Глава 5 Технические средства защиты информации 5.1. Защита информации Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение

5.4. Способы защиты информации

Система информации об опасности (СИО) Водители и другие работники автотранспортных организаций, непосредственно занятые оформлением, подготовкой и обслуживанием перевозки опасных грузов, должны соблюдать требования правил Министерства по чрезвычайным ситуациям, при

Вопрос 1. Информационные ресурсы и конфиденциальность информации В соответствии с действующим Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других

Вопрос 2. Угрозы конфиденциальной информации организации Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.Под угрозой или опасностью утраты информации понимается единичное или

Вопрос 2. Модель и методика корпоративной системы защиты информации В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки

Лекция 5 Концептуальные основы защиты информации в автоматизированных системах Учебные вопросы:1. Анализ и типизация организационных и программно-аппаратных структур автоматизированных систем предприятия2. Анализ возможных угроз и их специфика в различных типах

Вопрос 3. Систематизация видов защиты информации В практической деятельности по применению мер и средств защиты информации выделяются следующие самостоятельные направления, определяемые в соответствии со сложившимися отраслевыми структурами и видами информационной

Вопрос 3. Принципы защиты банковских автоматизированных систем Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:? организационную структуру банка;? объем и характер информационных потоков (внутри банка в

Вопрос 2. Унифицированная концепция защиты информации Унифицированной концепцией защиты информации (УКЗИ) будем называть инструментально-методическую базу, обеспечивающую практическую реализацию каждой из стратегий защиты (оборонительной, наступательной,

Вопрос 2. Формальные модели защиты Рассмотрим так называемую матричную модель защиты, получившую на сегодняшний день наибольшее распространение на практике.В терминах матричной модели, состояние системы защиты описывается тройкой:(S, О, М),где S – множество субъектов

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Вопрос 1. Юридические и организационные меры защиты Юридические средства защиты сводятся, в основном, к административной и уголовной ответственности за умышленное создание и распространение вируса или «троянских коней» с целью нанесения ущерба Трудность их применения

Вопрос 2. Программно-аппаратные методы и средства защиты В современных персональных ЭВМ реализован принцип разделения программных и аппаратных средств. Поэтому программные вирусы и «троянские кони» не могут эффективно влиять на аппаратуру, исключением случаев, когда

Сегодня мы поговорим об утечки и средствах защиты конфиденциальной информации.

Термин конфиденциальная информация означает доверительная, не подлежащая огласке, секретная. Разглашение ее может квалифицироваться как уголовно наказуемое преступление. Любое лицо, имеющее доступ к такой информации, не имеет право разглашать ее другим лицам, без согласия правообладателя.

Cодержание

Конфиденциальная информация и закон

Указ президента РФ № 188 от 06.03.1997 г. определяет сведения, имеющие конфиденциальный характер. К ним относятся:

1. Сведения, относящиеся к коммерции.
2. Сведения, связанные относящиеся к служебной деятельности.
3. Врачебная, адвокатская, личная (переписка, телефонные разговоры и.т.д.) тайна.
4. Тайна следствия, судопроизводства, сведения об осужденных.
5. Персональные данные граждан, сведения об их личной жизни.

Коммерческая тайна — это информация, дающая возможность ее обладателю получить конкурентное преимущество, выгоду от представления услуг или продажи товаров. Инсайдерская информация о компании (смена руководства и.т.д.) способная повлиять на стоимость акций.

Служебная тайна — информация, имеющаяся в органах госуправления, документы имеют гриф «Для служебного пользования» и не подлежат разглашению третьим лицам.

К профессиональной тайне относится тайна следствия, адвокатская, судопроизводства, нотариальная и.т.д.

Любые персональные данные (Ф.И.О, место работы, адрес, и.т.д.), сведения о частной жизни гражданина.

Утечка такой информации может наступить в следующих случаях:

1. Неэффективное хранение и доступ к конфиденциальной информации, плохая система защиты.
2. Постоянная смена кадров, ошибки персонала, тяжелый психологический климат в коллективе.
3. Плохое обучение персонала эффективным способам защиты информации.
4. Неумение руководства организации контролировать работу сотрудников с закрытой информацией.
5. Бесконтрольная возможность проникновения в помещение, где хранится информация, посторонних лиц.

Пути утечки информации

Они могут быть организационные и технические.

Организационные каналы:

1. Поступление на работу в организацию, с целью получения закрытой информации.
2. Получение интересующей информации от партнеров, клиентов с использованием методов обмана, введение в заблуждения.
3. Криминальный доступ получения информации (кража документов, похищение жесткого диска с информацией).

