Błędy 

Systemy ochrony informacji poufnych w organizacji. Podstawowe środki ochrony informacji poufnych


Ogólna struktura ustroju państwowego ochrona informacji a główne kierunki jej rozwoju i doskonalenia określa Doktryna Bezpieczeństwa Informacyjnego Federacji Rosyjskiej, zatwierdzona przez Prezydenta Federacji Rosyjskiej w dniu 9 września 2000 r. Zgodnie z Doktryną, bezpieczeństwo informacyjne państwa można rozpatrywać w szerokim i wąskim znaczeniu tego słowa.

W szerokim sensie bezpieczeństwo informacyjne Federacji Rosyjskiej to stan ochrony jej interesów narodowych w sferze informacyjnej, wyznaczany przez ogół zrównoważonych interesów jednostki, społeczeństwa i państwa. Jest to więc system gwarancji państwowych przed zagrożeniami zewnętrznymi i zagrożeniami dla podstaw ustroju konstytucyjnego w kraju.

W wąskim znaczeniu bezpieczeństwo informacji to ochrona przez organy państwowe różnego rodzaju tajemnic, których ujawnienie może mieć wpływ na bezpieczeństwo polityczne, gospodarcze, naukowe, techniczne i inne państwa.

Generalnie instytucję prawną ochrony tajemnic można uznać za instytucję regulującą public relations informacji, która składa się z trzech elementów:

    informacje związane z określonym rodzajem tajemnicy, a także zasady, kryteria, według których informacje te są klasyfikowane jako tajemnica;

    tryb tajności (poufności) – mechanizm ograniczania dostępu do określonych informacji, tj. mechanizm ich ochrony;

    sankcje za nielegalne otrzymywanie lub rozpowszechnianie chronionych informacji.

    Celem polityki państwa w zakresie ochrony informacji jest zapobieganie uszkodzeniom bezpieczeństwa informacji w wyniku nieuprawnionego (nielegalnego) dostępu do informacji chronionych.

Polityka państwa w zakresie ochrony informacji prowadzona jest zgodnie z ustalonymi zasadami:

    legalność (ustanowienie jednolitych ram regulacyjnych w dziedzinie ochrony informacji);

    zapewnienie równowagi interesów jednostki i państwa w procesie przestrzegania konstytucyjnych praw człowieka i obywatela do otrzymywania, dostępu do informacji oraz ustawowych ograniczeń rozpowszechniania informacji w celu zapewnienia bezpieczeństwa informacyjnego państwa;

    aktualność naukową, podejmowanie optymalnych decyzji w zakresie bezpieczeństwa informacji;

    spójność, złożoność (stosowanie wszelkich form i metod ochrony informacji, centralizacja zarządzania systemem ochrony informacji, klarowna interakcja wszystkich jego elementów, realizacja zasady odpowiedzialności osobistej);

    ciągłość działań w zakresie identyfikacji i zapobiegania zagrożeniom dla informacji chronionych;

    profilaktyka, tj. wstępny, proaktywny charakter środków zapobiegających zagrożeniom dla chronionych informacji.

    Doktryna Bezpieczeństwa Informacji wymienia priorytetowe problemy w tym obszarze, które wymagają pilnych rozwiązań w nowoczesnych warunkach.

Obejmują one:

    wzmocnienie mechanizmów prawnych regulacji stosunków w zakresie ochrony własności intelektualnej, tworzenie warunków do przestrzegania ograniczeń dostępu do informacji poufnych ustanowionych przez prawo federalne;

    zapewnienie zakazu gromadzenia, przechowywania, wykorzystywania i rozpowszechniania informacji o życiu prywatnym osoby bez jej zgody oraz innych informacji, do których dostęp jest ograniczony prawem federalnym;

    opracowanie i przyjęcie regulacyjnych aktów prawnych Federacji Rosyjskiej ustanawiających odpowiedzialność osób prawnych i osób fizycznych za bezprawne ujawnienie informacji poufnych, wykorzystanie informacji o ograniczonej dystrybucji do celów przestępczych i najemników;

    zapewnienie obywatelom dostępu do otwartych państwowych zasobów informacyjnych. W tym obszarze planuje się zintensyfikowanie tworzenia otwartych państwowych zasobów informacyjnych, zwiększenie efektywności ich gospodarczego wykorzystania.

Rozwinięciem postanowień Doktryny Bezpieczeństwa Informacyjnego Federacji Rosyjskiej o zapewnieniu obywatelom dostępu do otwartych państwowych zasobów informacyjnych jest w szczególności przyjęcie Dekretu Rządu Federacji Rosyjskiej nr 98 z dnia 12 lutego 2003 r.” W sprawie zapewnienia dostępu do informacji o działalności Rządu Federacji Rosyjskiej i federalnych organów wykonawczych”. Dekret zatwierdził wykaz informacji o działalności rządu Federacji Rosyjskiej i federalnych organów wykonawczych, obowiązkowych do umieszczenia w publicznych systemach informacyjnych, m.in. w Internecie.

Lista informacji obejmuje:

    ustawy federalne, dekrety Prezydenta, akty prawne Rządu;

    informacje o działalności legislacyjnej rządu, projektach ustaw federalnych, federalnych programach celowych i koncepcjach opracowanych przez federalne władze wykonawcze;

    informacje o głównych wskaźnikach rozwoju społeczno-gospodarczego Federacji Rosyjskiej i wykorzystaniu budżetu federalnego;

    rozpatrywanie odwołań obywateli i organizacji do Rządu Federacji Rosyjskiej i federalnych organów wykonawczych w sprawie podjętych środków;

    informacje o służbie publicznej w aparacie rządu Federacji Rosyjskiej i federalnych organach wykonawczych;

    informacje o oficjalnych wizytach i wyjazdach roboczych Prezesa Rady Ministrów, członków Rządu, delegacji rządowych itp.

Priorytetowe działania na rzecz poprawy regulacyjnego wsparcia prawnego bezpieczeństwa informacji powinny obejmować opracowanie następujących projektów ustaw:

    O danych osobowych.

    Na prawo do informacji.

    O prywatności, o tajemnicach osobistych i rodzinnych.

    O tajemnicach handlowych.

    O bezpieczeństwie narodowym.

Realizacja tych zadań wiąże się z realizacją Federalnego Programu Celowego „Elektroniczna Rosja (2002-2010)”, zatwierdzonego Dekretem Rządu Federacji Rosyjskiej z dnia 28 stycznia 2002 r. nr 65.

Oprócz zadań zapewnienia bezpieczeństwa informacyjnego Federacji Rosyjskiej program przewiduje opracowanie Koncepcji zapewnienia publicznego dostępu do państwowych zasobów informacyjnych, a także inwentaryzację i analizę państwowych systemów informacyjnych i zasobów informacyjnych istniejących w Rosja.

Doktryna bezpieczeństwa informacji Federacji Rosyjskiej wymienia następujące ogólne sposoby zapewnienia bezpieczeństwa informacji:

    prawny;

    metody organizacyjne i techniczne;

    gospodarczy.

    Doktryna bezpieczeństwa informacji Federacji Rosyjskiej wymienia cztery grupy obiektów bezpieczeństwa informacji. Obejmują one:

    zasoby informacyjne zawierające informacje poufne;

    środki i systemy informatyzacji (w tym - środki technologii komputerowych, kompleksy, sieci i systemy informatyczne i obliczeniowe); narzędzia programowe (systemy operacyjne, systemy zarządzania bazami danych, inne ogólne oprogramowanie systemowe i aplikacyjne); ACS, systemy komunikacji i transmisji danych, które przetwarzają informacje o ograniczonym dostępie, oraz ich informacyjne pola fizyczne;

    środki techniczne, systemy przetwarzające informacje otwarte, ale znajdujące się w pomieszczeniach, w których przetwarzane są informacje o ograniczonym dostępie, a także same pomieszczenia przeznaczone do przetwarzania tych informacji;

    pomieszczenia przeznaczone do prowadzenia negocjacji zamkniętych, a także negocjacji, w trakcie których ogłaszana jest informacja o ograniczonym rozpowszechnianiu.

Ustawodawstwo Federacji Rosyjskiej stanowi, że udokumentowane informacje (dokumenty) są publicznie dostępne, z wyjątkiem tych zakwalifikowanych przez prawo jako ograniczony dostęp, który podlega ochronie przed nielegalnym rozpowszechnianiem (ujawnieniem) i stanowi tajemnicę prawnie chronioną.

Podstawą ustawodawstwa w tej dziedzinie są artykuły Konstytucji Federacji Rosyjskiej o prawie obywateli do informacji, które są zgodne z międzynarodowymi standardami w tej dziedzinie. Tajemnica korespondencji, rozmów telefonicznych, przesyłki pocztowe, telegraficzne i inne wiadomości, tajemnice osobiste i rodzinne (art. 23). Zabrania się zbierania, przechowywania, wykorzystywania i rozpowszechniania informacji o życiu prywatnym osoby bez jej zgody (art. 24). Przepisy te zostały opracowane w ustawach federalnych.

Ustawa federalna „O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. Nr 149-FZ dodatkowo ustanawia następujące gwarancje wykonywania prawa dostępu do informacji:

    władze publiczne i organy samorządu terytorialnego tworzą dostępne dla każdego zasoby informacyjne o działalności tych organów i organizacji im podległych, a także, w ramach swoich kompetencji, udzielają masowo użytkownikom informacji o prawach, wolnościach i obowiązkach obywateli, ich bezpieczeństwie oraz inne kwestie reprezentujące interes publiczny;

    obywatele, władze publiczne, samorządy, organizacje i stowarzyszenia społeczne mają równe prawa dostępu do państwowych zasobów informacyjnych i nie są zobowiązani do uzasadniania właścicielom tych zasobów konieczności uzyskania żądanych informacji. Wyjątkiem są informacje o ograniczonym dostępie;

    organy państwowe i organizacje odpowiedzialne za tworzenie i wykorzystywanie zasobów informacyjnych zapewniają warunki do szybkiego i pełnego przedstawienia użytkownikowi udokumentowanych informacji zgodnie z obowiązkami określonymi w statutach (regulaminach) tych organów i organizacji;

    obywatele i organizacje mają prawo dostępu do udokumentowanych informacji na ich temat, wyjaśnienia tych informacji w celu zapewnienia ich kompletności i wiarygodności, mają prawo wiedzieć, kto i w jakich celach wykorzystuje lub wykorzystuje te informacje. Ograniczenie dostępu obywateli i organizacji do informacji na ich temat jest dopuszczalne tylko z przyczyn przewidzianych w ustawach federalnych;

    informacje legalnie uzyskane z państwowych zasobów informacyjnych przez obywateli i organizacje mogą być przez nich wykorzystywane do tworzenia informacji pochodnych w celu ich komercyjnej dystrybucji z obowiązkowym wskazaniem źródła informacji;

    Odmowa dostępu do otwartych informacji lub podanie użytkownikom celowo fałszywych informacji może być zaskarżone w sądzie. Niewykonanie lub nienależyte wykonanie zobowiązań wynikających z umowy dostawy, kupna-sprzedaży, inne formy wymiany zasobów informacji pomiędzy organizacjami rozpatruje sąd polubowny. We wszystkich przypadkach osoby, którym odmówiono dostępu do informacji oraz osoby, które otrzymały nieprawdziwe informacje, mają prawo do odszkodowania za poniesioną szkodę.

