливу більш схильний до неформальних впливів, ніж технічні засоби та інші носії конфіденційної інформації, в силу певної правової незахищеності в даний момент, індивідуальних людських слабкостей та життєвих обставин (64, с.82).

Така неформальна дія має, як правило, прихований, нелегальний характер і може здійснюватися як індивідуально, так і групою осіб.

На особу, яка є носієм конфіденційної інформації, можливі такі види каналів витоку інформації: мовний канал, фізичний канал та технічний канал.

Мовний канал витоку - інформація передається від того, хто володіє конфіденційною інформацією за допомогою слів особисто об'єкту, зацікавленому в отриманні цієї інформації (29).

Фізичний канал витоку - інформація передається від того, хто володіє конфіденційними відомостями (носія) за допомогою паперових, електронних, магнітних (зашифрованих або відкритих) або інших засобів об'єкту, зацікавленому в отриманні цієї інформації (36, с.62).

Технічний канал витоку - інформація передається у вигляді технічних засобів (29).

Форми впливу на особу, що є носієм відомості, що захищаються, можуть бути відкриті і приховані (33).

Відкритий вплив на власника (носія) конфіденційної інформації для отримання зацікавленим об'єктом передбачає безпосередній контакт (101, с.256).

Прихований вплив на конфіденційної інформації, що володіє (носія), для її отримання зацікавленим об'єктом здійснюється опосередковано (непрямо) (101, с.256).

Засобами неформального впливу конфіденційної інформації, що володіє (носія) для отримання від нього певних відомостей через відкритий мовний канал є - людина або група людей, які взаємодіють за допомогою: обіцянок чогось, прохання, навіювання (107, с.12).

В результаті володар (носій) конфіденційної інформації змушений змінити свою поведінку, свої службові зобов'язання та передати необхідну інформацію (91, с.239).

Прихований вплив за допомогою мовного каналу на конфіденційної інформації, що володіє (носія) здійснюється за допомогою непрямого примусу - шантаж через третю особу, ненавмисне або навмисне прослуховування і т.п.

Згадані засоби впливу привчають володіє (носія) конфіденційної інформації для його толерантності (терпимості) впливів, що надаються на нього (85, с.220).

Форми на володіючого (носія) конфіденційної інформації через фізичний канал витоку можуть бути також відкритими і прихованими.

Відкритий вплив здійснюється за допомогою силового (фізичного) залякування (побоїв) або силове зі смертельним наслідком, після отримання (побоїв) або силове зі смертельним наслідком, після отримання інформації (95, с.78).

Прихований вплив є більш витонченим та широким, з точки зору застосування засобів. Це можна як наступної структури впливу (95, с.79). Зацікавлений об'єкт - інтереси та потреби носія конфіденційної інформації.

Отже, зацікавлений об'єкт впливає потай (опосередковано) на інтереси та потреби людини, яка володіє конфіденційною інформацією.

Такий прихований вплив може ґрунтуватися на: страху, шантажі, маніпулюванні фактами, хабарі, підкупі, інтимі, корупції, переконанні, наданні послуг, запевненні про майбутнє особи, яка є носієм конфіденційної інформації. (94, с.87)

Форма впливу на власника (носія) конфіденційної інформації з технічних каналів також може бути відкритою та прихованою.

Відкриті (прямі) засоби - факсові, телефонні (у тому числі мобільні системи), Інтернет, радіозв'язку, телекомунікацій, ЗМІ.

До прихованих засобів можна віднести: прослуховування з використанням технічних засобів, перегляд з екрана дисплея та інших засобів її відображення, несанкціонований доступ до ПЕОМ та програмно-технічних засобів.

Усі розглянуті засоби впливу незалежно від їх форм, мають неформальний вплив на особу, яка є носієм конфіденційної інформації, та пов'язані з протизаконними та кримінальними способами отримання конфіденційної інформації (72).

Можливість маніпулювання індивідуальними особливостями володаря (носія) конфіденційною інформацією його соціальними потребами з метою її отримання обов'язково необхідно враховувати під час розміщення, підбору кадрів та проведення кадрової політики при організації робіт з конфіденційною інформацією.

Слід пам'ятати, що факт документування інформації (нанесення будь-який матеріальний носій) збільшує ризик загрози витоку інформації. Матеріальний носій завжди легше викрасти, при цьому є високий ступінь того, що потрібна інформація не спотворена, як це буває при розголошенні інформації усним способом.

Загрози безпеки, цілісності та секретності конфіденційності інформації обмеженого доступу практично реалізуються через ризик утворення каналів несанкціонованого отримання (добування) зловмисником цінної інформації та документів. Ці канали є сукупністю незахищених або слабо захищених організацією напрямів можливого витоку інформації, які зловмисник використовує для отримання необхідних відомостей, навмисного незаконного доступу до інформації, що захищається та охороняється.

Кожне конкретне підприємство має власний набір каналів несанкціонованого доступу до інформації, у разі ідеальних фірм немає.

Дане, залежить від безлічі факторів: обсягів інформації, що захищається і охороняється; видів інформації, що захищається і охороняється (що становить державну таємницю, або якусь іншу таємницю - службову, комерційну, банківську і т.д.); професійного рівня персоналу, розташування будівель та приміщень тощо.

Функціонування каналів несанкціонованого доступу до інформації обов'язково спричиняє витік інформації, а також зникнення її носія.

Якщо йдеться про витік інформації з вини персоналу, використовується термін "розголошення інформації". Людина може розголошувати інформацію усно, письмово, зняттям інформації з допомогою технічних засобів (копірів, сканерів тощо.), з допомогою жестів, міміки, умовних сигналів. І передавати її особисто, через посередників, каналами зв'язку тощо. (56, с.458).

Витік (розголошення) інформації характеризується двома умовами:

1. Інформація переходить безпосередньо до зацікавленої у ній особі, зловмиснику;

2. Інформація переходить до випадкової, третьої особи.

Під третьою особою в даному випадку розуміється будь-яка стороння особа, яка отримала інформацію в силу обставин, що не залежать від цієї особи, або безвідповідальності персоналу, яка не має права володіння інформацією, і, головне, ця особа не зацікавлена ​​в цій інформації (37, с.5 ). Однак від третьої особи інформація може легко перейти до зловмисника. У цьому випадку третя особа через обставини, підлаштовані зловмисником, виступає як "промокашка" для перехоплення необхідної інформації.

Перехід інформації до третьої особи є досить частим явищем, і його можна назвати ненавмисним, стихійним, хоча при цьому факт розголошення інформації має місце.

Ненавмисний перехід інформації до третьої особи виникає в результаті:

1. Втрата або неправильне знищення документа на якомусь носії, пакеті з документами, справи, конфіденційних записів;

2. Ігнорування або навмисне невиконання працівником вимог щодо захисту документованої інформації;

3. Зайвої балакучості працівників за відсутності зловмисника - з колегами по роботі, родичами, друзями, іншими особами у місцях загального користування: кафе, транспорті тощо. (Останнім часом це стало помітно з поширенням мобільного зв'язку);

4. Роботи з документованою інформацією з обмеженим доступом організації за сторонніх осіб, несанкціонованої передачі її іншому працівникові;

5. Використання інформації з обмеженим доступом у відкритих документах, публікаціях, інтерв'ю, особистих записах, щоденниках тощо;

6. Відсутності грифів секретності (конфіденційності) інформації на документах, нанесення маркування з відповідними грифами на технічних носіях;

7. Наявність у текстах відкритих документів зайвої інформації з обмеженим доступом;

8. Самовільного копіювання (сканування) працівником документів, у тому числі електронних, у службових чи колекційних цілях.

На відміну від третьої особи зловмисник або його спільник цілеспрямовано добувають конкретну інформацію та навмисно, незаконно встановлюють контакт із джерелом цієї інформації або перетворюють канали її об'єктивного поширення на канали її розголошення чи витоку.

Організаційні канали витоку інформації відрізняються великою різноманітністю видів і засновані на встановленні різноманітних, у тому числі законних, взаємин зловмисника з підприємством або співробітниками підприємства для подальшого несанкціонованого доступу до інформації, що цікавить.

Основними видами організаційних каналів можуть бути:

1. Надходження на роботу зловмисника на підприємство, як правило, на технічну чи допоміжну посаду (оператором на комп'ютері, експедитором, кур'єром, прибиральницею, двірником, охоронцем, шофером тощо);

2. Участь у роботі підприємства як партнера, посередника, клієнта, використання різноманітних шахрайських способів;

3. Пошук зловмисником спільника (ініціативного помічника), який працює в організації, який стає його співучасником;

4. Встановлення зловмисником довірчих взаємовідносин з працівником організації (за спільними інтересами, аж до спільної п'янки та любовних відносин) або постійним відвідувачем, співробітником іншої організації, що володіє інформацією, що цікавить зловмисника;

5. Використання комунікативних зв'язків організації - участь у переговорах, нарадах, виставках, презентаціях, листуванні, включаючи електронну, з організацією чи конкретними її працівниками та ін.;

6. Використання помилкових дій персоналу чи навмисне провокування зловмисником цих дій;

7. Таємне або за фіктивними документами проникнення в будівлі підприємства та приміщення, кримінальний, силовий доступ до інформації, тобто крадіжка документів, дискет, жорстких дисків (вінчестерів) або самих комп'ютерів, шантаж та відміна до співпраці окремих працівників, підкуп та шантаж працівників, створення екстремальних ситуацій тощо;

8. Отримання необхідної інформації від третьої (випадкової) особи.

Організаційні канали відбираються або формуються зловмисником індивідуально відповідно до його професійного вміння, конкретної ситуації, і прогнозувати їх вкрай складно. Виявлення організаційних каналів вимагає проведення серйозної пошукової та аналітичної роботи (75, с.32).

Широкі можливості несанкціонованого отримання з обмеженим доступом створюють технічне забезпечення технологій фінансового документообігу організації. Будь-яка управлінська та фінансова діяльність завжди пов'язана з обговоренням інформації в кабінетах або лініях та каналах зв'язку (проведення відео- та селекторних нарад), проведенням розрахунків та аналізу ситуацій на комп'ютерах, виготовленням, розмноженням документів тощо.

Подібні документи

Організаційно-розпорядча документація. Вимоги до оформлення, порядок поводження з конфіденційними документами. Способи збереження конфіденційного діловодства. Секретні архіви. Забезпечення безпеки конфіденційного діловодства.

курсова робота , доданий 15.01.2017


Напрями забезпечення безпеки інформаційних ресурсів. Особливості звільнення співробітників, які володіють конфіденційною інформацією. Доступ персоналу до конфіденційних відомостей, документів та баз даних. Захист інформації під час проведення нарад.

