Lucrul cu informații confidențiale. Declarație de confidențialitate

Sondajele de confidențialitate sunt relevante pentru fiecare întreprindere modernă. Datele confidențiale ale companiei trebuie protejate de scurgeri, pierderi și alte activități frauduloase, deoarece acest lucru poate duce la consecințe critice de afaceri. Este important să înțelegem ce date trebuie protejate, să stabilim modalitățile și metodele de organizare a securității informațiilor.

Datele care au nevoie de protecție

Informațiile care sunt extrem de importante pentru a face afaceri ar trebui să aibă acces limitat la întreprindere, iar utilizarea lor este supusă reglementărilor clare. Datele care trebuie protejate cu grijă includ:

secret comercial;
documentație de producție cu caracter secret;
know-how-ul companiei;
baza de clienti;
datele personale ale angajaților;
alte date pe care compania le consideră necesare pentru a le proteja de scurgeri.

Confidențialitatea informațiilor este adesea încălcată ca urmare a acțiunilor frauduloase ale angajaților, a introducerii de malware, a operațiunilor frauduloase ale intrușilor externi. Nu contează de ce parte provine amenințarea, trebuie să securizați datele confidențiale într-un complex format din mai multe blocuri separate:

stabilirea listei bunurilor de protejat;
elaborarea documentației care reglementează și restricționează accesul la datele companiei;
determinarea cercului de persoane cărora le va fi disponibil studiul clinic;
definirea procedurilor de răspuns;
evaluare a riscurilor;
introducerea mijloacelor tehnice de protecţie a CI.

Legile federale stabilesc cerințe pentru restricționarea accesului la informațiile care sunt confidențiale. Aceste cerințe trebuie îndeplinite de către persoanele care accesează astfel de date. Ei nu au dreptul de a transfera aceste date către terți dacă proprietarul lor nu își dă consimțământul în acest sens (articolul 2, clauza 7 din Legea federală a Federației Ruse „Cu privire la informații, tehnologii informaționale și protecția informațiilor”).

Legile federale cer să protejeze fundamentele ordinii constituționale, drepturile, interesele, sănătatea oamenilor, principiile morale, pentru a asigura securitatea statului și capacitatea de apărare a țării. În acest sens, este imperativ să se respecte CI, la care accesul este limitat de legile federale. Aceste reglementări definesc:

în ce condiții informațiile sunt clasificate ca secrete oficiale, comerciale, alte secrete;
respectarea obligatorie a condițiilor de confidențialitate;
responsabilitatea pentru dezvăluirea CI.

Informațiile primite de angajații companiilor și organizațiilor care desfășoară anumite tipuri de activități trebuie protejate în conformitate cu cerințele legii privind protecția informațiilor confidențiale, dacă, în conformitate cu Legea federală, le sunt atribuite astfel de atribuții. Datele legate de secretele profesionale pot fi furnizate terților dacă acest lucru este prescris de legea federală sau există o hotărâre judecătorească (când se analizează cazuri de dezvăluire a CI, identificarea cazurilor de furt etc.).

Protejarea informațiilor confidențiale în practică

În timpul procesului de muncă, angajatorul și angajatul schimbă o cantitate mare de informații de natură diferită, inclusiv corespondența confidențială, lucrul cu documente interne (de exemplu, datele personale ale angajatului, evoluțiile întreprinderii).

Gradul de fiabilitate al protecției informațiilor depinde direct de cât de valoroasă este aceasta pentru companie. Complexul de măsuri legale, organizatorice, tehnice și de altă natură prevăzute în aceste scopuri este format din diverse mijloace, metode și măsuri. Acestea pot reduce în mod semnificativ vulnerabilitatea informațiilor protejate și pot preveni accesul neautorizat la acestea, pot repara și preveni scurgerea sau dezvăluirea acestora.

Metodele legale ar trebui aplicate de toate companiile, indiferent de simplitatea sistemului de protectie folosit. Dacă această componentă lipsește sau nu este respectată pe deplin, compania nu va putea proteja CI, nu va putea să-i tragă la răspundere legal pe cei responsabili pentru pierderea sau dezvăluirea acestuia. Protecția juridică este practic documente competente din punct de vedere juridic, lucru adecvat cu angajații organizației. Oamenii sunt baza sistemului de protecție a informațiilor confidențiale valoroase. În acest caz, este necesar să alegeți metode eficiente de lucru cu angajații. În timpul dezvoltării măsurilor de către întreprinderi pentru a asigura siguranța CI, problemele de management ar trebui să fie printre priorități.

Protecția informațiilor în întreprindere

În cazul unor dispute civile și de muncă cu privire la dezvăluire, furt sau alte acțiuni vătămătoare în legătură cu secretele comerciale, decizia privind implicarea anumitor persoane în aceasta va depinde de corectitudinea creării unui sistem de protecție a acestor informații în organizație. .

O atenție deosebită trebuie acordată identificării documentației care constituie un secret comercial, desemnându-l cu inscripții corespunzătoare care indică proprietarul informațiilor, numele acesteia, locația și cercul persoanelor care au acces la aceasta.

Angajații, la angajare și în timpul activității lor, pe măsură ce se formează baza CI, trebuie să se familiarizeze cu actele locale care reglementează utilizarea secretelor comerciale și să respecte cu strictețe cerințele pentru manipularea acestora.

Contractele de muncă ar trebui să conțină clauze privind nedezvăluirea de către angajat a anumitor informații pe care angajatorul i le furnizează pentru utilizare în muncă și răspunderea pentru încălcarea acestor cerințe.

securitatea informatiei IT

Un loc important în protecția CI îl ocupă furnizarea de măsuri tehnice, deoarece în lumea modernă a informațiilor de înaltă tehnologie spionajul corporativ, accesul neautorizat la CI al întreprinderilor, riscurile de pierdere a datelor ca urmare a atacurilor cibernetice ale virușilor sunt destul de uzual. Astăzi, nu doar companiile mari sunt în contact cu problema scurgerii de informații, ci și întreprinderile mijlocii și mici simt nevoia să protejeze datele confidențiale.

Încălcatorii pot profita de orice greșeală făcută în protecția informațiilor, de exemplu, dacă mijloacele de asigurare a acestora au fost alese incorect, instalate sau configurate incorect.

Hackingul, hacking-ul pe internet, furtul de informații confidențiale, care devine din ce în ce mai scump decât aurul în prezent, impun proprietarilor companiilor să le protejeze în siguranță și să prevină încercările de a fura și deteriora aceste date. Succesul afacerii depinde direct de asta.

Multe companii folosesc sisteme de apărare cibernetică moderne, foarte eficiente, care îndeplinesc sarcini complexe de detectare a amenințărilor, prevenirea acestora și protejarea scurgerilor. Este necesar să se utilizeze noduri moderne și fiabile de înaltă calitate, care să poată răspunde rapid la mesajele din sistemele de protecție a blocurilor de informații. În organizațiile mari, din cauza complexității schemelor de interacțiune, a infrastructurii pe mai multe niveluri și a cantităților mari de informații, este foarte dificil să urmăriți fluxurile de date și să detectați intruziunile în sistem. Aici poate veni în ajutor un sistem „inteligent”, care poate identifica, analiza și efectua alte acțiuni cu amenințări pentru a preveni în timp consecințele negative ale acestora.

Pentru detectarea, stocarea, identificarea surselor, destinațiilor, metodelor de scurgere de informații sunt utilizate diverse tehnologii IT, printre care merită evidențiate sistemele DLP și SIEM care funcționează cuprinzător și cuprinzător.

Sisteme DLP pentru prevenirea pierderii datelor

Pentru a preveni furtul informațiilor confidențiale ale companiei, care pot cauza prejudicii ireparabile afacerii (date privind investițiile de capital, baza de clienți, know-how etc.), este necesar să se asigure fiabilitatea siguranței acesteia. (Data Loss Prevention) este un protector de încredere împotriva furtului de KI. Acestea protejează informațiile simultan prin mai multe canale care pot fi vulnerabile la atacuri:

conectori USB;
imprimante care funcționează local și conectate la rețea;
unități externe;
Internet;
servicii poștale;
conturi etc.

Scopul principal al unui sistem DLP este de a controla situația, de a o analiza și de a crea condiții pentru o funcționare eficientă și sigură. Sarcina sa este de a analiza sistemul fără a informa angajații companiei despre utilizarea acestei metode de urmărire a nodurilor lucrătorilor. Angajații nici măcar nu sunt conștienți de existența unei astfel de protecție.

Sistemul DLP controlează datele care sunt transmise printr-o varietate de canale. Ea este angajată în actualizarea acestora, identifică informațiile în funcție de gradul de importanță a acestora în ceea ce privește confidențialitatea. În termeni simpli, DLP filtrează datele și le monitorizează siguranța, evaluează fiecare informație individuală, ia o decizie cu privire la posibilitatea de a o omite. Dacă se detectează o scurgere, sistemul o va bloca.

Utilizarea acestui program vă permite nu numai să salvați date, ci și să determinați cine le-a trimis. Dacă, de exemplu, un angajat al companiei decide să „vândă” informații unui terț, sistemul va identifica o astfel de acțiune și va trimite aceste date la arhivă pentru stocare. Acest lucru vă va permite să analizați informațiile, luând-o din arhivă în orice moment, să detectați expeditorul, să stabiliți unde și în ce scop au fost trimise aceste date.

Sistemele DLP specializate sunt programe complexe și multifuncționale care asigură un grad ridicat de protecție a informațiilor confidențiale. Este recomandabil să le folosiți pentru o mare varietate de întreprinderi care au nevoie de protecție specială a informațiilor confidențiale:

informație privată;
proprietate intelectuală;
date financiare;
informatii medicale;
informații despre cardul de credit etc.

sisteme SIEM

Experții consideră că o modalitate eficientă de a asigura securitatea informațiilor este un program (Security Information and Event Management), care vă permite să rezumați și să combinați toate jurnalele proceselor în desfășurare pe diverse resurse și alte surse (sisteme DLP, software, dispozitive de rețea, IDS). , jurnalele sistemului de operare, routere, servere, stații de lucru). utilizatori etc.).

Dacă amenințarea nu a fost detectată în timp util, în timp ce sistemul de securitate existent a lucrat pentru a respinge atacul (ceea ce nu se întâmplă întotdeauna), „istoria” unor astfel de atacuri devine ulterior inaccesibilă. SIEM va colecta aceste date în întreaga rețea și le va stoca pentru o anumită perioadă de timp. Acest lucru vă permite să utilizați jurnalul de evenimente folosind SIEM în orice moment pentru a utiliza datele sale pentru analiză.

În plus, acest sistem vă permite să utilizați instrumente convenabile încorporate pentru a analiza și procesa incidentele care au avut loc. Convertește formate greu de citit de informații despre incidente, le sortează, le selectează pe cele mai semnificative și le filtrează pe cele nesemnificative.

Regulile speciale SIEM specifică condițiile pentru acumularea evenimentelor suspecte. Ea le va raporta atunci când acumulează un astfel de număr (trei sau mai mult) care indică o posibilă amenințare. Un exemplu este o introducere incorectă a parolei. Dacă este detectat un singur eveniment de introducere a parolei incorecte, SIEM nu va raporta acest lucru, deoarece cazurile de erori unice de introducere a parolei în timpul conectării apar destul de des. Dar înregistrarea încercărilor repetate de a introduce o parolă nevalidă în timp ce vă conectați la același cont poate indica acces neautorizat.

