Structure générale du système étatique protection des informations et les principales orientations de son développement et de son amélioration sont énoncées dans la doctrine de la sécurité de l'information de la Fédération de Russie, approuvée par le président de la Fédération de Russie le 9 septembre 2000. Conformément à la Doctrine, la sécurité de l'information de l'État peut être considérée au sens large et étroit du terme.

Au sens large, la sécurité de l'information de la Fédération de Russie est l'état de protection de ses intérêts nationaux dans le domaine de l'information, déterminé par la totalité des intérêts équilibrés de l'individu, de la société et de l'État. Il s'agit donc d'un système de garanties étatiques contre les menaces extérieures et les menaces contre les fondements de l'ordre constitutionnel à l'intérieur du pays.

Au sens étroit, la sécurité de l'information est la protection par les organes de l'État de divers types de secrets, dont la divulgation peut affecter la sécurité politique, économique, scientifique, technique et autre de l'État.

De manière générale, l'institution judiciaire de protection des secrets peut être considérée comme une institution de régulation des relations publiques de l'information, qui comporte trois volets :

les informations relatives à un certain type de secret, ainsi que les principes, critères selon lesquels ces informations sont classées comme secret ;

mode secret (confidentialité) - un mécanisme pour restreindre l'accès aux informations spécifiées, c'est-à-dire le mécanisme de leur protection ;

sanctions en cas de réception ou de diffusion illégale d'informations protégées.

L'objectif de la politique de l'État dans le domaine de la protection de l'information est d'empêcher les atteintes à la sécurité de l'information résultant d'un accès non autorisé (illégal) à des informations protégées.

La politique de l'État dans le domaine de la protection des informations est menée conformément aux principes établis :

la légalité (mise en place d'un cadre réglementaire unifié dans le domaine de la protection des informations) ;

assurer un équilibre des intérêts de l'individu et de l'État dans le processus de respect des droits constitutionnels d'une personne et d'un citoyen de recevoir, d'accéder à l'information et des restrictions législatives sur la diffusion de l'information afin d'assurer la sécurité de l'information de l'État ;

validité scientifique, prise de décisions optimales dans le domaine de la sécurité de l'information ;

cohérence, complexité (utilisation de toutes les formes et méthodes de protection des informations, centralisation de la gestion du système de protection des informations, interaction claire de tous ses éléments, mise en œuvre du principe de responsabilité personnelle) ;

la continuité des activités d'identification et de prévention des menaces contre les informations protégées ;

la prévention, c'est-à-dire nature préliminaire et proactive des mesures visant à prévenir les menaces contre les informations protégées.

La doctrine de la sécurité de l'information nomme les problèmes prioritaires dans ce domaine qui nécessitent des solutions urgentes dans les conditions modernes.

Ceux-ci inclus:

renforcer les mécanismes de régulation juridique des relations dans le domaine de la protection de la propriété intellectuelle, créer les conditions du respect des restrictions d'accès aux informations confidentielles établies par la loi fédérale;

assurer l'interdiction de la collecte, du stockage, de l'utilisation et de la diffusion d'informations sur la vie privée d'une personne sans son consentement et d'autres informations dont l'accès est limité par la loi fédérale ;

élaboration et adoption d'actes juridiques réglementaires de la Fédération de Russie établissant la responsabilité des personnes morales et des personnes physiques pour la divulgation illégale d'informations confidentielles, l'utilisation d'informations à diffusion limitée à des fins criminelles et mercenaires ;

assurer l'accès des citoyens aux ressources d'information ouvertes de l'État. Dans ce domaine, il est prévu d'intensifier la formation de ressources d'information publiques ouvertes, d'accroître l'efficacité de leur utilisation économique.

L'élaboration des dispositions de la doctrine de la sécurité de l'information de la Fédération de Russie visant à garantir l'accès des citoyens aux ressources d'information publiques ouvertes est, en particulier, l'adoption du décret du gouvernement de la Fédération de Russie n ° 98 du 12 février 2003 " Sur la garantie de l'accès aux informations sur les activités du gouvernement de la Fédération de Russie et des organes exécutifs fédéraux ". Le décret a approuvé la liste des informations sur les activités du gouvernement de la Fédération de Russie et des organes exécutifs fédéraux, obligatoires pour le placement dans les systèmes d'information publics, incl. sur Internet.

La liste des informations comprend :

lois fédérales, décrets du président, actes juridiques du gouvernement ;

des informations sur les activités législatives du gouvernement, les projets de lois fédérales, les programmes fédéraux ciblés et les concepts élaborés par les autorités exécutives fédérales ;

des informations sur les principaux indicateurs du développement socio-économique de la Fédération de Russie et de l'utilisation du budget fédéral;

examen des appels des citoyens et des organisations au gouvernement de la Fédération de Russie et aux organes exécutifs fédéraux, sur les mesures prises ;

informations sur la fonction publique dans l'appareil du gouvernement de la Fédération de Russie et les organes exécutifs fédéraux;

des informations sur les visites officielles et les voyages de travail du Premier ministre, des membres du gouvernement, des délégations gouvernementales, etc.

Les mesures prioritaires pour améliorer le support juridique réglementaire de la sécurité de l'information devraient inclure l'élaboration des projets de loi suivants :

À propos des données personnelles.

Sur le droit à l'information.

À propos de la vie privée, des secrets personnels et familiaux.

À propos des secrets d'affaires.

À propos de la sécurité nationale.

La mise en œuvre de ces tâches est liée à la mise en œuvre du programme cible fédéral "Russie électronique (2002-2010)", approuvé par le décret du gouvernement de la Fédération de Russie du 28 janvier 2002 n° 65.

Outre les tâches consistant à assurer la sécurité de l'information de la Fédération de Russie, le programme prévoit l'élaboration d'un concept visant à garantir l'accessibilité publique des ressources d'information de l'État, ainsi qu'un inventaire et une analyse des systèmes d'information de l'État et des ressources d'information existant dans Russie.

La doctrine de la sécurité de l'information de la Fédération de Russie énumère les méthodes générales suivantes pour assurer la sécurité de l'information :

légal;

méthodes organisationnelles et techniques;

économique.

La doctrine de la sécurité de l'information de la Fédération de Russie nomme quatre groupes d'objets de sécurité de l'information. Ceux-ci inclus:

ressources d'information contenant des informations confidentielles;

moyens et systèmes d'informatisation (y compris - moyens de technologie informatique, complexes d'information et informatiques, réseaux et systèmes); outils logiciels (systèmes d'exploitation, systèmes de gestion de bases de données, autres systèmes généraux et logiciels d'application); ACS, systèmes de communication et de transmission de données qui traitent des informations à accès limité et leurs champs physiques informatifs ;

moyens techniques, systèmes traitant des informations ouvertes, mais situés dans les locaux où sont traitées les informations à accès limité, ainsi que les locaux eux-mêmes destinés au traitement de ces informations ;

des locaux destinés à la conduite de négociations fermées, ainsi que des négociations au cours desquelles des informations à diffusion restreinte sont annoncées.

La législation de la Fédération de Russie établit que les informations documentées (documents) sont accessibles au public, à l'exception de celles classées par la loi comme à accès restreint, qui sont soumises à la protection contre la diffusion illégale (divulgation) et appartiennent à un secret légalement protégé.

La base de la législation dans ce domaine est constituée par les articles de la Constitution de la Fédération de Russie sur le droit des citoyens à l'information, qui sont conformes aux normes internationales dans ce domaine. Le secret de la correspondance, des conversations téléphoniques, envois postaux, messages télégraphiques et autres, secrets personnels et de famille (article 23). Il est interdit de collecter, stocker, utiliser et diffuser des informations sur la vie privée d'une personne sans son consentement (article 24). Ces dispositions sont développées dans les lois fédérales.

La loi fédérale "sur l'information, les technologies de l'information et la protection de l'information" du 27 juillet 2006 n° 149-FZ établit en outre les garanties suivantes pour l'exercice du droit d'accès à l'information :

les pouvoirs publics et les collectivités territoriales créent des ressources d'information accessibles à tous sur les activités de ces collectivités et organismes qui leur sont subordonnés, et également, dans la limite de leur compétence, informent massivement les usagers sur les droits, libertés et devoirs des citoyens, leur sécurité et d'autres questions représentant l'intérêt public ;

les citoyens, les autorités publiques, les gouvernements locaux, les organisations et les associations publiques ont des droits égaux pour accéder aux ressources d'information de l'État et ne sont pas tenus de justifier auprès des propriétaires de ces ressources la nécessité d'obtenir les informations qu'ils demandent. L'exception concerne les informations à accès restreint ;

les autorités de l'État et les organisations responsables de la formation et de l'utilisation des ressources d'information fournissent des conditions pour la présentation rapide et complète des informations documentées à l'utilisateur conformément aux obligations établies par les chartes (règlements) de ces organismes et organisations ;

les citoyens et les organisations ont le droit d'accéder aux informations documentées les concernant, de clarifier ces informations afin d'en assurer l'exhaustivité et la fiabilité, ont le droit de savoir qui et à quelles fins utilise ou a utilisé ces informations. La limitation de l'accès des citoyens et des organisations aux informations les concernant n'est autorisée que pour les motifs prévus par les lois fédérales;

les informations obtenues légalement auprès des sources d'information de l'État par les citoyens et les organisations peuvent être utilisées par eux pour créer des informations dérivées aux fins de leur distribution commerciale avec une référence obligatoire à la source de l'information ;

le refus d'accès à des informations ouvertes ou la fourniture d'informations délibérément fausses aux utilisateurs peuvent faire l'objet d'un recours devant les tribunaux. Le non-respect ou le non-respect des obligations en vertu d'un contrat de fourniture, d'un accord de vente et d'achat, d'autres formes d'échange de ressources d'information entre organisations sont examinés par un tribunal arbitral. Dans tous les cas, les personnes qui se voient refuser l'accès à l'information et les personnes qui ont reçu de fausses informations ont droit à une indemnisation pour le préjudice qu'elles ont subi.

