Organizațiile au întotdeauna documente de management, a căror scurgere de conținut este nedorită sau pur și simplu dăunătoare, deoarece poate fi folosit direct sau indirect în detrimentul autorilor săi.

Se iau în considerare astfel de informații și, în consecință, documentele care le conțin confidențial (închis, protejat).

Informațiile documentate cu acces limitat aparțin întotdeauna unuia dintre tipurile de secrete - de stat sau non-statale.

În consecință, documentele sunt împărțite în secretși neclasificate.

O trăsătură obligatorie (criteriul de prioritate) a unui document secret este prezența în acesta a unor informații care constituie secret de stat în condițiile legii.

Documente neclasificate, inclusiv informațiile clasificate drept secret de stat (oficial, comercial, bancar, profesional, industrial etc.), sau care conțin date personale ale cetățenilor, sunt denumite confidențiale.

Legislația Federației Ruse stabilește că informațiile documentate (documentele) sunt disponibile publicului, cu exceptia clasificate prin lege acces limitat.

în care informații documentate cu acces restricționat subdivizat:

1) la informații clasificate ca secret de stat,

2) informații confidențiale.

Ambele tipuri de informații sunt supuse protecției împotriva distribuirii ilegale (dezvăluirii) și sunt clasificate ca secrete protejate de lege.

Semn obligatoriu document confidențial este prezența în acesta a unor informații supuse protecției.

Adică, în primul rând, informațiile sunt confidențiale, iar abia apoi documentele în care sunt înregistrate aceste informații devin confidențiale.

Categorie informații confidențiale include toate tipurile de informații cu acces restricționat protejate de lege - comerciale, oficiale, personale. Cu excepția secretelor de stat.

Informațiile pot fi împărțite în trei categorii.

1. Neclasificat (sau deschis), care este destinat utilizării atât în ​​interiorul companiei, cât și în afara acesteia.

2. Pentru uz administrativ, care este destinat numai uzului intern. Mai mult, este împărțit în două subcategorii:

Disponibil tuturor angajaților companiei;

Disponibil pentru anumite categorii de salariati, dar poate fi transferat integral altui angajat pentru a presta munca necesara.

3. Informații secrete(sau informații cu acces limitat), care sunt destinate utilizării numai de către angajații special autorizați ai companiei și nu sunt destinate transferului către alți angajați integral sau parțial.

Informațiile din a doua și a treia categorii sunt de obicei numite confidențiale.

Prin urmare, informații confidențiale- informații, la care accesul este limitat în conformitate cu legea și nivelul de acces la resursa informațională.

Informațiile confidențiale sunt puse la dispoziție sau dezvăluite numai persoanelor, entităților sau proceselor autorizate.

Legislația rusă distinge mai multe tipuri de informații confidențiale.

Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188 (modificat la 23 septembrie 2005) a aprobat Lista informațiilor confidențiale:

1. Inteligența despre fapte, evenimente și circumstanțe intimitate cetăţean, permiţând identificarea personalităţii acestuia (date cu caracter personal).

2. Informații care constituie secretul anchetei și al procedurilor judiciare, precum și informații privind persoanele protejate și măsurile de protecție de stat efectuate în conformitate cu Legea federală din 20 august 2004 nr. 119-FZ „Cu privire la protecția de stat a victimelor, martorilor și altor participanți la procedurile penale” și alte legi de reglementare. actele Federației Ruse.

3. Informații oficiale, accesul la care este limitat de autoritățile publice în conformitate cu Codul civil al Federației Ruse și cu legile federale (secretul oficial).

4. Informații legate de activitatea profesională, accesul la care este limitat în conformitate cu Constituția Federației Ruse și cu legile federale (medicale, notariale, avocat-client, corespondență, convorbiri telefonice, poștă, telegraf sau alte mesaje etc.).

5. Informații legate de afaceri, accesul la care este restricționat în conformitate cu Codul civil al Federației Ruse și cu legile federale (secretul comercial).

6. Informații despre esența invenției, model de utilitate sau design industrial înainte de publicarea oficială a informațiilor despre acestea.

Confidențialitatea informațiilor menită să-l protejeze de accesul neautorizat.

Conceptul de „informații confidențiale” a devenit o parte integrantă a vocabularului juridic rus. În prezent, este utilizat în câteva sute de acte juridice de reglementare ale Federației Ruse. Oamenii legii nu sunt cu mult în urmă față de legiuitor: din ce în ce mai des, în diverse acorduri, găsești secțiuni întregi sau chiar acorduri de confidențialitate separate. Includerea clauzelor de nedezvăluire în contractele de muncă a devenit larg răspândită.

Cu toate acestea, legislația încă nu conține o definiție clară a conceptului de „informații confidențiale”. Anterior, o astfel de definiție era cuprinsă în art. 2 din Legea federală „Cu privire la informații, informatizare și protecția informațiilor”, care a devenit invalidă. Potrivit acestei legi, „informațiile confidențiale sunt informații documentate, accesul la care este restricționat în conformitate cu legislația Federației Ruse”. Această definiție, într-o formă ușor modificată, își găsește încă aplicarea în actele autorităților de stat ale Federației Ruse.

Actuala Lege federală „Cu privire la informații, tehnologiile informației și protecția informațiilor” nu conține o definiție a conceptului de „informații confidențiale”. Cu toate acestea, această definiție poate fi obținută pe baza unei analize a normelor sale.

Potrivit paragrafului 1 al art. 2 din prezenta lege, informația este informație (mesaje, date), indiferent de forma de prezentare a acestora.

Alineatul 7 al aceluiași articol prevede că confidențialitatea informațiilor este o cerință obligatorie pentru ca o persoană care are acces la anumite informații să nu transfere astfel de informații către terți fără acordul proprietarului acesteia.

Astfel, informațiile confidențiale sunt informații, indiferent de forma furnizării lor, care nu pot fi transferate de către o persoană care are acces la aceste informații către terți fără acordul deținătorului drepturilor de autor.

