Greșeli 

Sisteme de protejare a informațiilor confidențiale din organizație. Măsuri de bază pentru protejarea informațiilor confidențiale


Structura generală a sistemului de stat securitatea informatiei iar principalele direcții de dezvoltare și îmbunătățire a acesteia sunt stabilite în Doctrina Securității Informaționale a Federației Ruse, aprobată de Președintele Federației Ruse la 9 septembrie 2000. În conformitate cu Doctrina, securitatea informațională a statului poate fi considerată în sensul larg și restrâns al cuvântului.

În sens larg, securitatea informațională a Federației Ruse este starea de protecție a intereselor sale naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului. Astfel, este un sistem de garanții de stat împotriva amenințărilor externe și amenințărilor la adresa fundamentelor ordinii constituționale din interiorul țării.

Într-un sens restrâns, securitatea informațiilor este protecția de către organele de stat a diferitelor tipuri de secrete, a căror dezvăluire poate afecta securitatea politică, economică, științifică, tehnică și de altă natură a statului.

În general, instituția juridică pentru protecția secretelor poate fi considerată ca o instituție de reglementare a relațiilor publice informaționale, care are trei componente:

    informații referitoare la un anumit tip de secret, precum și principiile, criteriile după care aceste informații sunt clasificate ca secrete;

    mod secret (confidențialitate) - un mecanism pentru restricționarea accesului la informațiile specificate, de ex. mecanismul de protecție a acestora;

    sancțiuni pentru primirea sau difuzarea ilegală de informații protejate.

    Scopul politicii de stat în domeniul protecției informațiilor este de a preveni deteriorarea securității informațiilor ca urmare a accesului neautorizat (ilegal) la informațiile protejate.

Politica statului în domeniul protecției informațiilor se realizează în conformitate cu principiile stabilite:

    legalitatea (stabilirea unui cadru de reglementare unificat în domeniul protecției informațiilor);

    asigurarea unui echilibru de interese ale individului și ale statului în procesul de respectare a drepturilor constituționale ale unei persoane și ale cetățeanului de a primi, acces la informație și restricții legislative privind difuzarea informațiilor în vederea asigurării securității informaționale a statului;

    validitate științifică, luarea de decizii optime în domeniul securității informațiilor;

    consecvență, complexitate (utilizarea tuturor formelor și metodelor de protecție a informațiilor, centralizarea managementului sistemului de protecție a informațiilor, interacțiunea clară a tuturor elementelor acestuia, implementarea principiului răspunderii personale);

    continuitate în activitățile de identificare și prevenire a amenințărilor la adresa informațiilor protejate;

    prevenirea, adică natura preliminară, proactivă a măsurilor de prevenire a amenințărilor la adresa informațiilor protejate.

    Doctrina Securității Informaționale numește problemele prioritare în acest domeniu care necesită soluții urgente în condiții moderne.

Acestea includ:

    consolidarea mecanismelor de reglementare legală a relațiilor în domeniul protecției proprietății intelectuale, crearea condițiilor pentru respectarea restricțiilor privind accesul la informații confidențiale stabilite de legea federală;

    asigurarea interzicerii colectării, stocării, utilizării și diseminării informațiilor despre viața privată a unei persoane fără consimțământul acesteia și alte informații, accesul la care este limitat de legea federală;

    dezvoltarea și adoptarea actelor juridice de reglementare ale Federației Ruse care stabilesc responsabilitatea persoanelor juridice și a persoanelor fizice pentru dezvăluirea ilegală a informațiilor confidențiale, utilizarea informațiilor cu distribuție limitată în scopuri criminale și mercenare;

    asigurarea accesului cetăţenilor la resursele informaţionale deschise de stat. În acest domeniu, se preconizează intensificarea formării resurselor informaționale deschise de stat, creșterea eficienței utilizării lor economice.

Dezvoltarea prevederilor Doctrinei Securității Informaționale a Federației Ruse privind asigurarea accesului cetățenilor la resursele informaționale deschise de stat este, în special, adoptarea Decretului Guvernului Federației Ruse nr. 98 din 12 februarie 2003 " Cu privire la asigurarea accesului la informații despre activitățile Guvernului Federației Ruse și ale organelor executive federale”. Decretul a aprobat Lista de informații despre activitățile Guvernului Federației Ruse și ale organelor executive federale, obligatorii pentru plasarea în sistemele de informații publice, incl. pe internet.

Lista de informații include:

    legile federale, decretele Președintelui, actele juridice ale Guvernului;

    informații despre activitățile legislative ale Guvernului, proiectele de legi federale, programele vizate federale și conceptele dezvoltate de autoritățile executive federale;

    informații despre principalii indicatori ai dezvoltării socio-economice a Federației Ruse și utilizarea bugetului federal;

    revizuirea apelurilor cetățenilor și organizațiilor la Guvernul Federației Ruse și organele executive federale, cu privire la măsurile luate;

    informații despre serviciul public în aparatul Guvernului Federației Ruse și organele executive federale;

    informații despre vizitele oficiale și călătoriile de lucru ale prim-ministrului, ale membrilor Guvernului, delegațiilor guvernamentale etc.

Măsurile prioritare pentru îmbunătățirea suportului juridic de reglementare al securității informațiilor ar trebui să includă elaborarea următoarelor proiecte de lege:

    Despre datele personale.

    Despre dreptul la informare.

    Despre confidențialitate, despre secrete personale și de familie.

    Despre secretele de afaceri.

    Despre securitatea națională.

Implementarea acestor sarcini este legată de implementarea Programului țintă federal „Rusia electronică (2002-2010)”, aprobat prin Decretul Guvernului Federației Ruse din 28 ianuarie 2002 nr. 65.

Pe lângă sarcinile de asigurare a securității informaționale a Federației Ruse, programul prevede dezvoltarea unui concept pentru asigurarea accesibilității publice a resurselor informaționale de stat, precum și un inventar și o analiză a sistemelor informaționale de stat și a resurselor informaționale existente în Rusia.

Doctrina securității informațiilor a Federației Ruse numește următoarele metode generale pentru asigurarea securității informațiilor:

    legal;

    metode organizatorice și tehnice;

    economic.

    Doctrina securității informațiilor a Federației Ruse numește patru grupuri de obiecte de securitate a informațiilor. Acestea includ:

    resurse de informații care conțin informații confidențiale;

    mijloace și sisteme de informatizare (inclusiv - mijloace de tehnologie informatică, complexe informatice și de calcul, rețele și sisteme); instrumente software (sisteme de operare, sisteme de gestionare a bazelor de date, alte sisteme generale și software de aplicație); ACS, sisteme de comunicare și transmisie de date care prelucrează informații cu acces limitat și câmpurile fizice informative ale acestora;

    mijloace tehnice, sisteme care prelucrează informații deschise, dar situate în incinta în care sunt prelucrate informații cu acces limitat, precum și incintele în sine destinate prelucrării acestor informații;

    spații destinate desfășurării negocierilor închise, precum și negocierilor în cursul cărora sunt anunțate informații cu difuzare limitată.

Legislația Federației Ruse stabilește că informațiile (documentele) documentate sunt disponibile publicului, cu excepția celor clasificate de lege drept acces restricționat, care fac obiectul protecției împotriva distribuirii (dezvăluirii) ilegale și aparțin unui secret protejat legal.

Baza legislației în acest domeniu o constituie articolele din Constituția Federației Ruse privind dreptul cetățenilor la informare, care respectă standardele internaționale în acest domeniu. Secretul corespondenței, convorbirilor telefonice, trimiteri poştale, mesaje telegrafice și alte mesaje, secrete personale și de familie (articolul 23). Nu este permisă colectarea, stocarea, utilizarea și difuzarea informațiilor despre viața privată a unei persoane fără consimțământul acesteia (articolul 24). Aceste prevederi sunt dezvoltate în legile federale.

Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației” din 27 iulie 2006 Nr. 149-FZ stabilește în plus următoarele garanții pentru exercitarea dreptului de acces la informații:

    autoritățile publice și organismele locale de autoguvernare creează resurse informaționale accesibile tuturor cu privire la activitățile acestor organisme și organizații subordonate acestora și, de asemenea, în limita competenței lor, oferă utilizatorilor informații în masă cu privire la drepturile, libertățile și îndatoririle cetățenilor, securitatea acestora. și alte probleme care reprezintă interesul public;

    cetăţenii, autorităţile publice, administraţiile locale, organizaţiile şi asociaţiile publice au drepturi egale de acces la resursele informaţionale ale statului şi nu sunt obligaţi să justifice deţinătorilor acestor resurse nevoia de a obţine informaţiile pe care le solicită. Excepție fac informațiile cu acces restricționat;

    autoritățile și organizațiile de stat responsabile cu formarea și utilizarea resurselor informaționale oferă condiții pentru prezentarea promptă și completă a informațiilor documentate către utilizator în conformitate cu obligațiile stabilite prin statutele (regulamentele) acestor organisme și organizații;

    cetățenii și organizațiile au dreptul de a accesa informații documentate despre aceștia, de a clarifica aceste informații pentru a le asigura integralitatea și fiabilitatea, au dreptul de a ști cine și în ce scopuri utilizează sau utilizează aceste informații. Limitarea accesului cetățenilor și organizațiilor la informații despre aceștia este permisă numai din motivele prevăzute de legile federale;

    informațiile obținute în mod legal din resursele informaționale ale statului de către cetățeni și organizații pot fi utilizate de către aceștia pentru a crea informații derivate în scopul distribuirii lor comerciale cu referire obligatorie la sursa informației;

    refuzul accesului la informații deschise sau furnizarea de informații în mod deliberat false utilizatorilor poate fi atacată în instanță. Neîndeplinirea sau îndeplinirea necorespunzătoare a obligațiilor din contractul de furnizare, contract de vânzare-cumpărare, alte forme de schimb de resurse de informații între organizații sunt luate în considerare de o instanță de arbitraj. În toate cazurile, persoanele cărora li se interzice accesul la informații și persoanele care au primit informații false au dreptul la despăgubiri pentru prejudiciul suferit.