Orice companie de astăzi are nevoie de astfel de sisteme dacă este important pentru ea să-și mențină securitatea informațiilor. SIEM și DLP asigură protecția completă și fiabilă a informațiilor companiei, ajută la evitarea scurgerilor și vă permit să identificați pe cineva care încearcă să dăuneze angajatorului prin furtul, distrugerea sau deteriorarea informațiilor.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Documente similare

Principalele surse de reglementare legală a informațiilor confidențiale. Amenințări și măsuri pentru a preveni scurgerea acestuia. Problema și modalitățile de îmbunătățire a protecției informațiilor confidențiale și a datelor cu caracter personal în Administrația municipiului „raionul Karagai” din Teritoriul Perm.

lucrare de termen, adăugată 10.09.2014

Definirea informațiilor confidențiale și principalele lor tipuri. Legea federală „Cu privire la informații, informatizare și protecția informațiilor”. Conceptul de secrete comerciale și de stat. Sprijin legislativ și instrumente de control asupra păstrării secretului.

eseu, adăugat 21.09.2012

Dispoziții de bază ale Legii federale „Cu privire la secretele comerciale”. Organizarea admiterii și accesului personalului la informații confidențiale. Organizarea modului intra-obiect la întreprindere. Cerințe pentru spațiile în care sunt stocați purtătorii de informații.

rezumat, adăugat 20.05.2012

Surse de amenințări la securitatea informațiilor. Locul securității informațiilor în sistemul național de securitate al Rusiei. Principalele probleme ale securității informațiilor, modalități de rezolvare a acestora și organizarea protecției. Clasificarea informațiilor care trebuie protejate.

lucrare de termen, adăugată 23.08.2013

Esența și natura juridică a informațiilor confidențiale (secretele comerciale) ale întreprinderii, procedura, metodele, mijloacele, cadrul legal de protecție a acesteia. Subiecții dreptului la secrete comerciale și statutul lor juridic, protecția drepturilor conform legilor ucrainene.

test, adaugat 10.06.2009

Conceptul și caracteristicile informației ca categorie juridică. Caracteristicile tipurilor de informații: secrete de stat, comerciale, bancare, oficiale. Responsabilitatea pentru încălcarea cerințelor de confidențialitate a informațiilor. modul secret comercial.

lucrare de termen, adăugată 02.11.2017

Definiția vieții private și directivele legislative ale Uniunii Europene care o reglementează. Lista informațiilor confidențiale specificate în decretul președintelui Federației Ruse. Măsuri de protecție a confidențialității informațiilor luate de proprietarul acesteia.

test, adaugat 19.07.2015

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Introducere

1.2 Valoarea informațiilor
1.4 Amenințări și sistem de protecție a informațiilor confidențiale
Capitolul 2. Organizarea muncii cu documente care conțin informații confidențiale
2.1 Cadrul normativ și metodologic pentru păstrarea confidențială a evidenței
2.2 Organizarea accesului și a procedurii pentru ca personalul să lucreze cu informații confidențiale, documente și baze de date
2.3 Baza tehnologică pentru prelucrarea documentelor confidențiale
capitolul 3
3.1 Caracteristicile SA „ChZPSN - Profnastil”
3.2 Sistemul de securitate a informațiilor în SA „ChZPSN - Profnastil”
3.3 Îmbunătățirea securității informațiilor restricționate
Concluzie
Lista surselor și literaturii utilizate

Introducere

Una dintre cele mai importante componente ale securității naționale a oricărei țări este acum denumită în unanimitate securitatea informațiilor sale. Problemele de asigurare a securității informațiilor devin din ce în ce mai complexe și semnificative din punct de vedere conceptual datorită tranziției masive a tehnologiei informației în management la o bază automatizată fără hârtie.

Alegerea temei acestei lucrări de calificare finală se datorează faptului că economia de piață modernă din Rusia este o condiție prealabilă pentru succesul unui antreprenor în afaceri, realizarea de profit și menținerea integrității structurii organizaționale pe care a creat-o este de a asigura securitatea economică a activităților sale. Iar una dintre componentele principale ale securității economice este securitatea informațiilor.

Obiectul de studiu al acestei lucrări este formarea și funcționarea resurselor informaționale în sistemul de management al organizației.

Baza studiului este SA „ChZPSN - Profnastil”

Obiectul studiului îl constituie activitatea de asigurare a securității resurselor informaționale în sistemul de management al organizației.

Scopul studiului este de a analiza tehnologiile, modalitățile, metodele și mijloacele moderne de protejare a informațiilor confidențiale ale unei întreprinderi.

Obiectivele studiului, în conformitate cu scopul, includ:

1. Să dezvăluie principalele componente ale securității informațiilor;

2. Determinați componența informațiilor care ar trebui clasificate drept confidențiale;

3. Identificați cele mai comune amenințări, canale de distribuție și scurgeri de confidențialitate;

4. Luați în considerare metode și mijloace de protejare a informațiilor confidențiale;

5. Analizați cadrul de reglementare pentru păstrarea confidențială a evidenței;

6. Să studieze politica de securitate în organizarea accesului la informații confidențiale și procedura de lucru a personalului cu documente confidențiale;

7. Luați în considerare sistemele tehnologice de prelucrare a documentelor confidențiale;

8. Evaluează sistemul de securitate a informațiilor al întreprinderii SA „ChZPSN - Profnastil” și oferă recomandări pentru îmbunătățirea acestuia.

În lucrare au fost utilizate următoarele metode de cercetare: metode de cunoaștere (descriere, analiză, observare, anchetă); metode științifice generale (analiza tabloului de publicații pe această temă), precum și o astfel de metodă de gestionare a documentelor precum analiza documentației întreprinderii.

Temeiul juridic al lucrării de calificare finală se bazează în principal pe Constituție ca lege fundamentală a Federației Ruse) (1). Articolul 23 din Constituția Federației Ruse garantează dreptul la secrete personale, de familie, confidențialitatea corespondenței, convorbiri telefonice, comunicări poștale, telegrafice și alte comunicații. Totodată, restrângerea acestui drept este permisă numai pe baza unei hotărâri judecătorești. Constituția Federației Ruse nu permite (articolul 24) colectarea, stocarea, utilizarea și difuzarea informațiilor despre viața privată a unei persoane fără consimțământul acesteia (1).

Regulile de reglementare a relațiilor care decurg din manipularea informațiilor confidențiale sunt, de asemenea, cuprinse în Codul civil al Federației Ruse. În același timp, informațiile confidențiale sunt menționate în Codul civil al Federației Ruse drept beneficii intangibile (articolul 150) (2).

Criterii în funcție de care informațiile sunt clasificate ca secrete oficiale și comerciale , cuprinse în articolul 139 din Codul civil al Federației Ruse. Se precizează că informațiile sunt secrete oficiale sau comerciale atunci când:

1. Această informație are valoare reală sau potențială datorită necunoscutei terților;

2. Nu există acces legal gratuit la aceste informații, iar proprietarul informațiilor ia măsuri pentru a le proteja confidențialitatea (2).

În plus, definiția confidențialității informațiilor comerciale este cuprinsă în articolul 727 din Codul civil al Federației Ruse (2).

La 27 iulie 2006 au fost adoptate două cele mai importante legi federale pentru protecția informațiilor cu caracter confidențial: nr. 149-FZ „Cu privire la informații, tehnologii informaționale și protecția informațiilor” (8) și nr. 152-FZ „Cu privire la personalul Date” (9). Ele oferă conceptele de bază ale informațiilor și protecția acesteia. Cum ar fi „informații”, „confidențialitatea informațiilor”, „date cu caracter personal”, etc.

La 10 ianuarie 2002, Președintele Federației Ruse a semnat o lege foarte importantă „Cu privire la semnătura electronică digitală” (5), care dezvoltă și precizează prevederile legii de mai sus „Cu privire la informații...” (8).

Legile Federației Ruse sunt, de asemenea, principalele în domeniul securității informațiilor confidențiale:

1. „Despre secretele de stat” din 22 iulie 2004 (4);

2. „Despre secretul comercial” din 29 iulie 2004 (conține informații constitutive de secret comercial, regim de secret comercial, dezvăluire de informații care constituie secret comercial) (6);

3. „Cu privire la aprobarea listei de informații confidențiale” (11);

4. Cu privire la aprobarea Listei de informații care nu pot constitui secret comercial” (13).

Standardul care fixează termenii și definițiile de bază în domeniul securității informațiilor este GOST R 50922-96 (29).

Cadrul normativ și metodologic pentru munca de birou confidențială este descris în detaliu în capitolul al doilea al acestei lucrări. În lucrarea finală de calificare s-au folosit lucrările unor specialiști documentari de frunte: I.V. Kudryaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pshenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).

Conceptul de securitate a informațiilor, componentele sale principale, sunt descrise în lucrările lui V.A. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

K. Ilyin (52) în lucrările sale ia în considerare problemele securității informațiilor în managementul documentelor electronice). Aspecte ale securității informațiilor sunt descrise în articolele lui V.Ya. Ischeynova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

Sistemul de securitate a informațiilor este descris în lucrările E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov și V.M. Martynov (49).

Lucrările următorilor autori sunt consacrate reglementării legale a informațiilor cu acces restricționat: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Acesta din urmă, în articolul său, subliniază imperfecțiunea legislației în acest domeniu.

Tehnologiilor de prelucrare a documentelor confidențiale au fost dedicate lucrărilor R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galahov (44), A.I. Aleksentsev (32).

În procesul de pregătire a lucrării, recomandările științifice, educaționale, practice, metodologice privind organizarea protecției informațiilor confidențiale întocmite de astfel de experți de frunte în acest domeniu precum A.I. Aleksentsev (31; 32) și E.A. Stepanov (81; 96).

Lucrările lui I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsov (51) sunt devotați aspectelor controversate ale securității informațiilor.

În general, putem spune că problema securității informației, în general, este asigurată cu surse, baza sursă vă permite să evidențiați sarcinile. Semnificația literaturii despre această problemă este mare și corespunde relevanței sale.

Dar în țara noastră nu există un act juridic de reglementare care să stabilească o procedură unificată de contabilitate, stocare și utilizare a documentelor care conțin informații confidențiale. Și conform analiștilor ale căror articole au fost folosite în lucrare, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurova (71) și alții, acest lucru nu este deloc oportun.

Printre sursele nepublicate utilizate în lucrare se numără un extras din Carta SA „ChZPSN - Profnastil” (Anexa 11), documente ale activității curente de birou a întreprinderii.

Lucrarea finală de calificare constă dintr-o introducere, trei capitole, o concluzie, o listă de surse și literatura utilizată, aplicații.

Introducerea formulează relevanța și semnificația practică a temei, scopul studiului, sarcinile, gradul de dezvoltare a problemei studiate, obiectul, subiectul, baza cercetării, instrumentele de cercetare, structura și conținutul lucrării de calificare finală.

Primul capitol: „Fundamentele securității informațiilor și protecției informațiilor” conține istoria problemei și conceptele de bază ale securității informațiilor. Cum ar fi, valoarea informațiilor, confidențialitatea. La paragraful 1.2, canalele de distribuție, scurgerile de informații sunt indicate, în cele ce urmează, sunt luate în considerare un sistem de amenințare și un sistem de protecție a informațiilor confidențiale.

Capitolul „Organizarea muncii cu documente confidențiale”. constă din bazele de reglementare și metodologice ale muncii de birou confidențiale, urmate de procedura pentru munca angajaților și organizarea accesului acestora la informații confidențiale. Tehnologia de lucru cu informațiile indicate este descrisă în ultimul paragraf al celui de-al doilea capitol.

În al treilea capitol, pe exemplul întreprinderii SA „ChZPSN - Profnastil”, este luat în considerare sistemul de protecție a informațiilor cu acces limitat, analiza lucrărilor cu documente confidențiale. sunt date recomandări, modificări și completări la tehnologia muncii de birou confidențiale formate la întreprindere.

Concluzia conține concluzii privind lucrarea finală calificată.

Lista surselor și literaturii utilizate include 110 titluri.

Lucrarea este completată de anexe, care conțin: prevederi, instrucțiuni care reglementează procedura de manipulare a documentelor care conțin informații cu acces restricționat la întreprindere, modele de formulare de documente, formulare de înregistrare, un extras din Carta OJSC „ChZPSN - Profnastil”.

Capitolul 1. Fundamentele securității informațiilor și protecției informațiilor

1.1 Evoluția termenului „securitate informațională” și a conceptului de confidențialitate

De mult s-a considerat cine deține informațiile - el deține situația. Prin urmare, chiar și în zorii societății umane, apare activitatea de inteligență. Prin urmare, apar secrete de stat și comerciale (compoziție de porțelan, mătase), iar în timpul războaielor - militare (dispunerea trupelor, arme). Dorința de a păstra secret față de ceilalți ceea ce dă avantaj și putere pare a fi principala motivație a oamenilor într-o perspectivă istorică. Mulți proprietari, pentru a-și proteja interesele, clasifică informațiile și le protejează cu grijă sau le brevetează. Clasificarea informatiilor conduce la imbunatatirea constanta a mijloacelor si metodelor de obtinere a informatiilor protejate; și pentru a îmbunătăți mijloacele și metodele de protecție a informațiilor (89, p.45).

În practica mondială, au fost folosiți mai întâi termenii „secret industrial”, „secret comercial”, „secret al relațiilor de credit”, adică. numele secretului era legat de un anumit domeniu de activitate. Avocatul rus V. Rozenberg a încercat să combine aceste nume într-unul singur - „secretul comercial” și chiar a publicat o carte cu același nume în 1910. Cu toate acestea, acest termen nu a prins. Atât în Imperiul Rus, cât și în străinătate, s-a stabilit în cele din urmă termenul de „secret comercial”, care unește secretul oricărei activități care vizează obținerea de profit (46, p. 20).

Din a doua jumătate a secolului al XIX-lea. Există, de asemenea, diverse definiții ale conceptului de secret comercial, în primul rând în domeniul dreptului penal și civil. De exemplu, legea germană definea secretul comercial ca fiind secretul proceselor tehnice de fabricație a produselor și secretul operațiunilor de vânzare a acestuia sau, așa cum este exprimat într-un limbaj superior, secretul producției de mărfuri și secretul distribuției acestora.

În Rusia, conform Codului penal din 1903, secretele comerciale erau înțelese ca metode speciale de producție utilizate sau destinate a fi utilizate, iar într-o altă ediție - caracteristici individuale ale proceselor de producție și comerț. Secretul proceselor de producție a fost clasificat ca un secret de proprietate, iar comerțul - un secret de afaceri.