Dans la législation moderne, il n'y a pas de clarté et d'unité dans l'appareil conceptuel dans le domaine de la protection des informations. Plus de 30 types de secrets sont mentionnés dans les seules lois fédérales, qui agissent comme des restrictions directes à la mise en œuvre des droits et libertés en matière d'information, parmi lesquels : les secrets commerciaux ; secret industriel; processus commercial secret ; informations qui ne peuvent être obtenues dans le cadre de la pratique administrative normale, etc.

Ces dernières années, des tentatives ont été faites pour rationaliser la composition des types de mystère. En 1995, dans la loi fédérale "sur l'information, l'informatisation et la protection des informations", toutes les informations à accès limité ont été divisées en secrets d'État et informations confidentielles (articles 8 et 10). Dans le même temps, parmi les types d'informations confidentielles dans cette loi, seuls les secrets personnels et familiaux, les données personnelles, le secret de la correspondance, les messages téléphoniques, postaux et télégraphiques et autres ont été nommés. Cependant, en 1996, dans la loi fédérale "sur la participation à l'échange international d'informations" (article 8), les secrets d'État sont définis comme l'un des types d'informations confidentielles.

Conformément au décret du président de la Fédération de Russie du 6 mars 1997 n ° 188 "Sur l'approbation de la liste des informations confidentielles", le concept généralisé d'informations confidentielles est spécifié. Conformément à la liste, les informations confidentielles sont classées dans les groupes suivants :

informations sur les faits, événements et circonstances de la vie privée d'un citoyen, permettant d'identifier sa personnalité (données personnelles), à l'exception des informations à diffuser dans les médias dans les cas établis par les lois fédérales ;

les informations constituant le secret de l'enquête et des poursuites judiciaires ;

informations officielles dont l'accès est limité par les autorités publiques conformément au Code civil de la Fédération de Russie et aux lois fédérales (secret officiel) ;

informations relatives aux activités professionnelles, dont l'accès est limité conformément à la Constitution de la Fédération de Russie et aux lois fédérales (secret médical, notarial, secret d'avocat, correspondance, conversations téléphoniques, envois postaux, télégraphiques et autres messages, etc.) (secret professionnel );

les informations relatives aux activités commerciales, dont l'accès est restreint conformément au Code civil de la Fédération de Russie et aux lois fédérales (secret commercial) ;

des informations sur l'essence d'une invention, d'un modèle d'utilité ou d'un dessin ou modèle industriel avant la publication officielle des informations les concernant.

La loi fédérale "sur l'information, les technologies de l'information et la protection de l'information" définit les objectifs suivants en matière de protection des informations :

prévention des fuites, vols, pertes, déformations, falsifications d'informations ;

la prévention des menaces à la sécurité de l'individu, de la société et de l'État ;

la prévention d'actions non autorisées pour détruire, modifier, déformer, copier, bloquer des informations ; la prévention d'autres formes d'ingérence illicite dans les ressources d'information et les systèmes d'information, en garantissant le régime juridique des informations documentées en tant qu'objet de propriété ;

la protection des droits constitutionnels des citoyens au maintien du secret personnel et de la confidentialité des données personnelles disponibles dans les systèmes d'information ;

préservation des secrets d'État, confidentialité des informations documentées conformément à la loi ;

garantir les droits des sujets dans les processus d'information et dans le développement, la production et l'application des systèmes d'information, des technologies et des moyens de leur support.

Cette loi détermine que le régime de protection des informations est établi :

en ce qui concerne les informations documentées confidentielles - par le propriétaire des ressources d'information ou une personne autorisée sur la base de la présente loi fédérale ;

en ce qui concerne les données personnelles - par la loi fédérale.

La loi fédérale "Sur l'information, les technologies de l'information et la protection de l'information" interdit que les éléments suivants soient classés comme informations à accès restreint :

actes législatifs et autres actes normatifs établissant le statut juridique des autorités publiques, des collectivités locales, des organisations, des associations publiques, ainsi que les droits, libertés et obligations des citoyens, la procédure de leur mise en œuvre ;

documents contenant des informations sur les situations d'urgence, des informations environnementales, météorologiques, démographiques, sanitaires et épidémiologiques et autres nécessaires pour assurer le fonctionnement sûr des établissements, des installations de production, la sécurité des citoyens et de la population dans son ensemble ;

documents contenant des informations sur les activités des autorités publiques et des collectivités locales, sur l'utilisation fonds budgétaires et autres ressources étatiques et locales, sur l'état de l'économie et les besoins de la population, à l'exception des informations classées secrets d'Etat ;

les documents accumulés dans les fonds ouverts des bibliothèques et des archives, des systèmes d'information des autorités publiques, des collectivités locales, des associations publiques, des organisations d'intérêt public ou nécessaires à la mise en œuvre des droits, libertés et devoirs des citoyens.

Le Code civil (CC) de la Fédération de Russie (article 139) définit les signes de secrets officiels et commerciaux comme un objet spécial des droits civils et prévoit également les motifs et les formes de leur protection.

Le secret commercial et officiel en tant qu'objet de droit civil a trois caractéristiques :

Les informations ont une valeur commerciale réelle ou potentielle en raison de leur méconnaissance par des tiers.

Il n'y a pas d'accès légal à cela.

Le propriétaire de l'information prend des mesures pour protéger sa confidentialité.

Les exigences générales pour la protection des informations dans le domaine de l'échange international d'informations sont établies dans le décret du président de la Fédération de Russie du 17 mai 2004 "sur les mesures visant à assurer la sécurité de l'information de la Fédération de Russie dans le domaine de l'échange international d'informations ." Ce décret établit des exigences pour assurer la sécurité des échanges internationaux d'informations par le biais des systèmes d'information, des réseaux et des réseaux de communication, y compris l'association internationale des réseaux "Internet".

Conformément au décret, il est conseillé aux personnes faisant l'objet d'échanges internationaux d'informations de ne pas activer les systèmes d'information, les réseaux de communication et les ordinateurs personnels autonomes dans lesquels sont traitées des informations contenant des informations constituant un secret d'État, des informations exclusives à diffusion limitée et pour lesquelles des règles spéciales pour l'accès aux ressources d'information sont établis., dans le cadre des moyens d'échange international d'informations, incl. à l'Association internationale des réseaux Internet.

Les propriétaires de ressources d'information publiques ouvertes au public doivent les inclure dans la composition des objets de l'échange international d'informations uniquement lorsqu'ils utilisent des outils de protection des informations certifiés qui garantissent leur intégrité et leur disponibilité, incl. des moyens cryptographiques de protection pour confirmer l'exactitude des informations.

Les propriétaires et les utilisateurs de ces ressources doivent placer les moyens techniques connectés aux systèmes d'information ouverts et aux réseaux de communication utilisés dans l'échange international d'informations, y compris Internet, en dehors des locaux destinés aux négociations fermées et aux activités scientifiques dans ce domaine.

La renaissance dans les conditions modernes de l'activité entrepreneuriale a entraîné l'élaboration de documents réglementaires sur les questions liées à la protection des secrets commerciaux.

En URSS, la première et unique définition juridique d'un secret d'affaires a été donnée dans la loi "sur les entreprises en URSS" du 4 juin 1990 (article 33). Cet article stipulait que « le secret d'affaires d'une entreprise s'entend des informations qui ne sont pas des secrets d'État, liées à la production, à l'information technologique, à la gestion, aux finances et aux autres activités de l'entreprise, dont la divulgation (transfert, fuite) peut nuire à son intérêts."

Les questions de protection des secrets commerciaux sont reflétées dans les articles 10, 13 à 15 de la loi de la RSFSR du 22/03/1991 n° 948-1 (telle que modifiée le 21/03/2002 n° 31-FZ) "Sur concurrence et restriction de l'activité monopolistique sur les marchés des produits de base".

L'article 10 de la loi classe la réception, l'utilisation, la divulgation d'informations scientifiques, techniques, de production ou commerciales, y compris les secrets commerciaux, sans le consentement de leur propriétaire comme des formes de concurrence déloyale.

Conformément à la loi fédérale N 98-FZ "sur les secrets commerciaux" du 29 juillet 2004, un secret commercial s'entend comme "la confidentialité d'informations permettant à son propriétaire, dans des circonstances existantes ou éventuelles, d'augmenter ses revenus, d'éviter des dépenses injustifiées, de maintenir une position sur le marché des biens, des travaux, des services ou obtenir d'autres avantages commerciaux.

Aux informations constituant un secret d'affaires, conformément au paragraphe 2 de l'art. 3 de cette loi fait référence aux informations scientifiques, techniques, technologiques, industrielles, financières, économiques ou autres (y compris la composante des secrets de production (savoir-faire), qui ont une valeur commerciale réelle ou potentielle en raison de leur méconnaissance des tiers, auxquelles il n'y a pas de libre accès sur une base légale et à l'égard duquel le propriétaire de ces informations a introduit un régime de secret commercial.