În legislația modernă nu există claritate și unitate în aparatul conceptual din domeniul protecției informațiilor. Numai în legile federale sunt menționate peste 30 de tipuri de secrete, care acționează ca restricții directe asupra implementării drepturilor și libertăților la informații, printre care: secretele comerciale; secret industrial; proces de tranzacționare secret; informații care nu pot fi obținute în cursul practicii administrative normale etc.

În ultimii ani s-au făcut încercări de simplificare a compoziției tipurilor de mister. În 1995, în Legea federală „Cu privire la informare, informatizare și protecția informațiilor”, toate informațiile cu acces limitat au fost împărțite în secrete de stat și informații confidențiale (articolele 8 și 10). Totodată, dintre tipurile de informații confidențiale din prezenta lege au fost denumite numai secrete personale și de familie, date personale, confidențialitatea corespondenței, mesaje telefonice, poștale și telegrafice și alte mesaje. Cu toate acestea, în 1996, în Legea federală „Cu privire la participarea la schimbul internațional de informații” (articolul 8), secretele de stat sunt definite ca unul dintre tipurile de informații confidențiale.

În conformitate cu Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188 „Cu privire la aprobarea listei de informații confidențiale”, este specificat conceptul generalizat de informații confidențiale. Conform listei, informațiile confidențiale sunt clasificate în următoarele grupuri:

    informații despre faptele, evenimentele și circumstanțele vieții private a unui cetățean, permițând identificarea personalității acestuia (date cu caracter personal), cu excepția informațiilor care urmează să fie difuzate în mass-media în cazurile stabilite de legile federale;

    informații care constituie secretul anchetei și al procedurilor judiciare;

    informații oficiale, accesul la care este restricționat de autoritățile publice în conformitate cu Codul civil al Federației Ruse și legile federale (secretul oficial);

    informații legate de activități profesionale, la care accesul este limitat în conformitate cu Constituția Federației Ruse și cu legile federale (secretul medical, notarial, avocați, corespondență, convorbiri telefonice, trimiteri poștale, telegraf și alte mesaje etc.) (secretul profesional). );

    informații legate de activități comerciale, accesul la care este restricționat în conformitate cu Codul civil al Federației Ruse și legile federale (secretul comercial);

    informații despre esența unei invenții, model de utilitate sau design industrial înainte de publicarea oficială a informațiilor despre acestea.

Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor” definește următoarele obiective pentru protecția informațiilor:

    prevenirea scurgerilor, furtului, pierderii, denaturării, falsificării informațiilor;

    prevenirea amenințărilor la adresa securității individului, societății și statului;

    prevenirea acțiunilor neautorizate de distrugere, modificare, denaturare, copiere, blocare a informațiilor; prevenirea altor forme de intervenție ilegală în resursele informaționale și sistemele informaționale, asigurarea regimului juridic al informațiilor documentate ca obiect de proprietate;

    protecția drepturilor constituționale ale cetățenilor de a păstra secretul personal și confidențialitatea datelor cu caracter personal disponibile în sistemele informaționale;

    păstrarea secretelor de stat, confidențialitatea informațiilor documentate în condițiile legii;

    asigurarea drepturilor subiecților în procesele informaționale și în dezvoltarea, producerea și aplicarea sistemelor informaționale, tehnologiilor și mijloacelor de susținere a acestora.

    Această lege stabilește ca regimul de protecție a informațiilor să fie instituit:

    în legătură cu informațiile confidențiale documentate - de către proprietarul resurselor de informații sau o persoană autorizată în baza prezentei legi federale;

    în legătură cu datele personale – prin legea federală.

Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor” interzice clasificarea următoarelor informații ca informații cu acces restricționat:

    actele legislative și alte acte normative care stabilesc statutul juridic al autorităților publice, organelor locale de autoguvernare, organizațiilor, asociațiilor obștești, precum și a drepturilor, libertăților și obligațiilor cetățenilor, procedura de implementare a acestora;

    documente care conțin informații privind situațiile de urgență, informații de mediu, meteorologice, demografice, sanitare și epidemiologice și alte informații necesare pentru asigurarea funcționării în siguranță a așezărilor, a instalațiilor de producție, a siguranței cetățenilor și a populației în ansamblu;

    documente care conțin informații despre activitățile autorităților publice și ale autorităților locale, despre utilizare fonduri bugetareși alte resurse de stat și locale, privind starea economiei și nevoile populației, cu excepția informațiilor clasificate ca secrete de stat;

    documentele acumulate în fondurile deschise ale bibliotecilor și arhivelor, sistemelor informaționale ale autorităților publice, administrațiilor locale, asociațiilor obștești, organizațiilor de interes public sau necesare pentru realizarea drepturilor, libertăților și îndatoririlor cetățenilor.

Codul civil (CC) al Federației Ruse (articolul 139) definește semnele secretelor oficiale și comerciale ca obiect special al drepturilor civile și prevede, de asemenea, motivele și formele pentru protecția acestora.

Secretul comercial și oficial ca obiect de drept civil are trei caracteristici:

    Informațiile au valoare comercială reală sau potențială datorită necunoașterii acestora față de terți.

    Nu există acces legal la el.

    Proprietarul informațiilor ia măsuri pentru a le proteja confidențialitatea.

Cerințele generale pentru protecția informațiilor în domeniul schimbului internațional de informații sunt stabilite în Decretul președintelui Federației Ruse din 17 mai 2004 „Cu privire la măsurile de asigurare a securității informațiilor a Federației Ruse în domeniul schimbului internațional de informații. ." Prezentul decret stabilește cerințe pentru asigurarea securității schimbului internațional de informații prin sisteme informatice, rețele și rețele de comunicații, inclusiv Asociația internațională a rețelelor „Internet”.

În conformitate cu Decretul, subiecții schimbului internațional de informații sunt sfătuiți să nu pornească sistemele informaționale, rețelele de comunicații și calculatoarele personale autonome în care sunt prelucrate informații care conțin informații care constituie secret de stat, informații proprietare de distribuție limitată, și pentru care reguli speciale. pentru accesul la resurse informaționale sunt stabilite., ca parte a mijloacelor de schimb internațional de informații, incl. la Asociația Internațională a Rețelelor de Internet.

Proprietarii de resurse informaționale de stat deschise disponibile publicului trebuie să le includă în componența obiectelor schimbului internațional de informații numai atunci când folosesc instrumente de protecție a informațiilor certificate care asigură integritatea și disponibilitatea acestora, inclusiv. mijloace criptografice de protecție pentru a confirma acuratețea informațiilor.

Proprietarii și utilizatorii acestor resurse trebuie să plaseze mijloace tehnice conectate la sistemele informaționale deschise și la rețelele de comunicații utilizate în schimbul internațional de informații, inclusiv internetul, în afara localurilor destinate negocierilor închise și activităților științifice în acest domeniu.

Revigorarea în condiții moderne a activității antreprenoriale a presupus elaborarea unor documente de reglementare pe probleme legate de protecția secretelor comerciale.

În URSS, prima și singura definiție legală a secretului comercial a fost dată în legea „Cu privire la întreprinderile din URSS” din 4 iunie 1990 (articolul 33). Acest articol spunea că „secretul comercial al unei întreprinderi este înțeles ca informații care nu sunt secrete de stat, legate de producție, informații tehnologice, management, finanțare și alte activități ale întreprinderii, a căror dezvăluire (transfer, scurgere) îi poate dăuna. interese.”

Problemele de protecție a secretelor comerciale sunt reflectate în articolele 10, 13 - 15 din Legea RSFSR din 22.03.1991 nr. 948-1 (modificată la 21.03.2002 nr. 31-FZ) „Cu privire la concurența și restrângerea activității monopoliste pe piețele de mărfuri”.

Articolul 10 din lege clasifică ca forme de concurență neloială primirea, utilizarea, dezvăluirea informațiilor științifice, tehnice, de producție sau comerciale, inclusiv secrete comerciale, fără acordul proprietarului acesteia.

În conformitate cu Legea federală N 98-FZ „Cu privire la secretele comerciale” din 29 iulie 2004, un secret comercial este înțeles ca „confidențialitatea informațiilor care permite proprietarului său, în circumstanțe existente sau posibile, să crească veniturile, să evite cheltuielile nejustificate, să mențină o poziție pe piața de bunuri, lucrări, servicii sau obținerea unui alt beneficiu comercial.

La informațiile care constituie secret comercial, în conformitate cu paragraful 2 al art. 3 din prezenta lege se referă la informații științifice, tehnice, tehnologice, industriale, financiare, economice sau de altă natură (inclusiv componenta secretelor de producție (know-how), care au valoare comercială reală sau potențială din cauza necunoscutei de către terți, la care nu există acces liber pe bază legală și în raport cu care proprietarul unor astfel de informații să fi introdus un regim de secret comercial.