În Rusia, în noiembrie 1917, secretele comerciale au fost abolite. În timpul NEP, a „renascut” neoficial, dar mai târziu a fost folosit doar de întreprinderile de comerț exterior ale URSS în contacte cu alte țări, dar nu a existat o bază legislativă internă pentru aceasta. Activitatea științifică și în acest domeniu a încetat (31, p. 78).

În a doua jumătate a anilor 80. Activitatea antreprenorială a necesitat elaborarea documentelor de reglementare aferente, inclusiv a celor referitoare la secretele comerciale. În primul rând, a fost necesar să se formuleze definiția secretului comercial. O astfel de definiție a fost făcută în Legea „Cu privire la întreprinderile din URSS”. Se spune: „Secretul comercial al unei întreprinderi este înțeles ca informații care nu sunt secrete de stat legate de producție, informații tehnologice, management, finanțe și alte activități ale întreprinderii, a căror dezvăluire (transfer, scurgere) poate prejudicia interesele acesteia. "

Un secret comercial în interpretarea modernă este informația, datele, informațiile, obiectele, dezvăluirea, transferul sau scurgerea cărora de către terți pot prejudicia interesele sau securitatea proprietarului (32, p. 13).

Standardul ISO/IEC 17799 definește securitatea informațiilor ca fiind asigurarea confidențialității, integrității și disponibilității informațiilor. (56, p. 212).

Securitatea nu reprezintă doar protecția împotriva atacurilor criminale, ci și păstrarea documentelor și informațiilor (în special electronice), precum și măsuri de protecție a documentelor critice și de asigurare a continuității și/sau restabilirii activităților în caz de dezastre (71, p. 5). 8).

Securitatea informației ar trebui înțeleasă ca protecția subiecților relațiilor informaționale. Componentele sale principale sunt confidențialitatea, integritatea, disponibilitatea (82, p.15).

În Doctrina Securității Informaționale a Federației Ruse (19), termenul „securitate informațională” denotă starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

Confidențialitate - protecție împotriva accesului neautorizat (83, p.17). Următoarea definiție a confidențialității este dată de Legea federală „Cu privire la informații, tehnologiile informației și protecția informațiilor” (8) articolul 2.p.7: confidențialitatea este o cerință obligatorie pentru ca o persoană care are acces la anumite informații să nu transfere astfel de informații. către terți fără acordul ei proprietarului.

Securitatea resurselor informaționale (informației) este înțeleasă ca protecția informațiilor în timp și spațiu împotriva oricăror amenințări (pericole) obiective și subiective care apar în condiții normale de funcționare a unei companii în situații extreme: dezastre naturale, alte evenimente incontrolabile, pasive și încercări active ale unui atacator de a crea o amenințare potențială sau reală de acces neautorizat la documente, cazuri, baze de date (61, p.32).

Confidențialitate - reguli și condiții pentru siguranța transferului de date și informații. Există confidențialitate externă - ca o condiție pentru nedezvăluirea informațiilor către mediul extern, și internă - în rândul personalului.

Securitatea informațiilor (documentelor) valoroase documentate este determinată de gradul de protecție a acestora împotriva consecințelor situațiilor extreme, inclusiv a dezastrelor naturale, precum și a încercărilor pasive și active ale unui atacator de a crea o amenințare potențială sau reală (pericol) de apariție neautorizată. accesul la documente folosind canale organizatorice și tehnice, ca urmare, care poate duce la furtul și utilizarea abuzivă a informațiilor de către un atacator în scopuri proprii, modificarea, înlocuirea, falsificarea, distrugerea acestora (68, p. 36).

Secretul - reguli și condiții de acces și acces la obiectele informaționale (89, p. 50).

Astfel, sintagma „securitatea informațiilor” nu se limitează la protecția împotriva accesului neautorizat la informații.

Acesta este un concept fundamental larg. Subiectul relațiilor informaționale poate suferi (să suporte pierderi și/sau să primească prejudicii morale) nu numai din cauza accesului neautorizat, ci și din cauza unei defecțiuni a sistemului care a cauzat o întrerupere a activității.

În ciuda faptului că confidențialitatea este sinonimă cu secretul, acest termen este utilizat pe scară largă exclusiv pentru a se referi la resursele informaționale cu acces limitat care nu sunt clasificate drept secrete de stat.

Confidențialitatea reflectă restricția pe care proprietarul informațiilor o impune accesului altor persoane la acestea, adică. proprietarul stabilește regimul juridic al acestor informații în condițiile legii (91, p. 208).

1.2 Valoarea informațiilor

Informațiile protejate includ: informații secrete (informații care conțin secrete de stat), confidențiale (informații care conțin secrete comerciale, secrete referitoare la viața personală și activitățile cetățenilor) (100, p. 38).

Există întotdeauna documente de management, a căror scurgere de conținut este nedorită sau pur și simplu dăunătoare, deoarece poate fi folosit direct sau indirect în detrimentul autorilor săi. Astfel de informații și, în consecință, documentele care le conțin sunt considerate confidențiale (închise, protejate). Informațiile documentate cu acces limitat aparțin întotdeauna unuia dintre tipurile de secrete - de stat sau non-statale. În conformitate cu aceasta, documentele sunt împărțite în secrete și non-secrete. O trăsătură obligatorie (criteriul de prioritate) a unui document secret este prezența în acesta a unor informații care constituie secret de stat în condițiile legii. Documentele neclasificate care includ informații clasificate drept secret de stat (oficial, comercial, bancar, profesional, industrial etc.), sau care conțin date personale ale cetățenilor, sunt numite confidențiale.

Informații - informații despre persoane, obiecte, fapte, evenimente, fenomene și procese, indiferent de forma de prezentare a acestora (8).

Legislația Federației Ruse stabilește că informațiile (documentele) documentate sunt disponibile publicului, cu excepția celor clasificate de lege drept acces restricționat (11).

În același timp, informațiile documentate cu acces restricționat sunt împărțite în informații clasificate ca secrete de stat și informații confidențiale. Ambele tipuri de informații sunt supuse protecției împotriva distribuirii ilegale (dezvăluirii) și sunt clasificate ca secrete protejate de lege.

O caracteristică obligatorie a unui document confidențial este prezența în el a informațiilor care trebuie protejate. O caracteristică a unui astfel de document este că reprezintă simultan nu numai informațiile în sine - un obiect obligatoriu de protecție, ci și un purtător de informații în masă, principala sursă de acumulare și diseminare a acestor informații, inclusiv scurgerea acesteia. Adică, în primul rând, informațiile sunt confidențiale, iar abia apoi documentele în care sunt înregistrate aceste informații devin confidențiale. Categoria de informații confidențiale include toate tipurile de informații cu acces restricționat protejate de lege - comerciale, oficiale, personale. Cu excepția secretelor de stat (94, p. 78).

Informațiile pot fi împărțite în trei categorii (82, p.33).

Primul este neclasificat (sau deschis), care este destinat utilizării atât în interiorul, cât și în exteriorul firmei.

Al doilea este pentru uz oficial, care este destinat numai utilizării în cadrul companiei. Mai mult, este împărțit în două subcategorii:

1. Accesibil tuturor angajaților companiei;

2. Disponibil pentru anumite categorii de salariati, dar poate fi transferat integral altui salariat pentru a presta munca necesara.

Al treilea este informații clasificate (sau informații cu acces limitat), care sunt destinate utilizării numai de către angajații special autorizați ai companiei și nu sunt destinate transferului către alți angajați în totalitate sau parțial.

Informațiile din a doua și a treia categorii sunt de obicei numite confidențiale (35, p.9).

Informațiile confidențiale pot fi, de asemenea, un anumit set de informații deschise, la fel cum un anumit set de informații pentru uz oficial poate fi informații restricționate. Prin urmare, este necesar să se definească clar condițiile în care clasificarea de securitate a informațiilor poate și trebuie crescută (55, p. 83).

De exemplu, în OJSC „ChZPSN - Profnastil” informațiile despre detaliile contractelor încheiate, precum și despre care dintre angajați le încheie, sunt confidențiale. În același timp, informațiile deschise includ date despre personal, distribuția acestuia pe departamente și atribuțiile oficiale ale angajaților. Pe site-ul lor se raportează regulat știrile cu ce întreprinderi (pe ce profil) negociază compania, cu cine intenționează să încheie un contract etc. Este clar că, în agregat, cele trei surse de informare deschise (personal, atribuții oficiale, informații despre contractele încheiate) pot forma informații confidențiale despre un angajat care încheie un anumit contract.

Condițiile în care informațiile pot fi clasificate drept confidențiale sunt enumerate în articolul 13 din partea 1 a Codului civil al Federației Ruse (2). Acestea includ:

1. Valoarea comercială reală sau potențială a informațiilor, deoarece acestea nu sunt cunoscute de terți;

2. Lipsa accesului liber la aceste informații în temeiul legal;

3. Adoptarea de către proprietarul informațiilor a măsurilor necesare pentru protejarea confidențialității acestora.

Astfel, asigurarea confidențialității informațiilor documentare cuprinde trei aspecte:

1. Determinarea compoziției informațiilor care ar trebui clasificate drept confidențiale;

2. Determinarea cercului de angajați care ar trebui să aibă acces la una sau alta informație confidențială și înregistrarea relațiilor adecvate cu aceștia;

3. Organizarea muncii de birou cu documente confidențiale. (99, p.7-9).

Dacă aceste condiții nu sunt îndeplinite, organizația nu va avea niciun motiv să tragă la răspundere pe cineva pentru dezvăluirea de informații confidențiale.

Conform Legii federale „Cu privire la informații, tehnologiile informaționale și protecția informațiilor” (8), următoarele nu pot constitui secret comercial:

1. Acte constitutive (hotărâre privind înființarea unei întreprinderi sau acordul fondatorilor) și Carta;

2. Documente care dau dreptul de a se angaja în activitate de întreprinzător (certificate de înregistrare, licențe, brevete);

3. Informații despre formele stabilite de raportare a activităților financiare și economice și alte informații necesare pentru a verifica corectitudinea calculării și plății impozitelor și a altor plăți obligatorii către sistemul bugetului de stat al Federației Ruse;

4. Documente privind solvabilitatea;

5. Informații despre numărul, componența angajaților, salariile și condițiile de muncă ale acestora, precum și disponibilitatea posturilor vacante;

6. Documente privind plata impozitelor si platilor obligatorii;

7. Informații despre poluarea mediului, încălcarea legislației antimonopol, nerespectarea condițiilor de muncă sigure, vânzarea de produse dăunătoare sănătății publice, precum și alte încălcări ale legislației Federației Ruse și valoarea daunelor cauzate în acest sens. caz;

8. Informații despre participarea funcționarilor întreprinderii în cooperative, întreprinderi mici, parteneriate, societăți pe acțiuni, asociații și alte organizații implicate în activități antreprenoriale.

Informațiile enumerate despre întreprinderile și persoanele implicate în activități antreprenoriale, șefii de stat și întreprinderile municipale sunt obligate să prezinte la cererea autorităților, conducerii, agențiilor de reglementare și de aplicare a legii, altor persoane juridice îndreptățite în acest sens, în conformitate cu legislația rusă. Federația, precum și colectivul de muncă al întreprinderii (21 ).

Informațiile privind aspectele incluse de lege în conceptul de secret de stat nu pot fi clasificate drept confidențiale (12). În ceea ce privește problemele de lucru cu documente care conțin astfel de informații, în conformitate cu Legea Federației Ruse „Cu privire la secretele de stat” (4), se stabilește că cetățenii, oficialii și organizațiile ar trebui să fie ghidați numai de actele legislative care reglementează protecția secrete de stat.

Conform legii, informațiile confidențiale sunt informații documentate, accesul la care este restricționat în conformitate cu legislația Federației Ruse (11). Informațiile confidențiale sunt astfel de informații, a căror dezvăluire poate dăuna intereselor companiei (35, p.6). Se mai poate spune că atribuirea anumitor informații ștampilei de confidențialitate, printre altele, contribuie la păstrarea secretelor comerciale (8).

Conceptul generalizat de informații confidențiale este specificat în mare măsură în „Lista informațiilor confidențiale” (11). Potrivit acestuia, informațiile confidențiale sunt grupate în mai multe categorii principale.

În primul rând, este vorba de informații despre faptele, evenimentele și circumstanțele vieții private a unui cetățean, permițând identificarea unei persoane (date cu caracter personal), cu excepția informațiilor care urmează să fie difuzate în mass-media în cazurile stabilite de legea federală.

A doua categorie a informațiilor specificate sunt informațiile care constituie secretul anchetei și al procedurilor judiciare . Lista definește în continuare un grup de informații oficiale, accesul la care este limitat de autoritățile publice în conformitate cu Codul civil al Federației Ruse (2, p. 52) și legea federală (secretul oficial).

Un alt grup de informații din listă conține informații legate de activități profesionale, accesul la care este limitat în conformitate cu Constituția Federației Ruse (1, p. 25) și legea federală (medicală, notarială, avocat (16), secretul corespondenței, convorbirilor telefonice, trimiterilor poștale (10), mesajelor telegrafice sau de altă natură (17) și așa mai departe).