Cette disposition de la loi peut être interprétée assez largement, puisqu'elle mentionne les « autres » informations pouvant être qualifiées de secret d'affaires. De plus, le sens de cette définition copie pratiquement l'art. 139 du Code civil de la Fédération de Russie. Les modifications concernaient principalement des clarifications relatives aux technologies, et au lieu de prendre des mesures pour protéger la confidentialité, un régime de secret commercial a été introduit.

Les dispositions de la présente loi s'appliquent aux informations constituant un secret d'affaires, quel que soit le type de support sur lequel elles sont enregistrées.

Les informations qui ne peuvent pas constituer un secret commercial sont définies dans le décret du gouvernement de la Fédération de Russie du 5 décembre 1991 n° 35 (tel que modifié par le décret du gouvernement de la Fédération de Russie du 3 octobre 2002 n° 731), ainsi comme dans la loi "sur les secrets commerciaux".

Le régime du secret commercial ne peut pas être établi par des personnes exerçant des activités entrepreneuriales en relation avec les informations suivantes :

sur la composition de la propriété d'une entreprise unitaire d'État ou municipale, d'une institution d'État et sur l'utilisation par eux des fonds des budgets correspondants ;

sur la pollution de l'environnement, l'état de la sécurité incendie, la situation sanitaire, épidémiologique et radiologique, la sécurité alimentaire et d'autres facteurs qui ont un impact négatif sur le fonctionnement sûr des installations de production, la sécurité de chaque citoyen et la sécurité de la population en tant que entier;

sur le nombre, sur la composition des salariés, sur le système de rémunération, sur les conditions de travail, y compris la protection du travail, sur les indicateurs d'accidents du travail et de morbidité professionnelle, et sur la disponibilité des postes vacants;

sur les dettes des employeurs pour les salaires et autres avantages sociaux;

sur les violations de la législation de la Fédération de Russie et les faits de mise en cause de ces violations ;

sur les conditions des appels d'offres ou des enchères pour la privatisation d'objets appartenant à l'État ou aux municipalités ;

sur la taille et la structure des revenus des organisations à but non lucratif, sur la taille et la composition de leurs biens, sur leurs dépenses, sur le nombre et les salaires de leurs employés, sur l'utilisation du travail non rémunéré des citoyens dans les activités d'un non- organisation à but lucratif;

sur la liste des personnes habilitées à agir sans procuration au nom d'une personne morale ;

dont la divulgation obligatoire ou l'inadmissibilité de restreindre l'accès est établie par d'autres lois fédérales.

La partie 1 de l'article 10 stipule que les mesures visant à protéger la confidentialité des informations prises par leur propriétaire doivent inclure :

détermination de la liste des informations constituant un secret d'affaires ;

restreindre l'accès aux informations constituant un secret d'affaires en établissant une procédure de traitement de ces informations et en contrôlant le respect de cette procédure ;

enregistrement des personnes qui ont eu accès à des informations constituant un secret commercial et des personnes auxquelles ces informations ont été fournies ou transférées ;

réglementation des relations sur l'utilisation d'informations constituant un secret commercial par des employés sur la base de contrats de travail et des entrepreneurs sur la base de contrats de droit civil ;

apposer sur les supports matériels (documents) contenant des informations constituant un secret commercial, le cachet de la signature « Secret commercial » indiquant le propriétaire de ces informations.

Les mesures obligatoires comprennent également la mise en place d'une procédure de traitement des informations protégées et le contrôle du respect de cette procédure (partie 1.2, article 10), le marquage « Secrets d'affaires » sur les supports physiques des informations protégées (partie 1.5, article 10), etc. les mesures ci-dessus conduit au fait que l'organisation ne peut pas avoir d'informations constituant un secret commercial. Ceci est directement indiqué dans la partie 2 de l'article 10 - "le régime du secret d'affaires est considéré comme établi après que le propriétaire d'informations constituant un secret d'affaires a pris les mesures spécifiées dans la partie 1 du présent article."

Afin de protéger la confidentialité des informations, l'employeur est également tenu de :

faire connaître au salarié, dont l'accès à des informations constituant un secret d'affaires est nécessaire à l'exercice de ses fonctions, une liste des informations constituant un secret d'affaires, propriété de l'employeur et de ses contreparties, contre récépissé ;

familiariser l'employé contre la réception du régime de secret des affaires établi par l'employeur et les mesures de responsabilité en cas de violation ;

créer un employé les conditions nécessaires se conformer au régime du secret des affaires établi par l'employeur.

Les mesures de protection de la confidentialité des informations sont considérées comme raisonnablement suffisantes si :

l'accès aux informations constituant un secret commercial est exclu pour toute personne sans le consentement de son propriétaire ;

la possibilité d'utiliser des informations constituant un secret d'affaires par les employés et de les transférer à des contreparties sans violer le régime du secret d'affaires est assurée.

Les moyens logiciels et matériels de protection contre les accès non autorisés comprennent des mesures d'identification, d'authentification et de contrôle d'accès au système d'information.

L'identification est l'attribution d'identifiants uniques pour accéder aux sujets.

Cela inclut les étiquettes radiofréquences, les technologies biométriques, les cartes magnétiques, les clés magnétiques universelles, les identifiants pour entrer dans le système, etc.

Authentification - vérification de la propriété de l'accès soumis à l'identifiant présenté et confirmation de son authenticité.

Les procédures d'authentification incluent les mots de passe, les codes PIN, les cartes à puce, les clés USB, les signatures numériques, les clés de session, etc. La partie procédurale des moyens d'identification et d'authentification est interconnectée et, en fait, représente la base de tous les outils logiciels et matériels pour assurer la sécurité de l'information, puisque tous les autres services sont conçus pour servir des sujets spécifiques correctement reconnus par le système d'information. D'une manière générale, l'identification permet au sujet de s'identifier auprès du système d'information, et à l'aide de l'authentification, le système d'information confirme que le sujet est bien celui qu'il prétend être. Sur la base du passage de cette opération, une opération est effectuée pour fournir un accès au système d'information. Les procédures de contrôle d'accès permettent aux entités autorisées d'effectuer des actions autorisées par la réglementation, et au système d'information de contrôler ces actions pour l'exactitude et l'exactitude du résultat obtenu. Le contrôle d'accès permet au système de cacher aux utilisateurs les données auxquelles ils n'ont pas accès.

Le prochain moyen de protection logicielle et matérielle est la journalisation et l'audit des informations.

La journalisation comprend la collecte, l'accumulation et le stockage d'informations sur les événements, les actions, les résultats qui ont eu lieu pendant le fonctionnement du système d'information, les utilisateurs individuels, les processus et tous les logiciels et matériels qui font partie du système d'information de l'entreprise.

Étant donné que chaque composant du système d'information dispose d'un ensemble prédéterminé d'événements possibles en fonction des classificateurs programmés, les événements, actions et résultats sont divisés en :

• externe, causé par les actions d'autres composants,
• interne, causé par les actions du composant lui-même,
• client, causé par les actions des utilisateurs et des administrateurs.

L'audit d'information consiste à réaliser une analyse opérationnelle en temps réel ou sur une période donnée.

Sur la base des résultats de l'analyse, soit un rapport est généré sur les événements qui se sont produits, soit une réponse automatique à une situation d'urgence est déclenchée.

La mise en œuvre de la journalisation et de l'audit résout les tâches suivantes :

• assurer la responsabilisation des utilisateurs et des administrateurs ;
• permettre la reconstitution de la séquence des événements ;
• détection des tentatives de violation de la sécurité de l'information ;
• fournir des informations pour identifier et analyser les problèmes.

Souvent, la protection des informations est impossible sans l'utilisation d'outils cryptographiques. Ils sont utilisés pour fournir des services de chiffrement, d'intégrité et d'authentification lorsque les moyens d'authentification sont stockés sous forme chiffrée par l'utilisateur. Il existe deux principales méthodes de chiffrement : symétrique et asymétrique.

Le contrôle d'intégrité vous permet d'établir l'authenticité et l'identité d'un objet, qui est un tableau de données, des parties individuelles de données, une source de données, et également de garantir l'impossibilité de marquer l'action effectuée dans le système avec un tableau d'informations. La mise en œuvre du contrôle d'intégrité repose sur des technologies de conversion de données utilisant le cryptage et des certificats numériques.

Un autre aspect important est l'utilisation du filtrage, une technologie qui permet, en délimitant l'accès des sujets aux ressources informationnelles, de contrôler tous les flux d'informations entre le système d'information de l'entreprise et les objets externes, tableaux de données, sujets et contre-sujets. Le contrôle de flux consiste à les filtrer et, si nécessaire, à transformer les informations transmises.

La tâche du blindage est de protéger les informations internes des facteurs et acteurs externes potentiellement hostiles. La principale forme de mise en œuvre du blindage est constituée de pare-feu ou de pare-feu de différents types et architectures.

Étant donné que l'un des signes de la sécurité de l'information est la disponibilité des ressources d'information, assurer un haut niveau de disponibilité est une direction importante dans la mise en œuvre des mesures logicielles et matérielles. En particulier, deux domaines sont divisés : assurer la tolérance aux pannes, c'est-à-dire le basculement du système, la capacité de fonctionner lorsque des erreurs se produisent et la fourniture d'une récupération sûre et rapide après les pannes, c'est-à-dire état de fonctionnement du système.