We współczesnym ustawodawstwie nie ma jasności i jedności w aparacie pojęciowym w dziedzinie ochrony informacji. Jedynie ustawy federalne wymieniają ponad 30 rodzajów tajemnic, które stanowią bezpośrednie ograniczenia realizacji praw i wolności informacyjnych, a wśród nich: tajemnice handlowe; tajemnica przemysłowa; tajny proces handlowy; informacje, których nie można uzyskać w toku zwykłej praktyki administracyjnej itp.

W ostatnich latach podjęto próby usprawnienia kompozycji rodzajów tajemnic. W 1995 r. w ustawie federalnej „O informacji, informatyzacji i ochronie informacji” wszystkie informacje o ograniczonym dostępie zostały podzielone na tajemnice państwowe i informacje poufne (art. 8 i 10). Jednocześnie spośród rodzajów informacji poufnych w tej ustawie wymieniono jedynie tajemnice osobiste i rodzinne, dane osobowe, prywatność korespondencji, wiadomości telefoniczne, pocztowe i telegraficzne oraz inne. Jednak w 1996 r. w ustawie federalnej „O udziale w międzynarodowej wymianie informacji” (art. 8) tajemnica państwowa została zdefiniowana jako jeden z rodzajów informacji poufnych.

Zgodnie z dekretem Prezydenta Federacji Rosyjskiej z dnia 6 marca 1997 r. Nr 188 „O zatwierdzeniu wykazu informacji poufnych” określono ogólne pojęcie informacji poufnych. Zgodnie z wykazem informacje poufne dzieli się na następujące grupy:

    informacje o faktach, zdarzeniach i okolicznościach życia prywatnego obywatela, pozwalające na identyfikację jego osobowości (dane osobowe), z wyjątkiem informacji przeznaczonych do rozpowszechniania w mediach w przypadkach określonych ustawami federalnymi;

    informacje stanowiące tajemnicę śledztwa i postępowania sądowego;

    informacje urzędowe, do których dostęp jest ograniczony przez władze publiczne zgodnie z Kodeksem Cywilnym Federacji Rosyjskiej i ustawami federalnymi (tajemnica urzędowa);

    informacje związane z działalnością zawodową, do których dostęp jest ograniczony zgodnie z Konstytucją Federacji Rosyjskiej i ustawami federalnymi (tajemnica medyczna, notarialna, adwokacka, korespondencja, rozmowy telefoniczne, przesyłki pocztowe, telegraficzne i inne wiadomości itp.) (tajemnica zawodowa );

    informacje związane z działalnością handlową, do której dostęp jest ograniczony zgodnie z Kodeksem Cywilnym Federacji Rosyjskiej i ustawami federalnymi (tajemnica handlowa);

    informacji o istocie wynalazku, wzoru użytkowego lub wzoru przemysłowego przed urzędową publikacją informacji o nich.

Ustawa federalna „O informacji, technologiach informacyjnych i ochronie informacji” określa następujące cele ochrony informacji:

    zapobieganie wyciekom, kradzieży, utracie, zniekształceniu, fałszowaniu informacji;

    zapobieganie zagrożeniom bezpieczeństwa jednostki, społeczeństwa i państwa;

    zapobieganie nieautoryzowanym działaniom niszczenia, modyfikowania, zniekształcania, kopiowania, blokowania informacji; zapobieganie innym formom bezprawnej ingerencji w zasoby informacyjne i systemy informacyjne, zapewnienie porządku prawnego udokumentowanej informacji jako przedmiotu własności;

    ochrona konstytucyjnych praw obywateli do zachowania tajemnicy osobistej i poufności danych osobowych dostępnych w systemach informatycznych;

    zachowanie tajemnicy państwowej, poufność udokumentowanych informacji zgodnie z prawem;

    zapewnienie praw podmiotów w procesach informacyjnych oraz w rozwoju, produkcji i stosowaniu systemów informatycznych, technologii i środków ich wsparcia.

    Ustawa ta określa, że ​​system ochrony informacji jest ustanowiony:

    w odniesieniu do poufnych udokumentowanych informacji - przez właściciela zasobów informacyjnych lub osobę upoważnioną na podstawie niniejszej ustawy federalnej;

    w odniesieniu do danych osobowych - przez prawo federalne.

Prawo federalne „O informacjach, technologiach informacyjnych i ochronie informacji” zabrania klasyfikowania następujących informacji jako informacji o ograniczonym dostępie:

    akty ustawodawcze i inne akty normatywne określające status prawny organów władzy publicznej, organów samorządu terytorialnego, organizacji, stowarzyszeń społecznych, a także prawa, wolności i obowiązki obywateli, tryb ich wykonywania;

    dokumenty zawierające informacje o sytuacjach awaryjnych, środowiskowe, meteorologiczne, demograficzne, sanitarno-epidemiologiczne i inne niezbędne do zapewnienia bezpiecznego funkcjonowania osiedli, zakładów produkcyjnych, bezpieczeństwa obywateli i całej populacji;

    dokumenty zawierające informacje o działalności organów władzy publicznej i samorządu terytorialnego, o wykorzystaniu środki budżetowe oraz inne zasoby państwowe i lokalne, o stanie gospodarki i potrzebach ludności, z wyjątkiem informacji stanowiących tajemnicę państwową;

    dokumenty gromadzone w otwartych funduszach bibliotek i archiwów, systemach informacyjnych władz publicznych, samorządów terytorialnych, stowarzyszeń społecznych, organizacji pożytku publicznego lub niezbędnych do realizacji praw, wolności i obowiązków obywateli.

Kodeks cywilny (kc) Federacji Rosyjskiej (art. 139) określa znaki tajemnicy urzędowej i handlowej jako szczególny przedmiot praw obywatelskich, a także określa podstawy i formy ich ochrony.

Tajemnica handlowa i służbowa jako przedmiot prawa cywilnego ma trzy cechy:

    Informacje mają rzeczywistą lub potencjalną wartość handlową ze względu na to, że są nieznane osobom trzecim.

    Nie ma do niego legalnego dostępu.

    Właściciel informacji podejmuje działania mające na celu ochronę ich poufności.

Ogólne wymagania dotyczące ochrony informacji w zakresie międzynarodowej wymiany informacji określa Dekret Prezydenta Federacji Rosyjskiej z dnia 17 maja 2004 r. „W sprawie środków zapewnienia bezpieczeństwa informacyjnego Federacji Rosyjskiej w zakresie międzynarodowej wymiany informacji ”. Niniejszy dekret ustanawia wymagania dotyczące zapewnienia bezpieczeństwa międzynarodowej wymiany informacji za pośrednictwem systemów informatycznych, sieci i sieci komunikacyjnych, w tym międzynarodowego stowarzyszenia sieci „Internet”.

Zgodnie z dekretem podmiotom międzynarodowej wymiany informacji zaleca się niewłączanie systemów informatycznych, sieci komunikacyjnych oraz autonomicznych komputerów osobistych, w których przetwarzane są informacje zawierające informacje stanowiące tajemnicę państwową, informacje zastrzeżone o ograniczonej dystrybucji, dla których obowiązują szczególne zasady dostępu do zasobów informacyjnych, w ramach środków międzynarodowej wymiany informacji, m.in. do Międzynarodowego Stowarzyszenia Sieci Internetowych.

Właściciele otwartych, publicznie dostępnych państwowych zasobów informacyjnych muszą włączać je w skład obiektów międzynarodowej wymiany informacji tylko wtedy, gdy korzystają z certyfikowanych narzędzi ochrony informacji zapewniających ich integralność i dostępność, m.in. kryptograficzne środki ochrony w celu potwierdzenia dokładności informacji.

Właściciele i użytkownicy tych zasobów muszą umieszczać środki techniczne podłączone do otwartych systemów informatycznych i sieci komunikacyjnych wykorzystywanych w międzynarodowej wymianie informacji, w tym w Internecie, poza pomieszczeniami przeznaczonymi do zamkniętych negocjacji i działalności naukowej w tym zakresie.

Ożywienie nowoczesnych warunków działalności przedsiębiorczej pociągnęło za sobą opracowanie dokumentów regulacyjnych dotyczących zagadnień związanych z ochroną tajemnicy handlowej.

W ZSRR pierwsza i jedyna prawna definicja tajemnicy handlowej została podana w ustawie „O przedsiębiorstwach w ZSRR” z dnia 4 czerwca 1990 r. (art. 33). W artykule tym stwierdzono, że „tajemnica przedsiębiorstwa jest rozumiana jako informacje niebędące tajemnicą państwową, dotyczące produkcji, informacji technologicznej, zarządzania, finansów i innej działalności przedsiębiorstwa, których ujawnienie (przekazanie, wyciek) może zaszkodzić jego zainteresowania."

Zagadnienia ochrony tajemnicy przedsiębiorstwa znajdują odzwierciedlenie w artykułach 10, 13 - 15 Ustawy RSFSR z dnia 22 marca 1991 r. Nr 948-1 (zm. 21 marca 2002 r. Nr 31-FZ) „O konkurencji i ograniczenie działalności monopolistycznej na rynkach towarowych."

Art. 10 ustawy klasyfikuje przyjmowanie, wykorzystywanie, ujawnianie informacji naukowych, technicznych, produkcyjnych lub handlowych, w tym tajemnic handlowych, bez zgody ich właściciela, jako formy nieuczciwej konkurencji.

Zgodnie z ustawą federalną N 98-FZ „O tajemnicach handlowych” z dnia 29 lipca 2004 r. przez tajemnicę handlową rozumie się „poufność informacji, która pozwala jej właścicielowi, w istniejących lub możliwych okolicznościach, zwiększyć dochody, uniknąć nieuzasadnionych wydatków, zachować pozycji na rynku towarów, robót, usług lub uzyskania innej korzyści handlowej.