Această prevedere a legii poate fi interpretată destul de larg, deoarece menționează „alte” informații care pot fi clasificate drept secret comercial. În plus, sensul acestei definiții copie practic art. 139 din Codul civil al Federației Ruse. Schimbările au vizat în principal clarificări în ceea ce privește tehnologiile, iar în loc să se ia măsuri pentru protejarea confidențialității, a fost introdus un regim de secret comercial.

Prevederile prezentei legi se aplică informațiilor care constituie secret comercial, indiferent de tipul de suport pe care sunt înregistrate.

Informațiile care nu pot constitui un secret comercial sunt definite în Decretul Guvernului Federației Ruse din 5 decembrie 1991 nr. 35 (modificat prin Decretul Guvernului Federației Ruse din 3 octombrie 2002 nr. 731), precum și ca în legea „Cu privire la secretele comerciale”.

Regimul secretului comercial nu poate fi stabilit de către persoanele care desfășoară activități antreprenoriale în legătură cu următoarele informații:

    privind componența proprietății unei întreprinderi unitare de stat sau municipale, instituție de stat și despre utilizarea de către acestea a fondurilor bugetelor relevante;

    privind poluarea mediului, starea siguranței la incendiu, situația sanitar-epidemiologică și radiațională, siguranța alimentelor și alți factori care au un impact negativ asupra asigurării funcționării în siguranță a instalațiilor de producție, a siguranței fiecărui cetățean și a siguranței populației ca întreg;

    privind numărul, componența salariaților, sistemul de salarizare, condițiile de muncă, inclusiv protecția muncii, indicatorii accidentelor de muncă și morbiditatea profesională și disponibilitatea posturilor vacante;

    privind datoriile angajatorilor pentru salarii și alte beneficii sociale;

    despre încălcările legislației Federației Ruse și faptele de tragere la răspundere pentru aceste încălcări;

    privind condițiile de licitații sau licitații pentru privatizarea obiectelor de proprietate de stat sau municipală;

    asupra mărimii și structurii veniturilor organizațiilor nonprofit, asupra mărimii și componenței proprietății acestora, asupra cheltuielilor acestora, asupra numărului și salariilor angajaților acestora, asupra utilizării forței de muncă neremunerate a cetățenilor în activitățile unui organizație de profit;

    pe lista persoanelor îndreptățite să acționeze fără împuternicire în numele unei persoane juridice;

    a cărui dezvăluire obligatorie sau inadmisibilitatea restricționării accesului la care este stabilită de alte legi federale.

Partea 1 a articolului 10 prevede că măsurile de protejare a confidențialității informațiilor luate de proprietarul acestora ar trebui să includă:

    stabilirea listei de informații care constituie secret comercial;

    restricționarea accesului la informațiile care constituie secret comercial prin stabilirea unei proceduri de prelucrare a acestor informații și monitorizarea respectării acestei proceduri;

    înregistrarea persoanelor care au avut acces la informații care constituie un secret comercial și a persoanelor cărora le-au fost furnizate sau transferate aceste informații;

    reglementarea raporturilor privind utilizarea informațiilor constitutive de secret comercial de către salariați în baza contractelor de muncă și antreprenori în baza de contracte de drept civil;

    punerea pe suporturi materiale (documente) care contin informatii constituind secret comercial, stampila de semnatura "Secret comercial" indicand detinatorul acestor informatii.

Măsurile obligatorii includ, de asemenea, stabilirea unei proceduri de manipulare a informațiilor protejate și monitorizarea respectării acestei proceduri (partea 1.2, articolul 10), marcarea „Secrete comerciale” pe suportul fizic al informațiilor protejate (partea 1.5, articolul 10), etc. Nerespectarea prevederilor măsurile de mai sus conduc la faptul că organizația nu poate deține informații care constituie secret comercial. Acest lucru este indicat direct în partea a 2-a a articolului 10 - „regimul secretului comercial se consideră stabilit după ce deținătorul informațiilor care constituie secret comercial ia măsurile specificate în partea 1 a prezentului articol”.

Pentru a proteja confidențialitatea informațiilor, angajatorul are, de asemenea, obligația:

    să familiarizeze salariatul, al cărui acces la informații constitutive de secret comercial, este necesar pentru îndeplinirea atribuțiilor de serviciu, cu o listă de informații constitutive de secret comercial, deținută de angajator și de contrapărțile acestuia, contra primirii;

    familiarizează salariatul cu primirea regimului de secret comercial stabilit de angajator și a măsurilor de răspundere pentru încălcarea acestuia;

    creează un angajat conditiile necesare să respecte regimul secretului comercial stabilit de angajator.

    Măsurile de protecție a confidențialității informațiilor sunt considerate rezonabil suficiente dacă:

    accesul la informațiile care constituie secret comercial este exclus oricărei persoane fără acordul proprietarului acesteia;

    este asigurată posibilitatea utilizării de către angajați a informațiilor constitutive de secret comercial și transferarea acestora către contrapărți fără a încălca regimul secretului comercial.

Mijloacele software și hardware de protecție împotriva accesului neautorizat includ măsuri de identificare, autentificare și control al accesului la sistemul informațional.

Identificarea este atribuirea unor identificatori unici pentru a accesa subiectele.

Acestea includ etichete de frecvență radio, tehnologii biometrice, carduri magnetice, chei magnetice universale, autentificări pentru intrarea în sistem etc.

Autentificare - verificarea dreptului de proprietate asupra accesului sub rezerva identificatorului prezentat și confirmarea autenticității acestuia.

Procedurile de autentificare includ parole, coduri PIN, carduri inteligente, chei USB, semnături digitale, chei de sesiune etc. Partea procedurală a mijloacelor de identificare și autentificare este interconectată și, de fapt, reprezintă baza de bază a tuturor instrumentelor software și hardware pentru asigurarea securității informațiilor, întrucât toate celelalte servicii sunt concepute pentru a deservi subiecte specifice recunoscute corect de sistemul informațional. În general, identificarea permite subiectului să se identifice în sistemul informațional, iar cu ajutorul autentificării, sistemul informațional confirmă că subiectul este cu adevărat cine pretinde a fi. Pe baza parcurgerii acestei operațiuni se efectuează o operațiune de asigurare a accesului la sistemul informațional. Procedurile de control al accesului permit entităților autorizate să efectueze acțiuni permise de reglementări, iar sistemul informațional să controleze aceste acțiuni pentru corectitudinea și corectitudinea rezultatului obținut. Controlul accesului permite sistemului să ascundă de utilizatori datele la care aceștia nu au acces.

Următorul mijloc de protecție software și hardware este înregistrarea și auditarea informațiilor.

Înregistrarea include colectarea, acumularea și stocarea informațiilor despre evenimente, acțiuni, rezultate care au avut loc în timpul funcționării sistemului informațional, utilizatori individuali, procese și toate programele și hardware-ul care fac parte din sistemul informațional al întreprinderii.

Deoarece fiecare componentă a sistemului informațional are un set predeterminat de evenimente posibile în conformitate cu clasificatorii programați, evenimentele, acțiunile și rezultatele sunt împărțite în:

  • extern, cauzat de acțiunile altor componente,
  • intern, cauzat de acțiunile componentei în sine,
  • client, cauzat de acțiunile utilizatorilor și administratorilor.
Auditul informațional constă în efectuarea analizei operaționale în timp real sau într-o perioadă dată.

Pe baza rezultatelor analizei, fie se generează un raport cu privire la evenimentele care au avut loc, fie se inițiază un răspuns automat la o situație de urgență.

Implementarea înregistrării și auditării rezolvă următoarele sarcini:

  • asigurarea răspunderii utilizatorilor și administratorilor;
  • permițând reconstrucția secvenței evenimentelor;
  • detectarea încercărilor de încălcare a securității informațiilor;
  • furnizarea de informații pentru identificarea și analiza problemelor.

Adesea, protecția informațiilor este imposibilă fără utilizarea instrumentelor criptografice. Ele sunt utilizate pentru a furniza servicii de criptare, integritate și autentificare atunci când mijloacele de autentificare sunt stocate în formă criptată de către utilizator. Există două metode principale de criptare: simetrică și asimetrică.

Controlul integrității vă permite să stabiliți autenticitatea și identitatea unui obiect, care este o matrice de date, porțiuni individuale de date, o sursă de date și, de asemenea, să asigurați imposibilitatea de a marca acțiunea efectuată în sistem cu o serie de informații. Implementarea controlului integrității se bazează pe tehnologii de conversie a datelor folosind criptare și certificate digitale.

Un alt aspect important este utilizarea screening-ului, tehnologie care permite, prin delimitarea accesului subiecților la resursele informaționale, controlul tuturor fluxurilor de informații dintre sistemul informațional al întreprinderii și obiectele externe, matricele de date, subiecții și contrasubiecții. Controlul fluxului consta in filtrarea acestora si, daca este cazul, transformarea informatiilor transmise.

Sarcina ecranării este de a proteja informațiile interne de factorii externi potențial ostili și de actori. Principala formă de implementare a scuturilor este firewall-urile sau firewall-urile de diferite tipuri și arhitecturi.