курсова робота , доданий 20.11.2012


Особливості роботи з персоналом, який володіє конфіденційною таємницею. Особливості прийому та переведення співробітників на роботу, пов'язану з володінням конфіденційною інформацією. Доступ персоналу до конфіденційних відомостей, документів та баз даних.

курсова робота , доданий 09.06.2011


Аналіз системи інформаційної безпеки для підприємства. Служба захисту інформації. Загрози інформаційної безпеки, характерні підприємствам. Методи та засоби захисту інформації. Модель інформаційної системи з позиції безпеки.

курсова робота , доданий 03.02.2011


Особливості звільнення співробітників, які мають конфіденційної інформацією. Здійснення кадрового переведення на роботу, пов'язану із секретною інформацією. Методи проведення атестації персоналу. Оформлення документації та розпоряджень по підприємству.

реферат, доданий 27.12.2013


Поняття "конфіденційна інформація". Порядок зарахування комерційних відомостей до комерційної таємниці. Загальна характеристика ВАТ "Зв'язковий Урал". Удосконалення механізму захисту конфіденційної інформації на підприємстві. Аналіз ефективності рекомендацій.

курсова робота , доданий 26.09.2012


Поняття та передача персональних даних. Захист та контроль інформації. Кримінальна, адміністративна та дисциплінарна відповідальність за порушення правил роботи з персональними даними. Основні правила ведення конфіденційного діловодства.

курсова робота , доданий 19.11.2014


Сутність інформації та її класифікація. Аналіз відомостей, що належать до комерційної таємниці. Дослідження можливих загроз та каналів витоку інформації. Аналіз заходів захисту. Аналіз забезпечення достовірності та захисту інформації у ТОВ "Тісм-Югнафтопродукт".

дипломна робота , доданий 23.10.2013


Захищеність інформації та підтримуючої інфраструктури від випадкових чи навмисних впливів природного та штучного характеру. Захист інформації під час проведення переговорів та у роботі кадрової служби, підготовка конфіденційної наради.

реферат, доданий 27.01.2010


У вирішенні проблеми інформаційної безпеки особливе місце займає побудова ефективної системи організації роботи з персоналом, який має конфіденційну інформацію. У підприємницьких структурах персонал включає всіх співробітників.

• - Комерційна;
• - Службова;
• - особиста (персональна) крім державних секретів (статті 727, 771, 1032 Цивільного кодексу РФ, ст. 16 Митного кодексу РФ, Указ Президента РФ від 6 березня 1997 року № 188 "Про затвердження переліку відомостей конфіденційного характеру").

Легальні ознаки конфіденційної інформації - документованість, обмеження доступу до інформації відповідно до законодавства та відсутність вільного доступу до неї на законних підставах.

«Комерційна таємниця - вид таємниці, що включає інформацію, яка встановлюється і захищається її власником у будь-якій сфері його комерційної діяльності, доступ якої обмежується на користь власника інформації». Комерційна таємниця - одне із головних видів таємниць, оскільки успішність функціонування підприємства з виробництва продукції чи послуг визначається вмінням вести конкурентну боротьбу, отже, вміти побачити, рахунок чого можна домогтися підвищення прибутку проти конкурентами.

До відомостей, що становить комерційну таємницю, можна віднести будь-яку ділову інформацію, крім обмежень, що накладаються постановою Уряду РФ "Про перелік відомостей, які не можуть становити комерційну таємницю" від 05.12.91 р. № 35.

У Росії її законодавство у сфері охорони прав на конфіденційну комерційну інформацію лише починає формуватися. Новим у регулюванні відносин у цій сфері стало ухвалення Федерального закону від 29.07.2004 № 98-ФЗ «Про комерційну таємницю».

Загальне враження, яке залишається після ознайомлення з текстом Закону, можна визначити як суперечливе. З одного боку, з'явився єдиний нормативний акт, який детально визначає режим і порядок захисту відомостей, що становлять комерційну таємницю. З іншого боку, Закон далеко не бездоганний. За його створення законодавцем було запроваджено норми, з погляду дослідників, утрудняють захист комерційної таємниці і відновлення порушеного права.

Закон не виключає застосування загальних норм про комерційну таємницю, передбачені ст. 139 ГК РФ, а як джерела називає ДК РФ та інші федеральні закони. Таким чином, Закон доповнює нормативну базу, що склалася, і лише частково її замінює.

Проте вже за прочитанні визначення комерційної таємниці бачимо термінологічні нестиковки Закону з ЦК РФ. Закон визначає поняття комерційної таємниці через властивість інформації: комерційна таємниця – це "конфіденційність інформації" (п. 1 ст. 3 Закону) (англ. confidence – секретність). ДК РФ розглядає комерційну таємницю в першу чергу як різновид інформації, що має "комерційну цінність через її невідомість третім особам", щодо якої застосовуються заходи щодо охорони її конфіденційності (ст. 139 ДК РФ). За всієї незначності на перший погляд розбіжності понять ми отримали два різні, конкуруючі за своєю юридичною силою визначення.

Закон розрізняє форму, в якій існує цінна інформація, та зміст самої інформації. До неї належить "науково-технічна, технологічна, виробнича, фінансово-економічна чи інша інформація, у тому числі складова секрети виробництва (ноу-хау)" (п. 2 ст. 3 Закону).

Список видів інформації, що може мати комерційну цінність, відкрито.

Закон, як і раніше, наділяє власника (власника) інформації правом самостійно визначати її цінність.

Визначення комерційної таємниці, що у Законі, відбиває характер самого Закону. Основний акцент у ньому зроблено на процедурах охорони комерційної інформації. Відповідно до Закону, саме вони дозволяють забезпечити необхідний мінімум умов для захисту порушеного права в суді, а також проводять розмежування між законним та незаконним доступом як елементом складу правопорушення.

У зв'язку з цим важко зрозуміти визначення власника інформації, що становить комерційну таємницю, дане в Законі. Відповідно до п. 4 ст. 3 Закону це особа, яка має таку інформацію "на законній підставі". Таким чином, доводячи факт порушення права, доведеться встановлювати законність володіння ним. Документально підтвердити права на комерційну таємницю можна, якщо вони, наприклад, підлягають державній реєстрації (патенти, свідоцтва). У разі інтереси власника захищаються патентним, авторським правом. Якщо комерційну таємницю складають домовленості, зафіксовані на аудіо-носії, або це незапатентовані ідеї, довести первинність та законність володіння такою інформацією буде досить складно.

Очевидно, що потрібно буде підтвердити об'єктивний зв'язок інформації із її власником. Наприклад, інформація про організацію-власника, її угоди тощо повинна містити вказівку на організацію-власника та бути захищена спеціальними посиланнями на носії про конфіденційність, як це передбачено у п. 5 ч. 1 ст. 10 Закону.

У Законі йдеться про передачу інформації лише на матеріальному носії (п. 6 ст. 3 Закону) та на умовах спеціального договору. У цій частині Закон обмежує обсяг охоронюваних у режимі таємниці відомостей порівняно з визначенням, даним у Цивільному кодексі України, в ст. 139 якого не згадуються матеріальні носії, а йдеться про охорону конфіденційної інформації.

Отже, керуючись Законом, із правової охорони виключено випадки, наприклад, розголошення інформації, яка не зафіксована на матеріальних носіях. Зокрема, це можуть бути відомості про будь-які рішення, прийняті організацією щодо просування свого продукту, та подібна інформація.

З одного боку, такий підхід спрощує процес доведення, з іншого – обмежує можливості захисту інтересів власника інформації.

Закон уперше запроваджує визначення поняття "режим комерційної таємниці". При розгляді правових підстав захисту комерційної таємниці режиму комерційної таємниці слід приділити особливу увагу. Його недотримання тягне за собою втрату можливості захистити порушене право на комерційну таємницю (ч. 1 ст. 7 та ч. 2 ст. 10 Закону).

Система умов, що становлять режим комерційної таємниці, дуже об'ємна і потребує значних витрат з боку власника або отримувача комерційної таємниці.

Зокрема, ч. 1 ст. 10 Закону передбачає:

• - Визначення переліку інформації, що становить комерційну таємницю;
• - обмеження доступу до інформації, що становить комерційну таємницю, шляхом встановлення порядку поводження з цією інформацією та контролю за дотриманням такого порядку;
• - облік осіб, які отримали доступ до інформації, що становить комерційну таємницю, та (або) осіб, яким така інформація була надана або передана;
• - регулювання відносин щодо використання інформації, що становить комерційну таємницю, працівниками на підставі трудових договорів та контрагентами на підставі цивільно-правових договорів;
• - нанесення на матеріальні носії (документи), які містять інформацію, що становить комерційну таємницю, грифа "Комерційна таємниця" із зазначенням власника цієї інформації (для юридичних осіб - повне найменування та місцезнаходження, для індивідуальних підприємців - прізвище, ім'я, по батькові громадянина, що є індивідуальним підприємцем, та місце проживання).

Власник комерційної таємниці повинен встановити певний порядок обігу конфіденційної інформації, а також передбачити додаткові штатні одиниці для контролю за таким обігом. Крім того, потрібно привести у відповідність або розробити новий пакет внутрішньої нормативної документації.

Як мінімум організації – власнику комерційної таємниці необхідно:

• - розробити положення про комерційну таємницю та про документообіг усіх носіїв інформації з грифом "Комерційна таємниця";
• - випустити наказ щодо організації про допуск до комерційної таємниці;
• - передбачити у трудовому контракті додаткові умови про добровільне зобов'язання працівника дотримуватись режиму комерційної таємниці.

Таким чином, з одного боку, Закон розширив повноваження органів держави щодо контролю господарської діяльності організацій. З іншого боку, процес захисту прав власників інформації значно ускладнився.

Відомості, які стосуються службової інформації, зазвичай є предметом самостійних угод, проте їх розголошення може завдати майнових збитків організації та шкоди її ділової репутації.

Необхідність системного правового регулювання інституту службової таємниці викликана низкою причин, зокрема: відсутність у законодавстві єдиного підходу до відповідної категорії інформації обмеженого доступу; численними прикладами незаконного розповсюдження (продажу) інформації, що акумульується в органах державної влади і відноситься або до особи, або до діяльності суб'єктів господарювання; обмеженнями на поширення інформації, що накладаються на власний розсуд керівниками органів державної влади та державними (муніципальними) службовцями на подання інформації громадянам, громадським організаціям, засобам масової інформації.