Do informacji stanowiących tajemnicę handlową, zgodnie z ust. 2 art. 3 tej ustawy odnosi się do informacji naukowych, technicznych, technologicznych, przemysłowych, finansowych, gospodarczych lub innych (w tym składnika tajemnicy produkcyjnej (know-how), które mają rzeczywistą lub potencjalną wartość handlową ze względu na nieznaną osobom trzecim, dla których nie ma swobodnego dostępu na podstawie prawnej, w związku z którą właściciel takich informacji wprowadził reżim tajemnicy handlowej.

Ten przepis ustawy można interpretować dość szeroko, gdyż wymienia on „inne” informacje, które mogą zostać zakwalifikowane jako tajemnica przedsiębiorstwa. Ponadto znaczenie tej definicji praktycznie kopiuje art. 139 Kodeksu cywilnego Federacji Rosyjskiej. Zmiany dotyczyły głównie wyjaśnień w zakresie technologii, a zamiast podejmowania działań mających na celu ochronę poufności wprowadzono reżim tajemnicy handlowej.

Przepisy tej ustawy stosuje się do informacji stanowiących tajemnicę handlową, bez względu na rodzaj nośnika, na którym są utrwalone.

Informacje, które nie mogą stanowić tajemnicy handlowej, są określone w Rozporządzeniu Rządu Federacji Rosyjskiej z dnia 5 grudnia 1991 r. nr 35 (zmienionym Rozporządzeniem Rządu Federacji Rosyjskiej z dnia 3 października 2002 r. nr 731), a także jak w ustawie „O tajemnicach handlowych”.

Reżimu tajemnicy handlowej nie mogą ustanowić osoby prowadzące działalność gospodarczą w odniesieniu do następujących informacji:

    o składzie majątku państwowego lub komunalnego przedsiębiorstwa unitarnego, instytucji państwowej oraz o wykorzystaniu przez nie środków odpowiednich budżetów;

    na zanieczyszczenie środowiska, stan bezpieczeństwa przeciwpożarowego, sytuację sanitarno-epidemiologiczną i radiacyjną, bezpieczeństwo żywności i inne czynniki, które mają negatywny wpływ na zapewnienie bezpiecznej eksploatacji zakładów produkcyjnych, bezpieczeństwo każdego obywatela oraz bezpieczeństwo ludności jako cały;

    liczby, składu pracowników, systemu wynagrodzeń, warunków pracy, w tym ochrony pracy, wskaźników wypadków przy pracy i zachorowalności zawodowej oraz dostępności wolnych miejsc pracy;

    od długów pracodawców z tytułu wynagrodzeń i innych świadczeń socjalnych;

    o naruszeniach ustawodawstwa Federacji Rosyjskiej i faktach pociągnięcia do odpowiedzialności za te naruszenia;

    na warunkach przetargów lub aukcji na prywatyzację obiektów własności państwowej lub komunalnej;

    o wielkości i strukturze dochodów organizacji non-profit, o wielkości i składzie ich majątku, o ich wydatkach, o liczbie i płacach ich pracowników, o wykorzystaniu nieodpłatnej pracy obywateli w działalności organizacji non- organizacja zysku;

    na liście osób uprawnionych do działania bez pełnomocnictwa w imieniu osoby prawnej;

    którego obowiązkowe ujawnienie lub niedopuszczalność ograniczenia dostępu określają inne ustawy federalne.

Część 1 artykułu 10 stanowi, że środki ochrony poufności informacji podjęte przez ich właściciela powinny obejmować:

    ustalenie wykazu informacji stanowiących tajemnicę handlową;

    ograniczenia dostępu do informacji stanowiących tajemnicę handlową poprzez ustanowienie trybu postępowania z tymi informacjami oraz monitorowanie przestrzegania tej procedury;

    rejestracji osób, które uzyskały dostęp do informacji stanowiących tajemnicę handlową oraz osób, którym te informacje zostały udzielone lub przekazane;

    regulowanie stosunków w zakresie wykorzystywania informacji stanowiących tajemnicę przedsiębiorstwa przez pracowników na podstawie umów o pracę oraz zleceniobiorców na podstawie umów cywilnoprawnych;

    oznaczenie „tajemnicy handlowej” na nośnikach materialnych (dokumentach) zawierających informacje stanowiące tajemnicę handlową ze wskazaniem właściciela tych informacji.

Obowiązkowe środki obejmują również ustanowienie procedury postępowania z informacjami chronionymi i monitorowanie przestrzegania tej procedury (część 1.2, artykuł 10), oznaczanie „tajemnic handlowych” na nośnikach fizycznych chronionych informacji (część 1.5, artykuł 10) itp. Nieprzestrzeganie powyższe środki prowadzą do tego, że organizacja nie może posiadać informacji stanowiących tajemnicę handlową. Jest to wyraźnie stwierdzone w części 2 artykułu 10 – „układ tajemnicy handlowej uważa się za ustanowiony po podjęciu przez właściciela informacji stanowiącej tajemnicę handlową środków określonych w części 1 tego artykułu”.

W celu ochrony poufności informacji pracodawca jest również zobowiązany do:

    zapoznać pracownika, którego dostęp do informacji stanowiących tajemnicę handlową jest niezbędny do wykonywania obowiązków służbowych, z wykazem informacji stanowiących tajemnicę handlową, posiadanych przez pracodawcę i jego kontrahentów, za pokwitowaniem;

    zaznajomić pracownika z otrzymaniem przez pracodawcę reżimu tajemnicy handlowej i środków odpowiedzialności za jego naruszenie;

    stworzyć pracownika niezbędne warunki przestrzeganie reżimu tajemnicy handlowej ustanowionego przez pracodawcę.

    Środki mające na celu ochronę poufności informacji uważa się za racjonalnie wystarczające, jeżeli:

    dostęp do informacji stanowiących tajemnicę handlową jest wyłączony dla jakichkolwiek osób bez zgody ich właściciela;

    zapewniona jest możliwość wykorzystywania przez pracowników informacji stanowiących tajemnicę przedsiębiorstwa i przekazywania ich kontrahentom bez naruszania zasad tajemnicy przedsiębiorstwa.

Oprogramowanie i sprzętowe środki ochrony przed nieuprawnionym dostępem obejmują środki identyfikacji, uwierzytelniania i kontroli dostępu do systemu informatycznego.

Identyfikacja to przypisanie unikalnych identyfikatorów do tematów dostępu.

Obejmuje to znaczniki częstotliwości radiowych, technologie biometryczne, karty magnetyczne, uniwersalne klucze magnetyczne, loginy umożliwiające wejście do systemu itp.

Uwierzytelnianie – weryfikacja własności podmiotu dostępu do prezentowanego identyfikatora oraz potwierdzenie jego autentyczności.

Procedury uwierzytelniania obejmują hasła, kody PIN, karty inteligentne, klucze USB, podpisy cyfrowe, klucze sesji itp. Część proceduralna środków identyfikacji i uwierzytelniania jest ze sobą połączona i w rzeczywistości stanowi podstawową podstawę wszystkich narzędzi programowych i sprzętowych w celu zapewnienia bezpieczeństwa informacji, ponieważ wszystkie inne usługi są zaprojektowane tak, aby służyć konkretnym podmiotom prawidłowo rozpoznanym przez system informacyjny. Ogólnie rzecz biorąc, identyfikacja pozwala podmiotowi zidentyfikować się w systemie informacyjnym, a za pomocą uwierzytelnienia system informacyjny potwierdza, że ​​podmiot jest naprawdę tym, za kogo się podaje. Na podstawie przejścia tej operacji wykonywana jest operacja udostępnienia systemu informatycznego. Procedury kontroli dostępu umożliwiają uprawnionym podmiotom wykonywanie czynności dopuszczonych przepisami, a system informatyczny kontrolowanie tych czynności pod kątem poprawności i poprawności uzyskanego wyniku. Kontrola dostępu pozwala systemowi ukryć przed użytkownikami dane, do których nie mają dostępu.

Kolejnym sposobem ochrony oprogramowania i sprzętu jest rejestrowanie i audyt informacji.

Rejestrowanie obejmuje zbieranie, gromadzenie i przechowywanie informacji o zdarzeniach, działaniach, wynikach, które miały miejsce podczas działania systemu informatycznego, poszczególnych użytkownikach, procesach oraz całym oprogramowaniu i sprzęcie, które są częścią systemu informatycznego przedsiębiorstwa.

Ponieważ każdy element systemu informacyjnego ma z góry określony zestaw możliwych zdarzeń zgodnie z zaprogramowanymi klasyfikatorami, zdarzenia, akcje i wyniki są podzielone na:

  • zewnętrzne, spowodowane działaniem innych składników,
  • wewnętrzne, spowodowane działaniem samego komponentu,
  • klienta, spowodowane działaniami użytkowników i administratorów.
Audyt informacyjny polega na przeprowadzeniu analizy operacyjnej w czasie rzeczywistym lub w zadanym okresie.

Na podstawie wyników analizy generowany jest raport o zaistniałych zdarzeniach lub inicjowana jest automatyczna reakcja na sytuację awaryjną.

Wdrożenie logowania i audytu rozwiązuje następujące zadania:

  • zapewnienie rozliczalności użytkowników i administratorów;
  • umożliwienie rekonstrukcji sekwencji wydarzeń;
  • wykrywanie prób naruszenia bezpieczeństwa informacji;
  • dostarczanie informacji w celu identyfikacji i analizy problemów.

Często ochrona informacji jest niemożliwa bez użycia narzędzi kryptograficznych. Służą one do świadczenia usług szyfrowania, integralności i uwierzytelniania, gdy środki uwierzytelniania są przechowywane przez użytkownika w postaci zaszyfrowanej. Istnieją dwie główne metody szyfrowania: symetryczne i asymetryczne.

Kontrola integralności pozwala na ustalenie autentyczności i tożsamości obiektu, jakim jest tablica danych, poszczególne porcje danych, źródło danych, a także zapewnienie niemożliwości oznaczenia tablicy informacji wykonywanej w systemie akcji. Wdrożenie kontroli integralności opiera się na technologiach konwersji danych z wykorzystaniem szyfrowania i certyfikatów cyfrowych.

Innym ważnym aspektem jest zastosowanie screeningu, technologii pozwalającej, poprzez ograniczenie dostępu podmiotów do zasobów informacyjnych, kontrolować wszelkie przepływy informacji pomiędzy systemem informacyjnym przedsiębiorstwa a obiektami zewnętrznymi, tablicami danych, podmiotami i kontrpodmiotami. Sterowanie przepływem polega na ich filtrowaniu iw razie potrzeby przekształcaniu przesyłanych informacji.