Întrucât unul dintre semnele securității informației este disponibilitatea resurselor informaționale, asigurarea unui nivel ridicat de disponibilitate este o direcție importantă în implementarea măsurilor software și hardware. În special, sunt împărțite două domenii: asigurarea toleranței la erori, i.e. failover-ul sistemului, capacitatea de a funcționa atunci când apar erori și furnizarea unei recuperări sigure și rapide de la defecțiuni, de ex. funcționalitatea sistemului.

Principala cerință pentru sistemele informaționale este ca acestea să funcționeze întotdeauna cu o anumită eficiență, timp de nefuncționare minim și viteză de răspuns.

În conformitate cu aceasta, disponibilitatea resurselor informaționale este asigurată de:

  • utilizarea unei arhitecturi structurale, ceea ce înseamnă că modulele individuale pot fi dezactivate sau înlocuite rapid dacă este necesar, fără a afecta alte elemente ale sistemului informațional;
  • asigurarea tolerantei la erori datorita: folosirii elementelor autonome ale infrastructurii suport, introducerii de capacitate in exces in configuratia software si hardware, redundanta hardware, replicarea resurselor informatice in cadrul sistemului, Rezervă copie date etc.
  • asigurarea menținabilității prin reducerea timpului de diagnosticare și eliminare a defecțiunilor și a consecințelor acestora.

Un alt tip de mijloace de securitate a informațiilor sunt canalele de comunicare securizate.

Funcționarea sistemelor informaționale este inevitabil asociată cu transferul de date, prin urmare, este, de asemenea, necesar ca întreprinderile să asigure protecția resurselor informaționale transmise folosind canale de comunicații securizate. Posibilitatea accesului neautorizat la date în timpul transmiterii traficului prin canale de comunicare deschise se datorează disponibilității generale a acestora. Deoarece „comunicațiile pe toată lungimea lor nu pot fi protejate fizic, de aceea este mai bine să pornim inițial de la asumarea vulnerabilității lor și să oferiți protecție în consecință”. Pentru aceasta se folosesc tehnologii de tunelizare, a căror esență este încapsularea datelor, adică. împachetați sau împachetați pachetele de date transmise, inclusiv toate atributele serviciului, în propriile lor plicuri. În consecință, tunelul este o conexiune sigură prin canale de comunicație deschise, prin care sunt transmise pachete de date protejate criptografic. Tunnelarea este utilizată pentru a asigura confidențialitatea traficului prin ascunderea informațiilor de serviciu și prin asigurarea confidențialității și integrității datelor transmise atunci când sunt utilizate împreună cu elementele criptografice ale unui sistem informațional. Combinația dintre tunel și criptare face posibilă implementarea unei rețele private virtuale. În același timp, punctele terminale ale tunelurilor care implementează rețele private virtuale sunt firewall-uri care servesc conexiunii organizațiilor la rețele externe.

Firewall-uri ca puncte de implementare a serviciului de rețele private virtuale

Astfel, tunelul și criptarea sunt transformări suplimentare efectuate în procesul de filtrare a traficului de rețea împreună cu traducerea adresei. Capetele tunelurilor, pe lângă firewall-urile corporative, pot fi computere personale și mobile ale angajaților, mai exact firewall-urile și firewall-urile lor personale. Datorită acestei abordări, este asigurată funcționarea canalelor de comunicații securizate.

Proceduri de securitate a informațiilor

Procedurile de securitate a informațiilor sunt de obicei împărțite în niveluri administrative și organizaționale.

  • Procedurile administrative includ acțiuni generale întreprinse de conducerea organizației pentru a reglementa toate lucrările, acțiunile, operațiunile din domeniul asigurării și menținerii securității informațiilor, implementate prin alocarea resurselor necesare și monitorizarea eficacității măsurilor luate.
  • Nivelul organizatoric reprezintă procedurile de asigurare a securității informațiilor, inclusiv managementul personalului, protecția fizică, menținerea operabilității infrastructurii software și hardware, eliminarea promptă a breșelor de securitate și planificarea lucrărilor de recuperare.

Pe de altă parte, distincția dintre proceduri administrative și organizatorice este lipsită de sens, întrucât procedurile de la un nivel nu pot exista separat de alt nivel, încălcându-se astfel relația dintre protecția la nivel fizic, protecția personală și cea organizațională în conceptul de securitate a informațiilor. În practică, atunci când asigură securitatea informației, organizațiile nu neglijează procedurile administrative sau organizaționale, de aceea este mai logic să le considerăm ca o abordare integrată, întrucât ambele niveluri afectează nivelul fizic, organizațional și personal de protecție a informațiilor.

Politica de securitate la baza procedurilor complexe de asigurare a securității informațiilor.

Politica de securitate a informațiilor

Politica de securitate a informațiilorîntr-o organizație, este un set de decizii documentate luate de conducerea organizației și care vizează protejarea informațiilor și a resurselor asociate acesteia.

Din punct de vedere organizatoric și managerial, politica de securitate a informațiilor poate fi un singur document sau întocmită sub forma mai multor documente sau ordine independente, dar în orice caz ar trebui să cuprindă următoarele aspecte ale protecției sistemului informațional al organizației:

  • protecția obiectelor sistemului informațional, a resurselor informaționale și a operațiunilor directe cu acestea;
  • protecția tuturor operațiunilor legate de prelucrarea informațiilor în sistem, inclusiv software de procesare;
  • protecția canalelor de comunicație, inclusiv prin cablu, canale radio, infraroșu, hardware etc.;
  • protecția complexului hardware de radiațiile electromagnetice laterale;
  • managementul sistemului de securitate, inclusiv întreținere, upgrade-uri și acțiuni administrative.

Fiecare dintre aspecte ar trebui descris în detaliu și documentat în documentele interne ale organizației. Documentele interne acoperă trei niveluri ale procesului de protecție: superior, mediu și inferior.

Documentele de politică de securitate a informațiilor de nivel superior reflectă abordarea de bază a organizației pentru protejarea propriilor informații și conformitatea cu standardele naționale și/sau internaționale. În practică, într-o organizație există un singur document de nivel superior, intitulat „Conceptul de securitate a informațiilor”, „Regulamentul privind securitatea informațiilor” etc. Formal, aceste documente nu au valoare confidențială, distribuția lor nu este limitată, dar pot fi emise într-o ediție pentru uz intern și publicare deschisă.

Documentele de nivel mediu sunt strict confidențiale și se referă la aspecte specifice ale securității informaționale a organizației: mijloacele de protecție a informațiilor utilizate, securitatea bazelor de date, comunicații, instrumente criptografice și alte procese informaționale și economice ale organizației. Documentația este implementată sub forma unor standarde tehnice și organizatorice interne.

Documentele de nivel inferior sunt împărțite în două tipuri: regulamente de lucru și instrucțiuni de utilizare. Reglementările de muncă sunt strict confidențiale și sunt destinate numai persoanelor care, la serviciu, desfășoară activități de administrare a serviciilor individuale de securitate a informațiilor. Instrucțiunile de operare pot fi fie confidențiale, fie publice; sunt destinate personalului organizației și descriu procedura de lucru cu elementele individuale ale sistemului informațional al organizației.

Experiența mondială arată că politica de securitate a informațiilor este întotdeauna documentată doar în companiile mari care au un sistem informatic dezvoltat care impune cerințe sporite pentru securitatea informațiilor, întreprinderile mijlocii au cel mai adesea doar o politică de securitate a informațiilor parțial documentată, organizațiile mici în marea majoritate nu-ți pasă deloc de documentarea politicii de securitate. Indiferent dacă formatul documentației este holistic sau distribuit, aspectul de bază este modul de securitate.

Există două abordări diferite care stau la baza politica de securitate a informatiilor:

  1. "Tot ceea ce nu este interzis este permis."
  2. „Tot ceea ce nu este permis este interzis”.

Defectul fundamental al primei abordări este că, în practică, este imposibil să se prevadă toate cazurile periculoase și să le interzică. Fără îndoială, ar trebui folosită doar a doua abordare.

Nivel organizațional de securitate a informațiilor

Din punct de vedere al securității informațiilor, procedurile organizaționale de asigurare a securității informațiilor sunt prezentate ca „reglementarea activităților de producție și a relațiilor dintre executanți pe o bază legală care exclude sau împiedică în mod semnificativ deturnarea informațiilor confidențiale și manifestarea amenințărilor interne și externe” .

Măsurile de management al personalului care vizează organizarea muncii cu personalul în vederea asigurării securității informațiilor includ separarea sarcinilor și reducerea la minimum a privilegiilor. Împărțirea sarcinilor prescrie o astfel de distribuție a competențelor și a domeniilor de responsabilitate, în care o persoană nu este capabilă să perturbe un proces care este critic pentru organizație. Acest lucru reduce șansa de erori și abuz. Minimizarea privilegiilor impune ca utilizatorilor să li se acorde doar nivelul de acces adecvat pentru responsabilitățile lor. Acest lucru reduce daunele cauzate de acțiuni incorecte accidentale sau intenționate.

Protecția fizică înseamnă elaborarea și adoptarea de măsuri de protecție directă a clădirilor care adăpostesc resursele informaționale ale organizației, teritoriile adiacente, elementele de infrastructură, echipamentele de calcul, suporturile de date și canalele de comunicații hardware. Acestea includ controlul accesului fizic, protecția împotriva incendiilor, protecția infrastructurii de sprijin, interceptarea datelor și protecția sistemului mobil.