La principale exigence pour les systèmes d'information est qu'ils fonctionnent toujours avec une efficacité, un temps d'arrêt et une rapidité de réponse donnés.

Conformément à cela, la disponibilité des ressources informationnelles est assurée par :

• l'utilisation d'une architecture structurelle, ce qui signifie que des modules individuels peuvent être désactivés ou remplacés rapidement si nécessaire sans affecter d'autres éléments du système d'information ;
• assurer la tolérance aux pannes grâce à : l'utilisation d'éléments autonomes de l'infrastructure de support, l'introduction d'une capacité excédentaire dans la configuration des logiciels et du matériel, la redondance du matériel, la réplication des ressources d'information au sein du système, Réserver une copie données, etc...
• assurer la maintenabilité en réduisant le temps de diagnostic et d'élimination des pannes et de leurs conséquences.

Un autre type de moyen de sécurité de l'information est constitué par les canaux de communication sécurisés.

Le fonctionnement des systèmes d'information est inévitablement lié au transfert de données, il est donc également nécessaire pour les entreprises d'assurer la protection des ressources d'information transmises en utilisant des canaux de communication sécurisés. La possibilité d'un accès non autorisé aux données lors de la transmission du trafic via des canaux de communication ouverts est due à leur disponibilité générale. Étant donné que "les communications sur toute leur longueur ne peuvent pas être protégées physiquement, il est donc préférable de partir initialement de l'hypothèse de leur vulnérabilité et d'assurer une protection en conséquence". Pour cela, des technologies de tunneling sont utilisées, dont l'essence est d'encapsuler des données, c'est-à-dire emballer ou envelopper les paquets de données transmis, y compris tous les attributs de service, dans leurs propres enveloppes. En conséquence, le tunnel est une connexion sécurisée via des canaux de communication ouverts, à travers lesquels des paquets de données protégés par cryptographie sont transmis. Le tunneling est utilisé pour assurer la confidentialité du trafic en masquant les informations de service et en garantissant la confidentialité et l'intégrité des données transmises lorsqu'elles sont utilisées avec des éléments cryptographiques d'un système d'information. La combinaison du tunneling et du cryptage permet de mettre en place un réseau privé virtuel. Dans le même temps, les extrémités des tunnels qui implémentent des réseaux privés virtuels sont des pare-feu qui servent à la connexion des organisations aux réseaux externes.

Les pare-feu comme points de mise en œuvre du service de réseaux privés virtuels

Ainsi, le tunneling et le cryptage sont des transformations supplémentaires effectuées dans le processus de filtrage du trafic réseau avec la traduction d'adresse. Les extrémités des tunnels, en plus des pare-feu d'entreprise, peuvent être les ordinateurs personnels et mobiles des employés, plus précisément leurs pare-feu et pare-feu personnels. Grâce à cette approche, le fonctionnement des canaux de communication sécurisés est assuré.

Procédures de sécurité des informations

Les procédures de sécurité de l'information sont généralement divisées en niveaux administratifs et organisationnels.

• Les procédures administratives comprennent les mesures générales prises par la direction de l'organisation pour réglementer tous les travaux, actions, opérations dans le domaine de la garantie et du maintien de la sécurité de l'information, mises en œuvre en allouant les ressources nécessaires et en contrôlant l'efficacité des mesures prises.
• Le niveau organisationnel représente les procédures pour assurer la sécurité de l'information, y compris la gestion du personnel, la protection physique, le maintien de l'opérabilité de l'infrastructure logicielle et matérielle, l'élimination rapide des failles de sécurité et la planification des travaux de récupération.

D'autre part, la distinction entre procédures administratives et organisationnelles n'a pas de sens, car les procédures d'un niveau ne peuvent exister séparément d'un autre niveau, violant ainsi la relation entre la protection au niveau physique, la protection personnelle et organisationnelle dans le concept de sécurité de l'information. En pratique, lorsqu'elles assurent la sécurité de l'information, les organisations ne négligent pas les procédures administratives ou organisationnelles, il est donc plus logique de les considérer comme une approche intégrée, car les deux niveaux affectent les niveaux physique, organisationnel et personnel de la protection des informations.

La base des procédures complexes pour assurer la sécurité de l'information est la politique de sécurité.

Politique de sécurité des informations

Politique de sécurité des informations dans une organisation, il s'agit d'un ensemble de décisions documentées prises par la direction de l'organisation et visant à protéger l'information et ses ressources associées.

Sur le plan organisationnel et managérial, la politique de sécurité de l'information peut être un document unique ou rédigée sous la forme de plusieurs documents ou arrêtés indépendants, mais dans tous les cas elle doit couvrir les aspects suivants de la protection du système d'information de l'organisation :

• protection des objets du système d'information, des ressources informationnelles et des opérations directes avec eux ;
• protection de toutes les opérations liées au traitement des informations dans le système, y compris les logiciels de traitement ;
• protection des canaux de communication, y compris les canaux filaires, radio, infrarouges, matériels, etc. ;
• protection du complexe matériel contre les rayonnements électromagnétiques latéraux ;
• la gestion du système de sécurité, y compris la maintenance, les mises à niveau et les actions administratives.

Chacun des aspects doit être décrit en détail et documenté dans les documents internes de l'organisation. Les documents internes couvrent trois niveaux du processus de protection : supérieur, intermédiaire et inférieur.

Les documents de politique de sécurité de l'information de haut niveau reflètent l'approche de base de l'organisation en matière de protection de ses propres informations et de conformité aux normes nationales et/ou internationales. En pratique, il n'y a qu'un seul document de haut niveau dans une organisation, intitulé "Concept de sécurité de l'information", "Règlement de sécurité de l'information", etc. Formellement, ces documents n'ont pas de valeur confidentielle, leur diffusion n'est pas limitée, mais ils peuvent être publiés dans une édition à usage interne et à publication ouverte.

Les documents de niveau intermédiaire sont strictement confidentiels et concernent des aspects spécifiques de la sécurité de l'information de l'organisation : les moyens de protection de l'information utilisés, la sécurité des bases de données, des communications, des outils cryptographiques et d'autres informations et processus économiques de l'organisation. La documentation est mise en œuvre sous forme de normes techniques et organisationnelles internes.

Les documents du niveau inférieur sont divisés en deux types: les règlements de travail et les instructions d'exploitation. Le règlement de travail est strictement confidentiel et s'adresse uniquement aux personnes qui, en service, effectuent des travaux d'administration des services individuels de sécurité de l'information. Les instructions d'utilisation peuvent être confidentielles ou publiques ; ils sont destinés au personnel de l'organisation et décrivent la procédure de travail avec les éléments individuels du système d'information de l'organisation.

L'expérience mondiale montre que la politique de sécurité de l'information n'est toujours documentée que dans les grandes entreprises qui ont un système d'information développé qui impose des exigences accrues en matière de sécurité de l'information, les entreprises de taille moyenne n'ont le plus souvent qu'une politique de sécurité de l'information partiellement documentée, les petites organisations dans leur grande majorité ne se soucient pas du tout de documenter la politique de sécurité. Que le format de la documentation soit holistique ou distribué, l'aspect fondamental est le mode de sécurité.

Il existe deux approches différentes qui constituent la base politique de sécurité des informations:

1. "Tout ce qui n'est pas interdit est permis."
2. "Tout ce qui n'est pas permis est interdit."

Le défaut fondamental de la première approche est qu'en pratique il est impossible de prévoir tous les cas dangereux et de les interdire. Sans aucun doute, seule la deuxième approche devrait être utilisée.

Niveau organisationnel de la sécurité de l'information

Du point de vue de la sécurité de l'information, les procédures organisationnelles visant à assurer la sécurité de l'information sont présentées comme « une réglementation des activités de production et des relations entre artistes interprètes sur une base juridique qui exclut ou entrave de manière significative le détournement d'informations confidentielles et la manifestation de menaces internes et externes » .

Les mesures de gestion du personnel visant à organiser le travail avec le personnel afin d'assurer la sécurité de l'information comprennent la séparation des tâches et la minimisation des privilèges. La division des tâches prescrit une telle répartition des compétences et des domaines de responsabilité, dans laquelle une personne n'est pas en mesure de perturber un processus essentiel à l'organisation. Cela réduit les risques d'erreurs et d'abus. La minimisation des privilèges dicte que les utilisateurs ne reçoivent que le niveau d'accès approprié à leur fonction. Cela réduit les dommages causés par des actions incorrectes accidentelles ou intentionnelles.

La protection physique signifie le développement et l'adoption de mesures pour la protection directe des bâtiments qui abritent les ressources d'information de l'organisation, les territoires adjacents, les éléments d'infrastructure, les équipements informatiques, les supports de données et les canaux de communication matériels. Il s'agit notamment du contrôle d'accès physique, de la protection contre les incendies, de la protection de l'infrastructure de support, de la protection contre les écoutes clandestines et de la protection des systèmes mobiles.

Maintenir la santé de l'infrastructure logicielle et matérielle consiste à prévenir les erreurs stochastiques qui menacent d'endommager le complexe matériel, de perturber les programmes et de perdre des données. Les principales directions dans cet aspect sont de fournir un support utilisateur et logiciel, une gestion de la configuration, une sauvegarde, une gestion des médias, une documentation et une maintenance préventive.