Următorul grup de informații confidențiale include informații legate de activități comerciale, accesul la care este restricționat în conformitate cu Codul civil al Federației Ruse (2) și legile federale (secretul comercial) (6).

Lista informațiilor confidențiale se încheie cu informații despre esența invenției, model de utilitate sau desen industrial înainte de publicarea lor oficială (53, p. 51; 82, p. 33).

Informațiile documentate utilizate de un antreprenor în afaceri și în managementul unei întreprinderi, organizații, bănci, companii sau alte structuri sunt informații proprii sau private de valoare semnificativă pentru el, proprietatea sa intelectuală.

Valoarea informațiilor poate fi o categorie de cost care caracterizează o anumită sumă de profit atunci când este utilizată sau valoarea pierderii atunci când este pierdută. Informațiile devin adesea valoroase datorită semnificației sale juridice pentru o firmă sau dezvoltarea afacerii, cum ar fi documentele fondatoare, programele și planurile, acordurile cu parteneri și intermediari etc. Valoarea informațiilor poate reflecta și valoarea ei științifică, tehnică sau tehnologică prospectivă (58, p. 224).

Informațiile care au valoare intelectuală pentru un antreprenor sunt de obicei împărțite în două tipuri:

1. Tehnic, tehnologic: metode de fabricare a produselor, software, indicatori de producție, formule chimice, rezultate ale testelor prototipurilor, date de control al calității etc. (53, p. 50);

2. Afaceri: indicatori de cost, rezultate cercetări de piață, liste de clienți, previziuni economice, strategie de piață etc.

Informațiile valoroase sunt protejate prin lege (brevet, drepturi de autor, conexe), marcă comercială sau incluse în categoria informațiilor care constituie un secret al companiei (58, p.54).

Astfel, de regulă, toate informațiile care circulă în cadrul organizației pot fi împărțite în două părți - deschisă și confidențială (65, p.5).

Valoarea comercială a informației, de regulă, este de scurtă durată și este determinată de timpul necesar unui concurent pentru a dezvolta aceeași idee sau a fura și a o reproduce, a o publica și a transfera informația în categoria de cunoscut. Gradul de valoare al informației și fiabilitatea protecției acesteia sunt direct dependente.

Identificarea și reglementarea compoziției reale a informațiilor care sunt de valoare pentru întreprinzător și care constituie secretul companiei sunt părțile fundamentale ale sistemului de securitate a informațiilor. Compoziția informațiilor valoroase este înregistrată într-o listă specială care determină perioada (termenul) și nivelul (bariera) confidențialității acestora (adică inaccesibilitatea tuturor), o listă a angajaților companiei cărora li se acordă dreptul de a utiliza aceste informații în muncă. Lista, care se bazează pe compoziția tipică a informațiilor protejate ale firmelor de acest profil, este un material de lucru permanent al conducerii companiei, al serviciilor de securitate și al documentației confidențiale. Este o listă clasificată de informații valoroase tipice și specifice despre munca în curs, produse, idei științifice și de afaceri, inovații tehnologice. Lista include informații cu adevărat valoroase despre fiecare lucrare a companiei (51, p.45-51).

În plus, se poate întocmi o listă de documente în care se reflectă (documentează) aceste informații. Lista include și documente care nu conțin informații protejate, dar sunt de valoare pentru companie și sunt supuse protecției. Listele sunt întocmite individual de fiecare firmă în conformitate cu recomandările unei comisii speciale și aprobate de primul șef al firmei. Aceeași comisie efectuează în mod regulat modificări curente ale listelor în conformitate cu dinamica efectuării unei anumite activități de către firmă.

Documentele care conțin informații valoroase fac parte din resursele informaționale ale companiei, care pot fi: a) deschise (disponibile pentru ca personalul să lucreze fără permisiunea specială) și b) restricționate pentru accesul personalului (clasificat ca unul dintre tipurile de secrete - de stat sau non-). stat).

Lista informațiilor clasificate drept informații confidențiale, precum și lista angajaților admiși la aceasta, se întocmesc prin ordin al societății.

1.3 Canale de distribuție și scurgeri de informații confidențiale

Informația sursă este întotdeauna propagată în mediul extern. Canalele de diseminare a informațiilor sunt obiective, active și includ: comunicații comerciale, manageriale, comerciale, științifice, comunicative reglementate; rețele de informare; canale tehnice naturale.

Un canal de diseminare a informațiilor este o modalitate de a muta informații valoroase de la o sursă la alta într-un mod autorizat (permis) sau datorită legilor obiective sau datorită legilor obiective (83, p. 48).

Termenul „scurgere de informații confidențiale” nu este probabil cel mai eufonic, dar reflectă esența fenomenului mai mult decât alți termeni. A fost mult înrădăcinată în literatura științifică, documentele de reglementare (99, p.11). Scurgerea de informații confidențiale constituie o infracțiune ilegală, de ex. eliberarea neautorizată a unor astfel de informații în afara zonei protejate de funcționare a acesteia sau a cercului stabilit de persoane îndreptățite să lucreze cu acestea, dacă această ieșire a dus la primirea de informații (familiarizarea cu acestea) de către persoane care nu au acces autorizat la acestea. Scurgerea informațiilor confidențiale înseamnă nu numai primirea acesteia de către persoane care nu lucrează la întreprindere, accesul neautorizat la informații confidențiale de către persoanele din această întreprindere duce și la scurgeri (104, p. 75).

Pierderea și scurgerea de informații confidențiale documentate se datorează vulnerabilității informațiilor. Vulnerabilitatea informațiilor ar trebui înțeleasă ca incapacitatea informațiilor de a rezista în mod independent influențelor destabilizatoare, de ex. asemenea influențe care încalcă statutul său stabilit (94, p. 89). Încălcarea stării oricărei informații documentate constă în încălcarea siguranței sale fizice (în general sau cu acest proprietar în întregime sau parțial), a structurii și conținutului logic, a accesibilității pentru utilizatorii autorizați. Încălcarea statutului informațiilor confidențiale documentate include, în plus, o încălcare a confidențialității acestora (apropierea de persoane neautorizate). Vulnerabilitatea informațiilor documentate este un concept colectiv. Nu există deloc, ci se manifestă sub diferite forme. Acestea includ: furtul unui suport de informații sau informații afișate în acesta (furt); pierderea purtătorului de informații (pierdere); distrugerea neautorizată a purtătorului de informații sau a informațiilor afișate în acesta (distrugerea, denaturarea informațiilor (modificare neautorizată, modificare neautorizată, falsificare, falsificare); blocarea informațiilor; dezvăluirea informațiilor (distribuire, dezvăluire).

Termenul „distrugere” este folosit în principal în legătură cu informațiile de pe medii magnetice. Variantele existente ale numelor: modificarea, falsificarea, falsificarea nu sunt destul de adecvate termenului „denaturare”, au nuanțe, dar esența lor este aceeași - o modificare neautorizată parțială sau completă a compoziției informațiilor originale (36, p. . 59).

Blocarea informațiilor aici înseamnă blocarea accesului la acestea de către utilizatori legitimi, nu atacatori.

Dezvăluirea informațiilor este o formă de manifestare a vulnerabilității doar informațiilor confidențiale.

Una sau alta formă de vulnerabilitate a informațiilor documentate poate fi realizată ca urmare a unor efecte destabilizatoare intenționate sau accidentale în diverse moduri asupra purtătorului de informații sau asupra informațiilor în sine din sursele de influență. Astfel de surse pot fi persoane, mijloace tehnice de procesare și transmitere a informațiilor, mijloace de comunicare, dezastre naturale etc. Modalități de efect destabilizator asupra informațiilor sunt copierea (fotografierea), înregistrarea, transferul, mâncarea, infectarea cu un virus a programelor de procesare a informațiilor, încălcarea tehnologiei de prelucrare și stocare a informațiilor, incapacitatea (sau eșecul) și încălcarea modului de funcționare a mijloacelor tehnice de prelucrare și transmitere a informațiilor, impact fizic asupra informațiilor etc.

Vulnerabilitatea informațiilor documentate conduce sau poate duce la pierderea sau scurgerea de informații. (97, p.12).

Furtul și pierderea suporturilor de informații, distrugerea neautorizată a suporturilor de informații sau numai a informațiilor afișate în acestea, denaturarea și blocarea informațiilor duc la pierderea informațiilor documentate. Pierderea poate fi totală sau parțială, irecuperabilă sau temporară (atunci când informațiile sunt blocate), dar în orice caz provoacă daune proprietarului informațiilor.

Scurgerea de informații confidențiale documentate duce la dezvăluirea acestora. După cum notează unii autori (77, p. 94; 94, p. 12), în literatură și chiar în documentele de reglementare, termenul „scurgere de informații confidențiale” este adesea înlocuit sau identificat cu termenii: „dezvăluire de informații confidențiale” , „diseminarea informațiilor confidențiale”. O astfel de abordare, din punctul de vedere al experților, este ilegală. Dezvăluirea sau diseminarea informațiilor confidențiale înseamnă comunicarea neautorizată a acestora către consumatorii care nu au dreptul de a le accesa. În același timp, o astfel de aducere ar trebui să fie efectuată de cineva, să provină de la cineva. O scurgere apare atunci când informații confidențiale sunt dezvăluite (distribuție neautorizată), dar nu se limitează la acestea. Scurgerile pot apărea și ca urmare a pierderii transportatorului de informații documentate confidențiale, precum și a furtului purtătorului de informații sau a informațiilor afișate în acesta, în timp ce transportatorul este păstrat de proprietarul (proprietarul) acestuia. Nu înseamnă ce se va întâmpla. Media pierdută poate cădea în mâini greșite sau poate fi „prins” de un camion de gunoi și distrus în modul stabilit pentru gunoi. În acest din urmă caz, nu există scurgeri de informații confidențiale. De asemenea, furtul de informații documentate confidențiale nu este întotdeauna asociat cu primirea acestora de către persoanele care nu au acces la acestea. Sunt multe exemple în care furtul de purtători de informații confidențiale a fost efectuat de la colegii de serviciu de către persoane admise la aceste informații cu scopul de a „încărca”, dăunând unui coleg. Astfel de transportatori sunt de obicei distruse de oamenii care i-au răpit. Dar, în orice caz, pierderea și furtul informațiilor confidențiale, dacă acestea nu duc la scurgerea acestora, creează întotdeauna o amenințare de scurgere. Prin urmare, se poate spune că dezvăluirea informațiilor confidențiale duce la scurgerea acestora, iar furtul și pierderea pot duce la aceasta. Dificultatea constă în faptul că este adesea imposibil de împărțit, în primul rând, însuși faptul dezvăluirii sau furtului de informații confidențiale în timp ce purtătorul de informații este păstrat de proprietarul (proprietarul) acestuia și, în al doilea rând, dacă informațiile obținute ca urmare a furtul sau pierderea acestuia de către persoane neautorizate.

Deținătorul unui secret comercial este o persoană fizică sau juridică care deține în mod legal informații care constituie un secret comercial și drepturile corespunzătoare în totalitate (91, p. 123).

Informațiile care constituie un secret comercial nu există în sine. Este afișat în diverse medii care îl pot stoca, acumula și transmite. De asemenea, folosesc informații. (8; 91, p. 123)

Purtătorul de informații - un individ sau un obiect material, inclusiv un câmp fizic, în care informațiile sunt afișate sub formă de simboluri, imagini, semnale, soluții tehnice și procese (8; 68, p.37).

Din această definiție rezultă, în primul rând, că obiectele materiale nu sunt doar ceea ce poate fi văzut sau atins, ci și câmpuri fizice, precum și creierul uman și, în al doilea rând, că informațiile din media sunt afișate nu numai prin simboluri, adică . litere, cifre, semne, dar și imagini sub formă de desene, desene, diagrame, alte modele iconice, semnale în domenii fizice, soluții tehnice în produse, procese tehnice în tehnologia de fabricație a produselor (39, p. 65).

Tipurile de obiecte materiale ca purtători de informații sunt diferite. Pot fi benzi magnetice, discuri magnetice și laser, filme foto, film, video și audio, diverse tipuri de produse industriale, procese tehnologice etc. Dar cel mai răspândit tip este suportul pe hârtie (46, p. 11). Informațiile din ele sunt înregistrate de mână, dactilografiate, electronice, tipografice sub formă de text, desen, diagramă, desen, formulă, grafic, hartă etc. În aceste medii, informațiile sunt afișate sub formă de simboluri și imagini. Astfel de informații din Legea federală „Cu privire la informațiile...” (8) sunt clasificate ca informații documentate și reprezintă diferite tipuri de documente.

Recent, au avut loc ajustări semnificative în formele și mijloacele de obținere a informațiilor confidențiale prin mijloace informale. Desigur, aceasta se referă în principal la impactul asupra unei persoane ca purtător de informații confidențiale.

O persoană ca obiect de influență este mai susceptibilă la influențe informale decât mijloacele tehnice și alți purtători de informații confidențiale, din cauza unei anumite nesiguranțe juridice în momentul actual, a slăbiciunilor umane individuale și a circumstanțelor vieții (64, p. 82).