Menținerea sănătății infrastructurii software și hardware înseamnă prevenirea erorilor stocastice care amenință să deterioreze complexul hardware, să perturbe programe și să piardă date. Principalele direcții în acest aspect sunt furnizarea de suport pentru utilizatori și software, managementul configurației, backup, management media, documentare și întreținere preventivă.

Rezolvarea rapidă a breșelor de securitate are trei obiective principale:

  1. Localizarea incidentelor și reducerea daunelor;
  2. Identificarea infractorului;
  3. Prevenirea încălcărilor repetate.

În cele din urmă, planificarea recuperării vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți cel puțin o cantitate minimă de capacitate de funcționare.

Utilizarea software-ului și a hardware-ului și a canalelor de comunicații securizate ar trebui implementate în organizație pe baza unei abordări integrate a dezvoltării și aprobării tuturor procedurilor administrative și organizaționale de reglementare pentru asigurarea securității informațiilor. În caz contrar, adoptarea unor măsuri separate nu garantează protecția informațiilor și adesea, dimpotrivă, provoacă scurgeri de informații confidențiale, pierderi de date critice, deteriorarea infrastructurii hardware și perturbarea componentelor software ale sistemului informațional al organizației.

Metode de securitate a informațiilor

Întreprinderile moderne se caracterizează printr-un sistem de informații distribuite care vă permite să luați în considerare birourile și depozitele distribuite ale companiei, contabilitatea financiară și controlul de gestiune, informațiile din baza de clienți, luând în considerare selecția indicatorilor și așa mai departe. Astfel, gama de date este foarte semnificativă, iar marea majoritate a acestora sunt informații de importanță prioritară pentru companie din punct de vedere comercial și economic. De altfel, asigurarea confidentialitatii datelor care au valoare comerciala este una dintre principalele sarcini de asigurare a securitatii informatiilor in cadrul companiei.

Asigurarea securității informațiilor la nivelul întreprinderii ar trebui reglementat de următoarele documente:

  1. Reglementarea securității informațiilor. Acesta include formularea scopurilor și obiectivelor pentru asigurarea securității informațiilor, o listă de reglementări interne privind instrumentele de securitate a informațiilor și o reglementare privind administrarea sistemului informațional distribuit al unei companii. Accesul la regulament este limitat la conducerea organizației și la șeful departamentului de automatizare.
  2. Reglementări pentru suportul tehnic al protecției informațiilor. Documentele sunt confidențiale, accesul este limitat la angajații departamentului de automatizare și ai conducerii superioare.
  3. Reglementări pentru administrarea unui sistem distribuit de protecție a informațiilor. Accesul la regulament este limitat la angajații departamentului de automatizare responsabil cu administrarea sistemului informațional și conducerea superioară.

În același timp, aceste documente nu trebuie limitate, ci trebuie elaborate și nivelurile inferioare. În caz contrar, dacă întreprinderea nu deține alte documente legate de asigurarea securității informațiilor, aceasta va indica un grad insuficient de securitate a informațiilor administrative, deoarece nu există documente de nivel inferior, în special instrucțiuni pentru operarea elementelor individuale ale sistemului informațional.

Procedurile organizatorice obligatorii includ:

  • principalele măsuri de diferențiere a personalului după nivelul de acces la resursele informaționale,
  • protecția fizică a birourilor companiei împotriva pătrunderii directe și a amenințărilor de distrugere, pierdere sau interceptare a datelor,
  • menținerea funcționalității infrastructurii hardware și software se organizează sub formă de backup automatizat, verificarea de la distanță a mediilor de stocare, suportul utilizatorului și software este asigurat la cerere.

Aceasta ar trebui să includă și măsuri reglementate pentru a răspunde și a elimina cazurile de încălcări ale securității informațiilor.

În practică, se observă adesea că întreprinderile nu sunt suficient de atente la această problemă. Toate acțiunile în această direcție se desfășoară exclusiv în stare de funcționare, ceea ce mărește timpul de eliminare a cazurilor de încălcări și nu garantează prevenirea încălcărilor repetate ale securității informațiilor. În plus, practica planificării acțiunilor de eliminare a consecințelor după accidente, scurgeri de informații, pierderi de date și situații critice este complet absentă. Toate acestea înrăutățesc semnificativ securitatea informațiilor întreprinderii.

La nivel de software și hardware, ar trebui implementat un sistem de securitate a informațiilor pe trei niveluri.

Criterii minime pentru asigurarea securității informațiilor:

1. Modul de control acces:

  • a fost implementată o intrare închisă în sistemul informațional, este imposibilă intrarea în sistem în afara locurilor de muncă verificate;
  • a fost implementat accesul cu funcționalități limitate de pe computerele personale mobile pentru angajați;
  • autorizarea se realizează conform autentificărilor și parolelor formate de administratori.

2. Modul de criptare și control al integrității:

  • se utilizează o metodă de criptare asimetrică pentru datele transmise;
  • rețele de date critice sunt stocate în baze de date în formă criptată, ceea ce nu permite accesul la acestea chiar dacă sistemul informațional al companiei este piratat;
  • controlul integritatii este asigurat de o simpla semnatura digitala a tuturor resurselor informatice stocate, procesate sau transmise in cadrul sistemului informatic.

3. Modul de ecranare:

  • a implementat un sistem de filtre în firewall-uri, permițându-vă să controlați toate fluxurile de informații prin canalele de comunicare;
  • conexiunile externe cu resursele informaționale globale și canalele publice de comunicare pot fi realizate numai prin set limitat stații de lucru verificate cu o conexiune limitată la sistemul informațional corporativ;
  • accesul securizat de la locurile de muncă ale angajaților pentru a-și îndeplini sarcinile oficiale este implementat printr-un sistem cu două niveluri de servere proxy.

În cele din urmă, cu ajutorul tehnologiilor de tunelizare, o rețea privată virtuală trebuie implementată într-o întreprindere în conformitate cu un model tipic de construcție pentru a oferi canale de comunicații sigure între diverse departamente ale companiei, parteneri și clienți ai companiei.

În ciuda faptului că comunicațiile se realizează direct prin rețele cu un nivel potențial scăzut de încredere, tehnologiile de tunel, prin utilizarea instrumentelor criptografice, fac posibilă asigurarea unei protecție fiabilă a tuturor datelor transmise.

constatări

Scopul principal al tuturor măsurilor luate în domeniul securității informațiilor este acela de a proteja interesele întreprinderii, într-un fel sau altul legate de resursele informaționale de care dispune. Deși interesele întreprinderilor nu se limitează la un anumit domeniu, toate se concentrează pe disponibilitatea, integritatea și confidențialitatea informațiilor.

Problema asigurării securității informațiilor se explică prin două motive principale.

  1. Resursele informaţionale acumulate de întreprindere sunt valoroase.
  2. Dependență critică de tehnologia Informatiei duce la utilizarea lor pe scară largă.

Având în vedere varietatea mare de amenințări existente la adresa securității informațiilor, cum ar fi distrugerea de informații importante, utilizarea neautorizată a datelor confidențiale, întreruperile în funcționarea întreprinderii din cauza încălcărilor sistemului informațional, putem concluziona că toate acestea conduc în mod obiectiv la mari pierderi materiale.

În asigurarea securității informațiilor, un rol semnificativ îl joacă instrumentele software și hardware care vizează controlul entităților informatice, adică. hardware, elemente software, date, formând ultima și cea mai înaltă frontieră prioritară a securității informațiilor. De asemenea, transmiterea datelor trebuie să fie sigură în contextul menținerii confidențialității, integrității și disponibilității acestora. Prin urmare, în condiții moderne, tehnologiile de tunelare sunt utilizate în combinație cu mijloace criptografice pentru a oferi canale de comunicații sigure.

Literatură

  1. Galatenko V.A. Standarde de securitate a informațiilor. - M.: Internet University of Information Technologies, 2006.
  2. Partyka T.L., Popov I.I. Securitatea informațiilor. – M.: Forum, 2012.

Astăzi vom vorbi despre scurgeri și mijloace de protejare a informațiilor confidențiale.

Termenul de informații confidențiale înseamnă confidențial, nesupus publicității, secret. Dezvăluirea acesteia poate fi calificată drept infracțiune. Orice persoană care are acces la astfel de informații nu are dreptul de a le dezvălui altor persoane fără acordul deținătorului drepturilor de autor.

Conţinut

Informații confidențiale și legea

Decretul Președintelui Federației Ruse nr. 188 din 6 martie 1997 definește informațiile cu caracter confidențial. Acestea includ:

  1. Informații legate de comerț.
  2. Informații legate de activități oficiale.
  3. Secret medical, avocat, personal (corespondență, convorbiri telefonice etc.).
  4. Secretul anchetei, proceduri judiciare, informații despre condamnați.
  5. Date personale ale cetățenilor, informații despre viața lor personală.

Un secret comercial este o informație care permite proprietarului său să obțină un avantaj competitiv, să beneficieze de furnizarea de servicii sau de vânzarea de bunuri. Informații privilegiate despre companie (schimbarea conducerii etc.) care pot afecta valoarea acțiunilor.

Secret oficial - informații disponibile în organismele guvernamentale, documentele sunt marcate „Pentru uz oficial” și nu fac obiectul dezvăluirii către terți.

Secretul profesional include secretul anchetei, avocatului, procedurilor judiciare, notariale etc.