La résolution rapide des failles de sécurité a trois objectifs principaux :

1. Localisation des incidents et réduction des dommages ;
2. Identification du contrevenant ;
3. Prévention des violations répétées.

Enfin, la planification du rétablissement vous permet de vous préparer aux accidents, de réduire les dommages qui en résultent et de maintenir au moins une capacité minimale de fonctionnement.

L'utilisation de logiciels et de matériel et de canaux de communication sécurisés doit être mise en œuvre dans l'organisation sur la base d'une approche intégrée du développement et de l'approbation de toutes les procédures réglementaires administratives et organisationnelles pour assurer la sécurité de l'information. Dans le cas contraire, l'adoption de mesures distinctes ne garantit pas la protection des informations et souvent, au contraire, provoque des fuites d'informations confidentielles, des pertes de données critiques, des dommages à l'infrastructure matérielle et des perturbations des composants logiciels du système d'information de l'organisation.

Méthodes de sécurité de l'information

Les entreprises modernes se caractérisent par un système d'information distribué qui permet de prendre en compte les bureaux et entrepôts distribués de l'entreprise, la comptabilité financière et le contrôle de gestion, les informations de la clientèle, la prise en compte de la sélection des indicateurs, etc. Ainsi, la panoplie de données est très importante, et il s'agit en très grande majorité d'informations prioritaires pour l'entreprise en termes commerciaux et économiques. En fait, assurer la confidentialité des données à valeur commerciale est l'une des principales tâches pour assurer la sécurité de l'information dans l'entreprise.

Assurer la sécurité de l'information dans l'entreprise doit être réglementé par les documents suivants :

1. Règlement sur la sécurité de l'information. Il comprend la formulation de buts et d'objectifs pour assurer la sécurité de l'information, une liste de règlements internes sur les outils de sécurité de l'information et un règlement sur l'administration du système d'information distribué d'une entreprise. L'accès à la réglementation est limité à la direction de l'organisation et au responsable du service automatisation.
2. Réglementation pour le support technique de la protection des informations. Les documents sont confidentiels, l'accès est limité aux employés du service d'automatisation et à la haute direction.
3. Réglementation pour l'administration d'un système distribué de protection des informations. L'accès à la réglementation est limité aux employés du service d'automatisation chargés de l'administration du système d'information et de la haute direction.

Dans le même temps, ces documents ne doivent pas être limités, mais les niveaux inférieurs doivent également être élaborés. Sinon, si l'entreprise ne dispose pas d'autres documents liés à la sécurité de l'information, cela indiquera un degré insuffisant de sécurité des informations administratives, car il n'y a pas de documents de niveau inférieur, en particulier d'instructions pour faire fonctionner des éléments individuels du système d'information.

Les procédures organisationnelles obligatoires comprennent :

• les principales mesures de différenciation du personnel par le niveau d'accès aux ressources informationnelles,
• la protection physique des locaux de l'entreprise contre la pénétration directe et les menaces de destruction, de perte ou d'interception de données,
• le maintien de la fonctionnalité de l'infrastructure matérielle et logicielle est organisé sous la forme d'une sauvegarde automatisée, la vérification à distance des supports de stockage, le support utilisateur et logiciel est fourni sur demande.

Cela devrait également inclure des mesures réglementées pour répondre et éliminer les cas de violation de la sécurité de l'information.

En pratique, on constate souvent que les entreprises ne sont pas suffisamment attentives à cette question. Toutes les actions dans ce sens sont menées exclusivement en ordre de marche, ce qui augmente le temps d'élimination des cas de violation et ne garantit pas la prévention des violations répétées de la sécurité de l'information. De plus, la pratique consistant à planifier des actions pour éliminer les conséquences après des accidents, des fuites d'informations, des pertes de données et des situations critiques est totalement absente. Tout cela aggrave considérablement la sécurité de l'information de l'entreprise.

Au niveau des logiciels et du matériel, un système de sécurité de l'information à trois niveaux devrait être mis en place.

Critères minimaux pour assurer la sécurité de l'information :

1. Module de contrôle d'accès :

• une entrée fermée au système d'information a été mise en place, il est impossible d'entrer dans le système en dehors des lieux de travail vérifiés ;
• un accès avec des fonctionnalités limitées à partir d'ordinateurs personnels mobiles a été mis en place pour les employés ;
• l'autorisation s'effectue en fonction des logins et mots de passe formés par les administrateurs.

2. Module de chiffrement et contrôle d'intégrité :

• une méthode de cryptage asymétrique des données transmises est utilisée ;
• des tableaux de données critiques sont stockés dans des bases de données sous forme cryptée, ce qui ne permet pas d'y accéder même en cas de piratage du système d'information de l'entreprise ;
• le contrôle de l'intégrité est assuré par une simple signature numérique de toutes les ressources informationnelles stockées, traitées ou transmises au sein du système d'information.

3. Module de blindage :

• mis en place un système de filtres dans les pare-feu, vous permettant de contrôler tous les flux d'informations à travers les canaux de communication ;
• les connexions externes avec les ressources mondiales d'information et les canaux de communication publics ne peuvent être réalisées que par ensemble limité des postes de travail vérifiés avec une connexion limitée au système d'information de l'entreprise ;
• l'accès sécurisé depuis les lieux de travail des employés pour l'exercice de leurs fonctions officielles est mis en œuvre via un système à deux niveaux de serveurs proxy.

Enfin, à l'aide des technologies de tunneling, un réseau privé virtuel doit être mis en place dans une entreprise selon un modèle de construction typique pour fournir des canaux de communication sécurisés entre les différents services de l'entreprise, les partenaires et les clients de l'entreprise.

Malgré le fait que les communications s'effectuent directement sur des réseaux avec un niveau de confiance potentiellement faible, les technologies de tunneling, grâce à l'utilisation d'outils cryptographiques, permettent d'assurer une protection fiable de toutes les données transmises.

résultats

L'objectif principal de toutes les mesures prises dans le domaine de la sécurité de l'information est de protéger les intérêts de l'entreprise, d'une manière ou d'une autre, liés aux ressources informationnelles dont elle dispose. Bien que les intérêts des entreprises ne se limitent pas à un domaine spécifique, ils tournent tous autour de la disponibilité, de l'intégrité et de la confidentialité des informations.

Le problème d'assurer la sécurité de l'information s'explique par deux raisons principales.

1. Les ressources informationnelles accumulées par l'entreprise sont précieuses.
2. Dépendance critique à technologies de l'information conduit à leur utilisation généralisée.

Compte tenu de la grande variété de menaces existantes à la sécurité de l'information, telles que la destruction d'informations importantes, l'utilisation non autorisée de données confidentielles, les interruptions de fonctionnement de l'entreprise dues à des violations du système d'information, nous pouvons conclure que tout cela conduit objectivement à de grandes pertes matérielles.

Pour assurer la sécurité de l'information, un rôle important est joué par les outils logiciels et matériels visant à contrôler les entités informatiques, c'est-à-dire matériel, éléments logiciels, données, formant la dernière et la plus haute frontière prioritaire de la sécurité de l'information. La transmission des données doit également être sécurisée dans le cadre du maintien de leur confidentialité, de leur intégrité et de leur disponibilité. Par conséquent, dans les conditions modernes, les technologies de tunnellisation sont utilisées en combinaison avec des moyens cryptographiques pour fournir des canaux de communication sécurisés.

Littérature

1. Galatenko V.A. Normes de sécurité de l'information. - M. : Université Internet des Technologies de l'Information, 2006.
2. Partyka T.L., Popov I.I. Sécurité des informations. – M. : Forum, 2012.

Aujourd'hui, nous parlerons des fuites et des moyens de protéger les informations confidentielles.

Le terme information confidentielle signifie confidentiel, non soumis à publicité, secret. Leur divulgation peut être qualifiée d'infraction pénale. Toute personne ayant accès à ces informations n'a pas le droit de les divulguer à d'autres personnes sans le consentement du titulaire des droits d'auteur.

Teneur

Informations confidentielles et loi

Le décret du président de la Fédération de Russie n° 188 du 6 mars 1997 définit les informations à caractère confidentiel. Ceux-ci inclus:

1. Informations liées au commerce.
2. Informations relatives aux activités officielles.
3. Médecin, avocat, secret personnel (correspondance, conversations téléphoniques, etc.).
4. Secret de l'enquête, poursuites judiciaires, informations sur les condamnés.
5. Données personnelles des citoyens, informations sur leur vie personnelle.

Un secret d'affaires est une information qui permet à son propriétaire d'acquérir un avantage concurrentiel, de bénéficier de la prestation de services ou de la vente de biens. Informations privilégiées sur l'entreprise (changement de direction, etc.) pouvant affecter la valeur des actions.

Secret officiel - informations disponibles dans les organes gouvernementaux, les documents sont marqués "Pour usage officiel" et ne sont pas soumis à la divulgation à des tiers.

Le secret professionnel comprend le secret de l'enquête, de l'avocat, des procédures judiciaires, du notaire, etc.

Toute donnée personnelle (nom, prénom, lieu de travail, adresse, etc.), information sur la vie privée d'un citoyen.