Рівень нормативного регулювання порядку поводження зі службовою інформацією обмеженого поширення, інститут якої нині можна сприймати як аналог службової таємниці соціалістичного періоду, з низки причин не можна визнати задовільним. Єдиний нормативний акт, що регулює цю групу правовідносин - "Положення про порядок поводження зі службовою інформацією обмеженого поширення у федеральних органах виконавчої влади", затверджене постановою Уряду Російської Федерації від 3 листопада 1994 № 1233 (ДСП). Дане Положення поширюється лише діяльність федеральних органів виконавчої, хоча аналогічні відомості утворюються і надходять у будь-які органи державної влади органи місцевого самоврядування. Багато важливі умови, що визначають порядок віднесення відомостей до категорії службової інформації, не встановлені в Положенні та дано на відкуп керівникам федеральних органів виконавчої влади, що не можна визнати правильним, оскільки ведення обмежень на доступ до інформації має встановлюватися лише федеральним законом. Таким чином, рівень правового регулювання явно недостатній, до того ж на рівні постанови Уряду Російської Федерації вибудувати довгострокову та стабільну систему захисту відомостей, що мають тривалий термін зберігання, неможливо, тим більше, коли йдеться про встановлення низки норм цивільно-правового характеру. Незважаючи на практично повну відсутність нормативного регулювання у сфері віднесення відомостей до службової таємниці, їх захисту та встановлення санкцій за протиправне поширення такої інформації, ця категорія присутня у великій кількості федеральних законів (близько 40), у тому числі: ФЗ "Про основи державної служби Російської Федерації" Федерації", ФКЗ "Про Уряд РФ", ФЗ "Про службу в митних органах Російської Федерації", ФЗ "Про Центральний Банк Російської Федерації (Банку Росії)", ФЗ "Про основи муніципальної служби Російської Федерації", ФЗ "Про реструктуризацію кредитних організацій ", ФЗ "Про ринок цінних паперів" та ін. При цьому відсутність чітко визначеного правового інституту службової таємниці зумовило різноманітність правових підходів, що отримали закріплення у законодавстві. Так, у ФЗ "Про реструктуризацію кредитних організацій" згадується службова таємниця кредитної організації (ст. 41), у ФЗ "Про заходи щодо захисту економічних інтересів Російської Федерації при здійсненні зовнішньої торгівлі товарами" в органах виконавчої циркулює "конфіденційна інформація" (ст. 18), у ФЗ "Про основи державної служби Російської Федерації" та ряд інших законів використовується термін "службова інформація", у ФЗ "Про митний тариф" у митному органі циркулює інформація, що становить комерційну таємницю та конфіденційна інформація (ст. 14). Федеральний закон №119-ФЗ від 20.08.2004 "Про державний захист потерпілих, свідків та інших учасників кримінального судочинства" передбачає у низці заходів безпеки щодо особи, що захищається, забезпечення конфіденційності відомостей про неї.

Дані відомості за змістом становлять службову таємницю і законодавче закріплення механізмів розпорядження цими відомостями допоможе реалізації зазначеного Федерального закону. Ці приклади свідчать, що як термінологія, а й зміст інституту захисту службової інформації немає у законодавстві однозначного відображення.

По-різному вирішується у законодавстві питання структурі конфіденційної інформації та співвідношенні різних видів таємниць. У зв'язку з цим особливе занепокоєння викликає включення категорії " службова таємниця " до норм статті 139 ДК РФ, де відповідні відомості за системними ознаками практично злиті з комерційною таємницею, хоча, дотримуючись здорової правової логіки, дані системи обмеження у доступі до інформації за своєю природою повинні бути різні. На електронних ринках країни та за допомогою розсилки не запрошених повідомлень електронної пошти (так званий спам) безконтрольно поширюються CD, що містять бази даних (БД) з інформацією про персоналії та організації. Наприклад, БД "Митниця", ДІБДР, БТІ (Бюро технічної інвентаризації), "Прописка", "Зовнішньоекономічна діяльність", ЄДРП (Єдина державна реєстрація підприємств), "Власники квартир", "Доходи фізичних осіб", "Картотека МВС" (судимості та ін.), ОВІР (зареєстровані паспорти), "БД "Міністерство юстиції", "Сірена" (перевезення приватних осіб залізничним транспортом Росії), БД про безготівкові розрахунки підприємств з постачальниками та споживачами та інші. Очевидно, що подібна інформація не може потрапити ринку без участі державних службовців.

Наразі законодавцями підготовлено проект закону «Про службову таємницю», який регулює захист таких відомостей.

До особистих (персональних) даних належать прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи фізичної особи. До складу персональних даних підлягають включенню також відомості, пов'язані з надходженням на роботу (службу), її проходженням та звільненням; дані про чоловіка, дітей та інших членів сім'ї власника, дані, що дозволяють визначити місце проживання, поштову адресу, телефон та інші індивідуальні засоби комунікації цивільного службовця, а також його подружжя (її чоловіка), дітей та інших членів його сім'ї, дані, що дозволяють визначити місцезнаходження об'єктів нерухомості, що належать цивільному службовцю на праві власності або перебувають у його користуванні, відомості про доходи, майно та зобов'язання майнового характеру, відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особу, відомості, що стали відомими працівнику органу громадянського стану у зв'язку з державною реєстрацією акта громадянського стану, володіння мовами (рідна мова, російська мова, інша мова або інші мови), освіта загальна (початкова загальна, основна загальна, середня (повна) загальна) та професійна (початкова професійна, середня професійна) , вища професійна, післявузівська професійна), житлові умови (тип житлового приміщення, час будівництва будинку, розмір загальної та житлової площі, кількість житлових кімнат, види благоустрою житлового приміщення), джерела коштів для існування (дохід від трудової діяльності або іншого заняття, пенсія, у тому числі пенсія з інвалідності, стипендія, допомога, інший вид державного забезпечення, інше джерело коштів для існування). Визначаючи персональні дані як відкритий перелік відомостей, незалежно від форми їх подання законодавець тим самим зберігає можливість їх розширення в міру того, як змінюватиметься соціальний статус їхнього власника на конкретному етапі його життєвого шляху.

Персональні дані належать до категорії конфіденційної інформації, яка передбачає відсутність вільного доступу до неї та наявність ефективної системи її захисту. Включення персональних даних до розряду конфіденційних відомостей спрямоване на запобігання несанкціонованим діям щодо знищення, модифікації, спотворення, копіювання, блокування інформації, запобігання іншим формам незаконного втручання в особисте життя громадянина.

Правову основу побудови системи захисту персональних даних становлять положення Конституції РФ. У статтях 22 і 23 містяться норми, які проголошують основні права особи щодо приватного життя. Вони закріплено декларація про недоторканність приватного життя, особисту та сімейну таємницю. Забороняється збирання, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди.

Формуючи законодавчу основу обробки персональних даних, законодавець приймає за основу та норми міжнародного права, що містять основні принципи роботи з персональними даними у процесі їхньої обробки. Спочатку зазначені принципи знайшли своє закріплення у Міжнародній конвенції "Про охорону особистості щодо автоматизованої обробки персональних даних" ETS N 108 (28 січня 1981 р.), яка стала початком для відповідного національного законодавства. Потім система захисту персональних даних розвивалася в Директиві Європейського Союзу та Парламенту 95/46/ЄС від 24 жовтня 1995 р. про захист прав приватних осіб стосовно обробки персональних даних та вільний рух таких даних та Директиві 97/66/ЄС від 15 грудня 1997 р. · з обробки персональних даних та захисту конфіденційності в телекомунікаційному секторі. Названі документи містять перелік основних заходів для охорони персональних даних, накопичених в автоматизованих базах даних, від випадкової чи несанкціонованої руйнації чи випадкової втрати, а також від несанкціонованого доступу, зміни чи розповсюдження.

Основним федеральним законом, що захищає конфіденційність особистих даних, є закон «Про персональні дані», ухвалений 27 липня 2006 року.

У Законі визначено принципи та умови обробки персональних даних. Встановлюючи загальну заборону на обробку персональних даних без згоди суб'єкта персональних даних, Закон передбачає випадки, коли така згода не потрібна.

Окремо регулюються відносини з обробки спеціальних категорій персональних даних (відомості про расову, національну приналежність, політичні погляди, релігійні або філософські переконання, стан здоров'я, інтимне життя). Обробка зазначених категорій відомостей не допускається без попередньої згоди суб'єкта персональних даних, за винятком випадків, коли персональні дані є загальнодоступними, обробка даних необхідна для забезпечення життя та здоров'я особи; обробка провадиться у зв'язку із здійсненням правосуддя, а також інших обставин.

Найважливішою гарантією прав суб'єкта персональних даних є обов'язок операторів та третіх осіб, які отримали доступ до персональних даних, забезпечувати їхню конфіденційність (крім випадків їх знеособлення та загальнодоступних персональних даних), а також право суб'єкта персональних даних на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди в судовому порядку. Контроль та нагляд за обробкою персональних даних покладено на федеральний орган виконавчої влади, який здійснює функції з контролю та нагляду у сфері інформаційних технологій та зв'язку, який наділяється відповідними правами та обов'язками. Зокрема, уповноважений орган має право здійснювати перевірку інформаційної системи обробки персональних даних, пред'являти вимоги щодо блокування, видалення недостовірних або отриманих незаконним шляхом персональних даних, встановлювати постійну чи тимчасову заборону на обробку персональних даних, проводити розслідування у порядку адміністративного провадження про порушення закону. Встановлюються принципи транскордонної передачі даних, за якої має забезпечуватися адекватний захист прав суб'єктів персональних даних.

У систему законодавства у сфері персональних даних крім названих актів законодавцем включено та інші законы:

Трудовий кодекс РФ, у розділі 14 якого закріплені основні вимоги захисту персональних даних працівника. Прийом працівника за діловими якостями передбачає застосування певних прийомів збору відомостей про працівника, про те, щоб вони досить повно виявили заздалегідь встановлене коло критеріїв, необхідні зайняття тієї чи іншої посади, т. е. роботодавець фактично здійснює збір персональних даних працівника;

Митний кодекс РФ від 28 травня 2003 р. N 61-ФЗ, що регламентує процедуру обробки персональних даних осіб, які здійснюють діяльність, пов'язану з переміщенням товарів і транспортних засобів через митний кордон або здійснюють діяльність у галузі митної справи, з метою проведення митного контролю та стягнення митних платежів;

Федеральний закон від 27 липня 2006 р. N 149-ФЗ "Про інформацію, інформаційні технології та захист інформації" дає загальне визначення персональних даних, закладає основні принципи правового регулювання діяльності, пов'язаної з персональними даними. Тут же запроваджується відповідальність за порушення їх конфіденційності, а також обов'язковість ліцензування для недержавних організацій та приватних осіб діяльності, пов'язаної з обробкою та наданням персональних даних;

Федеральний закон від 15 листопада 1997 р. N 143-ФЗ "Про акти громадянського стану" регламентує процедуру захисту конфіденційних відомостей у процесі реєстрації актів цивільного стану.