Lista informațiilor confidențiale este cuprinsă în Decretul Președintelui Federației Ruse nr. 188 din 06.03.1997 „Cu privire la aprobarea Listei de informații confidențiale”. Potrivit acestui decret, informațiile confidențiale includ:

· date personale;

Informații care constituie secretul anchetei și procedurilor judiciare, precum și informații despre persoanele protejate și măsurile de protecție de stat efectuate în conformitate cu Legea federală din 20 august 2004 nr. 119 - FZ „Cu privire la protecția de stat a victimelor, martorilor și Alți participanți la proceduri penale” și alte acte juridice de reglementare ale Federației Ruse;

secret oficial;

· secretul medical, notarial, al avocatului, secretul corespondenței, convorbirilor telefonice, trimiterilor poștale, telegrafului sau alte mesaje;

· secret comercial;

informații despre esența unei invenții, model de utilitate sau design industrial înainte de publicarea oficială a informațiilor despre acestea.

Trebuie menționat că această listă nu poate fi considerată ca fiind închisă. Actuala Lege federală „Cu privire la informații” nu necesită adoptarea actelor de reglementare ale președintelui sau guvernului pentru dezvoltarea în continuare a conceptului de „informații confidențiale”. Mai mult, legea permite proprietarului informațiilor să decidă în mod independent dacă îi acordă statutul de confidențial. Prin urmare, lista ar trebui considerată ca fiind orientativă.

Această concluzie este de mare importanță practică. Capacitatea de a determina în mod independent starea informațiilor permite proprietarului său să dezvolte modalități de a le proteja împotriva accesului, utilizării și distribuirii neautorizate, precum și să prevadă măsuri de răspundere civilă în cazul acestor acțiuni. Concluzia de mai sus este de o importanță deosebită pentru companiile de afaceri. După cum știți, în conformitate cu paragraful 2 al art. 67 din Codul civil al Federației Ruse, participanții la entitățile comerciale sunt obligați să nu dezvăluie informații confidențiale.

Din păcate, această prevedere nu a fost dezvoltată în Legea federală „Cu privire la societățile pe acțiuni”, care nu menționează deloc o astfel de obligație a acționarilor. Prin urmare, încă nu există un consens în știință cu privire la informațiile confidențiale în discuție. O serie de autori consideră că obligația de a nu dezvălui informații confidențiale se aplică doar informațiilor confidențiale care intră sub incidența regimului secretului comercial.

În prezent, nu există o clasificare clară și unificată a tipurilor de informații confidențiale, deși reglementările actuale au stabilit mai mult de 30 dintre soiurile sale. Anumite încercări de o astfel de clasificare au fost făcute de oamenii de știință. A. I. Aleksentsev oferă următoarele motive pentru împărțirea informațiilor în tipuri de secrete:

§ proprietarii de informații (pentru anumite tipuri acestea pot coincide parțial);

§ domenii (sfere) de activitate in care pot exista informatii constituind acest tip de secret;

§ cui i se încredințează protecția acestui tip de secrete (pentru unele tipuri de secrete este posibilă și aici o coincidență) (11, p. 92)

A.A.Fatyanov clasifică informațiile care trebuie protejate după trei criterii: după apartenență, după gradul de confidențialitate (gradul de restricție de acces) și după conținut.(22, P.254)

Prin proprietate, deținătorii de informații protejate pot fi autorități publice și structurile formate de acestea (secretul de stat, secretul oficial, în anumite cazuri secrete comerciale și bancare); persoane juridice (comerciale, serviciu bancar, avocat, medical, secrete de audit etc.); cetățeni (persoane fizice) - în legătură cu secretele personale și de familie, notariale, avocatura, medicale. Trebuie remarcat faptul că utilizarea conceptelor „proprietar”, „proprietar” în legătură cu informații este cuprinsă în Legea federală „Cu privire la informații...”, Legea Federației Ruse „Cu privire la secretele de stat” și o serie de alte reglementări. Această utilizare, precum și recunoașterea informațiilor ca obiect al drepturilor de proprietate și, inclusiv a dreptului de proprietate stabilit prin actele de mai sus, provoacă mari critici în rândul oamenilor de știință și contrazice într-o oarecare măsură Codul civil, întrucât potrivit art. 128 C. civ., informațiile nu se aplică lucrurilor. Această problemă a fost deja abordată de autor și trebuie recunoscut că este mai oportun să refuzi utilizarea drepturilor de proprietate în legătură cu informații și, prin urmare, este mai corect să vorbim despre proprietar, așa cum se indică în art. 139 din Codul civil al Federației Ruse și nu proprietarul, utilizatorul sau proprietarul informațiilor. În viitor, conceptele de „proprietar”, „utilizator” sau „proprietar” vor fi folosite doar în cazul citarii legii sau a opiniei oricărui cercetător.

După gradul de confidențialitate (gradul de restricție de acces), în prezent, pot fi clasificate doar informațiile care constituie secret de stat. Potrivit art. 8 din Legea Federației Ruse „Cu privire la secretele de stat”, sunt stabilite trei grade de secretizare a informațiilor care constituie un secret de stat și clasificările corespunzătoare acestor grade de secret pentru purtătorii informațiilor specificate: „de importanță deosebită”, „ top secret” și „secret”. Interesant este că în Statele Unite și mai multe țări NATO, etichetele de secret sunt similare cu cele stabilite de legislația internă - „confidențial”, „secret”, „secret”. Pentru alte tipuri de secrete, această bază de clasificare nu a fost încă elaborată, în timp ce conform art. 8 din Legea Federației Ruse „Cu privire la secretele de stat”, utilizarea acestor clasificări pentru clasificarea informațiilor care nu sunt clasificate ca secret de stat nu este permisă (21, p. 148).

Trebuie remarcat faptul că clasificările de mai sus nu sunt exhaustive și dezvoltarea lor este încă de făcut de știință și legislație. Lipsa unei clasificări clare a informațiilor confidențiale, lipsa formalizării regimurilor juridice ale acestora în legislație duce la un număr semnificativ de contradicții și lacune. Să luăm în considerare cele mai semnificative dintre ele.

În conformitate cu art. 2 din Legea Federației Ruse „Cu privire la secretele de stat”, secretele de stat sunt informații protejate de stat în domeniul activităților sale militare, politice externe, economice, de informații, contrainformații și de căutare operațională, a căror difuzare poate dăuna securitatea Federației Ruse. După cum notează A. I. Aleksentsev, termenul „distribuție” în acest caz este prea vag. (11, p.96)

Distribuția poate fi nu numai neautorizată, ci și permisă, poate cauza sau nu daune. Acest criteriu precizează posibilele consecințe ale diseminării informațiilor, adică decurge din contra, în timp ce logic, ar trebui mai degrabă să numiți avantajele care decurg din faptul că informațiile sunt ținute secrete.