Zadaniem osłony jest ochrona informacji wewnętrznych przed potencjalnie wrogimi czynnikami zewnętrznymi i podmiotami. Główną formą implementacji ekranowania są firewalle lub firewalle różnych typów i architektur.

Ponieważ jednym z przejawów bezpieczeństwa informacji jest dostępność zasobów informacyjnych, zapewnienie wysokiego poziomu dostępności jest ważnym kierunkiem we wdrażaniu środków programowych i sprzętowych. W szczególności podzielone są dwa obszary: zapewnienie odporności na awarie, tj. awaryjne przełączanie systemu, możliwość pracy w przypadku wystąpienia błędów oraz zapewnienie bezpiecznego i szybkiego przywracania sprawności po awariach, czyli m.in. serwisowalność systemu.

Głównym wymaganiem stawianym systemom informatycznym jest to, aby zawsze działały z określoną wydajnością, minimalnym czasem przestoju i szybkością reakcji.

Zgodnie z tym dostępność zasobów informacyjnych zapewniają:

  • zastosowanie architektury strukturalnej, co oznacza, że ​​poszczególne moduły można w razie potrzeby wyłączyć lub szybko wymienić bez wpływu na inne elementy systemu informatycznego;
  • zapewnienie odporności na awarie dzięki: wykorzystaniu autonomicznych elementów infrastruktury wspierającej, wprowadzeniu nadmiaru przepustowości w konfiguracji oprogramowania i sprzętu, redundancji sprzętu, replikacji zasobów informacyjnych w systemie, Zarezerwuj kopię dane itp.
  • zapewnienie łatwości konserwacji poprzez skrócenie czasu diagnozowania i eliminowania awarii oraz ich konsekwencji.

Innym rodzajem środków bezpieczeństwa informacji są bezpieczne kanały komunikacji.

Funkcjonowanie systemów informatycznych nieuchronnie wiąże się z przesyłaniem danych, dlatego też konieczne jest zapewnienie przez przedsiębiorstwa ochrony przesyłanych zasobów informacji za pomocą bezpiecznych kanałów komunikacji. Możliwość nieuprawnionego dostępu do danych podczas transmisji ruchu przez otwarte kanały komunikacji wynika z ich powszechnej dostępności. Ponieważ „komunikacja na całej długości nie może być fizycznie chroniona, dlatego lepiej początkowo przyjąć założenie, że są one podatne na zranienie i odpowiednio zapewnić ochronę” . W tym celu wykorzystywane są technologie tunelowania, których istotą jest enkapsulacja danych, tj. pakować lub zawijać przesyłane pakiety danych, w tym wszystkie atrybuty usług, we własne koperty. W związku z tym tunel jest bezpiecznym połączeniem przez otwarte kanały komunikacyjne, przez które przesyłane są kryptograficznie chronione pakiety danych. Tunelowanie służy do zapewnienia poufności ruchu poprzez ukrywanie informacji o usługach oraz zapewnienie poufności i integralności przesyłanych danych w połączeniu z elementami kryptograficznymi systemu informatycznego. Połączenie tunelowania i szyfrowania umożliwia wdrożenie wirtualnej sieci prywatnej. Jednocześnie punkty końcowe tuneli wdrażających wirtualne sieci prywatne są zaporami ogniowymi, które służą do łączenia organizacji z sieciami zewnętrznymi.

Firewalle jako punkty realizacji usługi wirtualnych sieci prywatnych

Tunelowanie i szyfrowanie są więc dodatkowymi przekształceniami wykonywanymi w procesie filtrowania ruchu sieciowego wraz z translacją adresów. Końcami tuneli, oprócz zapór korporacyjnych, mogą być komputery osobiste i mobilne pracowników, a dokładniej ich zapory osobiste i zapory sieciowe. Dzięki takiemu podejściu zapewnione jest funkcjonowanie bezpiecznych kanałów komunikacji.

Procedury bezpieczeństwa informacji

Procedury bezpieczeństwa informacji są zwykle podzielone na poziomy administracyjne i organizacyjne.

  • Procedury administracyjne obejmują ogólne czynności podejmowane przez kierownictwo organizacji w celu uregulowania wszelkich prac, czynności, operacji w zakresie zapewnienia i utrzymania bezpieczeństwa informacji, realizowane poprzez alokację niezbędnych zasobów i monitorowanie skuteczności podejmowanych działań.
  • Poziom organizacyjny reprezentuje procedury zapewniające bezpieczeństwo informacji, w tym zarządzanie personelem, ochronę fizyczną, utrzymanie sprawności infrastruktury programowej i sprzętowej, szybkie eliminowanie naruszeń bezpieczeństwa oraz planowanie prac naprawczych.

Z drugiej strony rozróżnienie między procedurami administracyjnymi i organizacyjnymi jest bez znaczenia, ponieważ procedury jednego poziomu nie mogą istnieć oddzielnie od innego poziomu, naruszając tym samym relację między ochroną na poziomie fizycznym, ochroną osobistą i organizacyjną w pojęciu bezpieczeństwa informacji. W praktyce, zapewniając bezpieczeństwo informacji, organizacje nie zaniedbują procedur administracyjnych lub organizacyjnych, dlatego bardziej logiczne jest traktowanie ich jako podejścia zintegrowanego, ponieważ oba poziomy wpływają na fizyczny, organizacyjny i osobisty poziom ochrony informacji.

Podstawą złożonych procedur zapewnienia bezpieczeństwa informacji jest polityka bezpieczeństwa.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w organizacji jest to zbiór udokumentowanych decyzji podejmowanych przez kierownictwo organizacji i mających na celu ochronę informacji i związanych z nią zasobów.

W ujęciu organizacyjnym i zarządczym polityka bezpieczeństwa informacji może być jednym dokumentem lub sporządzona w formie kilku niezależnych dokumentów lub zarządzeń, ale w każdym przypadku powinna obejmować następujące aspekty ochrony systemu informatycznego organizacji:

  • ochrona obiektów systemu informatycznego, zasobów informacji i bezpośredniej z nimi operacji;
  • ochrona wszelkich operacji związanych z przetwarzaniem informacji w systemie, w tym oprogramowania przetwarzającego;
  • ochrona kanałów komunikacyjnych, w tym przewodowych, radiowych, podczerwieni, sprzętu itp.;
  • ochrona kompleksu sprzętowego przed bocznym promieniowaniem elektromagnetycznym;
  • zarządzanie systemem bezpieczeństwa, w tym utrzymanie, aktualizacje i czynności administracyjne.

Każdy z aspektów powinien być szczegółowo opisany i udokumentowany w wewnętrznych dokumentach organizacji. Dokumenty wewnętrzne obejmują trzy poziomy procesu ochrony: górny, środkowy i dolny.

Dokumenty dotyczące polityki bezpieczeństwa informacji najwyższego poziomu odzwierciedlają podstawowe podejście organizacji do ochrony własnych informacji oraz zgodności z normami krajowymi i/lub międzynarodowymi. W praktyce w organizacji istnieje tylko jeden dokument najwyższego poziomu zatytułowany „Koncepcja bezpieczeństwa informacji”, „Rozporządzenie w sprawie bezpieczeństwa informacji” itp. Formalnie dokumenty te nie mają wartości poufnej, ich rozpowszechnianie nie jest ograniczone, ale mogą być wydawane w nakładzie do użytku wewnętrznego i otwartej publikacji.

Dokumenty średniego szczebla są ściśle poufne i dotyczą konkretnych aspektów bezpieczeństwa informacji organizacji: stosowanych środków ochrony informacji, bezpieczeństwa baz danych, komunikacji, narzędzi kryptograficznych oraz innych procesów informacyjnych i gospodarczych organizacji. Dokumentacja realizowana jest w postaci wewnętrznych standardów technicznych i organizacyjnych.

Dokumenty niższego poziomu dzielą się na dwa rodzaje: regulamin pracy i instrukcje obsługi. Regulamin pracy ma charakter ściśle tajny i przeznaczony jest wyłącznie dla osób pełniących dyżurne prace związane z administrowaniem poszczególnymi służbami bezpieczeństwa informacji. Instrukcje obsługi mogą być poufne lub publiczne; są przeznaczone dla personelu organizacji i opisują procedurę pracy z poszczególnymi elementami systemu informacyjnego organizacji.

Doświadczenia światowe pokazują, że polityka bezpieczeństwa informacji jest zawsze dokumentowana tylko w dużych firmach, które mają rozwinięty system informatyczny nakładający podwyższone wymagania dotyczące bezpieczeństwa informacji, średnie przedsiębiorstwa najczęściej mają tylko częściowo udokumentowaną politykę bezpieczeństwa informacji, w zdecydowanej większości małe organizacje w ogóle nie przejmuj się dokumentowaniem polityki bezpieczeństwa. Niezależnie od tego, czy format dokumentacji jest całościowy czy rozproszony, podstawowym aspektem jest tryb bezpieczeństwa.

Istnieją dwa różne podejścia, które stanowią podstawę polityka bezpieczeństwa informacji:

  1. „Wszystko, co nie jest zabronione, jest dozwolone”.
  2. „Wszystko, co nie jest dozwolone, jest zabronione”.

Zasadniczą wadą pierwszego podejścia jest to, że w praktyce nie da się przewidzieć wszystkich niebezpiecznych przypadków i ich zakazać. Bez wątpienia należy stosować tylko drugie podejście.

Poziom organizacyjny bezpieczeństwa informacji

Z punktu widzenia bezpieczeństwa informacji procedury organizacyjne zapewniające bezpieczeństwo informacji przedstawiane są jako „regulacja działań produkcyjnych i relacji pomiędzy wykonawcami na podstawie prawnej wykluczającej lub znacząco utrudniającej przywłaszczenie informacji poufnych oraz przejawy zagrożeń wewnętrznych i zewnętrznych” .

Środki zarządzania personelem mające na celu zorganizowanie pracy z personelem w celu zapewnienia bezpieczeństwa informacji obejmują rozdział obowiązków i minimalizację uprawnień. Podział obowiązków nakazuje taki rozkład kompetencji i obszarów odpowiedzialności, w którym jedna osoba nie jest w stanie zakłócić krytycznego dla organizacji procesu. Zmniejsza to ryzyko błędów i nadużyć. Minimalizacja uprawnień nakazuje użytkownikom przyznawać tylko poziom dostępu, który jest odpowiedni dla ich funkcji. Zmniejsza to szkody spowodowane przypadkowymi lub celowymi nieprawidłowymi działaniami.