Une fuite de ces informations peut se produire dans les cas suivants :

1. Stockage et accès aux informations confidentielles inefficaces, système de sécurité médiocre.
2. Changement constant de personnel, erreurs de personnel, climat psychologique difficile dans l'équipe.
3. Mauvaise formation du personnel sur les moyens efficaces de protéger les informations.
4. L'incapacité de la direction de l'organisation à contrôler le travail des employés avec des informations classifiées.
5. Possibilité incontrôlée de personnes non autorisées d'entrer dans les locaux où les informations sont stockées.

Modes de fuite d'informations

Ils peuvent être organisationnels et techniques.

Canaux organisationnels :

1. Postuler à un emploi dans une organisation afin d'obtenir des informations classifiées.
2. Obtenir des informations d'intérêt auprès de partenaires, de clients en utilisant des méthodes de tromperie, de fausses déclarations.
3. Accès criminel à l'obtention d'informations (vol de documents, enlèvement disque dur avec informations).

Chaînes techniques :

1. Copier le document original des informations classifiées ou sa version électronique.
2. Enregistrement d'une conversation confidentielle sur support électronique (enregistreur vocal, smartphone et autres appareils d'enregistrement).
3. Transmission orale du contenu d'un document d'accès limité à des tiers qui n'ont pas le droit d'y accéder.
4. Obtention criminelle d'informations à l'aide de signets radio, de microphones et de caméras vidéo installés en secret.

Mesures de sécurité des informations

Le système de protection des informations classifiées implique :

1. Prévention de l'accès non autorisé à celui-ci.
2. Blocage des canaux de fuite.
3. Réglementation pour travailler avec des informations confidentielles.

Le service de sécurité de l'entreprise doit organiser la mise en œuvre pratique du système de sécurité de l'information, la formation du personnel, le contrôle du respect des exigences réglementaires.

Méthodes organisationnelles

1. Développement d'un système de traitement des données confidentielles.
2. Apporter au personnel du cabinet une disposition relative à la responsabilité en cas de divulgation de documents confidentiels, de leur copie ou de falsification.
3. Compilation d'une liste de documents d'accès limité, différenciation du personnel par l'accès aux informations disponibles.
4. Sélection du personnel pour le traitement des documents confidentiels, instruction des employés.

Méthodes techniques

1. Utilisation de moyens cryptographiques dans la correspondance électronique, conduite de conversations téléphoniques sur des lignes de communication sécurisées.
2. Vérifier l'absence de signets radio, de microphones, de caméras vidéo dans les locaux où se déroulent les négociations.
3. Accès du personnel aux locaux protégés à l'aide de moyen d'identification, code, mot de passe.
4. Utilisation de méthodes de protection logicielles et matérielles sur les ordinateurs et autres appareils électroniques.

La politique de sécurité de l'information de l'entreprise comprend :

1. Nomination d'une personne responsable de la sécurité dans l'organisation.
2. Contrôle de l'utilisation des outils de protection logiciels et matériels.
3. Responsabilité des chefs de départements et de services d'assurer la protection des informations.
4. Introduction du contrôle d'accès pour les employés et les visiteurs.
5. Compilation d'une liste d'accès des personnes aux informations confidentielles.

Organisation de la sécurité de l'information

Ordinateurs en cours d'exécution réseau local, les serveurs, les routeurs doivent être protégés de manière fiable contre la récupération non autorisée d'informations. Pour ça:

1. Un employé responsable est affecté au fonctionnement de chaque ordinateur.
2. L'unité centrale est scellée par un employé du service informatique.
3. L'installation de tous les programmes est effectuée par des spécialistes du service informatique.
4. Les mots de passe doivent être générés par les collaborateurs du service informatique et délivrés contre signature.
5. Il est interdit d'utiliser des sources d'informations tierces, le marquage est effectué sur tous supports.
6. Utilisez un seul ordinateur pour préparer les documents importants. Il maintient un journal des utilisateurs.
7. Le logiciel et le matériel doivent être certifiés.
8. Protection des supports d'information (lecteurs externes) contre les accès non autorisés.

Le système de travail avec des informations confidentielles garantit la sécurité des informations de l'organisation, vous permet de sauvegarder des informations importantes contre les fuites. Cela contribue au fonctionnement durable de l'entreprise pendant longtemps.

Envoyer votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous

Les étudiants, les étudiants diplômés, les jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous en seront très reconnaissants.

Documents similaires

Les principales sources de réglementation juridique des informations confidentielles. Menaces et mesures pour empêcher sa fuite. Le problème et les moyens d'améliorer la protection des informations confidentielles et des données personnelles dans l'administration de la municipalité "district de Karagai" du territoire de Perm.

dissertation, ajouté le 10/09/2014


Définition des informations confidentielles et de leurs principaux types. Loi fédérale "sur l'information, l'informatisation et la protection des informations". Le concept de secrets commerciaux et d'État. Appui législatif et instruments de contrôle de la préservation du secret.

essai, ajouté le 21/09/2012


Dispositions fondamentales de la loi fédérale "sur les secrets commerciaux". Organisation de l'admission et de l'accès du personnel aux informations confidentielles. Organisation du mode intra-objet à l'entreprise. Exigences relatives aux locaux dans lesquels les supports d'informations sont stockés.

résumé, ajouté le 20/05/2012


Sources des menaces à la sécurité de l'information. La place de la sécurité de l'information dans le système de sécurité nationale de la Russie. Les principaux problèmes de sécurité de l'information, les moyens de les résoudre et l'organisation de la protection. Classification des informations à protéger.

dissertation, ajouté le 23/08/2013


L'essence et la nature juridique des informations confidentielles (secrets commerciaux) de l'entreprise, la procédure, les méthodes, les moyens, le cadre juridique de sa protection. Sujets du droit aux secrets commerciaux et de leur statut juridique, protection des droits en vertu des lois de l'Ukraine.

travaux de contrôle, ajouté le 06/10/2009


Le concept et les caractéristiques de l'information en tant que catégorie juridique. Caractéristiques des types d'informations : secrets d'État, commerciaux, bancaires, officiels. Responsabilité en cas de violation des exigences de confidentialité des informations. mode secret commercial.

dissertation, ajouté le 11/02/2017


La définition de la vie privée et les directives législatives de l'Union européenne qui la régissent. La liste des informations confidentielles spécifiées dans le décret du président de la Fédération de Russie. Mesures de protection de la confidentialité des informations prises par son propriétaire.

test, ajouté le 19/07/2015

Aujourd'hui, les menaces associées à l'accès non autorisé aux données confidentielles peuvent avoir un impact significatif sur les activités de l'organisation. Les dommages éventuels résultant de la divulgation de secrets d'entreprise peuvent inclure à la fois des pertes financières directes, par exemple, à la suite du transfert d'informations commerciales à des concurrents et du coût de l'élimination des conséquences qui se sont produites, et indirectes - une mauvaise réputation et la perte de projets prometteurs. Les conséquences de la perte d'un ordinateur portable contenant des informations permettant d'accéder à des comptes bancaires, des plans financiers et d'autres documents privés ne peuvent être sous-estimées.

L'une des menaces les plus dangereuses aujourd'hui est l'accès non autorisé. Selon une étude de l'Institut sécurité informatique, l'année dernière, 65 % des entreprises ont enregistré des incidents liés à l'accès non autorisé aux données. De plus, en raison d'un accès non autorisé, chaque entreprise a perdu en 2014-2015. une moyenne de 353 000 $ et par rapport à 2012-2013. les pertes ont été multipliées par six. Ainsi, les pertes totales subies par plus de 600 entreprises interrogées ont dépassé 38 millions de dollars au cours de l'année (voir graphique).

Le problème est exacerbé par le fait que l'accès non autorisé à des informations confidentielles est souvent suivi de leur vol. À la suite d'une telle combinaison de deux menaces extrêmement dangereuses, les pertes de l'entreprise peuvent augmenter plusieurs fois (en fonction de la valeur des données volées). En outre, les entreprises sont souvent confrontées au vol physique d'ordinateurs portables, ce qui entraîne à la fois des menaces d'accès non autorisé et le vol d'informations sensibles. D'ailleurs, le coût de un appareil portable souvent incomparable avec le coût des données qui y sont enregistrées.

Les problèmes auxquels une entreprise est confrontée en cas de fuite d'informations sont particulièrement illustratifs dans le cas du vol d'ordinateurs portables. Qu'il suffise de rappeler les incidents récents où cinq ordinateurs portables ont été volés à Ernst & Young en quelques mois, contenant des informations privées des clients de l'entreprise : Cisco, IBM, Sun Microsystems, BP, Nokia, etc. Ici, un tel indicateur de dommage qui difficile à mesurer s'est manifestée au plus haut point par une dégradation de l'image et une baisse de la confiance des clients. Pendant ce temps, de nombreuses entreprises connaissent des difficultés similaires.

Ainsi, en mars 2006, Fidelity a perdu un ordinateur portable contenant les données privées de 200 000 employés de HP, et en février, PricewaterhouseCoopers, une société d'audit, a perdu un ordinateur portable contenant des informations sensibles de 4 000 patients d'un hôpital américain. Si nous continuons la liste, des sociétés bien connues telles que Bank of America, Kodak, Ameritrade, Ameriprise, Verizon et d'autres y tomberont.