O astfel de influență informală, de regulă, este de natură ascunsă, ilegală și poate fi efectuată atât individual, cât și de către un grup de persoane.

Următoarele tipuri de canale de scurgere de informații sunt posibile pentru o persoană care este purtătoare de informații confidențiale: canal vocal, canal fizic și canal tehnic.

Canal de vorbire de scurgere - informațiile sunt transmise de la proprietarul informațiilor confidențiale prin cuvinte personal către obiectul interesat să primească aceste informații (29).

Canal fizic de scurgere - informația este transmisă de la proprietarul informațiilor confidențiale (purtător) prin intermediul hârtiei, electronice, magnetice (criptate sau deschise) sau alte mijloace către un obiect interesat să obțină această informație (36, p. 62).

Canal de scurgere tehnică - informațiile sunt transmise prin mijloace tehnice (29).

Formele de influență asupra unei persoane care este purtătoare de informații protejate pot fi deschise și ascunse (33).

O influență deschisă asupra proprietarului (purtătorului) de informații confidențiale pentru obținerea de către un obiect interesat implică contact direct (101, p. 256).

Influența ascunsă asupra proprietarului (purtătorului) a informațiilor confidențiale pentru primirea acestora de către obiectul interesat se realizează indirect (indirect) (101, p. 256).

Mijloacele de influență informală ale proprietarului (purtătorului) de informații confidențiale pentru a obține anumite informații de la acesta printr-un canal de vorbire deschis sunt o persoană sau un grup de oameni care interacționează prin: promisiuni de ceva, cereri, sugestie (107, p. 12). ).

Drept urmare, deținătorul (transportatorul) informațiilor confidențiale este obligat să-și schimbe comportamentul, obligațiile sale oficiale și să transfere informațiile solicitate (91, p. 239).

Influența ascunsă prin canalul de vorbire asupra proprietarului (purtătorului) informațiilor confidențiale se realizează prin constrângere indirectă - șantaj printr-un terț, ascultare neintenționată sau deliberată etc.

Mijloacele de influență menționate, în cele din urmă, îl obișnuiesc pe proprietarul (purtatorul) informațiilor confidențiale cu toleranța (toleranța) acestuia față de influențele exercitate asupra acestuia (85, p. 220).

Formele de influență asupra proprietarului (purtătorului) informațiilor confidențiale printr-un canal fizic de scurgere pot fi, de asemenea, deschise și ascunse.

Impactul deschis se realizează prin intimidare forțată (fizică) (bătăi) sau moarte forțată, după primire (bătăi) sau moarte forțată, după primirea informațiilor (95, p.78).

Acțiunea sub acoperire este mai subtilă și mai extinsă în ceea ce privește aplicarea mijloacelor. Aceasta poate fi reprezentată ca următoarea structură de impact (95, p. 79). Obiect interesat - interesele și nevoile purtătorului de informații confidențiale.

În consecință, obiectul interesat influențează în mod ascuns (indirect) interesele și nevoile persoanei care deține informații confidențiale.

O astfel de influență ascunsă se poate baza pe: frică, șantaj, manipularea faptelor, mită, mită, intimitate, corupție, persuasiune, prestare de servicii, asigurare cu privire la viitorul persoanei care este purtătorul de informații confidențiale. (94, p.87)

Forma de influență asupra proprietarului (purtătorului) informațiilor confidențiale prin canale tehnice poate fi, de asemenea, deschisă și ascunsă.

Mijloace deschise (directe) - fax, telefon (inclusiv sisteme mobile), Internet, comunicații radio, telecomunicații, mass-media.

Mijloacele ascunse includ: ascultarea folosind mijloace tehnice, vizualizarea de pe ecranul de afișare și alte mijloace de afișare a acestuia, accesul neautorizat la un computer și software și hardware.

Toate mijloacele de influență considerate, indiferent de formele lor, au un impact informal asupra persoanei care este purtătoarea informațiilor confidențiale și sunt asociate cu metode ilegale și criminale de obținere a informațiilor confidențiale (72).

Posibilitatea de a manipula caracteristicile individuale ale deținătorului (purtătorului) de informații confidențiale cu nevoile sale sociale în vederea obținerii acesteia trebuie luată în considerare la plasarea, selectarea personalului și efectuarea politicii de personal la organizarea muncii cu informații confidențiale.

Trebuie reținut întotdeauna că faptul de a documenta informații (aplicabil oricărui suport de materiale) crește riscul de scurgere de informații. Un purtător de materiale este întotdeauna mai ușor de furat și există un grad înalt în care informațiile necesare nu sunt distorsionate, așa cum este cazul dezvăluirii de informații pe cale orală.

Amenințările la adresa siguranței, integrității și secretului confidențialității) informațiilor cu acces limitat se realizează practic prin riscul formării unor canale de primire (extragere) neautorizată a informațiilor și documentelor valoroase de către un atacator. Aceste canale sunt un set de direcții neprotejate sau slab protejate de către organizație de posibile scurgeri de informații, pe care atacatorul le folosește pentru a obține informațiile necesare, acces ilegal deliberat la informații protejate și păzite.

Fiecare întreprindere specifică are propriul set de canale pentru accesul neautorizat la informații; în acest caz, firmele ideale nu există.

Aceasta depinde de mulți factori: volumul de informații protejate și păzite; tipuri de informații protejate și păzite (constituind un secret de stat, sau un alt secret - oficial, comercial, bancar etc.); nivelul profesional al personalului, amplasarea clădirilor și a incintelor etc.

Funcționarea canalelor de acces neautorizat la informații atrage în mod necesar scurgerea de informații, precum și dispariția purtătorului acesteia.

Când vine vorba de scurgerea de informații din vina personalului, se folosește termenul „dezvăluire de informații”. O persoană poate dezvălui informații oral, în scris, prin eliminarea informațiilor folosind mijloace tehnice (copiatoare, scanere etc.), folosind gesturi, expresii faciale și semnale condiționate. Și transferați-o personal, prin intermediari, prin canale de comunicare etc. (56, p. 458).

Scurgerea (dezvăluirea) informațiilor este caracterizată de două condiții:

1. Informațiile ajung direct la persoana interesată de ea, atacatorul;

2. Informațiile sunt transmise unei terțe părți aleatoare.

În acest caz, se înțelege prin terț orice terț care a primit informații din cauza unor circumstanțe independente de controlul acestei persoane, sau a iresponsabilității personalului, care nu are dreptul de a deține informații și, cel mai important, această persoană nu este interesată de această informație (37, p. 5 ). Cu toate acestea, informațiile de la o terță parte pot trece cu ușurință unui atacator. În acest caz, terțul, din cauza circumstanțelor puse la dispoziție de atacator, acționează ca un „blotter” pentru a intercepta informațiile necesare.

Transferul de informații către o terță parte pare a fi o întâmplare destul de comună și poate fi numită neintenționat, spontan, deși are loc faptul dezvăluirii informațiilor.

Transferul neintenționat de informații către o terță parte are loc ca urmare a:

1. Pierderea sau distrugerea necorespunzătoare a unui document pe orice suport, a unui pachet de documente, dosare, înregistrări confidențiale;

2. Ignorarea sau nerespectarea deliberată de către angajat a cerințelor de protecție a informațiilor documentate;

3. Vorbărețul excesiv al angajaților în absența unui intrus - cu colegii de muncă, rude, prieteni, alte persoane din locuri publice: cafenele, transport etc. (recent acest lucru a devenit vizibil odată cu răspândirea comunicațiilor mobile);

4. Lucrați cu informații documentate cu acces limitat la organizație cu persoane neautorizate, transferul neautorizat al acesteia către un alt angajat;

5. Utilizarea informațiilor restricționate în documente deschise, publicații, interviuri, note personale, jurnale etc.;

6. Absența informațiilor secrete (confidențialitate) pe documente, marcarea cu ștampilele corespunzătoare pe suporturi tehnice;

7. Prezența în texte a documentelor deschise a unor informații excesive cu acces limitat;

8. Copierea (scanarea) neautorizată de către un angajat a documentelor, inclusiv a celor electronice, în scopuri oficiale sau de colectare.

Spre deosebire de un terț, un atacator sau complicele acestuia obțin în mod intenționat informații specifice și stabilește în mod intenționat contactul ilegal cu sursa acestor informații sau transformă canalele de distribuție obiectivă a acesteia în canale de dezvăluire sau scurgere a acestora.

Canalele organizaționale de scurgere de informații sunt caracterizate printr-o mare varietate de tipuri și se bazează pe stabilirea unor relații diverse, inclusiv juridice, între atacator și întreprindere sau angajații întreprinderii pentru accesul ulterior neautorizat la informațiile de interes.

Principalele tipuri de canale organizaționale pot fi:

1. Un intrus este angajat de o întreprindere, de obicei într-o funcție tehnică sau auxiliară (operator computer, expeditor, curier, curățenie, îngrijitor, paznic, șofer etc.);

2. Participarea la activitatea întreprinderii ca partener, intermediar, client, utilizarea diferitelor metode frauduloase;

3. Cauta de catre un atacator un complice (asistent de initiativa) care lucreaza intr-o organizatie care devine complice al acestuia;

4. Stabilirea de către un atacator a unei relații de încredere cu un angajat al unei organizații (în funcție de interese comune, până la o relație comună de băutură și dragoste) sau un vizitator obișnuit, un angajat al unei alte organizații care deține informații de interes pentru atacator;

5. Utilizarea legăturilor de comunicare ale organizației - participarea la negocieri, întâlniri, expoziții, prezentări, corespondență, inclusiv electronică, cu organizația sau cu angajații ei specifici etc.;

6. Utilizarea acțiunilor eronate ale personalului sau provocarea deliberată a acestor acțiuni de către un atacator;

7. Intrare secretă sau fictivă în sediul întreprinderii și sediului, infracțiune, acces forțat la informații, adică furtul de documente, dischete, hard disk-uri (hard disk) sau computere în sine, șantaj și inducerea cooperării angajaților individuali, darea de mită și șantajul angajaților, crearea de situații limită etc.;

8. Obținerea informațiilor necesare de la o a treia persoană (aleatorie).

Canalele organizaționale sunt selectate sau formate de către un atacator în mod individual, în funcție de abilitățile sale profesionale, de o situație specifică și este extrem de dificil să le prezici. Descoperirea canalelor organizaționale necesită căutare serioasă și muncă analitică (75, p. 32).

Oportunitățile ample de obținere neautorizată de informații cu acces limitat creează suport tehnic pentru tehnologiile de gestionare a documentelor financiare ale organizației. Orice activitate manageriala si financiara este intotdeauna asociata cu discutarea informatiilor in birouri sau prin intermediul liniilor si canalelor de comunicare (desfasurarea de telefoane video si conferinte), efectuarea de calcule si analizarea situatiilor pe computer, pregatirea si duplicarea documentelor etc.

Documente similare

Documentatie organizatorica si administrativa. Cerințe de înregistrare, procedura de manipulare a documentelor confidențiale. Modalități de a păstra confidențialitatea înregistrărilor. Arhive secrete. Asigurarea securității muncii de birou confidențiale.

lucrare de termen, adăugată 15.01.2017

Direcţii pentru asigurarea securităţii resurselor informaţionale. Caracteristici ale concedierii angajaților care dețin informații confidențiale. Accesul personalului la informații confidențiale, documente și baze de date. Protecția informațiilor în timpul întâlnirilor.

lucrare de termen, adăugată 20.11.2012

Caracteristicile lucrului cu personal care deține secrete confidențiale. Caracteristici de angajare și transfer de angajați la locul de muncă legate de deținerea de informații confidențiale. Accesul personalului la informații confidențiale, documente și baze de date.

lucrare de termen, adăugată 06.09.2011

Analiza sistemului de securitate a informatiilor la intreprindere. Serviciul de securitate a informațiilor. Amenințări la securitatea informațiilor specifice întreprinderii. Metode și mijloace de protecție a informațiilor. Model de sistem informatic dintr-o pozitie de securitate.

lucrare de termen, adăugată 02/03/2011

Caracteristici ale concedierii angajaților care dețin informații confidențiale. Implementarea transferului de personal la locul de muncă legat de informații clasificate. Metode de realizare a certificării personalului. Intocmirea documentatiilor si comenzilor pentru intreprindere.

rezumat, adăugat 27.12.2013

Conceptul de „informații confidențiale”. Procedura de clasificare a informațiilor comerciale ca secret comercial. Caracteristicile generale ale OAO Svyaznoy Ural. Îmbunătățirea mecanismului de protecție a informațiilor confidențiale în întreprindere. Analiza eficacității recomandărilor.

lucrare de termen, adăugată 26.09.2012

Conceptul și transferul datelor cu caracter personal. Protecția și controlul informațiilor. Răspunderea penală, administrativă și disciplinară pentru încălcarea regulilor de lucru cu datele cu caracter personal. Reguli generale pentru desfășurarea activității de birou confidențiale.

lucrare de termen, adăugată 19.11.2014

Esența informațiilor și clasificarea acesteia. Analiza informațiilor clasificate ca secret comercial. Cercetarea posibilelor amenințări și canale de scurgere de informații. Analiza masurilor de protectie. Analiza asigurării fiabilității și protecției informațiilor în SRL „Tism-Yugnefteprodukt”.

teză, adăugată 23.10.2013

Securitatea informațiilor și infrastructura de sprijin împotriva impacturilor accidentale sau intenționate de natură naturală și artificială. Protecția informațiilor în timpul negocierilor și în activitatea serviciului de personal, pregătirea unei întâlniri confidențiale.

rezumat, adăugat 27.01.2010

În rezolvarea problemei securității informațiilor, un loc aparte îl ocupă construirea unui sistem eficient de organizare a muncii cu personal cu informații confidențiale. În structurile de afaceri, personalul include toți angajații.