Ochrona fizyczna oznacza opracowanie i przyjęcie środków do bezpośredniej ochrony budynków, w których znajdują się zasoby informacyjne organizacji, terytoria przyległe, elementy infrastruktury, sprzęt komputerowy, nośniki danych i sprzętowe kanały komunikacyjne. Należą do nich fizyczna kontrola dostępu, ochrona przeciwpożarowa, ochrona infrastruktury wspomagającej, ochrona przed podsłuchem, ochrona systemów mobilnych.

Utrzymanie dobrej kondycji oprogramowania i infrastruktury sprzętowej ma zapobiegać błędom stochastycznym, które grożą uszkodzeniem kompleksu sprzętowego, zakłóceniami programów i utratą danych. Główne kierunki w tym aspekcie to zapewnienie wsparcia użytkownika i oprogramowania, zarządzanie konfiguracją, tworzenie kopii zapasowych, zarządzanie mediami, dokumentacja i konserwacja prewencyjna.

Szybkie rozwiązywanie naruszeń bezpieczeństwa ma trzy główne cele:

  1. lokalizacja incydentów i redukcja szkód;
  2. Identyfikacja sprawcy;
  3. Zapobieganie powtarzającym się naruszeniom.

Wreszcie, planowanie powrotu do zdrowia pozwala przygotować się na wypadki, zmniejszyć wynikające z nich szkody i zachować przynajmniej minimalną zdolność do funkcjonowania.

Wykorzystanie oprogramowania i sprzętu oraz bezpiecznych kanałów komunikacji powinno być wdrażane w organizacji w oparciu o zintegrowane podejście do opracowywania i zatwierdzania wszystkich administracyjnych i organizacyjnych procedur regulacyjnych zapewniających bezpieczeństwo informacji. W przeciwnym razie przyjęcie odrębnych środków nie gwarantuje ochrony informacji, a często wręcz przeciwnie, prowokuje wycieki poufnych informacji, utratę krytycznych danych, uszkodzenie infrastruktury sprzętowej i zakłócenia działania komponentów programowych systemu informatycznego organizacji.

Metody bezpieczeństwa informacji

Nowoczesne przedsiębiorstwa charakteryzują się rozproszonym systemem informatycznym, który pozwala uwzględnić rozproszone biura i magazyny firmy, kontrolę finansowo-księgową i zarządczą, informacje z bazy klientów z uwzględnieniem doboru wskaźników i tak dalej. Tak więc wachlarz danych jest bardzo znaczący, a zdecydowana większość z nich to informacje o priorytetowym znaczeniu dla firmy pod względem handlowym i ekonomicznym. W rzeczywistości zapewnienie poufności danych o wartości handlowej jest jednym z głównych zadań zapewnienia bezpieczeństwa informacji w firmie.

Zapewnienie bezpieczeństwa informacji w przedsiębiorstwie powinny być regulowane następującymi dokumentami:

  1. Regulacja bezpieczeństwa informacji. Obejmuje sformułowanie celów i zadań dla zapewnienia bezpieczeństwa informacji, wykaz regulacji wewnętrznych dotyczących narzędzi bezpieczeństwa informacji oraz rozporządzenia w sprawie administrowania rozproszonym systemem informacyjnym przedsiębiorstwa. Dostęp do regulaminu jest ograniczony do kierownictwa organizacji oraz kierownika działu automatyki.
  2. Regulamin technicznego wsparcia ochrony informacji. Dokumenty są poufne, dostęp ograniczony do pracowników działu automatyki i wyższego kierownictwa.
  3. Regulamin administrowania rozproszonym systemem ochrony informacji. Dostęp do regulaminu mają tylko pracownicy działu automatyki odpowiedzialni za administrowanie systemem informatycznym oraz kadra kierownicza wyższego szczebla.

Jednocześnie dokumenty te nie powinny być ograniczane, ale należy również wypracować niższe poziomy. W przeciwnym razie, jeśli przedsiębiorstwo nie posiada innych dokumentów związanych z zapewnieniem bezpieczeństwa informacji, będzie to wskazywać na niewystarczający stopień administracyjnego bezpieczeństwa informacji, ponieważ nie ma dokumentów niższego poziomu, w szczególności instrukcji obsługi poszczególnych elementów systemu informatycznego.

Obowiązkowe procedury organizacyjne obejmują:

  • główne środki zróżnicowania personelu ze względu na poziom dostępu do zasobów informacyjnych,
  • fizyczne zabezpieczenie siedziby firmy przed bezpośrednią penetracją i groźbą zniszczenia, utraty lub przechwycenia danych,
  • utrzymanie funkcjonalności infrastruktury sprzętowej i programowej zorganizowane jest w formie zautomatyzowanego tworzenia kopii zapasowych, zdalnej weryfikacji nośników danych, na życzenie zapewniamy wsparcie użytkownika i oprogramowania.

Powinno to również obejmować regulowane środki mające na celu reagowanie i eliminowanie przypadków naruszeń bezpieczeństwa informacji.

W praktyce często obserwuje się niedostateczną uwagę przedsiębiorstw na ten problem. Wszystkie działania w tym kierunku prowadzone są wyłącznie sprawnie, co wydłuża czas eliminacji przypadków naruszeń i nie gwarantuje zapobiegania powtarzającym się naruszeniom bezpieczeństwa informacji. Ponadto zupełnie nie ma praktyki planowania działań w celu wyeliminowania skutków po wypadkach, wyciekach informacji, utracie danych i sytuacjach krytycznych. Wszystko to znacznie pogarsza bezpieczeństwo informacyjne przedsiębiorstwa.

Na poziomie oprogramowania i sprzętu należy wdrożyć trzypoziomowy system bezpieczeństwa informacji.

Minimalne kryteria zapewnienia bezpieczeństwa informacji:

1. Moduł kontroli dostępu:

  • wdrożono zamknięte wejście do systemu informatycznego, nie ma możliwości wejścia do systemu poza zweryfikowanymi miejscami pracy;
  • dla pracowników wdrożono dostęp o ograniczonej funkcjonalności z mobilnych komputerów osobistych;
  • autoryzacja odbywa się według loginów i haseł utworzonych przez administratorów.

2. Moduł szyfrowania i kontroli integralności:

  • stosuje się metodę szyfrowania asymetrycznego dla przesyłanych danych;
  • tablice krytycznych danych przechowywane są w bazach danych w postaci zaszyfrowanej, co nie pozwala na dostęp do nich nawet w przypadku włamania do systemu informatycznego firmy;
  • kontrolę integralności zapewnia prosty podpis cyfrowy wszystkich zasobów informacji przechowywanych, przetwarzanych lub przesyłanych w systemie informacyjnym.

3. Moduł ekranujący:

  • wdrożyliśmy system filtrów w firewallach, pozwalający kontrolować wszelkie przepływy informacji przez kanały komunikacyjne;
  • zewnętrzne połączenia z globalnymi zasobami informacji i publicznymi kanałami komunikacji mogą być realizowane tylko poprzez: ograniczony zestaw zweryfikowane stacje robocze z ograniczonym połączeniem z korporacyjnym systemem informatycznym;
  • bezpieczny dostęp z miejsc pracy pracowników do wykonywania obowiązków służbowych realizowany jest poprzez dwupoziomowy system serwerów proxy.

Wreszcie, za pomocą technologii tunelowania, wirtualna sieć prywatna musi zostać wdrożona w przedsiębiorstwie zgodnie z typowym modelem budowy, aby zapewnić bezpieczne kanały komunikacji między różnymi działami firmy, partnerami i klientami firmy.

Pomimo tego, że komunikacja odbywa się bezpośrednio w sieciach o potencjalnie niskim poziomie zaufania, technologie tunelowania, dzięki wykorzystaniu narzędzi kryptograficznych, pozwalają zapewnić niezawodną ochronę wszystkich przesyłanych danych.

Wyniki

Głównym celem wszelkich działań podejmowanych w zakresie bezpieczeństwa informacji jest ochrona interesów przedsiębiorstwa, w taki czy inny sposób, związanych z posiadanymi przez nie zasobami informacyjnymi. Chociaż interesy przedsiębiorstw nie ograniczają się do konkretnego obszaru, wszystkie koncentrują się wokół dostępności, integralności i poufności informacji.

Problem zapewnienia bezpieczeństwa informacji tłumaczony jest dwoma głównymi przyczynami.

  1. Zasoby informacyjne gromadzone przez przedsiębiorstwo są cenne.
  2. Krytyczna zależność od Technologie informacyjne prowadzi do ich powszechnego stosowania.

Biorąc pod uwagę szeroki wachlarz istniejących zagrożeń dla bezpieczeństwa informacji, takich jak niszczenie ważnych informacji, nieuprawnione wykorzystanie poufnych danych, przerwy w funkcjonowaniu przedsiębiorstwa spowodowane naruszeniami systemu informatycznego, możemy stwierdzić, że wszystko to obiektywnie prowadzi do dużych straty materialne.

W zapewnieniu bezpieczeństwa informacji istotną rolę odgrywają narzędzia programowe i sprzętowe służące kontroli podmiotów informatycznych, tj. sprzęt, elementy oprogramowania, dane, stanowiące ostatnią i najwyższą priorytetową granicę bezpieczeństwa informacji. Transmisja danych musi być również bezpieczna w kontekście zachowania ich poufności, integralności i dostępności. Dlatego w nowoczesnych warunkach technologie tunelowania są stosowane w połączeniu ze środkami kryptograficznymi w celu zapewnienia bezpiecznych kanałów komunikacji.

Literatura

  1. Galatenko V.A. Standardy bezpieczeństwa informacji. - M.: Internetowa Wyższa Szkoła Technik Informacyjnych, 2006.
  2. Partyka T.L., Popow I.I. Bezpieczeństwo informacji. – M.: Forum, 2012.

Dziś porozmawiamy o wyciekach i sposobach ochrony poufnych informacji.

Termin informacja poufna oznacza poufną, nie podlegającą upublicznieniu, tajemnicę. Ujawnienie może zostać zakwalifikowane jako przestępstwo. Każda osoba, która ma dostęp do takich informacji, nie ma prawa ujawniać ich innym osobom bez zgody posiadacza praw autorskich.

Zawartość

Informacje poufne i prawo

Dekret Prezydenta Federacji Rosyjskiej nr 188 z dnia 6 marca 1997 r. określa informacje o charakterze poufnym. Obejmują one:

  1. Informacje związane z handlem.
  2. Informacje związane z czynnościami urzędowymi.
  3. Tajemnica medyczna, prawnicza, osobista (korespondencja, rozmowy telefoniczne itp.).
  4. Tajemnica śledztwa, postępowanie sądowe, informacje o skazanych.
  5. Dane osobowe obywateli, informacje o ich życiu osobistym.