Orice date personale (nume complet, loc de muncă, adresă etc.), informații despre viața privată a unui cetățean.

Scurgerea unor astfel de informații poate apărea în următoarele cazuri:

  1. Stocare și acces ineficient la informații confidențiale, sistem de securitate slab.
  2. Schimbare constantă de personal, erori de personal, climat psihologic dificil în echipă.
  3. Pregătirea slabă a personalului în moduri eficiente de a proteja informațiile.
  4. Incapacitatea conducerii organizației de a controla munca angajaților cu informații clasificate.
  5. Posibilitatea necontrolată de intrare a persoanelor neautorizate în incinta în care sunt stocate informații.

Modalități de scurgere de informații

Ele pot fi organizatorice și tehnice.

Canale organizatorice:

  1. Aplicarea pentru un loc de muncă într-o organizație pentru a obține informații clasificate.
  2. Obținerea de informații de interes de la parteneri, clienți folosind metode de înșelăciune, denaturare.
  3. Accesul penal la obținerea de informații (furt de documente, răpire hard disk cu informatii).

Canale tehnice:

  1. Copierea documentului original al informațiilor clasificate sau a versiunii sale electronice.
  2. Înregistrarea unei conversații confidențiale pe medii electronice (inregistrator de voce, smartphone și alte dispozitive de înregistrare).
  3. Transmiterea orală a conținutului unui document cu acces limitat către terți care nu au dreptul de acces la acesta.
  4. Obținerea penală de informații cu ajutorul marcajelor radio, microfoane și camere video instalate ascuns.

Măsuri de securitate a informațiilor

Sistemul de protecție a informațiilor clasificate presupune:

  1. Prevenirea accesului neautorizat la acesta.
  2. Blocarea canalelor de scurgere.
  3. Reglementări pentru lucrul cu informații confidențiale.

Serviciul de securitate al întreprinderii ar trebui să organizeze implementarea practică a sistemului de securitate a informațiilor, instruirea personalului, controlul conformității cu cerințele de reglementare.

Metode de organizare

  1. Dezvoltarea unui sistem de prelucrare a datelor confidențiale.
  2. Aducerea personalului firmei a unei prevederi privind răspunderea pentru divulgarea documentelor confidențiale, copierea sau falsificarea acestora.
  3. Întocmirea unei liste de documente cu acces limitat, diferențierea personalului prin accesul la informațiile disponibile.
  4. Selectarea personalului pentru prelucrarea materialelor confidentiale, instruirea angajatilor.

Metode tehnice

  1. Utilizarea mijloacelor criptografice în corespondența electronică, desfășurarea convorbirilor telefonice prin linii de comunicații securizate.
  2. Verificarea incintelor unde au loc negocieri pentru lipsa marcajelor radio, microfoanelor, camerelor video.
  3. Accesul personalului la spațiile protejate cu ajutorul mijloacelor de identificare, cod, parolă.
  4. Utilizarea metodelor de protecție software și hardware pe computere și alte dispozitive electronice.

Politica de securitate a informațiilor a companiei include:

  1. Numirea unei persoane responsabile cu securitatea în organizație.
  2. Control asupra utilizării instrumentelor de protecție software și hardware.
  3. Responsabilitatea șefilor de departamente și servicii pentru asigurarea protecției informațiilor.
  4. Introducerea controlului accesului pentru angajați și vizitatori.
  5. Întocmirea unei liste de acces al persoanelor la informații confidențiale.

Organizarea securității informațiilor

Calculatoare care rulează retea locala, serverele, routerele trebuie să fie protejate în mod fiabil de preluarea neautorizată a informațiilor. Pentru asta:

  1. Un angajat responsabil este desemnat pentru funcționarea fiecărui computer.
  2. Unitatea de sistem este sigilată de un angajat al serviciului IT.
  3. Instalarea oricăror programe este efectuată de specialiști în servicii IT.
  4. Parolele trebuie generate de angajații serviciului IT și eliberate împotriva semnăturii.
  5. Este interzisă utilizarea surselor de informații terțe, marcarea se face pe toate suporturile.
  6. Utilizați un singur computer pentru a pregăti documente importante. Menține un jurnal al utilizatorilor.
  7. Software-ul și hardware-ul trebuie să fie certificate.
  8. Protecția mediilor de informare (unități externe) împotriva accesului neautorizat.

Sistemul de lucru cu informații confidențiale garantează securitatea informațiilor organizației, vă permite să salvați informații importante de la scurgeri. Acest lucru contribuie la funcționarea durabilă a întreprinderii pentru o lungă perioadă de timp.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Foloseste formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Documente similare

    Principalele surse de reglementare legală a informațiilor confidențiale. Amenințări și măsuri pentru a preveni scurgerea acestuia. Problema și modalitățile de îmbunătățire a protecției informațiilor confidențiale și a datelor cu caracter personal în Administrația municipiului „raionul Karagai” din Teritoriul Perm.

    lucrare de termen, adăugată 10.09.2014

    Definirea informațiilor confidențiale și principalele lor tipuri. Legea federală „Cu privire la informații, informatizare și protecția informațiilor”. Conceptul de secret comercial și de stat. Sprijin legislativ și instrumente de control asupra păstrării secretului.

    eseu, adăugat 21.09.2012

    Dispoziții de bază ale Legii federale „Cu privire la secretele comerciale”. Organizarea admiterii și accesului personalului la informații confidențiale. Organizarea modului intra-obiect la întreprindere. Cerințe pentru spațiile în care sunt stocați purtătorii de informații.

    rezumat, adăugat 20.05.2012

    Surse de amenințări la securitatea informațiilor. Locul securității informațiilor în sistemul național de securitate al Rusiei. Principalele probleme ale securității informațiilor, modalități de rezolvare a acestora și organizarea protecției. Clasificarea informațiilor care trebuie protejate.

    lucrare de termen, adăugată 23.08.2013

    Esența și natura juridică a informațiilor confidențiale (secretele comerciale) ale întreprinderii, procedura, metodele, mijloacele, cadrul legal de protecție a acesteia. Subiecții dreptului la secrete comerciale și statutul lor juridic, protecția drepturilor conform legilor ucrainene.

    lucrare de control, adaugat 10.06.2009

    Conceptul și caracteristicile informației ca categorie juridică. Caracteristicile tipurilor de informații: secrete de stat, comerciale, bancare, oficiale. Responsabilitatea pentru încălcarea cerințelor de confidențialitate a informațiilor. modul secret comercial.

    lucrare de termen, adăugată 02.11.2017

    Definiția vieții private și directivele legislative ale Uniunii Europene care o reglementează. Lista informațiilor confidențiale specificate în decretul președintelui Federației Ruse. Măsuri de protecție a confidențialității informațiilor luate de proprietarul acesteia.

    test, adaugat 19.07.2015

Astăzi, amenințările asociate cu accesul neautorizat la datele confidențiale pot avea un impact semnificativ asupra activităților unei organizații. Posibilele daune din dezvăluirea secretelor corporative pot include atât pierderi financiare directe, de exemplu, ca urmare a transferului de informații comerciale către concurenți și costul eliminării consecințelor care au apărut, cât și cele indirecte - o reputație proastă și pierderea. de proiecte promițătoare. Consecințele pierderii unui laptop cu detalii pentru accesarea conturilor bancare, a planurilor financiare și a altor documente private nu pot fi subestimate.

Una dintre cele mai periculoase amenințări astăzi este accesul neautorizat. Potrivit unui studiu al Institutului Securitatea calculatorului, anul trecut 65% dintre companii au înregistrat incidente legate de accesul neautorizat la date. Mai mult, din cauza accesului neautorizat, fiecare firmă a pierdut în 2014-2015. o medie de 353 mii USD.Iar comparativ cu 2012-2013. pierderile au crescut de șase ori. Astfel, pierderile totale suferite de peste 600 de firme intervievate au depășit 38 milioane USD în cursul anului (vezi graficul).

Problema este exacerbată de faptul că accesul neautorizat la informații confidențiale este adesea urmat de furtul acestora. Ca urmare a unei astfel de combinații a două amenințări extrem de periculoase, pierderile companiei pot crește de câteva ori (în funcție de valoarea datelor furate). În plus, firmele se confruntă adesea cu furtul fizic al computerelor mobile, rezultând atât amenințări de acces neautorizat, cât și furtul de informații sensibile. De altfel, costul de dispozitiv portabil adesea incomparabil cu costul datelor înregistrate pe acesta.

Problemele care apar în întreprindere în cazul scurgerii de informații sunt indicative în special pentru furtul laptopurilor. Este suficient să ne amintim de incidentele recente când au fost furate cinci laptop-uri de la Ernst & Young în decurs de câteva luni, conținând informații private ale clienților companiei: Cisco, IBM, Sun Microsystems, BP, Nokia etc. Iată, un astfel de indicator de deteriorare încât este greu de măsurat s-a manifestat în cel mai înalt grad ca o deteriorare a imaginii și o scădere a încrederii clienților. Între timp, multe companii se confruntă cu dificultăți similare.

Așadar, în martie 2006, Fidelity a pierdut un laptop cu date private de 200.000 de angajați HP, iar în februarie, PricewaterhouseCoopers, o companie de audit, a pierdut un laptop cu informații sensibile despre 4.000 de pacienți ai unui spital american. Dacă continuăm lista, atunci vor intra în ea astfel de companii cunoscute precum Bank of America, Kodak, Ameritrade, Ameriprise, Verizon și altele.