Rezumând toate cele de mai sus, putem afirma că în prezent tipurile de informații confidențiale sunt secrete de stat, comerciale, personale și de familie, oficiale și profesionale, care, la rândul lor, au o serie de varietăți. În același timp, regimul juridic al majorității acestor secrete nu a fost pe deplin dezvoltat și există contradicții serioase între documentele individuale care trebuie eliminate.

Descriere bibliografica:

Nesterov A.K. Asigurarea securității informațiilor [Resursa electronică] // Site de enciclopedie educațională

Odată cu dezvoltarea tehnologiilor informaționale și cu importanța tot mai mare a resurselor informaționale pentru organizații, numărul amenințărilor la adresa securității informaționale a acestora crește, precum și posibilele daune din încălcările acestora. Există o necesitate obiectivă de a asigura securitatea informațională a întreprinderii. În acest sens, progresul este posibil doar în condițiile prevenirii direcționate a amenințărilor la adresa securității informațiilor.

Instrumente de securitate a informațiilor

Asigurarea securității informațiilor se realizează prin două tipuri de mijloace:

• software și hardware
• canale de comunicare sigure

Software-ul și hardware-ul pentru asigurarea securității informațiilor în condițiile moderne de dezvoltare a tehnologiei informației sunt cele mai frecvente în activitatea organizațiilor interne și străine. Să aruncăm o privire mai atentă la principalele instrumente de protecție a informațiilor software și hardware.

Mijloacele software și hardware de protecție împotriva accesului neautorizat includ măsuri de identificare, autentificare și control al accesului la sistemul informațional.

Identificarea este atribuirea de identificatori unici pentru a accesa subiecții.

Acestea includ etichete de frecvență radio, tehnologii biometrice, carduri magnetice, chei magnetice universale, autentificări pentru intrarea în sistem etc.

Autentificare - verificarea dreptului de proprietate asupra accesului sub rezerva identificatorului prezentat și confirmarea autenticității acestuia.

Procedurile de autentificare includ parole, coduri PIN, carduri inteligente, chei USB, semnături digitale, chei de sesiune etc. Partea procedurală a mijloacelor de identificare și autentificare este interconectată și, de fapt, reprezintă baza de bază a tuturor instrumentelor software și hardware pentru asigurarea securității informațiilor, întrucât toate celelalte servicii sunt concepute pentru a deservi subiecte specifice recunoscute corect de sistemul informațional. În termeni generali, identificarea permite subiectului să se identifice în sistemul informațional, iar cu ajutorul autentificării, sistemul informațional confirmă că subiectul este cu adevărat cine pretinde a fi. Pe baza parcurgerii acestei operațiuni se efectuează o operațiune de asigurare a accesului la sistemul informațional. Procedurile de control al accesului permit entităților autorizate să efectueze acțiuni permise de reglementări, iar sistemul informațional să controleze aceste acțiuni pentru corectitudinea și corectitudinea rezultatului obținut. Controlul accesului permite sistemului să ascundă de utilizatori datele la care aceștia nu au acces.

Următorul mijloc de protecție software și hardware este înregistrarea și auditarea informațiilor.

Înregistrarea include colectarea, acumularea și stocarea informațiilor despre evenimente, acțiuni, rezultate care au avut loc în timpul funcționării sistemului informațional, utilizatori individuali, procese și toate programele și hardware-ul care fac parte din sistemul informațional al întreprinderii.

Deoarece fiecare componentă a sistemului informațional are un set predeterminat de evenimente posibile în conformitate cu clasificatorii programați, evenimentele, acțiunile și rezultatele sunt împărțite în:

• extern, cauzat de acțiunile altor componente,
• intern, cauzat de acțiunile componentei în sine,
• client, cauzat de acțiunile utilizatorilor și administratorilor.

Auditul informaţional constă în efectuarea analizei operaţionale în timp real sau într-o perioadă dată.

Pe baza rezultatelor analizei, fie se generează un raport cu privire la evenimentele care au avut loc, fie se inițiază un răspuns automat la o situație de urgență.

Implementarea logging-ului și auditului rezolvă următoarele sarcini:

• asigurarea răspunderii utilizatorilor și administratorilor;
• permițând reconstrucția secvenței evenimentelor;
• detectarea încercărilor de încălcare a securității informațiilor;
• furnizarea de informații pentru identificarea și analiza problemelor.

Adesea, protecția informațiilor este imposibilă fără utilizarea instrumentelor criptografice. Acestea sunt utilizate pentru a furniza servicii de criptare, integritate și autentificare atunci când mijloacele de autentificare sunt stocate în formă criptată de către utilizator. Există două metode principale de criptare: simetrică și asimetrică.

Controlul integrității vă permite să stabiliți autenticitatea și identitatea unui obiect, care este o matrice de date, porțiuni individuale de date, o sursă de date și, de asemenea, să asigurați imposibilitatea de a marca acțiunea efectuată în sistem cu o serie de informații. Implementarea controlului integrității se bazează pe tehnologii de conversie a datelor folosind criptare și certificate digitale.

Un alt aspect important este utilizarea shielding-ului, tehnologie care permite, prin delimitarea accesului subiecților la resursele informaționale, controlul tuturor fluxurilor de informații dintre sistemul informațional al întreprinderii și obiectele externe, matricele de date, subiecții și contrasubiecții. Controlul fluxului consta in filtrarea acestora si, daca este cazul, transformarea informatiilor transmise.

Sarcina ecranării este de a proteja informațiile interne de factori externi potențial ostili și de actori. Principala formă de implementare a scuturilor sunt firewall-urile sau firewall-urile de diferite tipuri și arhitecturi.

Întrucât unul dintre semnele securității informației este disponibilitatea resurselor informaționale, asigurarea unui nivel ridicat de disponibilitate este o direcție importantă în implementarea măsurilor software și hardware. În special, sunt împărțite două domenii: asigurarea toleranței la erori, i.e. failover-ul sistemului, capacitatea de a funcționa atunci când apar erori și furnizarea de recuperare sigură și rapidă de la defecțiuni, de ex. funcționalitatea sistemului.

Principala cerință pentru sistemele informaționale este ca acestea să funcționeze întotdeauna cu o anumită eficiență, timp de nefuncționare minim și viteză de răspuns.