Tajemnica handlowa to informacja, która umożliwia jej właścicielowi uzyskanie przewagi konkurencyjnej, skorzystanie ze świadczenia usług lub sprzedaży towarów. Informacje poufne o firmie (zmiana zarządu itp.), które mogą mieć wpływ na wartość akcji.

Tajemnica służbowa – informacje dostępne w organach państwowych, dokumenty oznaczone są jako „Do użytku służbowego” i nie podlegają ujawnieniu osobom trzecim.

Tajemnica zawodowa obejmuje tajemnicę śledztwa, prawnika, postępowania sądowego, notariusza itp.

Wszelkie dane osobowe (imię i nazwisko, miejsce pracy, adres itp.), informacje o życiu prywatnym obywatela.

Wyciek takich informacji może nastąpić w następujących przypadkach:

  1. Nieefektywne przechowywanie i dostęp do poufnych informacji, słaby system bezpieczeństwa.
  2. Ciągła zmiana kadry, błędy kadrowe, trudny klimat psychologiczny w zespole.
  3. Słabe szkolenie personelu w zakresie skutecznych sposobów ochrony informacji.
  4. Brak możliwości kontroli pracy pracowników przez kierownictwo organizacji za pomocą informacji niejawnych.
  5. Niekontrolowana możliwość wejścia osób nieuprawnionych do pomieszczeń, w których przechowywane są informacje.

Sposoby wycieku informacji

Mogą być organizacyjne i techniczne.

Kanały organizacyjne:

  1. Ubieganie się o pracę w organizacji w celu uzyskania informacji niejawnych.
  2. Pozyskiwanie interesujących informacji od partnerów, klientów za pomocą metod oszukiwania, wprowadzania w błąd.
  3. Dostęp karny do uzyskania informacji (kradzież dokumentów, porwanie twardy dysk z informacjami).

Kanały techniczne:

  1. Kopiowanie oryginalnego dokumentu informacji niejawnych lub jego wersji elektronicznej.
  2. Nagrywanie poufnej rozmowy na nośniki elektroniczne (dyktafon, smartfon i inne urządzenia nagrywające).
  3. Ustne przekazywanie treści dokumentu o ograniczonym dostępie osobom trzecim, które nie mają prawa dostępu do niego.
  4. Kryminalne zdobywanie informacji za pomocą zakładek radiowych, potajemnie zainstalowanych mikrofonów i kamer wideo.

Środki bezpieczeństwa informacji

System ochrony informacji niejawnych obejmuje:

  1. Zapobieganie nieautoryzowanemu dostępowi do niego.
  2. Blokowanie kanałów wyciekowych.
  3. Regulamin pracy z informacjami poufnymi.

Służba bezpieczeństwa przedsiębiorstwa powinna zorganizować praktyczne wdrożenie systemu bezpieczeństwa informacji, szkolenie personelu, kontrolę zgodności z wymogami regulacyjnymi.

Metody organizacyjne

  1. Opracowanie systemu przetwarzania danych poufnych.
  2. Wniesienie do personelu kancelarii zapisu o odpowiedzialności za ujawnienie poufnych dokumentów, ich kopiowanie lub fałszowanie.
  3. Opracowanie wykazu dokumentów o ograniczonym dostępie, zróżnicowanie personelu według dostępu do dostępnych informacji.
  4. Dobór personelu do przetwarzania materiałów poufnych, instruowanie pracowników.

Metody techniczne

  1. Wykorzystanie środków kryptograficznych w korespondencji elektronicznej, prowadzenie rozmów telefonicznych po bezpiecznych liniach komunikacyjnych.
  2. Sprawdzenie lokalu, w którym odbywają się negocjacje pod kątem braku zakładek radiowych, mikrofonów, kamer wideo.
  3. Dostęp personelu do chronionych pomieszczeń za pomocą środków identyfikacyjnych, kodu, hasła.
  4. Stosowanie metod ochrony oprogramowania i sprzętu na komputerach i innych urządzeniach elektronicznych.

Polityka bezpieczeństwa informacji firmy obejmuje:

  1. Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo w organizacji.
  2. Kontrola nad wykorzystaniem narzędzi ochrony oprogramowania i sprzętu.
  3. Odpowiedzialność kierowników działów i służb za zapewnienie ochrony informacji.
  4. Wprowadzenie kontroli dostępu dla pracowników i gości.
  5. Opracowanie listy dostępu osób do informacji poufnych.

Organizacja bezpieczeństwa informacji

Komputery działające w lokalna sieć, serwery, routery muszą być niezawodnie chronione przed nieautoryzowanym pobieraniem informacji. Dla tego:

  1. Do obsługi każdego komputera przydzielony jest odpowiedzialny pracownik.
  2. Jednostka systemowa jest plombowana przez pracownika serwisu IT.
  3. Instalację dowolnych programów przeprowadzają specjaliści obsługi IT.
  4. Hasła muszą być generowane przez pracowników serwisu IT i wystawione do podpisu.
  5. Zabronione jest korzystanie z zewnętrznych źródeł informacji, oznaczanie dokonywane jest na wszystkich nośnikach.
  6. Do przygotowania ważnych dokumentów używaj tylko jednego komputera. Prowadzi dziennik użytkownika.
  7. Oprogramowanie i sprzęt muszą być certyfikowane.
  8. Ochrona nośników informacji (dysków zewnętrznych) przed nieautoryzowanym dostępem.

System pracy z informacjami poufnymi gwarantuje bezpieczeństwo informacji organizacji, pozwala uchronić ważne informacje przed wyciekami. Przyczynia się to do zrównoważonego funkcjonowania przedsiębiorstwa przez długi czas.

Wysyłanie dobrej pracy do bazy wiedzy jest proste. Skorzystaj z poniższego formularza

Studenci, doktoranci, młodzi naukowcy korzystający z bazy wiedzy w swoich studiach i pracy będą Ci bardzo wdzięczni.

Podobne dokumenty

    Główne źródła regulacji prawnej informacji poufnych. Zagrożenia i środki zapobiegające jego wyciekowi. Problem i sposoby poprawy ochrony informacji poufnych i danych osobowych w Administracji gminy „Okręg Karagai” Terytorium Perm.

    praca semestralna, dodana 10.09.2014

    Definicja informacji poufnych i ich główne rodzaje. Ustawa federalna „O informacji, informatyzacji i ochronie informacji”. Pojęcie tajemnicy handlowej i państwowej. Wsparcie legislacyjne i instrumenty kontroli zachowania tajemnicy.

    esej, dodany 21.09.2012

    Podstawowe przepisy ustawy federalnej „O tajemnicy handlowej”. Organizacja przyjmowania i dostępu personelu do informacji poufnych. Organizacja trybu wewnątrzobiektowego w przedsiębiorstwie. Wymagania dotyczące pomieszczeń, w których przechowywane są nośniki informacji.

    streszczenie, dodane 20.05.2012

    Źródła zagrożeń bezpieczeństwa informacji. Miejsce bezpieczeństwa informacyjnego w systemie bezpieczeństwa narodowego Rosji. Główne problemy bezpieczeństwa informacji, sposoby ich rozwiązywania i organizacja ochrony. Klasyfikacja informacji, które mają być chronione.

    praca semestralna, dodano 23.08.2013 r.

    Istota i charakter prawny informacji poufnej (tajemnicy handlowej) przedsiębiorstwa, tryb, metody, środki, ramy prawne jej ochrony. Podmioty prawa do tajemnicy handlowej i ich status prawny, ochrona praw na podstawie ustaw Ukrainy.

    test, dodano 10.06.2009

    Pojęcie i cechy informacji jako kategorii prawnej. Charakterystyka rodzajów informacji: tajemnica państwowa, handlowa, bankowa, urzędowa. Odpowiedzialność za naruszenie wymogów poufności informacji. tryb tajemnicy handlowej.

    praca semestralna, dodano 2.11.2017 r.

    Definicja prywatności i regulujące ją dyrektywy legislacyjne Unii Europejskiej. Wykaz informacji poufnych określonych w dekrecie Prezydenta Federacji Rosyjskiej. Środki ochrony poufności informacji podejmowane przez jej właściciela.

    test, dodano 19.07.2015

Dziś zagrożenia związane z nieuprawnionym dostępem do poufnych danych mogą mieć istotny wpływ na działalność organizacji. Ewentualne szkody wynikające z ujawnienia tajemnic korporacyjnych mogą obejmować zarówno bezpośrednie straty finansowe, np. w wyniku przekazania informacji handlowych konkurentom i koszt wyeliminowania powstałych konsekwencji, jak i pośrednie – złą reputację i stratę obiecujących projektów. Konsekwencje utraty laptopa z danymi dostępu do kont bankowych, planów finansowych i innych prywatnych dokumentów są nie do przecenienia.

Jednym z najniebezpieczniejszych współczesnych zagrożeń jest nieautoryzowany dostęp. Według badania Instytutu bezpieczeństwo komputera, w ubiegłym roku 65% firm zarejestrowało incydenty związane z nieuprawnionym dostępem do danych. Ponadto w wyniku nieuprawnionego dostępu każda firma straciła w latach 2014-2015. średnio 353 tys.$ w porównaniu do lat 2012-2013. straty wzrosły sześciokrotnie. W ten sposób łączne straty poniesione przez ponad 600 ankietowanych firm przekroczyły 38 milionów dolarów w ciągu roku (patrz wykres).

Problem pogłębia fakt, że nieuprawniony dostęp do poufnych informacji często wiąże się z ich kradzieżą. W wyniku takiego połączenia dwóch niezwykle niebezpiecznych zagrożeń straty firmy mogą wzrosnąć kilkukrotnie (w zależności od wartości skradzionych danych). Ponadto firmy często spotykają się z fizyczną kradzieżą komputerów przenośnych, co skutkuje zarówno zagrożeniem nieautoryzowanego dostępu, jak i kradzieżą poufnych informacji. Nawiasem mówiąc, koszt urządzenie przenośne często nieporównywalny z kosztem zapisanych na nim danych.

Problemy, które pojawiają się w przedsiębiorstwie w przypadku wycieku informacji, w szczególności świadczą o kradzieży laptopów. Wystarczy przypomnieć niedawne incydenty, kiedy w ciągu kilku miesięcy skradziono firmie Ernst & Young pięć laptopów, zawierających prywatne informacje klientów firmy: Cisco, IBM, Sun Microsystems, BP, Nokia itp. Tutaj taki wskaźnik uszkodzenia, że trudne do zmierzenia objawiło się w najwyższym stopniu pogorszeniem wizerunku i spadkiem zaufania klientów. Tymczasem wiele firm boryka się z podobnymi trudnościami.