Крім того, питання правового регулювання роботи з персональними даними порушені у Федеральних законах від 22 жовтня 2004 р. N 125-ФЗ "Про архівну справу в Російській Федерації", від 12 серпня 1995 р. N 144-ФЗ "Про оперативно-розшукову діяльність" , від 12 червня 2002 р. N 67-ФЗ "Про основні гарантії виборчих прав та права на участь у референдумі громадян Російської Федерації", Податковому кодексі РФ, Основи законодавства РФ про охорону здоров'я громадян від 22 липня 1993 р. N 5487-1, Законах РФ від 21 липня 1993 р. N 5485-1 "Про державну таємницю", від 28 березня 1998 р. N 53-ФЗ "Про військовий обов'язок та військову службу", Федеральні закони від 1 квітня 1996 р. N 27-ФЗ " Про індивідуальний (персоніфікований) облік у системі обов'язкового пенсійного страхування", від 8 серпня 2001 р. N 129-ФЗ "Про державну реєстрацію юридичних осіб та індивідуальних підприємців" та ряд інших. У Цивільному кодексі РФ стаття 152 захищає честь, гідність та ділову репутацію громадянина. У Кримінальному кодексі РФ у ст. 137 встановлюється кримінальна відповідальність "за незаконне збирання або розповсюдження відомостей про приватне життя особи, що становлять її особисту чи сімейну таємницю".

Вступ

Висновок

Список літератури

Вступ

На сучасному етапі розвитку нашого суспільства багато традиційних ресурсів людського прогресу поступово втрачають своє первісне значення. На зміну їм приходить новий ресурс, єдиний продукт не спадаючий, а зростаючий згодом, званий інформацією. Інформація стає сьогодні головним ресурсом науково-технічного та соціально-економічного розвитку світової спільноти. Чим більше і швидше впроваджується якісної інформації в народне господарство та спеціальні додатки, тим вищий життєвий рівень народу, економічний, оборонний та політичний потенціал країни.

Цілісність сучасного світу як спільноти забезпечується в основному за рахунок інтенсивного інформаційного обміну. Призупинення глобальних інформаційних потоків навіть на короткий час може призвести до не меншої кризи, ніж розрив міждержавних економічних відносин. Тому в нових ринково-конкурентних умовах виникає маса проблем, пов'язаних не лише із забезпеченням збереження комерційної (підприємницької) інформації як виду інтелектуальної власності, а й фізичних та юридичних осіб, їхньої майнової власності та особистої безпеки.

Метою даної роботи є розгляд інформаційної безпеки як невід'ємної частини національної безпеки, а також виявлення ступеня її захищеності на сучасному етапі, аналіз внутрішніх та зовнішніх загроз, розгляд проблем та шляхи їх вирішення.

У зв'язку з цим поставлено певні завдання:

.Визначити місце та значення інформаційної безпеки на сучасному етапі розвитку;

2.Розглянути нормативно-правову базу у сфері захисту інформації;

.Виявити основні проблеми та загрози та шляхи їх вирішення.

Глава 1. Проблеми та загрози інформаційної безпеки

1.1 Місце інформаційної безпеки у системі національної безпеки Росії

Національна безпека Російської Федерації істотно залежить від забезпечення інформаційної безпеки, і під час технічного прогресу ця залежність зростатиме.

У сучасному світі інформаційна безпека стає життєво необхідною умовою забезпечення інтересів людини, суспільства та держави та найважливішою, стрижневою, ланкою всієї системи національної безпеки країни.

Нормативно-правовою основою регулювання захисту інформації стала Доктрина інформаційної безпеки РФ, затверджена Президентом РФ в 2001 р. Вона є сукупністю офіційних поглядів на цілі, завдання, принципи та основні напрями забезпечення інформаційної безпеки Росії. У Доктрині розглядаються:

об'єкти, загрози та джерела загроз інформаційній безпеці;

можливі наслідки загроз інформаційній безпеці;

методи та засоби запобігання та нейтралізації загроз інформаційній безпеці;

особливості забезпечення інформаційної безпеки у різних сферах життєдіяльності суспільства та держави;

основні положення державної політики щодо забезпечення інформаційної безпеки в РФ.

Доктрина розглядає всю роботу в інформаційній сфері на основі та в інтересах Концепції національної безпеки РФ.

Вона виділяє чотири основні складові національних інтересів Росії у інформаційній сфері.

Перша складова включає дотримання конституційних права і свободи людини і громадянина у сфері отримання та користування інформацією, забезпечення духовного оновлення Росії, збереження та зміцнення моральних цінностей суспільства, традицій патріотизму і гуманізму, культурного та наукового потенціалу країни.

Для її реалізації необхідно:

підвищити ефективність використання інформаційної інфраструктури у сфері соціального розвитку, консолідації російського суспільства, духовного відродження багатонаціонального народу страны;

удосконалити систему формування, збереження та раціонального використання інформаційних ресурсів, що становлять основу науково-технічного та духовного потенціалу Росії;

забезпечити конституційні права та свободи людини та громадянина вільно шукати, отримувати, передавати, виробляти та поширювати інформацію будь-яким законним способом, отримувати достовірну інформацію про стан навколишнього середовища;

забезпечити конституційні права та свободи людини та громадянина на особисту та сімейну таємницю, таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень, на захист своєї честі та свого доброго імені;

зміцнити механізми правового регулювання відносин у галузі охорони інтелектуальної власності, створити умови для дотримання встановлених федеральним законодавством обмежень на доступ до конфіденційної інформації;

гарантувати свободу масової інформації та заборону цензури;

не допускати пропаганди та агітації, які сприяють розпалюванню соціальної, расової, національної чи релігійної ненависті та ворожнечі;

конфіденційна інформація захист росія

забезпечити заборона збирання, зберігання, використання та поширення інформації про приватне життя особи без його згоди та іншої інформації, доступ до якої обмежений федеральним законодавством.

Друга складова національних інтересів в інформаційній сфері включає інформаційне забезпечення державної політики країни, пов'язане з доведенням до російської та міжнародної громадськості достовірної інформації про її офіційну позицію щодо соціально значущих подій російського та міжнародного життя, із забезпеченням доступу громадян до відкритих державних інформаційних ресурсів. Для цього потрібно:

зміцнювати державні засоби масової інформації, розширювати їх можливості щодо своєчасного доведення достовірної інформації до російських та іноземних громадян;

інтенсифікувати формування відкритих державних інформаційних ресурсів, підвищити ефективність їхнього господарського використання.

Третя складова національних інтересів в інформаційній сфері включає розвиток сучасних інформаційних технологій, у тому числі індустрії засобів інформатизації, телекомунікації та зв'язку, забезпечення потреб внутрішнього ринку цією продукцією та вихід її на світовий ринок, а також забезпечення накопичення, збереження та ефективного використання вітчизняних інформаційних ресурсів.

Для досягнення результату на цьому напрямі необхідно:

розвивати та вдосконалювати інфраструктуру єдиного інформаційного простору Росії;

розвивати вітчизняну індустрію інформаційних послуг та підвищувати ефективність використання державних інформаційних ресурсів;

розвивати виробництво в країні конкурентоспроможних засобів та систем інформатизації, телекомунікації та зв'язку, розширювати участь Росії у міжнародній кооперації виробників цих засобів та систем;

забезпечити державну підтримку фундаментальних та прикладних досліджень, розробок у сферах інформатизації, телекомунікації та зв'язку.

Четверта складова національних інтересів в інформаційній сфері включає захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційних та телекомунікаційних систем.

З цією метою потрібно:

підвищити безпеку інформаційних систем (включаючи мережі зв'язку), насамперед, первинних мереж зв'язку та інформаційних систем органів державної влади, фінансово-кредитної та банківської сфер, сфери господарської діяльності, систем та засобів інформатизації озброєння та військової техніки, систем управління військами та зброєю, екологічно небезпечними та економічно важливими виробництвами;

інтенсифікувати розвиток вітчизняного виробництва апаратних та програмних засобів захисту інформації та методів контролю їх ефективності;

забезпечити захист відомостей, що становлять державну таємницю;

розширювати міжнародне співробітництво Росії у сфері безпечного використання інформаційних ресурсів, протидії загрозі протиборству в інформаційній сфері.

1.2 Основні проблеми інформаційної безпеки та шляхи їх вирішення

Забезпечення інформаційної безпеки потребує вирішення цілого комплексу завдань.

Найважливіше завдання у справі забезпечення інформаційної безпеки Росії - здійснення комплексного обліку інтересів особистості, нашого суспільства та держави у цій сфері. Доктрина ці інтереси визначає так:

інтереси особистості в інформаційній сфері полягають у реалізації конституційних прав людини та громадянина на доступ до інформації, на використання інформації на користь здійснення не забороненої законом діяльності, фізичного, духовного та інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку;

інтереси суспільства в інформаційній сфері полягають у забезпеченні інтересів суспільства у цій сфері, зміцненні демократії, створенні правової соціальної держави, досягненні та підтримці суспільної згоди, у духовному оновленні Росії;

інтереси держави у інформаційної сфері полягають у створенні умов гармонійного розвитку російської інформаційної інфраструктури, реалізації конституційних права і свободи людини (громадянина) у сфері отримання информации. Одночасно потрібне використання цієї сфери лише з метою забезпечення непорушності конституційного ладу, суверенітету та територіальної цілісності Росії, політичної, економічної та соціальної стабільності, у безумовному забезпеченні законності та правопорядку, розвитку рівноправного та взаємовигідного міжнародного співробітництва.

Загальні методи вирішення ключових завдань у справі забезпечення інформаційної безпеки Доктрина поєднує у три групи:

правові;

організаційно-технічні; економічні.

До правових методів відноситься розробка нормативних правових актів, що регламентують відносини в інформаційній сфері, та нормативних методичних документів з питань забезпечення інформаційної безпеки РФ (вони докладно розглядаються в гл.4 цього посібника).

Організаційно-технічними методами забезпечення інформаційної безпеки є:

створення та вдосконалення систем забезпечення інформаційної безпеки;

посилення правозастосовчої діяльності органів влади, включаючи запобігання та припинення правопорушень в інформаційній сфері;

створення систем та засобів запобігання несанкціонованому доступу до інформації та впливів, що спричиняють руйнування, знищення, спотворення інформації, зміну штатних режимів функціонування систем та засобів інформатизації та зв'язку;

сертифікація засобів захисту інформації, ліцензування діяльності у сфері захисту державної таємниці, стандартизація способів та засобів захисту інформації;

контроль за діями персоналу в інформаційних системах, підготовка кадрів у сфері забезпечення інформаційної безпеки;

формування системи моніторингу показників та характеристик інформаційної безпеки у найважливіших сферах життя та діяльності суспільства та держави.