Introducere

Capitolul 1. Fundamentele securității informațiilor și protecției informațiilor

1.1 Evoluția termenului „securitate informațională” și a conceptului de confidențialitate

1.2 Valoarea informațiilor

1.3 Canale de distribuție și scurgeri de informații confidențiale

1.4 Amenințări și sistem de protecție a informațiilor confidențiale

Capitolul 2. Organizarea muncii cu documente care conțin informații confidențiale

2.1 Cadrul normativ și metodologic pentru păstrarea confidențială a evidenței

2.2 Organizarea accesului și a procedurii pentru ca personalul să lucreze cu informații confidențiale, documente și baze de date

2.3 Baza tehnologică pentru prelucrarea documentelor confidențiale

capitolul 3

3.1 Caracteristicile SA „ChZPSN - Profnastil”

3.2 Sistemul de securitate a informațiilor în SA „ChZPSN - Profnastil”

3.3 Îmbunătățirea securității informațiilor restricționate

Concluzie

Lista surselor și literaturii utilizate

Introducere

Obiectul de studiu al acestei lucrări este formarea și funcționarea resurselor informaționale în sistemul de management al organizației.

Baza studiului este SA „ChZPSN - Profnastil”

Obiectul studiului îl constituie activitatea de asigurare a securității resurselor informaționale în sistemul de management al organizației.

Scopul studiului este de a analiza tehnologiile, modalitățile, metodele și mijloacele moderne de protejare a informațiilor confidențiale ale unei întreprinderi.

Obiectivele studiului, în conformitate cu scopul, includ:

1. Să dezvăluie principalele componente ale securității informațiilor;

2. Determinați componența informațiilor care ar trebui clasificate drept confidențiale;

3. Identificați cele mai comune amenințări, canale de distribuție și scurgeri de confidențialitate;

4. Luați în considerare metode și mijloace de protejare a informațiilor confidențiale;

5. Analizați cadrul de reglementare pentru păstrarea confidențială a evidenței;

6. Să studieze politica de securitate în organizarea accesului la informații confidențiale și procedura de lucru a personalului cu documente confidențiale;

7. Luați în considerare sistemele tehnologice de prelucrare a documentelor confidențiale;

8. Evaluează sistemul de securitate a informațiilor al întreprinderii SA „ChZPSN - Profnastil” și oferă recomandări pentru îmbunătățirea acestuia.

În lucrare au fost utilizate următoarele metode de cercetare: metode de cunoaștere (descriere, analiză, observare, anchetă); metode științifice generale (analiza tabloului de publicații pe această temă), precum și o astfel de metodă de gestionare a documentelor precum analiza documentației întreprinderii.

Regulile de reglementare a relațiilor care decurg din manipularea informațiilor confidențiale sunt, de asemenea, cuprinse în Codul civil al Federației Ruse. În același timp, informațiile confidențiale sunt menționate în Codul civil al Federației Ruse drept beneficii intangibile (articolul 150) (2).

Criterii în funcție de care informațiile sunt clasificate ca secrete oficiale și comerciale , cuprinse în articolul 139 din Codul civil al Federației Ruse. Se precizează că informațiile sunt secrete oficiale sau comerciale atunci când:

1. Această informație are valoare reală sau potențială datorită necunoscutei terților;

2. Nu există acces legal gratuit la aceste informații, iar proprietarul informațiilor ia măsuri pentru a le proteja confidențialitatea (2).

În plus, definiția confidențialității informațiilor comerciale este cuprinsă în articolul 727 din Codul civil al Federației Ruse (2).

La 10 ianuarie 2002, Președintele Federației Ruse a semnat o lege foarte importantă „Cu privire la semnătura electronică digitală” (5), care dezvoltă și precizează prevederile legii de mai sus „Cu privire la informații...” (8).

Legile Federației Ruse sunt, de asemenea, principalele în domeniul securității informațiilor confidențiale:

2. „Despre secretul comercial” din 29 iulie 2004 (conține informații constitutive de secret comercial, regim de secret comercial, dezvăluire de informații care constituie secret comercial) (6);

3. „Cu privire la aprobarea listei de informații confidențiale” (11);

4. Cu privire la aprobarea Listei de informații care nu pot constitui secret comercial” (13).

Standardul care fixează termenii și definițiile de bază în domeniul securității informațiilor este GOST R 50922-96 (29).

Conceptul de securitate a informațiilor, componentele sale principale, sunt descrise în lucrările lui V.A. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

K. Ilyin (52) în lucrările sale ia în considerare problemele securității informațiilor în managementul documentelor electronice). Aspecte ale securității informațiilor sunt descrise în articolele lui V.Ya. Ischeynova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

Sistemul de securitate a informațiilor este descris în lucrările E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov și V.M. Martynov (49).

Lucrările următorilor autori sunt consacrate reglementării legale a informațiilor cu acces restricționat: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Acesta din urmă, în articolul său, subliniază imperfecțiunea legislației în acest domeniu.

Tehnologiilor de prelucrare a documentelor confidențiale au fost dedicate lucrărilor R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galahov (44), A.I. Aleksentsev (32).

În procesul de pregătire a lucrării, recomandările științifice, educaționale, practice, metodologice privind organizarea protecției informațiilor confidențiale întocmite de astfel de experți de frunte în acest domeniu precum A.I. Aleksentsev (31; 32) și E.A. Stepanov (81; 96).

Lucrările lui I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsov (51) sunt devotați aspectelor controversate ale securității informațiilor.

În general, putem spune că problema securității informației, în general, este asigurată cu surse, baza sursă vă permite să evidențiați sarcinile. Semnificația literaturii despre această problemă este mare și corespunde relevanței sale.

Dar în țara noastră nu există un act juridic de reglementare care să stabilească o procedură unificată de contabilitate, stocare și utilizare a documentelor care conțin informații confidențiale. Și conform analiștilor ale căror articole au fost folosite în lucrare, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurova (71) și alții, acest lucru nu este deloc oportun.

Lucrarea finală de calificare constă dintr-o introducere, trei capitole, o concluzie, o listă de surse și literatura utilizată, aplicații.

Introducerea formulează relevanța și semnificația practică a temei, scopul studiului, sarcinile, gradul de dezvoltare a problemei studiate, obiectul, subiectul, baza cercetării, instrumentele de cercetare, structura și conținutul lucrării de calificare finală.

Capitolul „Organizarea muncii cu documente confidențiale”. constă din bazele de reglementare și metodologice ale muncii de birou confidențiale, urmate de procedura pentru munca angajaților și organizarea accesului acestora la informații confidențiale. Tehnologia de lucru cu informațiile indicate este descrisă în ultimul paragraf al celui de-al doilea capitol.

În al treilea capitol, pe exemplul întreprinderii SA „ChZPSN - Profnastil”, este luat în considerare sistemul de protecție a informațiilor cu acces limitat, analiza lucrărilor cu documente confidențiale. sunt date recomandări, modificări și completări la tehnologia muncii de birou confidențiale formate la întreprindere.

Descriere bibliografica:

Nesterov A.K. Asigurarea securității informațiilor [Resursa electronică] // Site de enciclopedie educațională

Odată cu dezvoltarea tehnologiilor informaționale și cu importanța tot mai mare a resurselor informaționale pentru organizații, numărul amenințărilor la adresa securității informaționale a acestora crește, precum și posibilele daune din încălcările acestora. Există o necesitate obiectivă de a asigura securitatea informațională a întreprinderii. În acest sens, progresul este posibil doar în condițiile prevenirii direcționate a amenințărilor la adresa securității informațiilor.

Instrumente de securitate a informațiilor

Asigurarea securității informațiilor se realizează prin două tipuri de mijloace:

software și hardware
canale de comunicare sigure

Software-ul și hardware-ul pentru asigurarea securității informațiilor în condițiile moderne de dezvoltare a tehnologiei informației sunt cele mai frecvente în activitatea organizațiilor interne și străine. Să aruncăm o privire mai atentă la principalele instrumente de protecție a informațiilor software și hardware.

Mijloacele software și hardware de protecție împotriva accesului neautorizat includ măsuri de identificare, autentificare și control al accesului la sistemul informațional.

Identificarea este atribuirea de identificatori unici pentru a accesa subiecții.

Acestea includ etichete de frecvență radio, tehnologii biometrice, carduri magnetice, chei magnetice universale, autentificări pentru intrarea în sistem etc.

Autentificare - verificarea dreptului de proprietate asupra accesului sub rezerva identificatorului prezentat și confirmarea autenticității acestuia.

Procedurile de autentificare includ parole, coduri PIN, carduri inteligente, chei USB, semnături digitale, chei de sesiune etc. Partea procedurală a mijloacelor de identificare și autentificare este interconectată și, de fapt, reprezintă baza de bază a tuturor instrumentelor software și hardware pentru asigurarea securității informațiilor, întrucât toate celelalte servicii sunt concepute pentru a deservi subiecte specifice recunoscute corect de sistemul informațional. În termeni generali, identificarea permite subiectului să se identifice în sistemul informațional, iar cu ajutorul autentificării, sistemul informațional confirmă că subiectul este cu adevărat cine pretinde a fi. Pe baza parcurgerii acestei operațiuni se efectuează o operațiune de asigurare a accesului la sistemul informațional. Procedurile de control al accesului permit entităților autorizate să efectueze acțiuni permise de reglementări, iar sistemul informațional să controleze aceste acțiuni pentru corectitudinea și corectitudinea rezultatului obținut. Controlul accesului permite sistemului să ascundă de utilizatori datele la care aceștia nu au acces.

Următorul mijloc de protecție software și hardware este înregistrarea și auditarea informațiilor.

Înregistrarea include colectarea, acumularea și stocarea informațiilor despre evenimente, acțiuni, rezultate care au avut loc în timpul funcționării sistemului informațional, utilizatori individuali, procese și toate programele și hardware-ul care fac parte din sistemul informațional al întreprinderii.

Deoarece fiecare componentă a sistemului informațional are un set predeterminat de evenimente posibile în conformitate cu clasificatorii programați, evenimentele, acțiunile și rezultatele sunt împărțite în:

extern, cauzat de acțiunile altor componente,
intern, cauzat de acțiunile componentei în sine,
client, cauzat de acțiunile utilizatorilor și administratorilor.

Auditul informaţional constă în efectuarea analizei operaţionale în timp real sau într-o perioadă dată.

Pe baza rezultatelor analizei, fie se generează un raport cu privire la evenimentele care au avut loc, fie se inițiază un răspuns automat la o situație de urgență.

Implementarea logging-ului și auditului rezolvă următoarele sarcini:

asigurarea răspunderii utilizatorilor și administratorilor;
permițând reconstrucția secvenței evenimentelor;
detectarea încercărilor de încălcare a securității informațiilor;
furnizarea de informații pentru identificarea și analiza problemelor.

Adesea, protecția informațiilor este imposibilă fără utilizarea mijloacelor criptografice. Acestea sunt utilizate pentru a furniza servicii de criptare, integritate și autentificare atunci când mijloacele de autentificare sunt stocate în formă criptată de către utilizator. Există două metode principale de criptare: simetrică și asimetrică.

Controlul integrității vă permite să stabiliți autenticitatea și identitatea unui obiect, care este o matrice de date, porțiuni individuale de date, o sursă de date și, de asemenea, să asigurați imposibilitatea de a marca acțiunea efectuată în sistem cu o serie de informații. Implementarea controlului integrității se bazează pe tehnologii de conversie a datelor folosind criptare și certificate digitale.

Un alt aspect important este utilizarea shielding-ului, tehnologie care permite, prin delimitarea accesului subiecților la resursele informaționale, controlul tuturor fluxurilor de informații dintre sistemul informațional al întreprinderii și obiectele externe, matricele de date, subiecții și contrasubiecții. Controlul fluxului consta in filtrarea acestora si, daca este cazul, transformarea informatiilor transmise.

Sarcina ecranării este de a proteja informațiile interne de factori externi potențial ostili și de actori. Principala formă de implementare a scuturilor sunt firewall-urile sau firewall-urile de diferite tipuri și arhitecturi.

Întrucât unul dintre semnele securității informației este disponibilitatea resurselor informaționale, asigurarea unui nivel ridicat de disponibilitate este o direcție importantă în implementarea măsurilor software și hardware. În special, sunt împărțite două domenii: asigurarea toleranței la erori, i.e. failover-ul sistemului, capacitatea de a funcționa atunci când apar erori și furnizarea de recuperare sigură și rapidă de la defecțiuni, de ex. funcționalitatea sistemului.