Tak więc w marcu 2006 roku Fidelity straciła laptopa z prywatnymi danymi 200 000 pracowników HP, a w lutym PricewaterhouseCoopers, firma audytorska, straciła laptopa z poufnymi informacjami 4000 pacjentów amerykańskiego szpitala. Jeśli będziemy kontynuować listę, to wejdą do niej tak znane firmy jak Bank of America, Kodak, Ameritrade, Ameriprise, Verizon i inne.

Dlatego oprócz ochrony poufnych informacji przed nieautoryzowanym dostępem, konieczna jest ochrona samego nośnika fizycznego. Jednocześnie należy wziąć pod uwagę, że taki system bezpieczeństwa powinien być absolutnie przejrzysty i nie powodować utrudnień dla użytkownika podczas dostępu do wrażliwych danych ani w środowisku korporacyjnym, ani podczas pracy zdalnej (w domu lub w podróży służbowej).

Jak dotąd nie wynaleziono nic bardziej skutecznego w dziedzinie ochrony informacji przed nieautoryzowanym dostępem niż szyfrowanie danych. Pod warunkiem zachowania kluczy kryptograficznych szyfrowanie gwarantuje bezpieczeństwo wrażliwych danych.

Technologie szyfrowania

Technologie szyfrowania służą do ochrony informacji przed nieautoryzowanym dostępem. Jednak użytkownicy, którzy nie mają odpowiedniej wiedzy na temat metod szyfrowania, mogą odnieść fałszywe wrażenie, że wszystkie wrażliwe dane są bezpieczne. Rozważ główne technologie szyfrowania danych.

  • Szyfrowanie na plik. Użytkownik wybiera pliki do zaszyfrowania. Takie podejście nie wymaga głębokiej integracji narzędzia szyfrującego z systemem, dzięki czemu producenci narzędzi kryptograficznych mogą wdrożyć wieloplatformowe rozwiązanie dla systemów Windows, Linux, MAC OS X itp.
  • Szyfrowanie katalogów. Użytkownik tworzy foldery, w których wszystkie dane są szyfrowane automatycznie. W przeciwieństwie do poprzedniego podejścia, szyfrowanie odbywa się w locie, a nie na żądanie użytkownika. Ogólnie szyfrowanie katalogów jest dość wygodne i przejrzyste, chociaż opiera się na tym samym szyfrowaniu plik po pliku. Takie podejście wymaga głębokiej interakcji z systemem operacyjnym i dlatego zależy od używanej platformy.
  • Szyfrowanie dysków wirtualnych. Koncepcja dysków wirtualnych jest zaimplementowana w niektórych narzędziach do kompresji, takich jak Stacker lub Microsoft DriveSpace. Szyfrowanie dysków wirtualnych polega na tworzeniu dużego ukrytego pliku na dysku twardym. Plik ten jest później dostępny dla użytkownika jako osobny dysk (system operacyjny „widzi” go jako nowy dysk logiczny). Na przykład dysk X:\. Wszystkie informacje przechowywane na dysku wirtualnym są szyfrowane. Główną różnicą w stosunku do poprzednich podejść jest to, że oprogramowanie kryptograficzne nie musi indywidualnie szyfrować każdego pliku. Tutaj dane są szyfrowane automatycznie tylko wtedy, gdy są zapisywane lub odczytywane z dysku wirtualnego. W takim przypadku praca z danymi odbywa się na poziomie sektora (zwykle o rozmiarze 512 bajtów).
  • Szyfrowanie całego dysku. W tym przypadku zaszyfrowane jest absolutnie wszystko: sektor rozruchowy systemu Windows, wszystko pliki systemowe oraz wszelkie inne informacje na dysku.
  • Ochrona procesu pobierania. Jeśli cały dysk jest zaszyfrowany, system operacyjny nie będzie mógł się uruchomić, dopóki jakiś mechanizm nie odszyfruje plików rozruchowych. Dlatego szyfrowanie całego dysku z konieczności oznacza ochronę procesu rozruchu. Zazwyczaj użytkownik musi wprowadzić hasło, aby uruchomić system operacyjny. Jeśli użytkownik wprowadzi hasło poprawnie, program szyfrujący będzie miał dostęp do kluczy szyfrujących, umożliwiając odczytanie dalszych danych z dysku.

Istnieje więc kilka sposobów szyfrowania danych. Niektóre z nich są mniej niezawodne, inne szybsze, a niektóre w ogóle nie nadają się do ochrony poufnych informacji. Aby móc ocenić przydatność niektórych metod, rozważ problemy, jakie napotyka aplikacja kryptograficzna podczas ochrony danych.

Funkcje systemów operacyjnych

Zastanówmy się nad niektórymi cechami systemów operacyjnych, które pomimo wszystkich swoich pozytywnych funkcji, czasami tylko zakłócają niezawodną ochronę poufnych informacji. Poniżej przedstawiono najczęstsze mechanizmy systemowe, które pozostawiają kilka „luk” dla atakującego i dotyczą zarówno laptopów, jak i urządzeń PDA.

  • Pliki tymczasowe. Wiele programów (w tym system operacyjny) używa plików tymczasowych do przechowywania danych pośrednich podczas swojej pracy. Często do pliku tymczasowego wpisywana jest dokładna kopia pliku otwieranego przez program, co umożliwia pełne przywrócenie danych w przypadku nieprzewidzianych awarii. Oczywiście ładowność plików tymczasowych jest duża, jednak będąc niezaszyfrowanymi, takie pliki stanowią bezpośrednie zagrożenie dla tajemnic korporacyjnych.
  • Zamień pliki (lub zamień pliki). W nowoczesnych systemach operacyjnych bardzo popularna jest technologia plików wymiany, która pozwala na udostępnienie dowolnej aplikacji niemal nieograniczonej ilości pamięci RAM. Więc jeśli system operacyjny Niewystarczające zasoby pamięci, automatycznie zapisuje dane z pamięci RAM na dysk twardy (do pliku stronicowania). Gdy tylko zajdzie potrzeba wykorzystania przechowywanych informacji, system operacyjny pobiera dane z pliku wymiany i, jeśli to konieczne, umieszcza w tym magazynie inne informacje. W ten sam sposób, jak w poprzednim przypadku, niezaszyfrowane tajne informacje mogą łatwo dostać się do pliku wymiany.
  • Wyrównanie pliku. System plików Windows umieszcza dane w klastrach, które mogą obejmować do 64 sektorów. Nawet jeśli plik ma kilka bajtów, nadal zajmie cały klaster. Duży plik zostanie podzielony na porcje, każda porcja ma rozmiar klastra systemu plików. Pozostała część podziału (zwykle kilka ostatnich bajtów) nadal zajmie cały klaster. W ten sposób ostatni sektor pliku otrzymuje losowe informacje, które znajdowały się w pamięci RAM komputera w momencie zapisywania pliku na dysku. Mogą istnieć hasła i klucze szyfrowania. Innymi słowy, ostatni klaster dowolnego pliku może zawierać dość wrażliwe informacje, od losowych informacji z pamięci RAM po dane z wiadomości e-mail i dokumentów tekstowych, które wcześniej były w tym miejscu przechowywane.
  • Kosz. Gdy użytkownik usuwa plik, system Windows przenosi go do kosza. Dopóki kosz nie zostanie opróżniony, plik można łatwo przywrócić. Jednak nawet jeśli opróżnisz Kosz, dane pozostaną fizycznie na dysku. Innymi słowy, usunięte informacje można bardzo często znaleźć i odzyskać (jeśli nie zostały nadpisane żadne inne dane). Aby to zrobić, istnieje ogromna liczba aplikacji, niektóre z nich są bezpłatne i swobodnie dystrybuowane przez Internet.
  • Rejestr systemu Windows. Sam system Windows, podobnie jak duża liczba aplikacji, przechowuje swoje specyficzne dane w rejestrze systemowym. Na przykład przeglądarka internetowa przechowuje w rejestrze nazwy domen stron, które odwiedził użytkownik. Nawet edytor tekstu Word zapisuje w rejestrze nazwę ostatnio otwartego pliku. W takim przypadku rejestr jest używany przez system operacyjny podczas rozruchu. W związku z tym, jeśli jakakolwiek metoda szyfrowania zostanie uruchomiona po uruchomieniu systemu Windows, wyniki jej pracy mogą być zagrożone.
  • System plików Windows NT (NTFS). System plików z wbudowaną kontrolą dostępu (jak w Windows NT) jest uważany za bezpieczny. Fakt, że użytkownik musi wprowadzić hasło, aby uzyskać dostęp do swoich plików osobistych, pozostawia fałszywe wrażenie, że pliki i dane osobiste są bezpieczne. Jednak nawet system plików z wbudowanymi listami kontroli dostępu (ACL), taki jak NTFS, nie zapewnia absolutnie żadnej ochrony przed atakującym, który ma fizyczny dostęp do dysku twardego lub uprawnienia administratora na danym komputerze. W obu przypadkach sprawca może uzyskać dostęp do danych wrażliwych. Aby to zrobić, będzie potrzebował niedrogiego (lub ogólnie darmowego) edytora dysków, który odczyta informacje tekstowe na dysku, do którego ma fizyczny dostęp.
  • Tryb uśpienia. Ten tryb jest bardzo popularny na laptopach, ponieważ oszczędza energię baterii, gdy komputer jest włączony, ale nie jest używany. Kiedy laptop przechodzi w stan uśpienia, system operacyjny kopiuje na dysk absolutnie wszystkie dane z pamięci RAM. Dzięki temu, gdy komputer się obudzi, system operacyjny może łatwo przywrócić poprzedni stan. Oczywiście w tym przypadku poufne informacje mogą łatwo dostać się na dysk twardy.
  • Ukryte partycje dysku twardego. Ukryta partycja to partycja, której system operacyjny w ogóle nie pokazuje użytkownikowi. Niektóre aplikacje (takie jak te, które oszczędzają energię na laptopach) używają ukrytych partycji do przechowywania w nich danych zamiast plików na normalnych partycjach. Dzięki takiemu podejściu informacje umieszczone na ukrytej partycji nie są w ogóle chronione i mogą być łatwo odczytane przez każdego, kto korzysta z edytora dysków.
  • Wolna przestrzeń i przestrzeń między partycjami. Sektory na samym końcu dysku nie należą do żadnej partycji, czasami są wyświetlane jako wolne. Kolejnym niezabezpieczonym miejscem jest przestrzeń między przegrodami. Niestety niektóre aplikacje, a także wirusy, mogą tam przechowywać swoje dane. Nawet jeśli sformatujesz dysk twardy, informacje te pozostaną nienaruszone. Można go łatwo przywrócić.