Економічні методи забезпечення інформаційної безпеки включають:

розроблення програм забезпечення інформаційної безпеки та визначення порядку їх фінансування;

вдосконалення системи фінансування робіт, пов'язаних із реалізацією правових та організаційно-технічних методів захисту інформації, створення системи страхування інформаційних ризиків фізичних та юридичних осіб.

Згідно з Доктриною, держава в процесі реалізації своїх функцій щодо забезпечення інформаційної безпеки: проводить об'єктивний та всебічний аналіз та прогнозування загроз інформаційній безпеці, розробляє заходи щодо її забезпечення; організовує роботу органів влади щодо реалізації комплексу заходів, спрямованих на запобігання, відображення та нейтралізацію загроз інформаційній безпеці; підтримує діяльність громадських об'єднань, спрямовану на об'єктивне інформування населення про соціально значущі явища суспільного життя, захист суспільства від спотвореної та недостовірної інформації; здійснює контроль за розробкою, створенням, розвитком, використанням, експортом та імпортом засобів захисту інформації за допомогою їх сертифікації та ліцензування діяльності в галузі захисту інформації; проводить необхідну протекціоністську політику щодо виробників засобів інформатизації та захисту інформації на території РФ та вживає заходів щодо захисту внутрішнього ринку від проникнення на нього неякісних засобів інформатизації та інформаційних продуктів; сприяє наданню фізичним та юридичним особам доступу до світових інформаційних ресурсів, глобальних інформаційних мереж; формулює та реалізує державну інформаційну політику Росії; організує розробку федеральної програми забезпечення інформаційної безпеки, що об'єднує зусилля державних та недержавних організацій у цій галузі; сприяє інтернаціоналізації глобальних інформаційних мереж і систем, і навіть входження Росії у світове інформаційне співтовариство за умов рівноправного партнерства.

При вирішенні основних завдань та виконання першочергових заходів державної політики щодо забезпечення інформаційної безпеки нині домінує прагнення вирішувати головним чином нормативно-правові та технічні проблеми. Найчастіше йдеться про "розробку та впровадження правових норм", "підвищення правової культури та комп'ютерної грамотності громадян", "створення безпечних інформаційних технологій", "забезпечення технологічної незалежності" тощо.

p align="justify"> Відповідним чином планується і розвиток системи підготовки кадрів, що використовуються в галузі забезпечення інформаційної безпеки, тобто переважає підготовка кадрів у галузі засобів зв'язку, обробки інформації, технічних засобів її захисту. Найменшою мірою здійснюється підготовка фахівців у галузі інформаційно-аналітичної діяльності, соціальної інформації, інформаційної безпеки особистості. На жаль, багато державних інститутів вважають найбільш важливою технічну сторону проблеми, упускаючи з уваги соціально-психологічні її аспекти.

1.3 Джерела загроз інформаційної безпеки

Загрози інформаційної безпеки - використання різних видів інформації проти тієї чи іншої соціального (економічного, військового, науково-технічного тощо.) об'єкта з метою зміни його функціональних можливостей чи повного ураження.

З урахуванням загального спрямування Доктрина поділяє загрози інформаційної безпеки на такі види:

загрози конституційним правам і свободам людини і громадянина у сфері духовного життя та інформаційної діяльності, індивідуальної, групової та суспільної свідомості, духовного відродження Росії;

загрози інформаційному забезпеченню державної політики РФ;

загрози розвитку вітчизняної індустрії інформації, включаючи індустрію засобів інформатизації, телекомунікації та зв'язку, забезпечення потреб внутрішнього ринку в її продукції та виходу цієї продукції на світовий ринок, а також забезпечення накопичення, збереження та ефективного використання вітчизняних інформаційних ресурсів;

загрози безпеці інформаційних та телекомунікаційних засобів і систем, як вже розгорнутих, так і створюваних на території Росії.

Загрозами конституційним правам і свободам людини і громадянина в галузі духовного життя та інформаційної діяльності, індивідуальної, групової та суспільної свідомості, духовного відродження Росії можуть бути:

прийняття органами влади правових актів, що обмежують конституційні права та свободи громадян у галузі духовного життя та інформаційної діяльності;

створення монополій на формування, отримання та поширення інформації в РФ, у тому числі з використанням телекомунікаційних систем;

протидія, у тому числі з боку кримінальних структур, реалізації громадянами своїх конституційних прав на особисту та сімейну таємницю, таємницю листування, телефонних переговорів та інших повідомлень;

надмірне обмеження доступу до необхідної інформації;

протиправне застосування спеціальних засобів впливу на індивідуальну, групову та суспільну свідомість;

невиконання органами державної влади та місцевого самоврядування, організаціями та громадянами вимог законодавства, що регулює відносини в інформаційній сфері;

неправомірне обмеження доступу громадян до інформаційних ресурсів органів державної влади та місцевого самоврядування, до відкритих архівних матеріалів, до іншої відкритої соціально-значущої інформації;

дезорганізація та руйнування системи накопичення та збереження культурних цінностей, включаючи архіви;

порушення конституційних права і свободи людини і громадянина у сфері масової інформації;

витіснення російських інформаційних агентств, засобів з внутрішнього інформаційного ринку України і посилення залежності духовної, економічної та політичної сфер життя Росії від зарубіжних інформаційних структур;

девальвація духовних цінностей, пропаганда зразків масової культури, заснованих на культі насильства, на духовних та моральних цінностях, що суперечать цінностям, прийнятим у суспільстві;

зниження духовного, морального та творчого потенціалу населення Росії;

маніпулювання інформацією (дезінформація, приховування чи спотворення інформації).

Загрозами інформаційного забезпечення державної політики РФ можуть бути:

монополізація інформаційного ринку Росії, його окремих секторів вітчизняними та зарубіжними інформаційними структурами;

блокування діяльності державних засобів масової інформації щодо інформування російської та зарубіжної аудиторії;

низька ефективність інформаційного забезпечення державної політики РФ внаслідок дефіциту кваліфікованих кадрів, відсутності системи формування та реалізації державної інформаційної політики.

Загрози розвитку вітчизняної індустрії інформації можуть становити:

протидія доступу нових інформаційних технологій, взаємовигідному і рівноправному участі російських виробників у світовому розподілі праці промисловості інформаційних послуг, засобів інформатизації, телекомунікації та зв'язку, інформаційних товарів, створення умов посилення технологічної залежності Росії у сфері інформаційних технологій;

закупівля органами державної влади імпортних засобів інформатизації, телекомунікації та зв'язку за наявності вітчизняних аналогів;

витіснення з вітчизняного ринку російських виробників засобів інформатизації, телекомунікації та зв'язку;

використання несертифікованих вітчизняних та зарубіжних інформаційних технологій, засобів захисту інформації, засобів інформатизації, телекомунікації та зв'язку;

відтік за кордон фахівців та правовласників інтелектуальної власності.

Усі джерела загроз інформаційної безпеки Доктрина поділяє зовнішні і внутрішні.

До зовнішніх джерел загроз Доктрина відносить:

діяльність іноземних політичних, економічних, військових, розвідувальних та інформаційних структур проти інтересів РФ;

прагнення низки країн домінувати на світовому інформаційному просторі, витіснення Росії з інформаційних ринків;

діяльність міжнародних терористичних організацій;

збільшення технологічного відриву провідних держав світу та нарощування їх можливостей щодо протидії створенню конкурентоспроможних російських інформаційних технологій;

діяльність космічних, повітряних, морських та наземних технічних та інших засобів (видів) розвідки іноземних держав;

розробка низкою держав концепцій інформаційних воєн, що передбачають створення засобів небезпечного впливу на інформаційні сфери інших країн, порушення функціонування інформаційних та телекомунікаційних систем, отримання несанкціонованого доступу до них.

До внутрішніх джерел загроз, згідно з Доктриною, належать: критичний стан низки вітчизняних галузей промисловості;

несприятлива криміногенна обстановка, що супроводжується тенденціями зрощення державних та кримінальних структур в інформаційній сфері, отримання кримінальними структурами доступу до конфіденційної інформації, посилення впливу організованої злочинності на життя суспільства, зниження ступеня захищеності законних інтересів громадян, суспільства та держави в інформаційній сфері;

недостатня координація діяльності органів влади всіх рівнів щодо реалізації єдиної державної політики у сфері інформаційної безпеки;

недоліки нормативно-правової бази, що регулює відносини в інформаційній сфері та правозастосовчої практики;

нерозвиненість інститутів громадянського суспільства та недостатній державний контроль за розвитком інформаційного ринку в Росії;

недостатнє фінансування заходів щодо забезпечення інформаційної безпеки;

недостатня кількість кваліфікованих кадрів у галузі забезпечення інформаційної безпеки;

недостатня активність федеральних органів влади в інформуванні суспільства про свою діяльність, у роз'ясненні прийнятих рішень, формуванні відкритих державних ресурсів та розвитку системи доступу до них громадян;

відставання Росії від провідних країн світу за рівнем інформатизації органів влади та місцевого самоврядування, кредитно-фінансової сфери, промисловості, сільського господарства, освіти, охорони здоров'я, сфери послуг та побуту громадян.

Глава 2. Захист конфіденційної інформації

2.1 Класифікація відомостей, що підлягають захисту

В даний час у різних нормативних документах вказується значна кількість (понад 40) видів інформації, що потребують додаткового захисту. Для зручності розгляду правового режиму інформаційних ресурсів за ознакою доступу їх можна умовно поєднати у чотири групи:

Державна таємниця;

комерційна таємниця;

відомості про конфіденційний характер;

інтелектуальна власність.

Державна таємниця. Закон РФ "Про державну таємницю" дає таке визначення державної таємниці: це відомості, що захищаються державою в галузі військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Росії (ст.2).