În conformitate cu aceasta, disponibilitatea resurselor informaționale este asigurată de:

• utilizarea unei arhitecturi structurale, ceea ce înseamnă că modulele individuale pot fi dezactivate sau înlocuite rapid dacă este necesar, fără a afecta alte elemente ale sistemului informațional;
• asigurarea tolerantei la erori datorita: folosirii elementelor autonome ale infrastructurii suport, introducerii de capacitate in exces in configurarea software-ului si hardware-ului, redundanta hardware, replicarea resurselor informatice in cadrul sistemului, backup datelor etc.
• asigurarea menținabilității prin reducerea timpului de diagnosticare și eliminare a defecțiunilor și a consecințelor acestora.

Un alt tip de mijloace de securitate a informațiilor sunt canalele de comunicare securizate.

Funcționarea sistemelor informaționale este inevitabil asociată cu transferul de date, prin urmare, este, de asemenea, necesar ca întreprinderile să asigure protecția resurselor informaționale transmise folosind canale de comunicații securizate. Posibilitatea accesului neautorizat la date în timpul transmiterii traficului prin canale de comunicare deschise se datorează disponibilității generale a acestora. Deoarece „comunicațiile pe toată lungimea lor nu pot fi protejate fizic, de aceea este mai bine să pornim inițial de la asumarea vulnerabilității lor și să oferiți protecție în consecință”. Pentru aceasta se folosesc tehnologii de tunelizare, a căror esență este încapsularea datelor, adică. împachetați sau împachetați pachetele de date transmise, inclusiv toate atributele serviciului, în propriile lor plicuri. În consecință, tunelul este o conexiune sigură prin canale de comunicație deschise, prin care sunt transmise pachete de date protejate criptografic. Tunnelarea este utilizată pentru a asigura confidențialitatea traficului prin ascunderea informațiilor de serviciu și prin asigurarea confidențialității și integrității datelor transmise atunci când sunt utilizate împreună cu elementele criptografice ale unui sistem informațional. Combinația dintre tunel și criptare face posibilă implementarea unei rețele private virtuale. În același timp, punctele terminale ale tunelurilor care implementează rețele private virtuale sunt firewall-uri care servesc conexiunii organizațiilor la rețele externe.

Firewall-uri ca puncte de implementare a serviciului de rețele virtuale private

Astfel, tunelul și criptarea sunt transformări suplimentare efectuate în procesul de filtrare a traficului de rețea împreună cu traducerea adresei. Capetele tunelurilor, pe lângă firewall-urile corporative, pot fi computere personale și mobile ale angajaților, mai exact firewall-urile și firewall-urile lor personale. Datorită acestei abordări, este asigurată funcționarea canalelor de comunicații securizate.

Proceduri de securitate a informațiilor

Procedurile de securitate a informațiilor sunt de obicei împărțite în niveluri administrative și organizaționale.

• Procedurile administrative includ acțiuni generale întreprinse de conducerea organizației pentru a reglementa toate lucrările, acțiunile, operațiunile din domeniul asigurării și menținerii securității informațiilor, implementate prin alocarea resurselor necesare și monitorizarea eficacității măsurilor luate.
• Nivelul organizatoric reprezintă procedurile de asigurare a securității informațiilor, inclusiv managementul personalului, protecția fizică, menținerea operabilității infrastructurii software și hardware, eliminarea promptă a breșelor de securitate și planificarea lucrărilor de recuperare.

Pe de altă parte, distincția dintre procedurile administrative și organizaționale este lipsită de sens, întrucât procedurile unui nivel nu pot exista separat de alt nivel, încălcându-se astfel relația dintre protecția stratului fizic, protecția personală și cea organizațională în conceptul de securitate a informațiilor. În practică, deși asigură securitatea informațiilor, organizațiile nu neglijează procedurile administrative sau organizaționale, de aceea este mai logic să le considerăm ca o abordare integrată, întrucât ambele niveluri afectează nivelul fizic, organizațional și personal de protecție a informațiilor.

La baza procedurilor complexe de asigurare a securității informațiilor se află politica de securitate.

Politica de securitate a informațiilor

Politica de securitate a informațiilorîntr-o organizație, este un set de decizii documentate luate de conducerea organizației și care vizează protejarea informațiilor și a resurselor asociate acesteia.

Din punct de vedere organizatoric și managerial, politica de securitate a informațiilor poate fi un singur document sau întocmită sub forma mai multor documente sau ordine independente, dar în orice caz ar trebui să acopere următoarele aspecte ale protecției sistemului informațional al organizației:

• protecția obiectelor sistemului informațional, a resurselor informaționale și a operațiunilor directe cu acestea;
• protecția tuturor operațiunilor legate de prelucrarea informațiilor în sistem, inclusiv software de procesare;
• protecția canalelor de comunicație, inclusiv prin cablu, canale radio, infraroșu, hardware etc.;
• protecția complexului hardware de radiațiile electromagnetice laterale;
• managementul sistemului de securitate, inclusiv întreținere, upgrade-uri și acțiuni administrative.

Fiecare dintre aspecte ar trebui descris în detaliu și documentat în documentele interne ale organizației. Documentele interne acoperă trei niveluri ale procesului de protecție: superior, mijloc și inferior.

Documentele de politică de securitate a informațiilor de nivel superior reflectă abordarea de bază a organizației pentru protejarea propriilor informații și conformitatea cu standardele naționale și/sau internaționale. În practică, într-o organizație există un singur document de nivel superior, intitulat „Conceptul de securitate a informațiilor”, „Regulamentul privind securitatea informațiilor” etc. Formal, aceste documente nu au valoare confidențială, distribuția lor nu este limitată, dar pot fi emise într-o ediție pentru uz intern și publicare deschisă.

Documentele de nivel mediu sunt strict confidențiale și se referă la aspecte specifice ale securității informaționale a organizației: mijloacele de protecție a informațiilor utilizate, securitatea bazelor de date, comunicații, instrumente criptografice și alte procese informaționale și economice ale organizației. Documentația este implementată sub forma unor standarde tehnice și organizatorice interne.

Documentele de nivel inferior sunt împărțite în două tipuri: regulamente de lucru și instrucțiuni de utilizare. Reglementările de muncă sunt strict confidențiale și sunt destinate numai persoanelor care, în serviciu, desfășoară activități de administrare a serviciilor individuale de securitate a informațiilor. Instrucțiunile de operare pot fi fie confidențiale, fie publice; sunt destinate personalului organizației și descriu procedura de lucru cu elementele individuale ale sistemului informațional al organizației.