Ainsi, en plus de protéger les informations confidentielles contre tout accès non autorisé, il est nécessaire de protéger le support physique lui-même. Dans le même temps, il convient de tenir compte du fait qu'un tel système de sécurité doit être absolument transparent et ne pas causer de difficultés à l'utilisateur lors de l'accès à des données sensibles, que ce soit dans un environnement d'entreprise ou lorsqu'il travaille à distance (à domicile ou en voyage d'affaires).

Jusqu'à présent, rien de plus efficace dans le domaine de la protection des informations contre les accès non autorisés que le cryptage des données n'a été inventé. A condition que les clés cryptographiques soient conservées, le chiffrement garantit la sécurité des données sensibles.

Technologies de chiffrement

Les technologies de cryptage sont utilisées pour protéger les informations contre tout accès non autorisé. Cependant, les utilisateurs qui ne connaissent pas correctement les méthodes de cryptage peuvent avoir la fausse impression que toutes les données sensibles sont sécurisées. Considérez les principales technologies de cryptage des données.

• Cryptage par fichier. L'utilisateur choisit les fichiers à chiffrer. Cette approche ne nécessite pas d'intégration profonde de l'outil de chiffrement dans le système et, par conséquent, permet aux fabricants d'outils cryptographiques de mettre en œuvre une solution multiplateforme pour Windows, Linux, MAC OS X, etc.
• Cryptage d'annuaire. L'utilisateur crée des dossiers dans lesquels toutes les données sont cryptées automatiquement. Contrairement à l'approche précédente, le chiffrement se produit à la volée, et non à la demande de l'utilisateur. En général, le chiffrement de répertoire est assez pratique et transparent, bien qu'il soit basé sur le même chiffrement fichier par fichier. Cette approche nécessite une interaction profonde avec le système d'exploitation, et dépend donc de la plate-forme utilisée.
• Chiffrement des disques virtuels. Le concept de disques virtuels est implémenté dans certains utilitaires de compression tels que Stacker ou Microsoft DriveSpace. Le cryptage des lecteurs virtuels implique la création d'un gros fichier caché sur votre disque dur. Ce fichier est ensuite disponible pour l'utilisateur en tant que lecteur séparé (le système d'exploitation le "voit" comme un nouveau lecteur logique). Par exemple, lecteur X:\. Toutes les informations stockées sur le disque virtuel sont cryptées. La principale différence avec les approches précédentes est que le logiciel cryptographique n'a pas besoin de chiffrer chaque fichier individuellement. Ici, les données sont chiffrées automatiquement uniquement lorsqu'elles sont écrites ou lues à partir du disque virtuel. Dans ce cas, le travail avec les données est effectué au niveau du secteur (généralement d'une taille de 512 octets).
• Cryptage du disque entier. Dans ce cas, absolument tout est chiffré : le secteur de démarrage de Windows, tout fichiers système et toute autre information sur le disque.
• Protection du processus de téléchargement. Si le disque entier est chiffré, le système d'exploitation ne pourra pas démarrer tant qu'un mécanisme n'aura pas déchiffré les fichiers de démarrage. Par conséquent, chiffrer l'intégralité du disque implique nécessairement de protéger le processus de démarrage. Généralement, l'utilisateur doit entrer un mot de passe pour que le système d'exploitation démarre. Si l'utilisateur saisit correctement le mot de passe, le programme de cryptage aura accès aux clés de cryptage, ce qui permettra de lire d'autres données à partir du disque.

Ainsi, il existe plusieurs façons de chiffrer les données. Certains d'entre eux sont moins fiables, certains sont plus rapides et certains ne conviennent pas du tout à la protection des informations sensibles. Pour pouvoir évaluer la pertinence de certaines méthodes, considérez les problèmes auxquels une application cryptographique est confrontée lors de la protection des données.

Caractéristiques des systèmes d'exploitation

Arrêtons-nous sur certaines fonctionnalités des systèmes d'exploitation qui, malgré toutes leurs fonctions positives, n'interfèrent parfois qu'avec la protection fiable des informations confidentielles. Voici les mécanismes système les plus courants qui laissent un certain nombre de « lacunes » pour un attaquant, et sont pertinents pour les ordinateurs portables et les PDA.

• Fichiers temporaires. De nombreux programmes (y compris le système d'exploitation) utilisent des fichiers temporaires pour stocker des données intermédiaires pendant leur travail. Souvent, une copie exacte du fichier ouvert par le programme est entrée dans un fichier temporaire, ce qui permet de restaurer complètement les données en cas de pannes imprévues. Bien sûr, la charge utile des fichiers temporaires est importante, cependant, étant non chiffrés, ces fichiers constituent une menace directe pour les secrets d'entreprise.
• Fichiers d'échange (ou fichiers d'échange). La technologie des fichiers d'échange est très populaire dans les systèmes d'exploitation modernes, ce qui vous permet de fournir à n'importe quelle application une quantité de RAM presque illimitée. Donc si système opérateur Ressources mémoire insuffisantes, il écrit automatiquement les données de la RAM sur le disque dur (dans le fichier d'échange). Dès qu'il est nécessaire d'utiliser les informations stockées, le système d'exploitation récupère les données du fichier d'échange et, si nécessaire, place d'autres informations dans ce stockage. De la même manière que dans le cas précédent, des informations secrètes non chiffrées peuvent facilement pénétrer dans le fichier d'échange.
• Alignement des fichiers. Le système de fichiers Windows place les données dans des clusters pouvant s'étendre jusqu'à 64 secteurs. Même si le fichier fait quelques octets de long, il occupera tout de même un cluster entier. Un fichier volumineux sera divisé en morceaux, chaque morceau ayant la taille d'un cluster de système de fichiers. Le reste de la scission (généralement les derniers octets) occupera toujours l'intégralité du cluster. Ainsi, le dernier secteur du fichier obtient des informations aléatoires qui se trouvaient dans la RAM du PC au moment où le fichier a été écrit sur le disque. Il peut y avoir des mots de passe et des clés de cryptage. En d'autres termes, le dernier cluster de n'importe quel fichier peut contenir des informations assez sensibles, allant des informations aléatoires de la RAM aux données des e-mails et des documents texte qui étaient auparavant stockés à cet endroit.
• Corbeille. Lorsqu'un utilisateur supprime un fichier, Windows le place dans la corbeille. Tant que la corbeille n'est pas vidée, le fichier peut être facilement restauré. Cependant, même si vous videz la corbeille, les données resteront physiquement sur le disque. En d'autres termes, les informations supprimées peuvent très souvent être retrouvées et récupérées (si aucune autre donnée n'a été écrite dessus). Pour ce faire, il existe un très grand nombre d'applications, dont certaines sont gratuites et librement distribuées via Internet.
• Registre Windows. Le système Windows lui-même, comme un grand nombre d'applications, stocke ses données spécifiques dans le registre système. Par exemple, un navigateur Web stocke dans le registre les noms de domaine des pages que l'utilisateur a visitées. Même l'éditeur de texte Word enregistre dans le registre le nom du dernier fichier ouvert. Dans ce cas, le registre est utilisé par le système d'exploitation lors du démarrage. Par conséquent, si une méthode de chiffrement est lancée après le démarrage de Windows, les résultats de son travail peuvent être compromis.
• Système de fichiers Windows NT (NTFS). Un système de fichiers avec contrôle d'accès intégré (comme dans Windows NT) est considéré comme sécurisé. Le fait qu'un utilisateur doive entrer un mot de passe pour accéder à ses fichiers personnels laisse la fausse impression que les fichiers et données personnels sont sécurisés. Cependant, même un système de fichiers avec des listes de contrôle d'accès (ACL) intégrées, comme NTFS, n'offre absolument aucune protection contre un attaquant qui a un accès physique au disque dur ou des droits d'administrateur sur un ordinateur donné. Dans les deux cas, le contrevenant peut accéder à des données sensibles. Pour ce faire, il aura besoin d'un éditeur de disque peu coûteux (ou généralement gratuit) pour lire les informations textuelles sur le disque auquel il a physiquement accès.
• Mode sommeil. Ce mode est très populaire sur les ordinateurs portables car il économise l'énergie de la batterie lorsque l'ordinateur est allumé mais pas utilisé. Lorsque l'ordinateur portable se met en veille, le système d'exploitation copie absolument toutes les données de la RAM sur le disque. Ainsi, lorsque l'ordinateur se réveille, le système d'exploitation peut facilement restaurer son état précédent. Évidemment, dans ce cas, des informations sensibles peuvent facilement accéder au disque dur.
• Partitions de disque dur cachées. Une partition cachée est une partition que le système d'exploitation ne montre pas du tout à l'utilisateur. Certaines applications (telles que celles utilisées pour économiser de l'énergie sur les ordinateurs portables) utilisent des partitions cachées pour y stocker des données au lieu de fichiers sur des partitions normales. Avec cette approche, les informations placées sur une partition cachée ne sont pas du tout protégées et peuvent être facilement lues par toute personne utilisant un éditeur de disque.
• Espace libre et espace entre les partitions. Les secteurs à la toute fin du disque n'appartiennent à aucune partition, parfois ils sont affichés comme libres. Un autre endroit non protégé est l'espace entre les cloisons. Malheureusement, certaines applications, ainsi que des virus, peuvent y stocker leurs données. Même si vous formatez le disque dur, ces informations resteront intactes. Il peut être facilement restauré.

Ainsi, pour protéger efficacement les données, il ne suffit pas de les chiffrer. Des précautions doivent être prises pour s'assurer que des copies d'informations secrètes ne «fuient» pas dans des fichiers temporaires et d'échange, ainsi que dans d'autres «endroits cachés» du système d'exploitation, où elles sont vulnérables à un attaquant.