Технические каналы:

1. Копирование подлинника документа закрытую информацию или его электронную версию.
2. Запись конфиденциального разговора на электронные носители (диктофон, смартфон и другие записывающие устройства).
3. Устная передача содержания документа ограниченного доступа третьим лицам, не имеющим права доступа к нему.
4. Криминальное получение информации с помощью радиозакладок, скрытно установленных микрофонов и видеокамер.

Меры по защите информации

Система защиты закрытой информации предполагает:

1. Предупреждению несанкционированного доступа к ней.
2. Перекрытие каналов утечки.
3. Регламентации работы с конфиденциальной информацией.

Служба безопасности предприятия должна организовывать практическую реализацию системы защиты информации, обучение персонала, контроль соблюдения нормативных требований.

Организационные методы

1. Разработка системы обработки конфиденциальных данных.
2. Доведение до персонала фирмы положение об ответственности за разглашение конфиденциальных документов, их копирование или фальсификацию.
3. Составление списка документов ограниченного доступа, разграничение персонала по допуску к имеющейся информации.
4. Отбор персонала для обработки конфиденциальных материалов, инструктирование сотрудников.

Технические методы

1. Использование криптографических средств при электронной переписке, ведение телефонных разговоров по защищенным линиям связи.
2. Проверка помещения, где ведутся переговоры, на отсутствие радиозакладок, микрофонов, видеокамер.
3. Доступ персонала в защищенные помещения с помощью идентифицирующих средств, кода, пароля.
4. Использование на компьютерах и других электронных устройствах программно- аппаратных методов защиты.

Политика компании в области информационной безопасности включает в себя:

1. Назначение ответственного лица за безопасность в организации.
2. Контроль использования программно-аппаратных средств защиты.
3. Ответственность начальников отделов и служб за обеспечение защиты информации.
4. Введение пропускного режима для сотрудников и посетителей.
5. Составления списка допуска лиц к конфиденциальным сведениям.

Организация информационной безопасности

Компьютеры, работающие в локальной сети, серверы, маршрутизаторы должны быть надежно защищены от несанкционированного съема информации. Для этого:

1. За эксплуатацию каждого компьютера назначается ответственный сотрудник.
2. Системный блок опечатывается работником IT службы.
3. Установка любых программ производится специалистами IT службы.
4. Пароли должны генерироваться работниками IT службы и выдаваться под роспись.
5. Запрещается использование сторонних источников информации, на всех носителях информации делается маркировка.
6. Для подготовки важных документов использовать только один компьютер. На нем ведется журнал учета пользователей.
7. Программно-аппаратное обеспечение должно быть сертифицировано.
8. Защита информационных носителей (внешние диски) от несанкционированного доступа.

Система работы с конфиденциальной информацией гарантирует информационную безопасность организации, позволяет сохранять от утечек важные сведения. Это способствует устойчивому функционированию предприятия долгое время.

Нет похожих записей.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

• Введение
• 1.2 Ценность информации
• 1.4 Угрозы и система защиты конфиденциальной информации
• Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
• 2.1 Нормативно-методическая база конфиденциального делопроизводства
• 2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
• 2.3 Технологические основы обработки конфиденциальных документов
• Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
• 3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
• 3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
• 3.3 Совершенствование системы безопасности информации ограниченного доступа
• Заключение
• Список использованных источников и литературы

Введение

Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО "ЧЗПСН - Профнастил"

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

1. Раскрыть основные составляющие информационной безопасности;

2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

4. Рассмотреть методы и средства защиты конфиденциальной информации;

5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;

6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;

7. Рассмотреть технологические системы обработки конфиденциальных документов;

8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.

10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).

Основными в области безопасности конфиденциальной информации также являются законы РФ:

1. "О государственной тайне" от 22 июля 2004 г. (4);

2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);

3. "Об утверждении Перечня сведений конфиденциального характера" (11);

4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).

Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).

Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).

К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).

Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).

Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.

Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).

В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).

Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.

Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.

К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.

Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.

Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы

Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.

Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.

В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.

Заключение содержит выводы по выпускной квалифицированной работе.

Список использованных источников и литературы включает 110 наименований.

Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности

Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации (89, с.45).

В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей целью извлечение прибыли (46, с. 20).

Со второй половины XIX в. появляются и различные определения понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более высоким языком, тайну производства благ и тайну их распределения.

В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.

В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах с другими странами, однако отечественной законодательной основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).

Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно было сформулировать определение коммерческой тайны. Такое определение было сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам".

Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя (32, с.13).

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. (56, с.212).

Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф (71, с.5 8).

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).

В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных (61, с.32).

Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).

Секретность - правила и условие доступа и допуска к объектам информации (89, с.50).

Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к информации.

Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом (91, с. 208).

1.2 Ценность информации

К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).

Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).

Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).

При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).

Информация может быть разделена на три категории (82, с.33).

Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.

Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

1. Доступную для всех сотрудников фирмы;

2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.

Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).

Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).

Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.

Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:

1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;

2. Отсутствие свободного доступа к этой информации на законном основании;

3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.

Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:

1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;

2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;

3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).

Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.

Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:

1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);

3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;

4. Документы о платежеспособности;

5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

6. Документы об уплате налогов и обязательных платежах;

7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;

8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).

Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.

Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).

Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.

Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.

Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).

Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).

К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).

Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).

Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.

Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).

Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:

1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);

2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).

Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.

Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).

Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.

Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).

Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.

1.3 Каналы распространения и утечки конфиденциальной информации

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей (83, с.48).

Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах (99, с.11). Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия (104, с.75).

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус (94, с.89). Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).

Термин "разрушение" употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину "искажение", они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации (36, с.59).

Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Уязвимость документированной информации приводит или может привести к утрате или утечке информации. (97, с.12).

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы (77, с.94; 94, с.12) в литературе и даже в нормативных документах термин "утечка конфиденциальной информации" нередко заменяется или отождествляется с терминами: "разглашение конфиденциальной информации", "распространение конфиденциальной информации". Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и "прихвачен" мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью "подсидки", причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме (91, с.123).

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации. (8; 91, с.123)

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов (8; 68, с.37).

Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции (39, с.65).

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе (46, с.11). Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ "Об информации…" (8) отнесена к разряду документированной информации и представляет собой различные виды документов.

В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.

Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств (64, с.82).

Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации (29).

Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации (36, с.62).

Технический канал утечки - информация передается посредством технических средств (29).

Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые (33).

Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт (101, с.256).

Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно) (101, с.256).

Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения (107, с.12).

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию (91, с.239).

Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий (85, с.220).

Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.

Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации (95, с.78).

Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия (95, с.79). Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.

Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.

Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации. (94, с.87)

Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.

Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации (72).

Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.

Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.

Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.

Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.

Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.

Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.

Если речь идет об утечке информации по вине персонала, используется термин "разглашение информации". Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д. (56, с.458).

Утечка (разглашение) информации характеризуется двумя условиями:

1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;

2. Информация переходит к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации (37, с.5). Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как "промокашка" для перехвата необходимой информации.

Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.

Непреднамеренный переход информации к третьему лицу возникает в результате:

1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;

2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;

3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);

4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;

5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;

6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;

7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;

8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.

Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);

2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;

3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;

4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;

5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;

6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;

7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;

8. Получение нужной информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы (75, с.32).

Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Подобные документы

Организационно-распорядительная документация. Требования к оформлению, порядок обращения с конфиденциальными документами. Способы сохранения конфиденциального делопроизводства. Секретные архивы. Обеспечение безопасность конфиденциального делопроизводства.

курсовая работа , добавлен 15.01.2017


Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.

курсовая работа , добавлен 20.11.2012


Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.

курсовая работа , добавлен 09.06.2011


Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.

реферат , добавлен 27.12.2013


Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.

курсовая работа , добавлен 26.09.2012


Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.

курсовая работа , добавлен 19.11.2014


Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

дипломная работа , добавлен 23.10.2013


Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.

реферат , добавлен 27.01.2010


В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.

Введение

Заключение

Список литературы

Введение

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Целью данной работы является рассмотрение информационной безопасности как неотъемлемой части национальной безопасности, а также выявление степени ее защищенности на современном этапе, анализ внутренних и внешних угроз, рассмотрение проблем и пути их решения.

В связи с этим поставлены определенные задачи:

.Определить место и значение информационной безопасности на современном этапе развития;

2.Рассмотреть нормативно-правовую базу в сфере защиты информации;

.Выявить основные проблемы и угрозы и пути их решения.

Глава 1. Проблемы и угрозы информационной безопасности

1.1 Место информационной безопасности в системе национальной безопасности России

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны.

Нормативно-правовой основой регулирования защиты информации стала Доктрина информационной безопасности РФ, утвержденная Президентом РФ в 2001 г. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:

объекты, угрозы и источники угроз информационной безопасности;

возможные последствия угроз информационной безопасности;

методы и средства предотвращения и нейтрализации угроз информационной безопасности;

особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;

основные положения государственной политики по обеспечению информационной безопасности в РФ.

Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.

Она выделяет четыре основные составляющие национальных интересов России в информационной сфере.

Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для ее реализации необходимо:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;

усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;

обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

гарантировать свободу массовой информации и запрет цензуры;

не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;

конфиденциальная информация защита россия

обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:

укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для достижения результата на этом направлении необходимо:

развивать и совершенствовать инфраструктуру единого информационного пространства России;

развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В этих целях требуется:

повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;

обеспечить защиту сведений, составляющих государственную тайну;

расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.