Experiența mondială arată că politica de securitate a informațiilor este întotdeauna documentată doar în companiile mari care au un sistem informatic dezvoltat care impune cerințe sporite pentru securitatea informațiilor, întreprinderile mijlocii au cel mai adesea doar o politică de securitate a informațiilor parțial documentată, iar organizațiile mici din vastul majorității nu le pasă deloc de documentarea politicii de securitate. Indiferent dacă formatul documentației este holistic sau distribuit, aspectul de bază este modul de securitate.

Există două abordări diferite care stau la baza politica de securitate a informatiilor:

1. "Tot ceea ce nu este interzis este permis."
2. „Tot ceea ce nu este permis este interzis”.

Defectul fundamental al primei abordări este că, în practică, este imposibil să se prevadă toate cazurile periculoase și să le interzică. Fără îndoială, ar trebui folosită doar a doua abordare.

Nivel organizațional de securitate a informațiilor

Din punctul de vedere al securității informațiilor, procedurile organizaționale de asigurare a securității informațiilor sunt prezentate ca „reglementarea activităților de producție și a relațiilor dintre executanți pe o bază legală care exclude sau împiedică în mod semnificativ deturnarea informațiilor confidențiale și manifestarea amenințărilor interne și externe” .

Măsurile de management al personalului care vizează organizarea muncii cu personalul în vederea asigurării securității informațiilor includ separarea sarcinilor și minimizarea privilegiilor. Împărțirea sarcinilor prescrie o astfel de distribuție a competențelor și a domeniilor de responsabilitate, în care o persoană nu este capabilă să perturbe un proces care este critic pentru organizație. Acest lucru reduce șansa de erori și abuz. Minimizarea privilegiilor impune ca utilizatorilor să li se acorde doar nivelul de acces adecvat pentru funcția lor. Acest lucru reduce daunele cauzate de acțiuni incorecte accidentale sau intenționate.

Protecția fizică înseamnă elaborarea și adoptarea măsurilor de protecție directă a clădirilor care adăpostesc resursele informaționale ale organizației, teritoriile adiacente, elementele de infrastructură, echipamentele de calcul, suporturile de date și canalele de comunicații hardware. Acestea includ controlul accesului fizic, protecția împotriva incendiilor, protecția infrastructurii de sprijin, protecția împotriva interceptării și protecția sistemului mobil.

Menținerea sănătății infrastructurii software și hardware înseamnă prevenirea erorilor stocastice care amenință să deterioreze complexul hardware, să perturbe programe și să piardă date. Principalele direcții în acest aspect sunt furnizarea de suport pentru utilizatori și software, managementul configurației, backup, management media, documentare și întreținere preventivă.

Rezolvarea rapidă a breșelor de securitate are trei obiective principale:

1. Localizarea incidentelor și reducerea daunelor;
2. Identificarea infractorului;
3. Prevenirea încălcărilor repetate.

În cele din urmă, planificarea recuperării vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți cel puțin o cantitate minimă de capacitate de funcționare.

Utilizarea software-ului și a hardware-ului și a canalelor de comunicații securizate ar trebui implementate în organizație pe baza unei abordări integrate a dezvoltării și aprobării tuturor procedurilor administrative și organizaționale de reglementare pentru asigurarea securității informațiilor. În caz contrar, adoptarea unor măsuri separate nu garantează protecția informațiilor și adesea, dimpotrivă, provoacă scurgeri de informații confidențiale, pierderi de date critice, deteriorarea infrastructurii hardware și perturbarea componentelor software ale sistemului informațional al organizației.

Metode de securitate a informațiilor

Întreprinderile moderne se caracterizează printr-un sistem de informații distribuite care vă permite să luați în considerare birourile și depozitele distribuite ale companiei, contabilitatea financiară și controlul de gestiune, informațiile din baza de clienți, luând în considerare selecția indicatorilor și așa mai departe. Astfel, gama de date este foarte semnificativă, iar marea majoritate a acestora sunt informații de importanță prioritară pentru companie din punct de vedere comercial și economic. De fapt, asigurarea confidențialității datelor care au valoare comercială este una dintre sarcinile principale de asigurare a securității informațiilor în companie.

Asigurarea securității informațiilor la nivelul întreprinderii ar trebui reglementat de următoarele documente:

1. Reglementarea securității informațiilor. Acesta include formularea scopurilor și obiectivelor pentru asigurarea securității informațiilor, o listă de reglementări interne privind instrumentele de securitate a informațiilor și o reglementare privind administrarea sistemului informațional distribuit al unei companii. Accesul la regulament este limitat la conducerea organizației și la șeful departamentului de automatizare.
2. Reglementări pentru suportul tehnic al protecției informațiilor. Documentele sunt confidențiale, accesul este limitat la angajații departamentului de automatizare și ai conducerii superioare.
3. Reglementări pentru administrarea unui sistem distribuit de protecție a informațiilor. Accesul la reglementări este limitat la angajații departamentului de automatizare responsabil cu administrarea sistemului informațional și managementul superior.

În același timp, aceste documente nu ar trebui limitate, ci ar trebui elaborate și nivelurile inferioare. În caz contrar, dacă întreprinderea nu are alte documente legate de securitatea informațiilor, aceasta va indica un grad insuficient de securitate a informațiilor administrative, deoarece nu există documente de nivel inferior, în special instrucțiuni pentru operarea elementelor individuale ale sistemului informațional.

Procedurile organizatorice obligatorii includ:

• principalele măsuri de diferențiere a personalului după nivelul de acces la resursele informaționale,
• protecția fizică a birourilor companiei împotriva pătrunderii directe și a amenințărilor de distrugere, pierdere sau interceptare a datelor,
• menținerea funcționalității infrastructurii hardware și software se organizează sub formă de backup automatizat, verificarea de la distanță a mediilor de stocare, se asigură la cerere suport utilizator și software.

Aceasta ar trebui să includă și măsuri reglementate pentru a răspunde și a elimina cazurile de încălcări ale securității informațiilor.