Principala cerință pentru sistemele informaționale este ca acestea să funcționeze întotdeauna cu o anumită eficiență, timp de nefuncționare minim și viteză de răspuns.

În conformitate cu aceasta, disponibilitatea resurselor informaționale este asigurată de:

utilizarea unei arhitecturi structurale, ceea ce înseamnă că modulele individuale pot fi dezactivate sau înlocuite rapid dacă este necesar, fără a afecta alte elemente ale sistemului informațional;
asigurarea tolerantei la erori datorita: folosirii elementelor autonome ale infrastructurii suport, introducerii de capacitate in exces in configurarea software-ului si hardware-ului, redundanta hardware, replicarea resurselor informatice in cadrul sistemului, backup datelor etc.
asigurarea menținabilității prin reducerea timpului de diagnosticare și eliminare a defecțiunilor și a consecințelor acestora.

Un alt tip de mijloace de securitate a informațiilor sunt canalele de comunicare securizate.

Funcționarea sistemelor informaționale este inevitabil asociată cu transferul de date, prin urmare, este, de asemenea, necesar ca întreprinderile să asigure protecția resurselor informaționale transmise folosind canale de comunicații securizate. Posibilitatea accesului neautorizat la date în timpul transmiterii traficului prin canale de comunicare deschise se datorează disponibilității generale a acestora. Deoarece „comunicațiile pe toată lungimea lor nu pot fi protejate fizic, de aceea este mai bine să pornim inițial de la asumarea vulnerabilității lor și să oferiți protecție în consecință”. Pentru aceasta se folosesc tehnologii de tunelizare, a căror esență este încapsularea datelor, adică. împachetați sau împachetați pachetele de date transmise, inclusiv toate atributele serviciului, în propriile lor plicuri. În consecință, tunelul este o conexiune sigură prin canale de comunicație deschise, prin care sunt transmise pachete de date protejate criptografic. Tunnelarea este utilizată pentru a asigura confidențialitatea traficului prin ascunderea informațiilor de serviciu și prin asigurarea confidențialității și integrității datelor transmise atunci când sunt utilizate împreună cu elementele criptografice ale unui sistem informațional. Combinația dintre tunel și criptare face posibilă implementarea unei rețele private virtuale. În același timp, punctele terminale ale tunelurilor care implementează rețele private virtuale sunt firewall-uri care servesc conexiunii organizațiilor la rețele externe.

Firewall-uri ca puncte de implementare a serviciului de rețele virtuale private

Astfel, tunelul și criptarea sunt transformări suplimentare efectuate în procesul de filtrare a traficului de rețea împreună cu traducerea adresei. Capetele tunelurilor, pe lângă firewall-urile corporative, pot fi computere personale și mobile ale angajaților, mai exact firewall-urile și firewall-urile lor personale. Datorită acestei abordări, este asigurată funcționarea canalelor de comunicații securizate.

Proceduri de securitate a informațiilor

Procedurile de securitate a informațiilor sunt de obicei împărțite în niveluri administrative și organizaționale.

Procedurile administrative includ acțiuni generale întreprinse de conducerea organizației pentru a reglementa toate lucrările, acțiunile, operațiunile din domeniul asigurării și menținerii securității informațiilor, implementate prin alocarea resurselor necesare și monitorizarea eficacității măsurilor luate.
Nivelul organizatoric reprezintă procedurile de asigurare a securității informațiilor, inclusiv managementul personalului, protecția fizică, menținerea operabilității infrastructurii software și hardware, eliminarea promptă a breșelor de securitate și planificarea lucrărilor de recuperare.

Pe de altă parte, distincția dintre procedurile administrative și organizaționale este lipsită de sens, întrucât procedurile unui nivel nu pot exista separat de alt nivel, încălcându-se astfel relația dintre protecția stratului fizic, protecția personală și cea organizațională în conceptul de securitate a informațiilor. În practică, deși asigură securitatea informațiilor, organizațiile nu neglijează procedurile administrative sau organizaționale, de aceea este mai logic să le considerăm ca o abordare integrată, întrucât ambele niveluri afectează nivelul fizic, organizațional și personal de protecție a informațiilor.

La baza procedurilor complexe de asigurare a securității informațiilor se află politica de securitate.

Politica de securitate a informațiilor

Politica de securitate a informațiilorîntr-o organizație, este un set de decizii documentate luate de conducerea organizației și care vizează protejarea informațiilor și a resurselor asociate acesteia.

Din punct de vedere organizatoric și managerial, politica de securitate a informațiilor poate fi un singur document sau întocmită sub forma mai multor documente sau ordine independente, dar în orice caz ar trebui să acopere următoarele aspecte ale protecției sistemului informațional al organizației:

protecția obiectelor sistemului informațional, a resurselor informaționale și a operațiunilor directe cu acestea;
protecția tuturor operațiunilor legate de prelucrarea informațiilor în sistem, inclusiv software de procesare;
protecția canalelor de comunicație, inclusiv prin cablu, canale radio, infraroșu, hardware etc.;
protecția complexului hardware de radiațiile electromagnetice laterale;
managementul sistemului de securitate, inclusiv întreținere, upgrade-uri și acțiuni administrative.

Fiecare dintre aspecte ar trebui descris în detaliu și documentat în documentele interne ale organizației. Documentele interne acoperă trei niveluri ale procesului de protecție: superior, mijloc și inferior.

Documentele de politică de securitate a informațiilor de nivel superior reflectă abordarea de bază a organizației pentru protejarea propriilor informații și conformitatea cu standardele naționale și/sau internaționale. În practică, într-o organizație există un singur document de nivel superior, intitulat „Conceptul de securitate a informațiilor”, „Regulamentul privind securitatea informațiilor” etc. Formal, aceste documente nu au valoare confidențială, distribuția lor nu este limitată, dar pot fi emise într-o ediție pentru uz intern și publicare deschisă.

Documentele de nivel mediu sunt strict confidențiale și se referă la aspecte specifice ale securității informaționale a organizației: mijloacele de protecție a informațiilor utilizate, securitatea bazelor de date, comunicații, instrumente criptografice și alte procese informaționale și economice ale organizației. Documentația este implementată sub forma unor standarde tehnice și organizatorice interne.

Documentele de nivel inferior sunt împărțite în două tipuri: regulamente de lucru și instrucțiuni de utilizare. Reglementările de muncă sunt strict confidențiale și sunt destinate numai persoanelor care, în serviciu, desfășoară activități de administrare a serviciilor individuale de securitate a informațiilor. Instrucțiunile de operare pot fi fie confidențiale, fie publice; sunt destinate personalului organizației și descriu procedura de lucru cu elementele individuale ale sistemului informațional al organizației.

Experiența mondială arată că politica de securitate a informațiilor este întotdeauna documentată doar în companiile mari care au un sistem informatic dezvoltat care impune cerințe sporite pentru securitatea informațiilor, întreprinderile mijlocii au cel mai adesea doar o politică de securitate a informațiilor parțial documentată, iar organizațiile mici din vastul majorității nu le pasă deloc de documentarea politicii de securitate. Indiferent dacă formatul documentației este holistic sau distribuit, aspectul de bază este modul de securitate.

Există două abordări diferite care stau la baza politica de securitate a informatiilor:

"Tot ceea ce nu este interzis este permis."
„Tot ceea ce nu este permis este interzis”.

Defectul fundamental al primei abordări este că, în practică, este imposibil să se prevadă toate cazurile periculoase și să le interzică. Fără îndoială, ar trebui folosită doar a doua abordare.

Nivel organizațional de securitate a informațiilor

Din punctul de vedere al securității informațiilor, procedurile organizaționale de asigurare a securității informațiilor sunt prezentate ca „reglementarea activităților de producție și a relațiilor dintre executanți pe o bază legală care exclude sau împiedică în mod semnificativ deturnarea informațiilor confidențiale și manifestarea amenințărilor interne și externe” .

Măsurile de management al personalului care vizează organizarea muncii cu personalul în vederea asigurării securității informațiilor includ separarea sarcinilor și minimizarea privilegiilor. Împărțirea sarcinilor prescrie o astfel de distribuție a competențelor și a domeniilor de responsabilitate, în care o persoană nu este capabilă să perturbe un proces care este critic pentru organizație. Acest lucru reduce șansa de erori și abuz. Minimizarea privilegiilor impune ca utilizatorilor să li se acorde doar nivelul de acces adecvat pentru funcția lor. Acest lucru reduce daunele cauzate de acțiuni incorecte accidentale sau intenționate.

Protecția fizică înseamnă elaborarea și adoptarea măsurilor de protecție directă a clădirilor care adăpostesc resursele informaționale ale organizației, teritoriile adiacente, elementele de infrastructură, echipamentele de calcul, suporturile de date și canalele de comunicații hardware. Acestea includ controlul accesului fizic, protecția împotriva incendiilor, protecția infrastructurii de sprijin, protecția împotriva interceptării și protecția sistemului mobil.

Menținerea sănătății infrastructurii software și hardware înseamnă prevenirea erorilor stocastice care amenință să deterioreze complexul hardware, să perturbe programe și să piardă date. Principalele direcții în acest aspect sunt furnizarea de suport pentru utilizatori și software, managementul configurației, backup, management media, documentare și întreținere preventivă.

Rezolvarea rapidă a breșelor de securitate are trei obiective principale:

Localizarea incidentelor și reducerea daunelor;
Identificarea infractorului;
Prevenirea încălcărilor repetate.

În cele din urmă, planificarea recuperării vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți cel puțin o cantitate minimă de capacitate de funcționare.

Utilizarea software-ului și a hardware-ului și a canalelor de comunicații securizate ar trebui implementate în organizație pe baza unei abordări integrate a dezvoltării și aprobării tuturor procedurilor administrative și organizaționale de reglementare pentru asigurarea securității informațiilor. În caz contrar, adoptarea unor măsuri separate nu garantează protecția informațiilor și adesea, dimpotrivă, provoacă scurgeri de informații confidențiale, pierderi de date critice, deteriorarea infrastructurii hardware și perturbarea componentelor software ale sistemului informațional al organizației.

Metode de securitate a informațiilor

Întreprinderile moderne se caracterizează printr-un sistem de informații distribuite care vă permite să luați în considerare birourile și depozitele distribuite ale companiei, contabilitatea financiară și controlul de gestiune, informațiile din baza de clienți, luând în considerare selecția indicatorilor și așa mai departe. Astfel, gama de date este foarte semnificativă, iar marea majoritate a acestora sunt informații de importanță prioritară pentru companie din punct de vedere comercial și economic. De fapt, asigurarea confidențialității datelor care au valoare comercială este una dintre sarcinile principale de asigurare a securității informațiilor în companie.

Asigurarea securității informațiilor la nivelul întreprinderii ar trebui reglementat de următoarele documente:

Reglementarea securității informațiilor. Acesta include formularea scopurilor și obiectivelor pentru asigurarea securității informațiilor, o listă de reglementări interne privind instrumentele de securitate a informațiilor și o reglementare privind administrarea sistemului informațional distribuit al unei companii. Accesul la regulament este limitat la conducerea organizației și la șeful departamentului de automatizare.
Reglementări pentru suportul tehnic al protecției informațiilor. Documentele sunt confidențiale, accesul este limitat la angajații departamentului de automatizare și ai conducerii superioare.
Reglementări pentru administrarea unui sistem distribuit de protecție a informațiilor. Accesul la reglementări este limitat la angajații departamentului de automatizare responsabil cu administrarea sistemului informațional și managementul superior.

În același timp, aceste documente nu ar trebui limitate, ci ar trebui elaborate și nivelurile inferioare. În caz contrar, dacă întreprinderea nu are alte documente legate de securitatea informațiilor, aceasta va indica un grad insuficient de securitate a informațiilor administrative, deoarece nu există documente de nivel inferior, în special instrucțiuni pentru operarea elementelor individuale ale sistemului informațional.

Procedurile organizatorice obligatorii includ:

principalele măsuri de diferențiere a personalului după nivelul de acces la resursele informaționale,
protecția fizică a birourilor companiei împotriva pătrunderii directe și a amenințărilor de distrugere, pierdere sau interceptare a datelor,
menținerea funcționalității infrastructurii hardware și software se organizează sub formă de backup automatizat, verificarea de la distanță a mediilor de stocare, se asigură la cerere suport utilizator și software.

Aceasta ar trebui să includă și măsuri reglementate pentru a răspunde și a elimina cazurile de încălcări ale securității informațiilor.

În practică, se observă adesea că întreprinderile nu sunt suficient de atente la această problemă. Toate acțiunile în această direcție se desfășoară exclusiv în stare de funcționare, ceea ce mărește timpul de eliminare a cazurilor de încălcări și nu garantează prevenirea încălcărilor repetate ale securității informațiilor. În plus, practica planificării acțiunilor de eliminare a consecințelor după accidente, scurgeri de informații, pierderi de date și situații critice este complet absentă. Toate acestea înrăutățesc semnificativ securitatea informațiilor întreprinderii.