1.2 Основные проблемы информационной безопасности и пути их решения

Обеспечение информационной безопасности требует решения целого комплекса задач.

Важнейшая задача в деле обеспечения информационной безопасности России - осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом:

интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы:

правовые;

организационно-технические; экономические.

К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл.4 настоящего пособия).

Организационно-техническими методами обеспечения информационной безопасности являются:

создание и совершенствование систем обеспечения информационной безопасности;

усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;

создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;

формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

разработку программ обеспечения информационной безопасности и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению; организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о "разработке и внедрении правовых норм", "повышении правовой культуры и компьютерной грамотности граждан", "создании безопасных информационных технологий", "обеспечении технологической независимости" и т.п.

Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.

1.3 Источники угроз информационной безопасности

Угрозы информационной безопасности - это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т.д.) объекта с целью изменения его функциональных возможностей или полного поражения.

С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики РФ;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:

принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;

противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

чрезмерное ограничение доступа к необходимой информации;

противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;

неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере;

неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

нарушение конституционных прав и свобод человека и гражданина в области массовой информации;

вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;

девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

снижение духовного, нравственного и творческого потенциала населения России;

манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозами информационному обеспечению государственной политики РФ могут быть:

монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозы развитию отечественной индустрии информации могут составлять:

противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий;

закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов;

вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи;

отток за рубеж специалистов и правообладателей интеллектуальной собственности.

Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние.

К внешним источникам угроз Доктрина относит:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ;

стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков;

деятельность международных террористических организаций;

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним.

К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности;

недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики;

неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России;

недостаточное финансирование мероприятий по обеспечению информационной безопасности;

недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Глава 2. Защита конфиденциальной информации

2.1 Классификация сведений, подлежащих защите

В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы:

государственная тайна;

коммерческая тайна;

сведения конфиденциального характера;

интеллектуальная собственность.

Государственная тайна. Закон РФ "О государственной тайне" дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности России (ст.2).

В ст.5 данного Закона определен перечень сведений, отнесенных к государственной тайне:

сведения в военной области - о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.;

сведения в области экономики, науки и техники - о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.;

сведения в области внешней политики и экономики - о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.;

силы и средства названной деятельности, ее источники, планы и результаты;

лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность;

системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи;

шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др.

Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такой информацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности.

Согласно ст.139 ч.1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию.

Постановление Правительства РФ от 5.12.1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". К таким сведениям относятся:

организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты);

финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности);

сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства);

сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий).

Сведения конфиденциального характера. Конфиденциальность информации - характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.

Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

сведения, составляющие тайну следствия и судопроизводства;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т.д.);

сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них.

Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об охране здоровья граждан", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.

В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные "тайны":

врачебная (медицинская) тайна;

банковская тайна;

налоговая тайна;

нотариальная тайна;

тайна страхования;

адвокатская тайна;

тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др.

К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ.

Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.

2.2 Организация защиты информации

Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих "защитных" мероприятий:

адекватное определение перечня сведений, подлежащих защите;

выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;

принятие мер по ограничению доступа к информации или объекту;

организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т.п.);

наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа;

наличие на документах надписей "Секретно", "Для служебного пользования", а на дверях - "Посторонним вход воспрещен". Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);

подписание с сотрудниками организации, фирмы договора о неразглашении тайны.

Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов.

В числе мер защиты информации можно выделить внешние и внутренние.

К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации.

Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.

Сотрудники - важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность.

Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:

телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);

телефонный подавитель устройств прослушивания;

профессиональный детектор (используется для "грубого" определения местонахождения радиозакладок);

мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);

генератор шума.

Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.

Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами.

Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты.

Заключение

Нынешнее состояние информационной безопасности России - это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности, а именно:

Начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации;

Обеспечению информационной безопасности способствуют созданные:

государственная система защиты информации;

система лицензирования деятельности в области защиты государственной тайны;

система сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности показывает, что все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы.

Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение.

Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации.

Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных).

Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.

Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Список литературы

1.Доктрина информационной безопасности РФ (утв. Президентом РФ от 09.09.2000 г. № Пр-1895)

.Закон РФ "О безопасности" 2010 г.

.Закон РФ "О государственной тайне", принятый 21 июля 1993 г. (ред. от 08.11.2011)

.Закон РФ "Об авторском праве и смежных правах", вступивший в действие 3 августа 1993 г. (с изменениями),

.Федеральный закон "Об основах государственной службы", принятый 31 июля 1995 г.,

.Уголовный кодекс РФ 2013 г.