În practică, se observă adesea că întreprinderile nu sunt suficient de atente la această problemă. Toate acțiunile în această direcție se desfășoară exclusiv în stare de funcționare, ceea ce mărește timpul de eliminare a cazurilor de încălcări și nu garantează prevenirea încălcărilor repetate ale securității informațiilor. În plus, practica planificării acțiunilor de eliminare a consecințelor după accidente, scurgeri de informații, pierderi de date și situații critice este complet absentă. Toate acestea înrăutățesc semnificativ securitatea informațiilor întreprinderii.

La nivel de software și hardware, ar trebui implementat un sistem de securitate a informațiilor pe trei niveluri.

Criterii minime pentru asigurarea securității informațiilor:

1. Modul de control acces:

• a fost implementată o intrare închisă în sistemul informațional, este imposibilă intrarea în sistem în afara locurilor de muncă verificate;
• a fost implementat accesul cu funcționalități limitate de pe computerele personale mobile pentru angajați;
• autorizarea se realizează conform autentificărilor și parolelor formate de administratori.

2. Modul de criptare și control al integrității:

• se utilizează o metodă de criptare asimetrică pentru datele transmise;
• matrice de date critice sunt stocate în baze de date în formă criptată, ceea ce nu permite accesul la acestea chiar dacă sistemul informațional al companiei este piratat;
• controlul integritatii este asigurat de o simpla semnatura digitala a tuturor resurselor informatice stocate, procesate sau transmise in cadrul sistemului informatic.

3. Modul de ecranare:

• a implementat un sistem de filtre în firewall-uri, permițându-vă să controlați toate fluxurile de informații prin canalele de comunicare;
• conexiunile externe la resursele informaționale globale și canalele publice de comunicare pot fi realizate doar printr-un set limitat de stații de lucru verificate care au o conexiune limitată la sistemul informațional corporativ;
• accesul securizat de la locurile de muncă ale angajaților pentru a-și îndeplini atribuțiile oficiale este implementat printr-un sistem cu două niveluri de servere proxy.

În cele din urmă, cu ajutorul tehnologiilor de tunel, o rețea privată virtuală trebuie implementată într-o întreprindere în conformitate cu un model tipic de construcție pentru a oferi canale de comunicații sigure între diferite departamente ale companiei, parteneri și clienți ai companiei.

În ciuda faptului că comunicațiile se realizează direct prin rețele cu un nivel potențial scăzut de încredere, tehnologiile de tunel, prin utilizarea instrumentelor criptografice, fac posibilă asigurarea unei protecție fiabilă a tuturor datelor transmise.

concluzii

Scopul principal al tuturor măsurilor luate în domeniul securității informațiilor este acela de a proteja interesele întreprinderii, într-un fel sau altul legate de resursele informaționale de care dispune. Deși interesele întreprinderilor nu se limitează la un anumit domeniu, toate se concentrează pe disponibilitatea, integritatea și confidențialitatea informațiilor.

Problema asigurării securității informațiilor se explică prin două motive principale.

1. Resursele informaţionale acumulate de întreprindere sunt valoroase.
2. Dependența critică de tehnologiile informaționale determină aplicarea lor largă.

Având în vedere varietatea largă de amenințări existente la adresa securității informațiilor, cum ar fi distrugerea informațiilor importante, utilizarea neautorizată a datelor confidențiale, întreruperile în funcționarea întreprinderii din cauza încălcărilor sistemului informațional, putem concluziona că toate acestea conduc în mod obiectiv la pierderi materiale.

În asigurarea securității informațiilor, un rol semnificativ îl joacă instrumentele software și hardware care vizează controlul entităților informatice, adică. hardware, elemente software, date, formând ultima și cea mai înaltă frontieră prioritară a securității informațiilor. De asemenea, transmiterea datelor trebuie să fie sigură în contextul menținerii confidențialității, integrității și disponibilității acestora. Prin urmare, în condiții moderne, tehnologiile de tunel sunt utilizate în combinație cu mijloace criptografice pentru a oferi canale de comunicație sigure.

Literatură

1. Galatenko V.A. Standarde de securitate a informațiilor. - M.: Internet University of Information Technologies, 2006.
2. Partyka T.L., Popov I.I. Securitatea informațiilor. – M.: Forum, 2012.

Informații confidențiale - informații, la care accesul este limitat în conformitate cu legislația țării și nivelul de acces la resursa informațională. Informațiile confidențiale sunt puse la dispoziție sau dezvăluite numai persoanelor, entităților sau proceselor autorizate.

Legislația rusă distinge mai multe tipuri de informații confidențiale - secrete de stat, secrete oficiale, secrete comerciale, secrete medicale (medicale), secrete notariale, secrete de auditor, secrete de avocați, secrete bancare, secrete fiscale, secrete personale și de familie, secrete de adopție, secrete ale adunarea judecătorilor, secretul anchetei și procedurilor judiciare, secretul asigurării etc. Potrivit lui V. A. Kolomiyets, aproximativ 50 de tipuri de informații confidențiale sunt menționate în prezent în actele juridice de reglementare de diferite niveluri.

Importanța informațiilor în viața și activitățile fiecărei persoane moderne este binecunoscută. De asemenea, se știe cât de mare este rolul informației pentru rezolvarea cu succes a unei probleme specifice, pentru atingerea scopurilor. Găsirea răspunsului exact la întrebarea care se rezolvă, evitarea greșelilor în luarea deciziilor este mai bine pentru cineva care este clar orientat în spațiul informațional, care, dacă este necesar, are posibilitatea de a obține ușor și în timp util informațiile care îl interesează.

44. Formarea și definirea modernă a conceptului de „secret de stat”

Conceptul de secret de stat este unul dintre cele mai importante în sistemul de protejare a secretelor de stat din orice țară. Politica conducerii țării în domeniul ocrotirii secretelor depinde și de definirea corectă a acesteia.

Definiția acestui concept este dată în Legea Federației Ruse „Cu privire la secretele de stat”: „Secretul de stat - informații protejate de stat în domeniul activităților sale militare, externe, economice, de informații, contrainformații și de căutare operațională, a căror difuzare poate dăuna securității Federației Ruse.”

Această definiție indică categoriile de informații care sunt protejate de stat și că difuzarea acestor informații poate fi în detrimentul intereselor securității statului.