У ст.5 цього Закону визначено перелік відомостей, що віднесені до державної таємниці:

відомості у військовій галузі - про зміст стратегічних та оперативних планів, про плани будівництва Збройних сил, розробку, технології, виробництво, про об'єкти виробництва, про зберігання, про утилізацію ядерних боєприпасів, про тактико-технічні характеристики та можливості бойового застосування зразків озброєння та військової техніки , Про дислокацію ракетних та особливо важливих об'єктів та ін;

відомості в галузі економіки, науки і техніки - про зміст планів підготовки РФ та її окремих регіонів до можливих військових дій, про обсяги виробництва, про плани державного замовлення, про випуск та постачання озброєння, військової техніки, про досягнення науки та техніки, що мають важливе оборонне або економічне значення, та ін;

відомості в галузі зовнішньої політики та економіки - про зовнішньополітичну та зовнішньоекономічну діяльність РФ, передчасне поширення яких може завдати шкоди безпеці держави та ін;

сили та засоби названої діяльності, її джерела, плани та результати;

осіб, які співпрацюють або співпрацювали на конфіденційній основі з органами, які здійснюють цю діяльність;

системи президентського, урядового, шифрованого, у тому числі кодованого та засекреченого зв'язку;

шифри та інформаційно-аналітичні системи спеціального призначення, методи та засоби захисту секретної інформації та ін.

Комерційну таємницю може становити будь-яка інформація, корисна в бізнесі і дає перевагу над конкурентами, які такої інформації не мають. У багатьох випадках комерційна таємниця є формою інтелектуальної власності.

Відповідно до ст.139 ч.1 Цивільного кодексу РФ до відомостей, що становлять комерційну таємницю, належить інформація, що має дійсну чи потенційну комерційну цінність через невідомість її третіх осіб і до якої немає вільного доступу на законній підставі. Вона може включати різні ідеї, винаходи та іншу ділову інформацію.

Постанова Уряди РФ від 5.12.1991 р. № 35 " Про перелік відомостей, які можуть становити комерційну таємницю " . До таких відомостей відносяться:

організаційні відомості (статут та установчі документи підприємства, реєстраційні посвідчення, ліцензії, патенти);

фінансові відомості (документи про обчислення та сплату податків, інших платежів, передбачених законом, документи про стан платоспроможності);

відомості про штат та умови діяльності (число та склад працюючих, їх заробітна плата, наявність вільних місць, вплив виробництва на природне середовище, реалізація продукції, що завдає шкоди здоров'ю населення, участь посадових осіб у підприємницькій діяльності, порушення антимонопольного законодавства);

відомості про власність (розміри майна, кошти, вкладення платежів у цінні папери, облігації, позики, статутні фонди спільних підприємств).

Відомості конфіденційного характеру. Конфіденційність інформації - характеристика інформації, що вказує на необхідність запровадження обмежень на коло суб'єктів, які мають доступ до цієї інформації. Конфіденційність передбачає збереження прав на інформацію, її нерозголошення (секретність) та незмінність у всіх випадках, крім правочинного використання.

Указом Президента РФ від 6 березня 1997 р. № 188 затверджено перелік відомостей конфіденційного характеру. До цього переліку увійшли:

відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особу (персональні дані);

відомості, що становлять таємницю слідства та судочинства;

службові відомості, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу РФ та федеральними законами (службова таємниця);

відомості про професійну діяльність (лікарська, нотаріальна, адвокатська таємниця, таємниця листування тощо);

відомості про сутність винаходу або промислові зразки до офіційної публікації інформації про них.

Перелік відомостей конфіденційного характеру доповнюють інші нормативно-правові акти: Основи законодавства РФ "Про охорону здоров'я громадян", закони РФ "Про психіатричну допомогу та гарантії прав громадян при її наданні", "Про нотаріат", "Про адвокатуру", "Про основні гарантії виборчих прав громадян РФ", "Про банки та банківську діяльність", а також Податковий кодекс РФ, Сімейний кодекс РФ та ін.

У результаті можна назвати кілька груп відомостей конфіденційного характеру, утворюють певні " таємниці " :

лікарська (медична) таємниця;

банківська таємниця;

податкова таємниця;

нотаріальна таємниця;

таємниця страхування;

адвокатська таємниця;

таємниця ставлення до релігії та таємниця сповіді; таємниця голосування; службова таємниця та ін.

До інформації, що визначається поняттям інтелектуальна власність, можна віднести більшу частину перелічених вище відомостей наукового та технологічного характеру, а також твори літератури та мистецтва, продукцію винахідницької та раціоналізаторської діяльності, інших видів творчості. Відповідно до Закону РФ "Про правову охорону програм для електронно-обчислювальних машин і баз даних" від 23.09.1992 р. програми для ЕОМ та бази даних також є об'єктами авторського права, порушення якого тягне за собою цивільну, кримінальну та адміністративну відповідальність відповідно до законодавства РФ.

Під визначення інтелектуальної власності підпадає і певна частина відомостей, віднесених до державної та комерційної таємниці.

2.2 Організація захисту інформації

Найбільш розумними зусиллями у цьому напрямку більшість фахівців вважають проведення наступних "захисних" заходів:

адекватне визначення переліку відомостей, що підлягають захисту;

виявлення рівнів доступності та прогнозування можливих уразливих місць у доступі до інформації;

вжиття заходів щодо обмеження доступу до інформації чи об'єкта;

організація охорони приміщення та постійного контролю за збереженням інформації (зокрема, необхідність наявності шаф, сейфів, кабінетів, телевізійних камер стеження тощо), що закриваються;

наявність чітких правил поводження з документами та їх розмноження. Як відомо, винахід множної техніки буквально викликало сплеск промислового шпигунства;

наявність на документах написів "Секретно", "Для службового користування", а на дверях - "Стороннім вхід заборонено". Кожен носій інформації (документ, диск та ін.) повинен мати відповідне позначення та місце зберігання (приміщення, сейф, металевий ящик);

підписання із співробітниками організації, фірми договору про нерозголошення таємниці.

Основним засобом захисту залишаються нині режимні заходи, створені задля запобігання витоку конкретних відомостей. Вживання цих заходів залежить, передусім, від власників інформації, що складається у сфері діяльності конкурентної обстановки, цінності, яку представляє їм виробнича чи комерційна інформація, інших чинників.

Серед заходів захисту можна виділити зовнішні і внутрішні.

До зовнішніх заходів належать: вивчення партнерів, клієнтів, з якими доводиться вести комерційну діяльність, збирання інформації про їх надійність, платоспроможність та інші дані, а також прогнозування очікуваних дій конкурентів та злочинних елементів. По можливості з'ясовуються особи, які виявляють інтерес до діяльності організації (фірми), до персоналу, що працює в організації.

Внутрішні заходи щодо забезпечення безпеки включають питання підбору та перевірки осіб, які надходять на роботу: вивчаються їх анкетні дані, поведінка за місцем проживання та на колишній роботі, особисті та ділові якості, психологічна сумісність із співробітниками; з'ясовуються причини звільнення з колишнього місця роботи, наявність судимостей та ін. У процесі роботи продовжується вивчення та аналіз вчинків співробітника, що зачіпають інтереси організації, проводиться аналіз його зовнішніх зв'язків.

Співробітники – найважливіший елемент системи безпеки. Вони можуть зіграти значну роль у захисті комерційної таємниці, але в той же час можуть бути основною причиною її витоку. Часто це трапляється через неуважність, неписьменність. Тому регулярне та дохідливе навчання персоналу питанням секретності є найважливішою умовою збереження таємниці. Проте не можна виключати випадки умисної передачі (продажу) працівником секретів фірми. Мотиваційну основу таких вчинків становлять чи користь, чи помста, наприклад, із боку звільненого працівника. Практика подібних дій сягає своїм корінням в глибоку давнину.

Захист інформації передбачає використання спеціальних технічних засобів, електронних пристроїв, що дозволяє не тільки стримувати їх витік, а й зупиняти такий вид діяльності, як промисловий (комерційний) шпигунство. Більшу частину становлять технічні засоби виявлення та засоби протидії пристроям прослуховування:

телефонний нейтралізатор (для придушення роботи міні-передавача та нейтралізації зняття аудіоінформації);

телефонний пригнічувач пристроїв прослуховування;

професійний детектор (використовується для "грубого" визначення місцезнаходження радіозакладок);

міні-детектор передавачів (використовується для точного визначення місцезнаходження радіозакладок);

генератор шуму.

Організації, що мають цінну інформацію, повинні зберігати її в спеціальних вогнетривких шафах або сейфах, не допускати втрати ключів від них або передачі на зберігання іншим особам, навіть із особливо довірених.

Одним із поширених методів захисту інтелектуальної власності є патент, тобто свідоцтво, що видається винахіднику або його правонаступнику на право виняткового користування зробленим ним винаходом. Патент покликаний захистити винахідника (автора) від відтворення, продажу та використання його винаходу іншими особами.

Здійснення спеціальних внутрішніх та зовнішніх заходів захисту цінних інформаційних систем має покладатися на спеціально підготовлених осіб. З цією метою підприємець може звертатися за допомогою до приватних детективних фірм, що спеціалізуються на розшуку та охороні власності. Можуть створюватись і власні служби безпеки. Оскільки захисні заходи вимагають значних витрат, підприємець сам має вирішити, що йому вигідніше: миритися з витіканням інформації або залучати спеціалізовані служби для її захисту.

Висновок

Нинішній стан інформаційної безпеки Росії - це стан нового, що тільки оформляється з урахуванням наказу часу державно-громадського інституту. Багато чого на шляху його становлення вже зроблено, але ще більше тут проблем, які потребують оперативного вирішення. За останні роки в РФ реалізовано низку заходів щодо вдосконалення інформаційної безпеки, а саме:

Розпочато формування бази правового забезпечення інформаційної безпеки. Прийнято низку законів, що регламентують суспільні відносини у цій сфері, розгорнуто роботу зі створення механізмів їх реалізації. Етапним результатом та нормативно-правовою основою подальшого вирішення проблем у цій сфері стало затвердження Президентом РФ у вересні 2001 р. Доктрини інформаційної безпеки Російської Федерації;

Забезпеченню інформаційної безпеки сприяють створені:

державна система захисту;

система ліцензування діяльності у сфері захисту державної таємниці;

система сертифікації засобів захисту.

Водночас аналіз стану інформаційної безпеки показує, що все ще існує низка проблем, які серйозно перешкоджають повноцінному забезпеченню інформаційної безпеки людини, суспільства та держави. Доктрина називає такі основні проблеми цієї сфери.

Сучасні умови політичного та соціально-економічного розвитку країни все ще зберігають гострі протиріччя між потребами суспільства у розширенні вільного обміну інформацією та необхідністю дії окремих регламентованих обмежень на її поширення.

Суперечливість та нерозвиненість правового регулювання суспільних відносин в інформаційній сфері суттєво ускладнює підтримку необхідного балансу інтересів особистості, суспільства та держави у цій галузі. Недосконале нормативне правове регулювання Демшевського не дозволяє завершити формування біля РФ конкурентоспроможних російських інформаційних агентств та засобів.

Незабезпеченість прав громадян доступу до інформації, маніпулювання інформацією викликають негативну реакцію населення, що у деяких випадках веде до дестабілізації соціально-політичної обстановки у суспільстві.