Adéquation des différentes approches de chiffrement des données

Voyons comment différentes approches du chiffrement des données traitent les particularités des systèmes d'exploitation.

Cryptage par fichier

Cette méthode est principalement utilisée pour envoyer des fichiers cryptés par e-mail ou sur Internet. Dans ce cas, l'utilisateur crypte un fichier spécifique qui doit être protégé des tiers et l'envoie au destinataire. Cette approche souffre d'une faible vitesse, en particulier lorsqu'il s'agit de grandes quantités d'informations (après tout, vous devez chiffrer chaque fichier joint à la lettre). Un autre problème est que seul le fichier d'origine est crypté, tandis que les fichiers temporaires et le fichier d'échange restent totalement non protégés. La protection n'est donc fournie que contre un attaquant essayant d'intercepter un message sur Internet, mais pas contre un criminel qui a volé un ordinateur portable ou PDA. Ainsi, nous pouvons conclure que le chiffrement fichier par fichier ne protège pas les fichiers temporaires et que son utilisation pour protéger des informations importantes est inacceptable. Cependant, ce concept convient à l'envoi de petites quantités d'informations sur le réseau d'ordinateur à ordinateur.

Cryptage de dossier

Contrairement au chiffrement par fichier, cette approche vous permet de transférer des fichiers vers un dossier où ils seront chiffrés automatiquement. Ainsi, travailler avec des données protégées est beaucoup plus pratique. Étant donné que le chiffrement des dossiers est basé sur le chiffrement fichier par fichier, les deux méthodes ne fournissent pas une protection fiable pour les fichiers temporaires, les fichiers d'échange, ne suppriment pas physiquement les données du disque, etc. De plus, le cryptage des répertoires est très gourmand en mémoire et en ressources processeur. Il faut du temps au processeur pour chiffrer/déchiffrer constamment les fichiers, et de l'espace disque supplémentaire est alloué pour chaque fichier protégé (parfois plus de 2 Ko). Tout cela rend le chiffrement d'annuaire très gourmand en ressources et lent. En résumé, bien que cette méthode soit assez transparente, elle n'est pas recommandée pour protéger des informations sensibles. Surtout si un attaquant peut accéder à des fichiers temporaires ou à des fichiers d'échange.

Chiffrement des disques virtuels

Ce concept implique la création d'un gros fichier caché situé sur le disque dur. Le système d'exploitation le traite comme un lecteur logique distinct. L'utilisateur peut placer un logiciel sur un tel lecteur et le compresser pour économiser de l'espace. Considérez les avantages et les inconvénients de cette méthode.

Tout d'abord, l'utilisation de disques virtuels crée une charge accrue sur les ressources du système d'exploitation. Le fait est que chaque fois que le système d'exploitation accède à un disque virtuel, il doit rediriger la demande vers un autre objet physique - un fichier. Ceci, bien sûr, affecte négativement les performances. Étant donné que le système n'identifie pas un disque virtuel avec un disque physique, des problèmes peuvent survenir avec la protection des fichiers temporaires et du fichier d'échange. Par rapport au chiffrement de répertoire, le concept de disques virtuels présente à la fois des avantages et des inconvénients. Par exemple, un disque virtuel chiffré protège les noms de fichiers situés dans les tables de fichiers virtuels. Cependant, ce disque virtuel ne peut pas être étendu aussi facilement qu'un dossier normal, ce qui est très gênant. En résumé, nous pouvons dire que le chiffrement de disque virtuel est beaucoup plus fiable que les deux méthodes précédentes, mais il peut laisser des fichiers temporaires et des fichiers d'échange sans protection si les développeurs ne s'en occupent pas spécifiquement.

Cryptage du disque entier

Ce concept n'est pas basé sur le chiffrement fichier par fichier, mais sur le chiffrement secteur par secteur. En d'autres termes, tout fichier écrit sur le disque sera crypté. Les programmes cryptographiques chiffrent les données avant que le système d'exploitation ne les place sur le disque. Pour ce faire, le programme cryptographique intercepte toutes les tentatives du système d'exploitation d'écrire des données sur le disque physique (au niveau du secteur) et effectue des opérations de chiffrement à la volée. Grâce à cette approche, les fichiers temporaires, le fichier d'échange et tous les fichiers supprimés seront également cryptés. Une conséquence logique de cette méthode devrait être une réduction significative niveau général Performances de l'ordinateur. C'est sur ce problème que travaillent de nombreux développeurs d'outils de chiffrement, bien qu'il existe déjà plusieurs implémentations réussies de ces produits. Pour résumer, le chiffrement intégral du disque évite les situations où une partie des données importantes ou une copie exacte de celles-ci reste non chiffrée quelque part sur le disque.

Protection du processus de téléchargement. Comme indiqué précédemment, il est conseillé de protéger le processus de démarrage lors du chiffrement de l'intégralité du disque. Dans ce cas, personne ne pourra démarrer le système d'exploitation sans passer par la procédure d'authentification au début du démarrage. Et pour cela, vous devez connaître le mot de passe. Si un attaquant a un accès physique à un disque dur contenant des données secrètes, il ne pourra pas déterminer rapidement où se trouvent les fichiers système cryptés et où - une information important. Notez que si un logiciel cryptographique crypte l'intégralité du lecteur mais ne sécurise pas le processus de démarrage, il ne crypte pas les fichiers système et les secteurs de démarrage. Autrement dit, le disque n'est pas entièrement chiffré.

Ainsi, aujourd'hui, pour protéger de manière fiable les données confidentielles sur les ordinateurs portables, vous devez utiliser la technologie de chiffrement soit pour les disques virtuels, soit pour l'intégralité du disque. Cependant, dans ce dernier cas, vous devez vous assurer que l'outil cryptographique ne consomme pas tellement de ressources informatiques qu'il interfère avec le travail des utilisateurs. Notez que les entreprises russes ne produisent pas encore d'outils complets de chiffrement de disque, bien que plusieurs de ces produits existent déjà sur les marchés occidentaux. De plus, la protection des données sur un PDA est un peu plus facile, car en raison de la faible quantité d'informations stockées, les développeurs peuvent se permettre de chiffrer toutes les données en général, par exemple sur une carte flash.

Cryptage à l'aide d'une authentification forte

Un stockage fiable des données nécessite non seulement des technologies cryptographiques puissantes et bien mises en œuvre, mais également des moyens de fournir un accès personnalisé. À cet égard, l'utilisation d'une authentification forte à deux facteurs basée sur des clés matérielles ou des cartes à puce est la plus façon efficace stocker des clés de chiffrement, des mots de passe, des certificats numériques, etc. Pour réussir la procédure d'authentification forte, l'utilisateur doit présenter le jeton (clé USB ou carte à puce) au système d'exploitation (par exemple, l'insérer dans l'un des ports USB de l'ordinateur ou dans un lecteur de carte à puce de l'appareil), puis prouver que vous êtes bien propriétaire de cette clé électronique (c'est-à-dire entrer un mot de passe). Ainsi, la tâche d'un attaquant essayant d'accéder à des données sensibles est grandement compliquée : il lui faut non seulement connaître le mot de passe, mais également disposer d'un support physique dont seuls les utilisateurs légaux disposent.

La structure interne de la clé électronique suppose la présence d'une puce électronique et d'une petite quantité de mémoire non volatile. À l'aide d'une puce électronique, les données sont cryptées et décryptées en fonction des algorithmes cryptographiques intégrés à l'appareil. Les mots de passe, clés électroniques, codes d'accès et autres informations secrètes sont stockés dans une mémoire non volatile. La clé matérielle elle-même est protégée contre le vol par un code PIN, et des mécanismes spéciaux intégrés à la clé protègent ce mot de passe de la force brute.

Résultats

Ainsi, une protection efficace des données implique l'utilisation d'outils de chiffrement forts (basés sur des technologies de disques virtuels ou couvrant l'intégralité du disque) et d'outils d'authentification forts (tokens et cartes à puce). Parmi les moyens de chiffrement fichier par fichier, idéal pour envoyer des fichiers sur Internet, il convient de noter le programme PGP bien connu, qui peut satisfaire presque toutes les demandes des utilisateurs.

Au stade actuel de développement de la société, ce n'est pas une ressource nouvelle, mais toujours une ressource précieuse appelée information qui acquiert la plus grande valeur. L'information devient aujourd'hui la principale ressource du développement scientifique, technique et socio-économique de la communauté mondiale. Presque toutes les activités de la société actuelle sont étroitement liées à la réception, l'accumulation, le stockage, le traitement et l'utilisation de divers flux d'informations. L'intégrité du monde moderne en tant que communauté est assurée principalement par un échange intensif d'informations.

Par conséquent, dans les nouvelles conditions, de nombreux problèmes se posent pour assurer la sécurité et la confidentialité des informations commerciales en tant que type de propriété intellectuelle.

Liste des sources et de la littérature utilisées

1. Lopatin V.N. Sécurité des informations.
2. Principes fondamentaux de la sécurité de l'information : manuel / VA Minaev , SV Skryl , AP Fisun , VE Potanin , SV Dvoryankin .
3. GOSTST 50922-96. Protection des informations. Termes et définitions de base.
4. www.intuit.ru

À Odnoklassniki