Modelul pentru determinarea secretelor de stat include de obicei următoarele caracteristici esențiale:

1. Obiecte, fenomene, evenimente, domenii de activitate constituind secret de stat.

2. Inamicul (dat sau potențial), față de care se realizează în principal protecția secretelor de stat.

3. Indicarea în lege, listă, instrucțiuni a informațiilor care constituie secret de stat.

4. Daune aduse apărării, politicii externe, economiei, progresului științific și tehnologic al țării etc. în cazul dezvăluirii (scurgerii) de informaţii care constituie secret de stat.

Pentru comparație, iată scurte definiții ale conceptului de secrete de stat date de experți din alte țări.

Codul Penal al Republicii Federale Germania prevede că secretele de stat sunt fapte, obiecte sau cunoștințe care sunt accesibile doar unui cerc restrâns de persoane și trebuie păstrate secrete față de un guvern străin pentru a preveni pericolul de deteriorare gravă a mediului extern. securitatea Republicii Federale Germania.

Ordinul executiv al președintelui Statelor Unite, din 2 aprilie 1982, prevede că informațiile de securitate națională se referă la anumite informații privind apărarea națională și afacerile internaționale care sunt protejate împotriva dezvăluirii neautorizate.

În unele țări, acest concept este exprimat în alți termeni, de exemplu, în Japonia - „Secretul apărării”.

Ce informații pot fi clasificate ca secret de stat este stabilit în Decretul președintelui Federației Ruse din 30 noiembrie 1995 nr. 1203. Informațiile sunt clasificate ca atare (sunt indicate doar secțiuni): în domeniul militar; privind politica externă și activitatea economică externă; în domeniul economiei, științei și tehnologiei; în domeniul activităților de informații, contrainformații și căutare operațională.

Este imposibil să clasificați informații ca secret de stat:

Dacă scurgerea acesteia (dezvăluire etc.) nu provoacă daune securității naționale a țării;

Cu încălcarea legilor aplicabile;

Dacă ascunderea informațiilor va încălca drepturile constituționale și legislative ale cetățenilor;

Pentru a ascunde activități care dăunează mediului natural, punând în pericol viața și sănătatea cetățenilor. Această listă este detaliată în art. 7 din Legea Federației Ruse „Cu privire la secretele de stat”.

O caracteristică importantă a secretelor de stat este gradul de secretizare a informațiilor legate de acesta. În țara noastră a fost adoptat următorul sistem de desemnare a informațiilor care constituie secret de stat: „de importanță deosebită”, „secret”, „secret”. Aceste ștampile sunt aplicate pe documente sau produse (ambalajul acestora sau documentele însoțitoare). Informațiile conținute sub aceste ștampile sunt secrete de stat.

Ce criterii sunt folosite pentru a clasifica informațiile, în primul rând, ca secret de stat, iar în al doilea rând, ca un anumit grad de secret?

Răspunsul la această întrebare este dat de Regulile de clasificare a informațiilor care constituie secret de stat la diferite grade de secret, specificate în Decretul Guvernului Federației Ruse nr. 870 din 4 septembrie 1995.

Informațiile de o importanță deosebită ar trebui să includă informații a căror difuzare poate dăuna intereselor Federației Ruse în unul sau mai multe domenii.

Informațiile secrete ar trebui să includă informații a căror difuzare poate dăuna intereselor ministerului (departamentului) sau sectoarelor economiei Federației Ruse într-una sau mai multe domenii.

Informațiile secrete ar trebui să includă toate celelalte informații care constituie un secret de stat. Daunele pot fi aduse intereselor unei întreprinderi, instituții sau organizații.

Din aceste definiții, se poate observa un grad relativ ridicat de incertitudine a semnelor care caracterizează unul sau altul grad de secretizare a informațiilor constituind secret de stat.

S-a încercat să echivaleze gradul de secretizare a informațiilor cu valoarea prejudiciului (de exemplu, în termeni de bani) care poate apărea în cazul unei scurgeri de informații. Cu toate acestea, nu au primit nicio distribuție și aprobare largă.

Nu există claritate cu privire la această problemă în Decretul președintelui Statelor Unite „Informații privind securitatea națională”. Spune în mod specific:

1. Top secret ar trebui aplicat informațiilor a căror dezvăluire neautorizată ar putea cauza, în limite rezonabile, un prejudiciu excepțional de grav securității naționale.

2. Clasificarea „secret” ar trebui utilizată în legătură cu informațiile a căror dezvăluire neautorizată ar putea cauza, în limite rezonabile, daune grave securității naționale.

3. Eticheta „confidențial” este aceeași, doar valoarea prejudiciului este indicată ca „daune aduse securității naționale”.

După cum se poate observa din cele de mai sus, diferența dintre cele trei grade de secret depinde de amploarea prejudiciului, care este desemnat ca „extrem de grav”, „grav” sau pur și simplu „prejudiciu”.

Aceste trăsături calitative – criteriile pentru gradul de secretizare a informațiilor care conțin secrete de stat – lasă întotdeauna loc pentru introducerea voluntară sau involuntară a unui factor subiectiv în procesul de clasificare a informațiilor.

Conceptul, tipurile și valoarea prejudiciului nu au fost încă suficient dezvoltate și, aparent, vor fi diferite pentru fiecare obiect specific de protecție - conținutul informațiilor care constituie secret de stat, esența faptelor, evenimentelor și fenomenelor realității reflectate. în ea. În funcție de tip, conținut și

Întinderea prejudiciului poate fi împărțită în grupe de anumite tipuri de daune în cazul scurgerii (sau posibilei scurgeri) de informații care constituie secret de stat.

Prejudiciul politic poate apărea atunci când se scurg informații de natură politică și de politică externă, despre activitățile de informații ale serviciilor speciale ale statului etc.. Prejudiciul politic se poate exprima prin faptul că, ca urmare a scurgerii de informații, schimbări grave în planul internațional situația nu poate apărea în favoarea Federației Ruse, țara pierde priorități politice în unele domenii, deteriorarea relațiilor cu orice țară sau grup de țări etc.

Daune economice pot apărea atunci când se scurg informații de orice conținut: politice, economice, militare, științifice și tehnice etc. Prejudiciul economic poate fi exprimat în primul rând în termeni de bani. Pierderile economice din scurgerea de informații pot fi directe și indirecte.