Закріплені у Конституції РФ права громадян на недоторканність приватного життя, особисту та сімейну таємницю, таємницю листування практично не мають достатнього правового, організаційного та технічного забезпечення. Незадовільно організовано захист збираються федеральними органами структурі державної влади, органами влади суб'єктів РФ, органами місцевого самоврядування даних про фізичних осіб (персональних даних).

Немає чіткості при проведенні державної політики у сфері формування російського інформаційного простору, а також організації міжнародного інформаційного обміну та інтеграції інформаційного простору Росії у світовий інформаційний простір, що створює умови для витіснення російських інформаційних агентств, засобів масової інформації з внутрішнього інформаційного ринку, що веде до деформації структури міжнародного обміну.

Недостатня державна підтримка діяльності російських інформаційних агентств щодо просування їхньої продукції на зарубіжний інформаційний ринок.

Не покращується ситуація із забезпеченням збереження відомостей, що становлять державну таємницю.

Серйозні збитки завдано кадровому потенціалу наукових та виробничих колективів, що діють у галузі створення засобів інформатизації, телекомунікації та зв'язку, внаслідок масового відходу з цих колективів найбільш кваліфікованих фахівців.

Список літератури

1.Доктрина інформаційної безпеки РФ (утв. Президентом РФ від 09.09.2000 № Пр-1895)

.Закон РФ "Про безпеку" 2010 р.

.Закон РФ "Про державну таємницю", прийнятий 21 липня 1993 (ред. від 08.11.2011)

.Закон РФ "Про авторське право і суміжні права", що набрав чинності 3 серпня 1993 (зі змінами),

.Федеральний закон "Про основи державної служби", ухвалений 31 липня 1995 р.,

.Кримінальний кодекс РФ 2013

Сьогодні загрози, пов'язані з несанкціонованим доступом до конфіденційних даних, можуть істотно вплинути на діяльність організації. Можлива шкода від розкриття корпоративних секретів може включати як прямі фінансові втрати, наприклад, в результаті передачі комерційної інформації конкурентам і витрат на усунення наслідків, що виникли, так і непрямі - погана репутація і втрати перспективних проектів. Наслідки втрати ноутбука з реквізитами для доступу до банківських рахунків, фінансових планів та інших приватних документів важко недооцінити.

Однією з найнебезпечніших загроз сьогодні є несанкціонований доступ. Згідно з дослідженням Інституту комп'ютерної безпеки, минулого року 65% компаній зареєстрували інциденти, пов'язані з неправомірним доступом до даних. Більше того, внаслідок неавторизованого доступу кожна фірма втратила у 2014–2015 роках. у середньому $353 тис. Причому, порівняно з 2012–2013 роками. збитки збільшилися у шість разів. Таким чином, сумарні збитки, які зазнали понад 600 опитаних фірм, за рік перевищили 38 млн. дол. (див. діаграму).

Проблема ускладнюється тим, що за неавторизованим доступом до конфіденційної інформації часто слідує її крадіжка. Внаслідок такої комбінації двох надзвичайно небезпечних загроз збитки компанії можуть зрости в кілька разів (залежно від цінності викрадених даних). Крім того, фірми нерідко стикаються і з фізичним крадіжкою мобільних комп'ютерів, внаслідок чого реалізуються як загрози несанкціонованого доступу, так і крадіжки чутливої ​​інформації. До речі, вартість самого портативного пристрою часто непорівнянна з вартістю записаних на ньому даних.

Проблеми, що виникають у підприємства у разі витоку інформації, особливо показові на прикладі крадіжки ноутбуків. Досить згадати недавні інциденти, коли в компанії Ernst&Young протягом кількох місяців було викрадено п'ять ноутбуків, що містять приватні відомості клієнтів фірми: компаній Cisco, IBM, Sun Microsystems, BP, Nokia і т.д. , як погіршення іміджу та зниження довіри з боку клієнтів. Тим часом аналогічні труднощі мають багато компаній.

Так, у березні 2006 року фірма Fidelity втратила ноутбук із приватними даними 200 тис. службовців HP, а в лютому аудиторська компанія PricewaterhouseCoopers втратила ноутбук з чутливими даними 4 тис. пацієнтів одного американського госпіталю. Якщо продовжувати список, то до нього потраплять такі відомі компанії, як Bank of America, Kodak, Ameritrade, Ameriprise, Verizon та інші.

Таким чином, крім захисту конфіденційної інформації від несанкціонованого доступу необхідно оберігати і сам фізичний носій. При цьому треба враховувати, що така система безпеки має бути абсолютно прозорою і не завдавати користувачеві труднощів при доступі до чутливих даних ні в корпоративному середовищі, ні при віддаленій роботі (вдома або у відрядженні).

Досі нічого ефективнішого в галузі захисту інформації від несанкціонованого доступу, ніж шифрування даних, не винайдено. За умови збереження криптографічних ключів шифрування гарантує безпеку чутливих даних.

Технології шифрування

Для захисту інформації від несанкціонованого доступу застосовуються технології шифрування. Однак у користувачів, які не мають належних знань про методи шифрування, може виникнути хибне відчуття, ніби всі чутливі дані надійно захищені. Розглянемо основні технології шифрування даних.

• Пофайлове шифрування. Користувач сам вибирає файли, які слід зашифрувати. Такий підхід не вимагає глибокої інтеграції засобу шифрування в систему, а отже дозволяє виробникам криптографічних засобів реалізувати мультиплатформне рішення для Windows, Linux, MAC OS X і т.д.
• Шифрування каталогів. Користувач створює папки, всі дані в яких автоматично шифруються. На відміну від попереднього підходу, шифрування відбувається на льоту, а не на вимогу користувача. В цілому шифрування каталогів досить зручне і прозоре, хоча в його основі лежить все те ж шифрування пофайлове. Такий підхід потребує глибокої взаємодії з операційною системою, тому залежить від використовуваної платформи.
• Шифрування віртуальних дисків. Концепція віртуальних дисків реалізована в деяких утилітах компресії, наприклад Stacker або Microsoft DriveSpace. Шифрування віртуальних дисків передбачає створення великого прихованого файлу на жорсткому диску. Цей файл надалі доступний користувачеві як окремий диск (операційна система "бачить" його як новий логічний диск). Наприклад, диск Х:. Усі відомості, що зберігаються на віртуальному диску, знаходяться у зашифрованому вигляді. Головна відмінність від попередніх підходів у тому, що криптографічного програмного забезпечення не потрібно шифрувати кожен файл окремо. Тут дані шифруються автоматично лише тоді, коли записуються на віртуальний диск або зчитуються з нього. У цьому робота з даними ведеться лише на рівні секторів (зазвичай розміром 512 байт).
• Шифрування всього диска. В цьому випадку шифрується абсолютно все: завантажувальний сектор Windows, всі системні файли та будь-яка інша інформація на диску.
• Захист процесу завантаження. Якщо весь диск зашифрований повністю, то операційна система не зможе запуститися, поки який-небудь механізм не розшифрує файли завантаження. Тому шифрування всього диска обов'язково передбачає захист процесу завантаження. Зазвичай користувачеві потрібно ввести пароль для того, щоб операційна система могла стартувати. Якщо ввести пароль правильно, програма шифрування отримає доступ до ключів шифрування, що дозволить читати подальші дані з диска.

Таким чином, є кілька способів зашифрувати дані. Деякі з них менш надійні, деякі швидше, а частина взагалі не годиться для захисту важливої ​​інформації. Щоб мати можливість оцінити придатність тих чи інших методів, розглянемо проблеми, з якими стикається криптографічний додаток для захисту даних.

Особливості операційних систем

Зупинимося на деяких особливостях операційних систем, які, незважаючи на всі свої позитивні функції, часом лише заважають надійному захисту конфіденційної інформації. Далі представлені найпоширеніші системні механізми, що залишають для зловмисника ряд «лазівок», та актуальні як для ноутбуків, так і для КПК.

• Тимчасові файли. Багато програм (у тому числі й операційна система) використовують тимчасові файли для зберігання проміжних даних під час своєї роботи. Часто до тимчасового файлу заноситься точна копія відкритого програмою файлу, що дозволяє забезпечити можливість повного відновлення даних у разі непередбачених збоїв. Звичайно, корисне навантаження тимчасових файлів велике, проте, будучи незашифрованими, такі файли несуть пряму загрозу корпоративним секретам.
• Файли підкачки (або swap-файли). Дуже популярною у сучасних операційних системах є технологія swap-файлів, що дозволяє надати будь-якому додатку практично необмежений обсяг оперативної пам'яті. Так, якщо операційній системі не вистачає ресурсів пам'яті, вона автоматично записує дані з оперативної пам'яті на жорсткий диск (до файлу підкачування). Як тільки виникає потреба скористатися збереженою інформацією, операційна система витягує дані з swap-файлу і в разі потреби поміщає до цього сховища іншу інформацію. Так само, як і в попередньому випадку, у файл підкачки легко може потрапити секретна інформація в незашифрованому вигляді.
• Вирівнювання файлів. Файлова система Windows містить дані в кластерах, які можуть займати до 64 секторів. Навіть якщо файл має довжину кілька байтів, він все одно займе цілий кластер. Файл великого розміру буде розбитий на порції кожна розміром з кластер файлової системи. Залишок від розбиття (зазвичай останні кілька байтів) все одно займатиме цілий кластер. Таким чином, до останнього сектора файлу потрапляє випадкова інформація, яка знаходилася в оперативній пам'яті ПК у момент запису файлу на диск. Там можуть виявитися паролі та ключі шифрування. Іншими словами, останній кластер будь-якого файлу може містити досить чутливу інформацію, починаючи від випадкової інформації з оперативної пам'яті та закінчуючи даними з електронних повідомлень та текстових документів, які раніше зберігалися на цьому місці.
• Кошик. Коли користувач видаляє файл, Windows переміщує його до кошика. Поки кошик не очищений, можна легко відновити файл. Проте навіть якщо очистити кошик, дані все одно фізично залишаться на диску. Іншими словами, віддалену інформацію дуже часто можна знайти та відновити (якщо поверх неї не було записано інших даних). Для цього існує безліч прикладних програм, деякі з них безкоштовні та вільно поширюються через Інтернет.
• Реєстр Windows. Сама система Windows, як і багато програм, зберігає свої певні дані в системному реєстрі. Наприклад, веб-браузер зберігає в реєстрі доменні імена сторінок, які відвідав користувач. Навіть текстовий редактор Word зберігає в реєстрі ім'я відкритого файлу. У цьому реєстр використовується ОС під час завантаження. Відповідно, якщо який-небудь метод шифрування запускається після завантаження Windows, то результати його роботи можуть бути скомпрометовані.
• Файлова система Windows NT (NTFS) Вважається, що файлова система з вбудованим керуванням доступом (як Windows NT) є безпечною. Той факт, що користувач повинен ввести пароль для отримання доступу до своїх персональних файлів, залишає хибне відчуття, що особисті файли та дані надійно захищені. Проте навіть файлова система з вбудованими списками контролю доступу (Access Control List - ACL), наприклад NTFS, не забезпечує абсолютно ніякого захисту проти зловмисника, який має фізичний доступ до жорсткого диска або права адміністратора на цьому комп'ютері. В обох випадках злочинець може отримати доступ до секретних даних. Для цього йому знадобиться недорогий (або взагалі безкоштовний) дисковий редактор, щоб прочитати текстову інформацію на диску, до якого має фізичний доступ.
• Режим сну. Цей режим дуже популярний на ноутбуках, тому що дозволяє заощадити енергію батареї в той момент, коли комп'ютер увімкнений, але не використовується. Коли лептоп переходить у стан сну, операційна система копіює на диск всі дані, що знаходяться в оперативній пам'яті. Таким чином, коли комп'ютер прокинеться, операційна система легко зможе відновити свій колишній стан. Очевидно, що в цьому випадку жорсткий диск легко може потрапити чутлива інформація.
• Приховані розділи жорсткого диска. Прихований розділ - це розділ, який операційна система взагалі не показує користувачеві. Деякі програми (наприклад, ті, що займаються енергозбереженням на ноутбуках) використовують приховані розділи, щоб зберігати дані замість файлів на звичайних розділах. При такому підході інформація, розміщена на прихованому розділі, взагалі ніяк не захищається і легко може бути прочитана будь-ким за допомогою дискового редактора.
• Вільне місце та простір між розділами. Сектори в самому кінці диска не відносяться до жодного розділу, іноді вони відображаються як вільні. Інше незахищене місце – простір між розділами. На жаль, деякі програми та віруси можуть зберігати там свої дані. Навіть якщо відформатувати жорсткий диск, ця інформація залишиться недоторканою. Її легко можна відновити.