La nivel de software și hardware, ar trebui implementat un sistem de securitate a informațiilor pe trei niveluri.

Criterii minime pentru asigurarea securității informațiilor:

1. Modul de control acces:

a fost implementată o intrare închisă în sistemul informațional, este imposibilă intrarea în sistem în afara locurilor de muncă verificate;
a fost implementat accesul cu funcționalități limitate de pe computerele personale mobile pentru angajați;
autorizarea se realizează conform autentificărilor și parolelor formate de administratori.

2. Modul de criptare și control al integrității:

se utilizează o metodă de criptare asimetrică pentru datele transmise;
matrice de date critice sunt stocate în baze de date în formă criptată, ceea ce nu permite accesul la acestea chiar dacă sistemul informațional al companiei este piratat;
controlul integritatii este asigurat de o simpla semnatura digitala a tuturor resurselor informatice stocate, procesate sau transmise in cadrul sistemului informatic.

3. Modul de ecranare:

a implementat un sistem de filtre în firewall-uri, permițându-vă să controlați toate fluxurile de informații prin canalele de comunicare;
conexiunile externe la resursele informaționale globale și canalele publice de comunicare pot fi realizate doar printr-un set limitat de stații de lucru verificate care au o conexiune limitată la sistemul informațional corporativ;
accesul securizat de la locurile de muncă ale angajaților pentru a-și îndeplini atribuțiile oficiale este implementat printr-un sistem cu două niveluri de servere proxy.

În cele din urmă, cu ajutorul tehnologiilor de tunel, o rețea privată virtuală trebuie implementată într-o întreprindere în conformitate cu un model tipic de construcție pentru a oferi canale de comunicații sigure între diferite departamente ale companiei, parteneri și clienți ai companiei.

În ciuda faptului că comunicațiile se realizează direct prin rețele cu un nivel potențial scăzut de încredere, tehnologiile de tunel, prin utilizarea instrumentelor criptografice, fac posibilă asigurarea unei protecție fiabilă a tuturor datelor transmise.

concluzii

Scopul principal al tuturor măsurilor luate în domeniul securității informațiilor este acela de a proteja interesele întreprinderii, într-un fel sau altul legate de resursele informaționale de care dispune. Deși interesele întreprinderilor nu se limitează la un anumit domeniu, toate se concentrează pe disponibilitatea, integritatea și confidențialitatea informațiilor.

Problema asigurării securității informațiilor se explică prin două motive principale.

Resursele informaţionale acumulate de întreprindere sunt valoroase.
Dependența critică de tehnologiile informaționale determină aplicarea lor largă.

Având în vedere varietatea largă de amenințări existente la adresa securității informațiilor, cum ar fi distrugerea informațiilor importante, utilizarea neautorizată a datelor confidențiale, întreruperile în funcționarea întreprinderii din cauza încălcărilor sistemului informațional, putem concluziona că toate acestea conduc în mod obiectiv la pierderi materiale.

În asigurarea securității informațiilor, un rol semnificativ îl joacă instrumentele software și hardware care vizează controlul entităților informatice, adică. hardware, elemente software, date, formând ultima și cea mai înaltă frontieră prioritară a securității informațiilor. De asemenea, transmiterea datelor trebuie să fie sigură în contextul menținerii confidențialității, integrității și disponibilității acestora. Prin urmare, în condițiile moderne, tehnologiile de tunel sunt utilizate în combinație cu mijloace criptografice pentru a oferi canale de comunicații sigure.

Literatură

Galatenko V.A. Standarde de securitate a informațiilor. - M.: Internet University of Information Technologies, 2006.
Partyka T.L., Popov I.I. Securitatea informațiilor. – M.: Forum, 2012.

AUTOMIR

Datele care au nevoie de protecție

Protejarea informațiilor confidențiale în practică

Protecția informațiilor în întreprindere

securitatea informatiei IT

Sisteme DLP pentru prevenirea pierderii datelor

sisteme SIEM

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Documente similare

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Introducere

Obiectul de studiu al acestei lucrări este formarea și funcționarea resurselor informaționale în sistemul de management al organizației.

Baza studiului este SA „ChZPSN - Profnastil”

Obiectul studiului îl constituie activitatea de asigurare a securității resurselor informaționale în sistemul de management al organizației.

Scopul studiului este de a analiza tehnologiile, modalitățile, metodele și mijloacele moderne de protejare a informațiilor confidențiale ale unei întreprinderi.

Obiectivele studiului, în conformitate cu scopul, includ:

1. Să dezvăluie principalele componente ale securității informațiilor;

2. Determinați componența informațiilor care ar trebui clasificate drept confidențiale;

3. Identificați cele mai comune amenințări, canale de distribuție și scurgeri de confidențialitate;

4. Luați în considerare metode și mijloace de protejare a informațiilor confidențiale;

5. Analizați cadrul de reglementare pentru păstrarea confidențială a evidenței;

6. Să studieze politica de securitate în organizarea accesului la informații confidențiale și procedura de lucru a personalului cu documente confidențiale;

7. Luați în considerare sistemele tehnologice de prelucrare a documentelor confidențiale;

8. Evaluează sistemul de securitate a informațiilor al întreprinderii SA „ChZPSN - Profnastil” și oferă recomandări pentru îmbunătățirea acestuia.

Criterii în funcție de care informațiile sunt clasificate ca secrete oficiale și comerciale , cuprinse în articolul 139 din Codul civil al Federației Ruse. Se precizează că informațiile sunt secrete oficiale sau comerciale atunci când:

1. Această informație are valoare reală sau potențială datorită necunoscutei terților;

2. Nu există acces legal gratuit la aceste informații, iar proprietarul informațiilor ia măsuri pentru a le proteja confidențialitatea (2).

În plus, definiția confidențialității informațiilor comerciale este cuprinsă în articolul 727 din Codul civil al Federației Ruse (2).

La 10 ianuarie 2002, Președintele Federației Ruse a semnat o lege foarte importantă „Cu privire la semnătura electronică digitală” (5), care dezvoltă și precizează prevederile legii de mai sus „Cu privire la informații...” (8).

Legile Federației Ruse sunt, de asemenea, principalele în domeniul securității informațiilor confidențiale:

1. „Despre secretele de stat” din 22 iulie 2004 (4);

2. „Despre secretul comercial” din 29 iulie 2004 (conține informații constitutive de secret comercial, regim de secret comercial, dezvăluire de informații care constituie secret comercial) (6);

3. „Cu privire la aprobarea listei de informații confidențiale” (11);

4. Cu privire la aprobarea Listei de informații care nu pot constitui secret comercial” (13).

Standardul care fixează termenii și definițiile de bază în domeniul securității informațiilor este GOST R 50922-96 (29).

Conceptul de securitate a informațiilor, componentele sale principale, sunt descrise în lucrările lui V.A. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

Sistemul de securitate a informațiilor este descris în lucrările E.A. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov și V.M. Martynov (49).

Lucrările următorilor autori sunt consacrate reglementării legale a informațiilor cu acces restricționat: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Acesta din urmă, în articolul său, subliniază imperfecțiunea legislației în acest domeniu.

Tehnologiilor de prelucrare a documentelor confidențiale au fost dedicate lucrărilor R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galahov (44), A.I. Aleksentsev (32).

În procesul de pregătire a lucrării, recomandările științifice, educaționale, practice, metodologice privind organizarea protecției informațiilor confidențiale întocmite de astfel de experți de frunte în acest domeniu precum A.I. Aleksentsev (31; 32) și E.A. Stepanov (81; 96).

Lucrările lui I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsov (51) sunt devotați aspectelor controversate ale securității informațiilor.

În general, putem spune că problema securității informației, în general, este asigurată cu surse, baza sursă vă permite să evidențiați sarcinile. Semnificația literaturii despre această problemă este mare și corespunde relevanței sale.

Printre sursele nepublicate utilizate în lucrare se numără un extras din Carta SA „ChZPSN - Profnastil” (Anexa 11), documente ale activității curente de birou a întreprinderii.

Lucrarea finală de calificare constă dintr-o introducere, trei capitole, o concluzie, o listă de surse și literatura utilizată, aplicații.

Introducerea formulează relevanța și semnificația practică a temei, scopul studiului, sarcinile, gradul de dezvoltare a problemei studiate, obiectul, subiectul, baza cercetării, instrumentele de cercetare, structura și conținutul lucrării de calificare finală.

Concluzia conține concluzii privind lucrarea finală calificată.

Lista surselor și literaturii utilizate include 110 titluri.

Capitolul 1. Fundamentele securității informațiilor și protecției informațiilor

1.1 Evoluția termenului „securitate informațională” și a conceptului de confidențialitate

Un secret comercial în interpretarea modernă este informația, datele, informațiile, obiectele, dezvăluirea, transferul sau scurgerea cărora de către terți pot prejudicia interesele sau securitatea proprietarului (32, p. 13).

Standardul ISO/IEC 17799 definește securitatea informațiilor ca fiind asigurarea confidențialității, integrității și disponibilității informațiilor. (56, p. 212).

Securitatea informației ar trebui înțeleasă ca protecția subiecților relațiilor informaționale. Componentele sale principale sunt confidențialitatea, integritatea, disponibilitatea (82, p.15).

În Doctrina Securității Informaționale a Federației Ruse (19), termenul „securitate informațională” denotă starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

Confidențialitate - reguli și condiții pentru siguranța transferului de date și informații. Există confidențialitate externă - ca o condiție pentru nedezvăluirea informațiilor către mediul extern, și internă - în rândul personalului.

Secretul - reguli și condiții de acces și acces la obiectele informaționale (89, p. 50).

Astfel, sintagma „securitatea informațiilor” nu se limitează la protecția împotriva accesului neautorizat la informații.

Acesta este un concept fundamental larg. Subiectul relațiilor informaționale poate suferi (să suporte pierderi și/sau să primească prejudicii morale) nu numai din cauza accesului neautorizat, ci și din cauza unei defecțiuni a sistemului care a cauzat o întrerupere a activității.

În ciuda faptului că confidențialitatea este sinonimă cu secretul, acest termen este utilizat pe scară largă exclusiv pentru a se referi la resursele informaționale cu acces limitat care nu sunt clasificate drept secrete de stat.

Confidențialitatea reflectă restricția pe care proprietarul informațiilor o impune accesului altor persoane la acestea, adică. proprietarul stabilește regimul juridic al acestor informații în condițiile legii (91, p. 208).

1.2 Valoarea informațiilor

Informațiile protejate includ: informații secrete (informații care conțin secrete de stat), confidențiale (informații care conțin secrete comerciale, secrete referitoare la viața personală și activitățile cetățenilor) (100, p. 38).

Informații - informații despre persoane, obiecte, fapte, evenimente, fenomene și procese, indiferent de forma de prezentare a acestora (8).

Legislația Federației Ruse stabilește că informațiile (documentele) documentate sunt disponibile publicului, cu excepția celor clasificate de lege drept acces restricționat (11).

Informațiile pot fi împărțite în trei categorii (82, p.33).

Primul este neclasificat (sau deschis), care este destinat utilizării atât în ​​interiorul, cât și în exteriorul firmei.

Al doilea este pentru uz oficial, care este destinat numai utilizării în cadrul companiei. Mai mult, este împărțit în două subcategorii:

1. Accesibil tuturor angajaților companiei;

2. Disponibil pentru anumite categorii de salariati, dar poate fi transferat integral altui salariat pentru a presta munca necesara.

Al treilea este informații clasificate (sau informații cu acces limitat), care sunt destinate utilizării numai de către angajații special autorizați ai companiei și nu sunt destinate transferului către alți angajați în totalitate sau parțial.

Informațiile din a doua și a treia categorii sunt de obicei numite confidențiale (35, p.9).

Condițiile în care informațiile pot fi clasificate drept confidențiale sunt enumerate în articolul 13 din partea 1 a Codului civil al Federației Ruse (2). Acestea includ:

1. Valoarea comercială reală sau potențială a informațiilor, deoarece acestea nu sunt cunoscute de terți;

2. Lipsa accesului liber la aceste informații în temeiul legal;

3. Adoptarea de către proprietarul informațiilor a măsurilor necesare pentru protejarea confidențialității acestora.

Astfel, asigurarea confidențialității informațiilor documentare cuprinde trei aspecte:

1. Determinarea compoziției informațiilor care ar trebui clasificate drept confidențiale;

2. Determinarea cercului de angajați care ar trebui să aibă acces la una sau alta informație confidențială și înregistrarea relațiilor adecvate cu aceștia;

3. Organizarea muncii de birou cu documente confidențiale. (99, p.7-9).

Dacă aceste condiții nu sunt îndeplinite, organizația nu va avea niciun motiv să tragă la răspundere pe cineva pentru dezvăluirea de informații confidențiale.

Conform Legii federale „Cu privire la informații, tehnologiile informaționale și protecția informațiilor” (8), următoarele nu pot constitui secret comercial:

Primul este neclasificat (sau deschis), care este destinat utilizării atât în interiorul, cât și în exteriorul firmei.