Astfel, pierderile directe pot apărea ca urmare a scurgerii de informații secrete despre sistemele de armament, apărarea țării, care, ca urmare, și-au pierdut sau și-au pierdut practic eficacitatea și necesită cheltuieli mari pentru înlocuirea sau reajustarea lor. De exemplu, A. Tolkachev, un agent al CIA din SUA, un inginer de frunte la Institutul de Cercetare al Industriei de Inginerie Radio, le-a oferit americanilor o mulțime de informații importante și valoroase. Americanii au estimat valoarea informațiilor primite de la el la aproximativ șase miliarde de dolari.

Pierderile indirecte sunt cel mai adesea exprimate ca mărimea profiturilor pierdute: eșecul negocierilor cu firmele străine, cu care a existat un acord privind tranzacțiile profitabile; pierderea priorității în cercetarea științifică, ca urmare, rivalul și-a dus mai repede cercetarea la bun sfârșit și a patentat-o ​​etc.

Prejudiciul moral, de regulă, cu caracter neproprietar provine dintr-o scurgere de informații care a provocat sau a inițiat o campanie ilegală de propagandă împotriva statului, subminând reputația țării, ceea ce a dus la expulzarea diplomaților noștri, agenții de informații care operau sub acoperire diplomatică etc din unele state.

Informațiile confidențiale din toate domeniile sunt protejate cu grijă de lege. Prin urmare, datoria angajaților care au acces la acesta este de a proteja datele și de a preveni divulgarea. Există diferite responsabilități pentru dezvăluirea informațiilor confidențiale. O persoană poate fi chiar condamnată în temeiul unui articol din Codul penal dacă a comis o încălcare gravă. Prin urmare, este în interesul angajaților înșiși ca, din vina lor, informațiile să nu fie scurse către terți.

Ce sunt informațiile confidențiale

Informațiile confidențiale sunt informații personale cu acces restricționat. Astfel de date sunt de diferite tipuri, dar toate sunt protejate de lege. Angajații care au acces la acestea sunt obligați să păstreze secretul și să nu permită publicitatea. Mai mult, ei înșiși nu ar trebui să dezvăluie astfel de informații nici măcar în cercul familiei.

Tipuri de informații confidențiale:

1. Datele personale ale unei persoane fizice. Acestea includ tot ceea ce este legat de evenimente și fapte din viața privată.
2. Secret oficial. Doar angajații de stat care ocupă o anumită funcție au acces la acesta. Aceasta poate include secretul fiscal, informații despre adopție etc.
3. secret profesional. Este protejat de Constituția Rusiei și este cunoscut unui număr limitat de persoane care își îndeplinesc datoria profesională.
4. Dosarele personale ale celor condamnați pentru infracțiuni.
5. Secret comercial. Aceste informații trebuie păstrate pentru a proteja persoana juridică de concurență sau pentru a obține beneficii.
6. Informații despre hotărârile judecătorești și executarea acestora în cadrul procedurilor.
7. Secretul anchetei și al procedurilor judiciare. Acestea pot include informații despre victime și martori care au nevoie de protecție de stat. Datele despre judecători și oamenii legii sunt, de asemenea, ținute secrete.

Aceste informații sunt confidențiale și nu fac obiectul dezvăluirii. Este necesar să se păstreze confidențialitatea acestor informații pentru a proteja interesele persoanelor fizice și juridice. Nedezvăluirea este o necesitate, deoarece publicitatea poate duce la consecințe grave. De exemplu, la falimentul unei companii, condamnarea publică a unei persoane, pericolul care a apărut pentru martori și victime. Dacă un angajat permite difuzarea de informații, atunci are dreptul să-l pedepsească în funcție de gravitatea încălcării.

acord de confidentialitate

Pentru a permite unui angajat să acceseze date clasificate, va trebui să semnați un acord de nedivulgare. Pentru ca pe baza acestui document se va putea face apel la raspundere in cazul in care angajatul nu isi respecta obligatiile privind siguranta datelor. Nu există un model specific pentru un acord, dar toate punctele importante trebuie să fie prezente, cum ar fi obligațiile părților și responsabilitatea dezvăluirii.

Dar trebuie să înțelegi și că fără ea nu poți avea acces la informații clasificate. În orice caz, merită să discutăm personal despre situație cu autoritățile pentru a rezolva problema cu contractul.

Cum se dovedește dezvăluirea informațiilor personale

Pedeapsa, de exemplu, o amendă în temeiul unui acord de nedivulgare, va fi aplicată numai dacă este posibil să se confirme faptul încălcării. Pentru asta, orice dovadă va fi potrivită. De regulă, nu este dificil să le obțineți dacă a fost posibil să identificați un angajat fără scrupule.

Cu toate acestea, pentru început, este necesar să se confirme faptul că au existat cu adevărat date secrete și o anumită persoană a avut acces la acestea. Pentru a face acest lucru, trebuie să utilizați documente, de exemplu, un acord de nedivulgare. Vor fi necesare probe în orice caz, chiar și pentru acțiuni disciplinare. Mai mult, ele vor fi necesare instanței, deoarece pentru a fi tras la răspundere în temeiul articolului sunt necesare temeiuri serioase și bază de probă.

Care este răspunderea

Angajatul trebuie să știe ce informații vor fi secrete și ce vor fi publice. Prin urmare, nu poate publica date confidențiale doar din motivul că nu știa de accesul limitat la acestea. În cele mai multe cazuri, angajații eliberează în mod deliberat informații care vor fi supuse protecției. Acest lucru se face din motive personale sau în scopuri egoiste.

Pedeapsa depinde de natura încălcării. Luați în considerare tipurile în funcție de responsabilitatea la care poate fi adus vinovat.

Care ar putea fi pedeapsa?

1. Pedeapsa disciplinara. El este numit de conducerea organizației după un audit intern și o investigație. Un angajat poate fi mustrat, mustrat sau chiar concediat. Soluția specifică depinde de situație.
2. Responsabilitate administrativă. Poate apărea atunci când sunt dezvăluite date cu caracter personal, precum și cu încălcarea protecției informațiilor, pe lângă secretele de stat. O persoană vinovată poate fi pedepsită cu amendă de până la 10.000 de ruble.
3. Răspunderea penală. Componentele infracțiunilor sunt destul de diverse și sunt determinate individual. Dacă încălcarea este de natură penală, atunci ei îi pot chiar lipsi de libertate.
4. Răspundere civilă. Victima poate pretinde daune morale.

În Ucraina, există aproximativ aceleași reguli în ceea ce privește pedeapsa pentru dezvăluirea de informații clasificate. Răspunderea poate fi evitată doar în anumite cazuri.