Tak więc, aby skutecznie chronić dane, nie wystarczy je zaszyfrować. Należy zadbać o to, aby kopie tajnych informacji nie „wyciekały” do plików tymczasowych i plików wymiany, a także do innych „ukrytych miejsc” systemu operacyjnego, gdzie są podatne na atak.

Przydatność różnych podejść do szyfrowania danych

Przyjrzyjmy się, jak różne podejścia do szyfrowania danych radzą sobie ze specyfiką systemów operacyjnych.

Szyfrowanie na plik

Ta metoda jest używana głównie do wysyłania zaszyfrowanych plików pocztą e-mail lub przez Internet. W takim przypadku użytkownik szyfruje określony plik, który musi być chroniony przed osobami trzecimi i wysyła go do odbiorcy. Takie podejście cierpi z powodu małej szybkości, zwłaszcza jeśli chodzi o duże ilości informacji (w końcu trzeba zaszyfrować każdy plik dołączony do listu). Innym problemem jest to, że tylko oryginalny plik jest szyfrowany, podczas gdy pliki tymczasowe i plik wymiany pozostają całkowicie niechronione, więc ochrona jest zapewniana tylko przed atakującym próbującym przechwycić wiadomość w Internecie, ale nie przed przestępcą, który ukradł laptopa lub palmtopa. W związku z tym możemy stwierdzić, że szyfrowanie plik po pliku nie chroni plików tymczasowych, a jego stosowanie do ochrony ważnych informacji jest niedopuszczalne. Jednak ta koncepcja jest odpowiednia do przesyłania niewielkich ilości informacji przez sieć z komputera na komputer.

Szyfrowanie folderów

W przeciwieństwie do szyfrowania na plik, to podejście umożliwia przesyłanie plików do folderu, w którym zostaną automatycznie zaszyfrowane. Dzięki temu praca z chronionymi danymi jest znacznie wygodniejsza. Ponieważ szyfrowanie folderów opiera się na szyfrowaniu plik po pliku, obie metody nie zapewniają niezawodnej ochrony plików tymczasowych, plików stronicowania, nie usuwają fizycznie danych z dysku itp. Co więcej, szyfrowanie katalogów powoduje znaczne marnotrawstwo zasobów pamięci i procesora. Ciągłe szyfrowanie/odszyfrowywanie plików zajmuje procesorowi, a dla każdego chronionego pliku przydzielane jest dodatkowe miejsce na dysku (czasem ponad 2 KB). Wszystko to sprawia, że ​​szyfrowanie katalogów jest bardzo zasobożerne i powolne. Podsumowując, chociaż ta metoda jest dość przejrzysta, nie jest zalecana do ochrony poufnych informacji. Zwłaszcza jeśli atakujący może uzyskać dostęp do plików tymczasowych lub pliki wymiany.

Szyfrowanie dysków wirtualnych

Koncepcja ta polega na utworzeniu dużego ukrytego pliku znajdującego się na dysku twardym. System operacyjny traktuje go jako osobny dysk logiczny. Użytkownik może umieścić oprogramowanie na takim dysku i skompresować je, aby zaoszczędzić miejsce. Rozważ zalety i wady tej metody.

Przede wszystkim korzystanie z dysków wirtualnych powoduje zwiększone obciążenie zasobów systemu operacyjnego. Faktem jest, że za każdym razem, gdy system operacyjny uzyskuje dostęp do dysku wirtualnego, musi przekierować żądanie do innego obiektu fizycznego - pliku. To oczywiście negatywnie wpływa na wydajność. Z uwagi na to, że system nie identyfikuje dysku wirtualnego z fizycznym, mogą pojawić się problemy z ochroną plików tymczasowych oraz pliku stronicowania. W porównaniu z szyfrowaniem katalogów koncepcja dysków wirtualnych ma zarówno zalety, jak i wady. Na przykład zaszyfrowany dysk wirtualny chroni nazwy plików znajdujące się w wirtualnych tabelach plików. Jednak tego wirtualnego dysku nie można tak łatwo rozwinąć jak zwykłego folderu, co jest bardzo niewygodne. Podsumowując, możemy powiedzieć, że szyfrowanie dysków wirtualnych jest znacznie bardziej niezawodne niż dwie poprzednie metody, ale może pozostawić pliki tymczasowe i pliki wymiany bez ochrony, jeśli programiści nie zadbają o to specjalnie.

Szyfrowanie całego dysku

Ta koncepcja opiera się nie na szyfrowaniu plik po pliku, ale na szyfrowaniu sektor po sektorze. Innymi słowy, każdy plik zapisany na dysku zostanie zaszyfrowany. Programy kryptograficzne szyfrują dane, zanim system operacyjny umieści je na dysku. W tym celu program kryptograficzny przechwytuje wszystkie próby zapisu danych na dysku fizycznym przez system operacyjny (na poziomie sektora) i wykonuje operacje szyfrowania w locie. Dzięki takiemu podejściu zaszyfrowane zostaną również pliki tymczasowe, plik wymiany i wszystkie usunięte pliki. Logiczną konsekwencją tej metody powinna być znaczna redukcja poziom ogólny Wydajność komputera. To właśnie nad tym problemem pracuje wielu twórców narzędzi szyfrujących, chociaż istnieje już kilka udanych wdrożeń takich produktów. Podsumowując, pełne szyfrowanie dysku pozwala uniknąć sytuacji, w których jakakolwiek część ważnych danych lub ich dokładna kopia pozostaje niezaszyfrowana gdzieś na dysku.

Ochrona procesu pobierania. Jak już wspomniano, zaleca się ochronę procesu rozruchu podczas szyfrowania całego dysku. W takim przypadku nikt nie będzie mógł uruchomić systemu operacyjnego bez przejścia procedury uwierzytelniania na początku rozruchu. A do tego musisz znać hasło. Jeśli atakujący ma fizyczny dostęp do dysku twardego z tajnymi danymi, nie będzie w stanie szybko ustalić, gdzie znajdują się zaszyfrowane pliki systemowe i gdzie - ważna informacja. Zauważ, że jeśli oprogramowanie kryptograficzne szyfruje cały dysk, ale nie zabezpiecza procesu rozruchu, to nie szyfruje plików systemowych i sektorów rozruchowych. Oznacza to, że dysk nie jest w pełni zaszyfrowany.

Dlatego dzisiaj, aby niezawodnie chronić poufne dane na laptopach, należy używać technologii szyfrowania dysków wirtualnych lub całego dysku. Jednak w tym drugim przypadku należy zadbać o to, aby narzędzie kryptograficzne nie zajmowało zasobów komputera na tyle, aby przeszkadzało w pracy użytkowników. Należy zauważyć, że rosyjskie firmy nie produkują jeszcze kompletnych narzędzi do szyfrowania dysków, chociaż kilka takich produktów już istnieje na rynkach zachodnich. Ponadto ochrona danych na PDA jest nieco łatwiejsza, ponieważ ze względu na niewielką ilość przechowywanych informacji programiści mogą sobie pozwolić na szyfrowanie wszystkich danych w ogóle, na przykład na karcie flash.

Szyfrowanie przy użyciu silnego uwierzytelniania

Niezawodne przechowywanie danych wymaga nie tylko wydajnych i dobrze zaimplementowanych technologii kryptograficznych, ale także środków zapewniających spersonalizowany dostęp. Pod tym względem zastosowanie silnego uwierzytelniania dwuskładnikowego w oparciu o klucze sprzętowe lub karty inteligentne jest najbardziej efektywny sposób przechowywanie kluczy szyfrowania, haseł, certyfikatów cyfrowych itp. Aby pomyślnie przejść procedurę silnego uwierzytelniania, użytkownik musi przedstawić token (klucz USB lub kartę inteligentną) systemowi operacyjnemu (na przykład włożyć go do jednego z portów USB komputera lub do czytnika kart inteligentnych urządzenia), a następnie udowodnij, że jesteś właścicielem tego klucza elektronicznego (czyli wprowadź hasło). Tym samym zadanie atakującego próbującego uzyskać dostęp do wrażliwych danych jest bardzo skomplikowane: musi on nie tylko znać hasło, ale także dysponować fizycznym nośnikiem, który posiadają tylko legalni użytkownicy.

Wewnętrzna struktura klucza elektronicznego zakłada obecność chipa elektronicznego i niewielką ilość pamięci nieulotnej. Za pomocą elektronicznego chipa dane są szyfrowane i deszyfrowane w oparciu o algorytmy kryptograficzne wbudowane w urządzenie. Hasła, klucze elektroniczne, kody dostępu i inne tajne informacje są przechowywane w pamięci nieulotnej. Sam klucz sprzętowy jest chroniony przed kradzieżą kodem PIN, a specjalne mechanizmy wbudowane w klucz chronią to hasło przed brutalną siłą.

Wyniki

Skuteczna ochrona danych oznacza zatem stosowanie silnych narzędzi szyfrujących (opartych na technologiach dysków wirtualnych lub obejmujących cały dysk) oraz silnych narzędzi uwierzytelniania (tokeny i karty inteligentne). Wśród sposobów szyfrowania plik po pliku, które są idealne do przesyłania plików przez Internet, warto zwrócić uwagę na dobrze znany program PGP, który może zaspokoić prawie wszystkie żądania użytkowników.

Na obecnym etapie rozwoju społeczeństwa nie jest to nowy, ale zawsze cenny zasób zwany informacją, która nabiera największej wartości. Informacja staje się dziś głównym zasobem rozwoju naukowego, technicznego i społeczno-gospodarczego społeczności światowej. Prawie każda działalność w dzisiejszym społeczeństwie jest ściśle związana z odbiorem, gromadzeniem, przechowywaniem, przetwarzaniem i wykorzystywaniem różnych przepływów informacji. Integralność współczesnego świata jako społeczności zapewniana jest głównie poprzez intensywną wymianę informacji.

Dlatego w nowych warunkach pojawia się wiele problemów związanych z zapewnieniem bezpieczeństwa i poufności informacji handlowych jako rodzaju własności intelektualnej.

Lista wykorzystanych źródeł i literatury

  1. Lopatin V. N. Bezpieczeństwo informacji.
  2. Podstawy bezpieczeństwa informacji: Podręcznik / W. A. ​​Minajew , SV Skryl , A. P. Fisun , V. E. Potanina , SV Dvoryankin .
  3. GOST ST 50922-96. Ochrona informacji. Podstawowe pojęcia i definicje.
  4. www.intuit.ru

W Odnoklassnikach