Astfel, pe lângă protejarea informațiilor confidențiale împotriva accesului neautorizat, este necesară protejarea suportului fizic în sine. Totodată, trebuie avut în vedere faptul că un astfel de sistem de securitate ar trebui să fie absolut transparent și să nu provoace dificultăți utilizatorului atunci când accesează date sensibile fie într-un mediu corporativ, fie atunci când lucrează de la distanță (acasă sau într-o călătorie de afaceri).

Până acum, nu a fost inventat nimic mai eficient în domeniul protecției informațiilor împotriva accesului neautorizat decât criptarea datelor. Cu condiția păstrării cheilor criptografice, criptarea garantează securitatea datelor sensibile.

Tehnologii de criptare

Tehnologiile de criptare sunt folosite pentru a proteja informațiile împotriva accesului neautorizat. Cu toate acestea, utilizatorii care nu au cunoștințe adecvate despre metodele de criptare pot avea impresia falsă că toate datele sensibile sunt securizate. Luați în considerare principalele tehnologii de criptare a datelor.

  • Criptare pe fișier. Utilizatorul alege fișierele care urmează să fie criptate. Această abordare nu necesită integrarea profundă a instrumentului de criptare în sistem și, prin urmare, permite producătorilor de instrumente criptografice să implementeze o soluție multiplatformă pentru Windows, Linux, MAC OS X etc.
  • Criptare director. Utilizatorul creează foldere în care toate datele sunt criptate automat. Spre deosebire de abordarea anterioară, criptarea are loc din mers și nu la cererea utilizatorului. În general, criptarea directoarelor este destul de convenabilă și transparentă, deși se bazează pe aceeași criptare fișier cu fișier. Această abordare necesită o interacțiune profundă cu sistemul de operare și, prin urmare, depinde de platforma utilizată.
  • Criptarea discurilor virtuale. Conceptul de discuri virtuale este implementat în unele utilitare de compresie precum Stacker sau Microsoft DriveSpace. Criptarea unităților virtuale implică crearea unui fișier mare ascuns pe hard disk. Acest fișier este ulterior disponibil utilizatorului ca unitate separată (sistemul de operare îl „vede” ca pe o unitate logică nouă). De exemplu, unitatea X:\. Toate informațiile stocate pe discul virtual sunt criptate. Principala diferență față de abordările anterioare este că software-ul criptografic nu trebuie să cripteze fiecare fișier individual. Aici, datele sunt criptate automat numai atunci când sunt scrise sau citite de pe discul virtual. În acest caz, lucrul cu datele se desfășoară la nivel de sector (de obicei 512 octeți).
  • Criptarea întregului disc. În acest caz, absolut totul este criptat: sectorul de boot Windows, totul fișiere de sistemși orice alte informații de pe disc.
  • Protecția procesului de descărcare. Dacă întregul disc este criptat, atunci sistemul de operare nu va putea porni până când un mecanism nu decriptează fișierele de boot. Prin urmare, criptarea întregului disc implică în mod necesar protejarea procesului de pornire. De obicei, utilizatorului i se cere să introducă o parolă pentru ca sistemul de operare să pornească. Dacă utilizatorul introduce corect parola, programul de criptare va avea acces la cheile de criptare, permițând citirea altor date de pe disc.

Astfel, există mai multe moduri de a cripta datele. Unele dintre ele sunt mai puțin fiabile, altele sunt mai rapide, iar altele nu sunt deloc potrivite pentru protejarea informațiilor sensibile. Pentru a putea evalua adecvarea anumitor metode, luați în considerare problemele cu care se confruntă o aplicație criptografică atunci când protejează datele.

Caracteristicile sistemelor de operare

Să ne oprim asupra unor caracteristici ale sistemelor de operare, care, în ciuda tuturor funcțiilor lor pozitive, uneori interferează doar cu protecția fiabilă a informațiilor confidențiale. Următoarele sunt cele mai comune mecanisme de sistem care lasă o serie de „lacune” unui atacator și sunt relevante atât pentru laptopuri, cât și pentru PDA-uri.

  • Fișiere temporare. Multe programe (inclusiv sistemul de operare) folosesc fișiere temporare pentru a stoca date intermediare în timpul lucrului lor. Adesea, o copie exactă a fișierului deschis de program este introdusă într-un fișier temporar, ceea ce face posibilă restaurarea completă a datelor în cazul unor eșecuri neprevăzute. Desigur, sarcina utilă a fișierelor temporare este mare, totuși, fiind necriptate, astfel de fișiere reprezintă o amenințare directă la adresa secretelor corporative.
  • Schimbați fișiere (sau schimbați fișiere). Foarte populară în sistemele de operare moderne este tehnologia fișierelor swap, care vă permite să furnizați oricărei aplicații o cantitate aproape nelimitată de RAM. Astfel, dacă sistem de operare Resurse de memorie insuficiente, scrie automat date din RAM pe hard disk (în fișierul de paginare). De îndată ce este necesar să se utilizeze informațiile stocate, sistemul de operare preia datele din fișierul de swap și, dacă este necesar, plasează alte informații în această stocare. În același mod ca și în cazul precedent, informațiile secrete necriptate pot ajunge cu ușurință în fișierul de swap.
  • Alinierea fișierelor. Sistemul de fișiere Windows plasează datele în clustere care se pot întinde pe până la 64 de sectoare. Chiar dacă fișierul are câțiva octeți, tot va ocupa un întreg cluster. Un fișier mare va fi împărțit în bucăți, fiecare bucată de dimensiunea unui cluster de sistem de fișiere. Restul diviziunii (de obicei ultimii câțiva octeți) va ocupa în continuare întregul cluster. Astfel, ultimul sector al fișierului primește informații aleatorii care se aflau în memoria RAM a computerului în momentul în care fișierul a fost scris pe disc. Pot exista parole și chei de criptare. Cu alte cuvinte, ultimul cluster al oricărui fișier poate conține informații destul de sensibile, variind de la informații aleatorii din RAM până la date din e-mailuri și documente text care au fost stocate anterior în acest loc.
  • Coş. Când un utilizator șterge un fișier, Windows îl mută în coșul de gunoi. Atâta timp cât coșul de reciclare nu este golit, fișierul poate fi restaurat cu ușurință. Cu toate acestea, chiar dacă goliți Coșul de reciclare, datele vor rămâne în continuare fizic pe disc. Cu alte cuvinte, informațiile șterse pot fi găsite și recuperate foarte des (dacă nu au fost scrise alte date peste ele). Pentru a face acest lucru, există un număr mare de aplicații, unele dintre ele sunt gratuite și distribuite gratuit prin Internet.
  • Registrul Windows. Sistemul Windows însuși, ca un număr mare de aplicații, stochează datele sale specifice în registrul de sistem. De exemplu, un browser web stochează în registru numele de domenii ale paginilor pe care utilizatorul le-a vizitat. Chiar și editorul de text Word salvează în registru numele ultimului fișier deschis. În acest caz, registry este utilizat de sistemul de operare în timpul pornirii. În consecință, dacă orice metodă de criptare este lansată după ce Windows a pornit, atunci rezultatele muncii sale pot fi compromise.
  • Sistemul de fișiere Windows NT (NTFS). Un sistem de fișiere cu control al accesului încorporat (ca în Windows NT) este considerat sigur. Faptul că un utilizator trebuie să introducă o parolă pentru a avea acces la fișierele sale personale lasă falsa impresie că fișierele și datele personale sunt securizate. Cu toate acestea, chiar și un sistem de fișiere cu liste de control al accesului (ACL-uri) încorporate, cum ar fi NTFS, nu oferă absolut nicio protecție împotriva unui atacator care are acces fizic la hard disk sau drepturi de administrator pe un anumit computer. În ambele cazuri, infractorul poate obține acces la date sensibile. Pentru a face acest lucru, va avea nevoie de un editor de disc ieftin (sau în general gratuit) pentru a citi informațiile text de pe discul la care are acces fizic.
  • Modul de somn. Acest mod este foarte popular pe laptopuri, deoarece economisește energia bateriei atunci când computerul este pornit, dar nu este utilizat. Când laptopul intră în stare de repaus, sistemul de operare copiază absolut toate datele din RAM pe disc. Astfel, atunci când computerul se trezește, sistemul de operare își poate restabili cu ușurință starea anterioară. Evident, în acest caz, informațiile sensibile pot ajunge cu ușurință pe hard disk.
  • Partiții ascunse ale hard diskului. O partiție ascunsă este o partiție pe care sistemul de operare nu o arată deloc utilizatorului. Unele aplicații (cum ar fi cele folosite pentru a economisi energie pe laptopuri) folosesc partiții ascunse pentru a stoca date în ele în loc de fișiere pe partițiile normale. Cu această abordare, informațiile plasate pe o partiție ascunsă nu sunt deloc protejate și pot fi citite cu ușurință de oricine care folosește un editor de disc.
  • Spațiu liber și spațiu între partiții. Sectoarele de la capătul discului nu aparțin niciunei partiții, uneori sunt afișate ca libere. Un alt loc neprotejat este spațiul dintre partiții. Din păcate, unele aplicații, precum și virușii, își pot stoca datele acolo. Chiar dacă formatați hard disk-ul, aceste informații vor rămâne intacte. Poate fi restaurat cu ușurință.