Таким чином, щоб ефективно захистити дані, недостатньо їх просто зашифрувати. Необхідно подбати про те, щоб копії секретної інформації не «вибігли» до тимчасових та swap-файлів, а також до інших «потаємних місць» операційної системи, де вони вразливі для зловмисника.

Придатність різних підходів до шифрування даних

Розглянемо, як різні підходи до шифрування даних справляються з особливостями операційних систем.

Пофайлове шифрування

Цей метод використовується в основному для того, щоб надсилати зашифровані файли електронною поштою або через Інтернет. У цьому випадку користувач шифрує конкретний файл, який необхідно захистити від третіх осіб, та надсилає його одержувачу. Такий підхід страждає низькою швидкістю роботи, особливо коли справа стосується великих обсягів інформації (адже потрібно шифрувати кожен файл, що прикріплюється до письма). Ще однією проблемою є те, що шифрується лише файл-оригінал, а тимчасові файли та файл підкачки залишаються повністю незахищеними, тому захист забезпечується лише від зловмисника, який намагається перехопити повідомлення в Інтернеті, але не проти злочинця, який вкрав ноутбук чи КПК. Таким чином, можна зробити висновок: шифрування файлів не захищає тимчасові файли, його використання для захисту важливої ​​інформації неприйнятно. Тим не менш, ця концепція підходить для відправки невеликих обсягів інформації через мережу від комп'ютера до комп'ютера.

Шифрування папок

На відміну від пофайлового шифрування, цей підхід дозволяє переносити файли в папку, де вони будуть зашифровані автоматично. Тим самим працювати із захищеними даними набагато зручніше. Оскільки в основі шифрування папок лежить пофайлове шифрування, обидва методи не забезпечують надійного захисту тимчасових файлів, файлів підкачування, фізично не видаляють дані з диска і т.д. Більше того, шифрування каталогів дуже неекономічно позначається на ресурсах пам'яті та процесора. Від процесора потрібен час для постійного зашифрування/розшифрування файлів, також для кожного захищеного файлу на диску відводиться додаткове місце (іноді більше 2 кбайт). Все це робить шифрування каталогів дуже ресурсомістким та повільним. Якщо підбити підсумок, хоча цей метод досить прозорий, його не можна рекомендувати захисту важливої ​​інформації. Особливо якщо зловмисник може отримати доступ до тимчасових файлів або файлів підкачування.

Шифрування віртуальних дисків

Ця концепція передбачає створення прихованого файлу великого розміру на жорсткому диску. Операційна система працює з ним як із окремим логічним диском. Користувач може поміщати програмне забезпечення на такий диск і стискати його, щоб зберегти місце. Розглянемо переваги та недоліки даного методу.

Насамперед використання віртуальних дисків створює підвищене навантаження на ресурси операційної системи. Справа в тому, що щоразу при зверненні до віртуального диска операційній системі доводиться переадресовувати запит на інший фізичний об'єкт - файл. Це, безперечно, негативно позначається на продуктивності. Внаслідок того, що система не ототожнює віртуальний диск із фізичним, можуть виникнути проблеми із захистом тимчасових файлів та файлу підкачування. Порівняно із шифруванням каталогів концепція віртуальних дисків має як плюси, і мінуси. Наприклад, зашифрований віртуальний диск захищає імена файлів у віртуальних файлових таблицях. Однак цей віртуальний диск не може бути розширений так само просто, як звичайна папка, що дуже незручно. Підсумовуючи, можна сказати, що шифрування віртуальних дисків набагато надійніше двох попередніх методів, але може залишити без захисту тимчасові файли та файли підкачки, якщо розробники спеціально про це не подбають.

Шифрування всього диска

У основі цієї концепції лежить не пофайлове, а посекторне шифрування. Іншими словами, будь-який файл, записаний на диск, буде зашифровано. Криптографічні програми шифрують дані, перш ніж операційна система помістить їх на диск. Для цього криптографічна програма перехоплює всі спроби операційної системи записати дані на фізичний диск (на рівні секторів) та здійснює операції шифрування на льоту. Завдяки такому підходу зашифрованими виявляться ще й тимчасові файли, файл підкачки та всі видалені файли. Логічним наслідком цього методу має стати суттєве зниження загального рівня продуктивності ПК. Саме над цією проблемою працюють багато розробників засобів шифрування, хоча кілька вдалих реалізацій таких продуктів вже є. Можна підвести підсумок: шифрування всього диска дозволяє уникнути тих ситуацій, коли будь-яка частина важливих даних або їх точна копія залишаються на диску в незашифрованому вигляді.

Захист процесу завантаження. Як зазначалося, захищати процес завантаження доцільно при шифруванні всього диска. У цьому випадку ніхто не зможе запустити операційну систему, не пройшовши процедури автентифікації на початку завантаження. А для цього потрібно знати пароль. Якщо зловмисник має фізичний доступ до жорсткого диска з секретними даними, то він не зможе швидко визначити, де знаходяться зашифровані системні файли, а де - важлива інформація. Слід звернути увагу: якщо криптографічне програмне забезпечення шифрує весь диск повністю, але не захищає процес завантаження, значить воно не зашифровує системні файли та завантажувальні сектори. Тобто диск зашифровується в повному обсязі.

Таким чином, сьогодні для надійного захисту конфіденційних даних на ноутбуках слід використовувати технологію шифрування або віртуальних дисків або всього диска повністю. Однак в останньому випадку необхідно переконатися, що криптографічний засіб не забирає ресурси комп'ютера настільки, що це заважає працювати користувачам. Зауважимо, що російські компанії поки що не виробляють кошти шифрування диска цілком, хоча кілька таких продуктів вже існує на західних ринках. До того ж захищати дані на КПК дещо простіше, оскільки через малі обсяги інформації, що зберігається, розробники можуть собі дозволити шифрувати взагалі всі дані, наприклад на флеш-карті.

Шифрування з використанням сильної автентифікації

Для надійного збереження даних потрібні як потужні і грамотно реалізовані криптографічні технології, а й засоби надання персоналізованого доступу. У зв'язку з цим застосування суворої двофакторної аутентифікації на основі апаратних ключів або смарт-карт є найефективнішим способом зберігання ключів шифрування, паролів, цифрових сертифікатів і т.д. карту) операційній системі (наприклад, вставити його в один із USB-портів комп'ютера або пристрій зчитування смарт-карт), а потім довести своє право володіння цим електронним ключем (тобто ввести пароль). Таким чином, завдання зловмисника, який намагається отримати доступ до чутливих даних, сильно ускладнюється: йому потрібно не просто знати пароль, а й мати фізичний носій, яким володіють лише легальні користувачі.

Внутрішній пристрій електронного ключа передбачає наявність електронного чипа та невеликого об'єму енергонезалежної пам'яті. За допомогою електронного чіпа проводиться шифрування та розшифровування даних на основі закладених у пристрої криптографічних алгоритмів. В незалежній пам'яті зберігаються паролі, електронні ключі, коди доступу та інші секретні відомості. Сам апаратний ключ захищений від розкрадання ПІН-кодом, а спеціальні механізми, вбудовані всередину ключа, захищають пароль від перебору.

Підсумки

Таким чином, ефективний захист даних передбачає використання надійних засобів шифрування (на основі технологій віртуальних дисків або покриття всього диска повністю) та засобів сильної автентифікації (токени та смарт-картки). Серед засобів пофайлового шифрування, що ідеально підходить для пересилання файлів по Інтернету, варто відзначити відому програму PGP, яка може задовольнити практично всі запити користувача.

На етапі розвитку суспільства найбільшу цінність набуває не новий, але завжди цінний ресурс, званий інформацією. Інформація стає сьогодні головним ресурсом науково-технічного та соціально-економічного розвитку світової спільноти. Практично будь-яка діяльність у нинішньому суспільстві тісно пов'язана з отриманням, накопиченням, зберіганням, обробкою та використанням різноманітних інформаційних потоків. Цілісність сучасного світу як спільноти забезпечується в основному за рахунок інтенсивного інформаційного обміну.

Тому в нових умовах виникає маса проблем, пов'язаних із забезпеченням безпеки та конфіденційності комерційної інформації як виду інтелектуальної власності.

Список використаних джерел та літератури

1. Лопатін В. Н. Інформаційна безпека.
2. Основи інформаційної безпеки: Підручник / В. А. Мінаєв , С. В. Скріль , А. П. Фісун , В. Є. Потанін , С. В. Дворянкін .
3. ГОСТ ST 50922-96. Захист інформації. Основні терміни та визначення.
4. www.intuit.ru

Однокласники