Astfel, pentru a proteja eficient datele, nu este suficient doar să le criptezi. Trebuie avut grijă să vă asigurați că copiile informațiilor secrete nu „se scurg” în fișierele temporare și de schimb, precum și în alte „locuri ascunse” ale sistemului de operare, unde sunt vulnerabile în fața unui atacator.

Adecvarea diferitelor abordări de criptare a datelor

Să ne uităm la modul în care diferitele abordări ale criptării datelor se ocupă de particularitățile sistemelor de operare.

Criptare pe fișier

Această metodă este folosită în principal pentru a trimite fișiere criptate prin e-mail sau prin Internet. În acest caz, utilizatorul criptează un anumit fișier care trebuie protejat de terți și îl trimite destinatarului. Această abordare suferă de viteză redusă, mai ales când vine vorba de cantități mari de informații (la urma urmei, este necesară criptarea fiecărui fișier atașat scrisorii). O altă problemă este că doar fișierul original este criptat, în timp ce fișierele temporare și fișierul swap rămân complet neprotejate, astfel încât protecția este asigurată doar împotriva unui atacator care încearcă să intercepteze un mesaj pe Internet, dar nu și împotriva unui infractor care a furat un laptop sau PDA. Astfel, putem concluziona că criptarea fișier cu fișier nu protejează fișierele temporare, iar utilizarea acesteia pentru a proteja informațiile importante este inacceptabilă. Cu toate acestea, acest concept este potrivit pentru a trimite cantități mici de informații prin rețea de la computer la computer.

Criptarea folderelor

Spre deosebire de criptarea per fișier, această abordare vă permite să transferați fișiere într-un folder unde vor fi criptate automat. Astfel, lucrul cu date protejate este mult mai convenabil. Deoarece criptarea folderului se bazează pe criptarea fișier cu fișier, ambele metode nu oferă protecție fiabilă pentru fișierele temporare, fișierele de paginare, nu șterge fizic datele de pe disc etc. Mai mult, criptarea directoarelor este foarte risipitoare de memorie și resurse de procesor. Este nevoie de timp pentru ca procesorul să cripteze/decripteze în mod constant fișierele și este alocat spațiu suplimentar pe disc pentru fiecare fișier protejat (uneori mai mult de 2 KB). Toate acestea fac ca criptarea directoarelor să consume foarte mult resurse și să fie lentă. Pe scurt, deși această metodă este destul de transparentă, nu este recomandată pentru protejarea informațiilor sensibile. Mai ales dacă un atacator poate accesa fișiere temporare sau poate schimba fișiere.

Criptarea discurilor virtuale

Acest concept implică crearea unui fișier ascuns mare situat pe hard disk. Sistemul de operare îl tratează ca pe o unitate logică separată. Utilizatorul poate pune software-ul pe o astfel de unitate și îl poate comprima pentru a economisi spațiu. Luați în considerare avantajele și dezavantajele acestei metode.

În primul rând, utilizarea discurilor virtuale creează o sarcină crescută a resurselor sistemului de operare. Faptul este că de fiecare dată când sistemul de operare accesează un disc virtual, acesta trebuie să redirecționeze cererea către un alt obiect fizic - un fișier. Acest lucru, desigur, afectează negativ performanța. Datorită faptului că sistemul nu identifică un disc virtual cu unul fizic, pot apărea probleme cu protecția fișierelor temporare și a fișierului de paginare. În comparație cu criptarea directoarelor, conceptul de discuri virtuale are atât avantaje, cât și dezavantaje. De exemplu, un disc virtual criptat protejează numele fișierelor aflate în tabelele de fișiere virtuale. Cu toate acestea, acest disc virtual nu poate fi extins la fel de ușor ca un folder obișnuit, ceea ce este foarte incomod. În concluzie, putem spune că criptarea discului virtual este mult mai fiabilă decât cele două metode anterioare, dar poate lăsa fișiere temporare și schimba fișiere neprotejate dacă dezvoltatorii nu se ocupă în mod special de acest lucru.

Criptarea întregului disc

Acest concept nu se bazează pe fișier cu fișier, ci pe criptare sector cu sector. Cu alte cuvinte, orice fișier scris pe disc va fi criptat. Programele criptografice criptează datele înainte ca sistemul de operare să le pună pe disc. Pentru a face acest lucru, programul criptografic interceptează toate încercările sistemului de operare de a scrie date pe un disc fizic (la nivel de sector) și efectuează operațiuni de criptare din mers. Datorită acestei abordări, fișierele temporare, fișierul swap și toate fișierele șterse vor fi, de asemenea, criptate. O consecință logică a acestei metode ar trebui să fie o reducere semnificativă nivel general Performanta PC. La această problemă lucrează mulți dezvoltatori de instrumente de criptare, deși există deja câteva implementări de succes ale unor astfel de produse. Pentru a rezuma, criptarea completă a discului evită situațiile în care orice parte a datelor importante sau o copie exactă a acestora rămâne necriptată undeva pe disc.

Protecția procesului de descărcare. După cum sa menționat deja, este recomandabil să protejați procesul de pornire atunci când criptați întregul disc. În acest caz, nimeni nu va putea porni sistemul de operare fără a parcurge procedura de autentificare la începutul pornirii. Și pentru asta trebuie să știi parola. Dacă un atacator are acces fizic la un hard disk cu date secrete, atunci nu va putea determina rapid unde sunt fișierele de sistem criptate și unde - Informații importante. Rețineți că, dacă software-ul criptografic criptează întreaga unitate, dar nu securizează procesul de pornire, atunci nu criptează fișierele de sistem și sectoarele de boot. Adică, discul nu este complet criptat.

Astfel, astăzi, pentru a proteja în mod fiabil datele confidențiale de pe laptopuri, ar trebui să utilizați tehnologia de criptare fie pentru discuri virtuale, fie pentru întregul disc. Cu toate acestea, în acest din urmă caz, trebuie să vă asigurați că instrumentul criptografic nu ocupă atât de mult resursele computerului încât să interfereze cu munca utilizatorilor. Rețineți că companiile rusești nu produc încă instrumente complete de criptare a discurilor, deși mai multe astfel de produse există deja pe piețele occidentale. În plus, protejarea datelor de pe un PDA este oarecum mai ușoară, deoarece datorită cantității mici de informații stocate, dezvoltatorii își pot permite să cripteze toate datele în general, de exemplu, pe un card flash.

Criptare folosind autentificare puternică

Stocarea de încredere a datelor necesită nu numai tehnologii criptografice puternice și bine implementate, ci și mijloace de furnizare a accesului personalizat. În acest sens, utilizarea unei autentificări puternice cu doi factori bazată pe chei hardware sau carduri inteligente este cea mai mod eficient stocarea cheilor de criptare, parolelor, certificatelor digitale etc. Pentru a trece cu succes procedura de autentificare puternică, utilizatorul trebuie să prezinte jetonul (cheia USB sau cardul inteligent) sistemului de operare (de exemplu, introduceți-l într-unul dintre porturile USB ale computerului). sau într-un cititor de carduri inteligente de pe dispozitiv), apoi dovediți deținerea acestei chei electronice (adică introduceți o parolă). Astfel, sarcina unui atacator care încearcă să obțină acces la date sensibile este foarte complicată: are nevoie nu doar să cunoască parola, ci și să aibă un mediu fizic pe care îl au doar utilizatorii legali.

Structura internă a cheii electronice presupune prezența unui cip electronic și a unei cantități mici de memorie nevolatilă. Cu ajutorul unui cip electronic, datele sunt criptate și decriptate pe baza algoritmilor criptografici încorporați în dispozitiv. Parolele, cheile electronice, codurile de acces și alte informații secrete sunt stocate în memoria nevolatilă. Cheia hardware în sine este protejată de furt printr-un cod PIN, iar mecanismele speciale încorporate în cheie protejează această parolă de forța brută.

Rezultate

Astfel, protecția eficientă a datelor presupune utilizarea unor instrumente puternice de criptare (bazate pe tehnologii de disc virtual sau care acoperă întregul disc) și instrumente puternice de autentificare (token-uri și smart card). Printre mijloacele de criptare fișier cu fișier, care este ideală pentru trimiterea de fișiere prin Internet, este de remarcat binecunoscutul program PGP, care poate satisface aproape toate solicitările utilizatorilor.

În stadiul actual de dezvoltare a societății, aceasta nu este o resursă nouă, ci întotdeauna o valoroasă, numită informație, care capătă cea mai mare valoare. Informația devine astăzi principala resursă de dezvoltare științifică, tehnică și socio-economică a comunității mondiale. Aproape orice activitate din societatea actuală este strâns legată de primirea, acumularea, stocarea, prelucrarea și utilizarea diferitelor fluxuri de informații. Integritatea lumii moderne ca comunitate este asigurată în principal prin schimbul intensiv de informații.

Așadar, în noile condiții, apar o mulțime de probleme legate de asigurarea securității și confidențialității informațiilor comerciale ca tip de proprietate intelectuală.

Lista surselor și literaturii utilizate

  1. Lopatin V. N. Securitatea informațiilor.
  2. Fundamentele securității informațiilor: manual / V. A. Minaev , S. V. Skryl , A. P. Fisun , V. E. Potanin , S. V. Dvoriankin .
  3. GOST ST 50922-96. Protecția informațiilor. Termeni și definiții de bază.
  4. www.intuit.ru

În Odnoklassniki