Выбор читателей
Популярные статьи
Система защиты конфиденциальной информации. Правовая защита конфиденциальной информации
Конфиденциальная информация – это документы (приватная информация) в электронном или бумажном виде, содержание которой доступно только определенной группе людей, а ее передача третьим лицам является грубым нарушением законодательства Российской Федерации.
Конфиденциальная информация – это коммерческая, военная, банковская, служебная или государственная тайна. Как правило, конфиденциальная информация может представлять собой особую категорию и относиться к коммерческой тайне.
Сегодня можно выделить несколько основных категорий конфиденциальной информации, каждая из которых относится к своей категории:
1. Научно-техническая. Здесь идет речь о новых идеях, открытия, патентах, оригинальных ноу-хау, современных методиках организации в производственной сфере, рационализаторских предложениях по внедрению неизвестных ранее и более совершенных технологий, появлению новых типов продукции, уникальных методах анализа конкурентоспособности, кодах и паролях, открывающих доступ к конфиденциальной информации, а также уникальное программное обеспечение.
2. Производственная. К данной категории можно отнести новые технологии в производственной сфере, секретную конструкторскую информацию, схемы и чертежи, данные о материалах, планируемое время выхода товара на рынок, планы выпуска новой продукции, рецептура изготовления товаров, планы дальнейших вложений в новое производство и так далее.
3. Финансовая. К конфиденциальной информации финансового характера относится реальный размер прибыли компании, себестоимость производства (или продукции), банковские или торговые сделки, механизм формирования ценовой политики, уровень платежеспособности и так далее.
4. Деловая. Здесь речь идет о следующих данных – условиях заключения договоров с другими участниками рынка, внутренней организационной системы, планирования рекламной компании на ближайшее время, информации о конкурирующих компаниях и поставщиках, данные о работниках компании и переговорном процессе с деловыми партнерами, информации о коммерческой переписке и так далее.
Защита конфиденциальной информации
Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.Система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.
Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.
Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации.
Этот элемент включает:
Наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме.
Элемент включает в себя регламентацию:
Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по Организации и технологии защиты информации;
составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;
методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); вне машинной технологии защиты электронных документов;
порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
ведения всех видов аналитической работы;
порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;
пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;
системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
действий персонала в экстремальных ситуациях;
организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;
организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
работы по управлению системой защиты информации;
критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50-60% в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты - «элемент организационно-правовой защиты информации».
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.
Элемент включает в себя:
Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
средства противопожарной охраны;
средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);
технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.
Элемент включает в себя:
Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
программы защиты информации, работающие в комплексе с программами обработки информации;
программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);
Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии.
Элемент включает:
Регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.
Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.
В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.
В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т.е. они должны быть «прозрачными».
Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.
Следовательно, безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является, прежде всего, организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.
Неразглашение конфиденциальной информации
В современных условиях развития рыночной экономики и усиления конкурентной борьбы, все большего проникновения гласных и негласных средств и систем сбора, обработки и накопления информации в сферу частной жизни, хозяйствования и в публично-властный сектор особую актуальность приобретают договоры о неразглашении информации. Такие договоры являются относительно новым явлением в правовой системе России и еще не получили надлежащей проработки. Однако договоры о неразглашении информации давно известны и широко применяются в мировой правовой практике. Другим названием договора о неразглашении информации является договор о конфиденциальности - оба названия на равных будут применяться в этой статье.По договору о конфиденциальности одна сторона (конфиденциал) обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны (конфидента) или доступ к которой предоставлен такой второй стороной.
Согласно Федеральному закону "Об информации, информатизации и защите информации" режим доступа к информации - это предусмотренный правовыми нормами порядок получения, использования, распространения и хранения информации.
Существуют различные подвиды договора о конфиденциальности, которые выделяются в основном по виду информации, что является объектом договора (коммерческая, банковская, профессиональная тайна и т. п.). Однако во всем разнообразии договоров о конфиденциальности их характеризует главный признак - эти договоры являются юридической формой договоренности сторон об обеспечении режима ограниченного доступа к конфиденциальной информации.
Договоры о конфиденциальности имеют гражданско-правовую природу, поскольку их объектом является информация, которая в соответствии с ГК РФ является объектом именно гражданских прав, хотя такие договоры могут заключаться и в таких сферах, где превалирующим является регулирование другой отрасли права, например в сфере трудовых отношений, но в данном случае содержание прав и обязанностей сводится к таким действиям, которые не являются органически связанными с трудовой функцией работника.
Имея гражданско-правовую природу, договор о конфиденциальности, однако, не имеет своего отдельного специального законодательного регулирования. Законным основанием его заключения являются общие положения ГК РФ: стороны имеют право заключить договор, который не предусмотрен актами гражданского законодательства, но соответствует общим принципам гражданского законодательства.
Договор о конфиденциальности имеет ряд оригинальных свойств, которые являются достаточными для выделения его в отдельный договорной институт: предмет, объект и содержание договора о конфиденциальности. Существование этих особенностей не позволяет "подвести" договор о конфиденциальности под уже известные законодательству договорные конструкции. В связи с этим можно утверждать, что такой договор является отдельным договорным институтом, который хотя и не предусмотрен актами гражданского законодательства, однако является правомерным и соответствует общим принципам гражданского законодательства.
Чаще всего договоры о конфиденциальности заключаются в сопровождение другим договорным отношениям сторон. Вместе с тем такой договор могут заключить и лица, не состоящие между собой в любых других договорных отношениях, но между которыми по тем или иным причинам возникла необходимость в соблюдении режима ограниченного доступа к определенной информации. Сочетание элементов одного договора с элементами договора о конфиденциальности предопределяет возникновение смешанного договора.
Одновременное заключение сторонами того или иного договора с договором о конфиденциальности и даже изложение их в одном документе не лишают договора о конфиденциальности самостоятельного значения. От этого он никогда не приобретает акцессорного характера. Автономность этого договора можно сравнить с автономностью арбитражного соглашения в международном частном праве.
Договор о конфиденциальности может быть отдельным регулятором отношений контрагентов по соблюдению режима ограниченного доступа к конфиденциальной информации в договорах, для которых законодательством предусмотрено обязательство одного контрагента сообщать сведения другому, например: в договорах простого товарищества - каждый участник имеет право знакомиться со всеми документами по ведению общих дел участников, и отказ от этого права или его ограничение, в том числе и по согласованию участников, является ничтожным, и т.д.
В отдельных видах договорных отношений закон прямо устанавливает обязанность неразглашения полученной от контрагента или полученной в связи с выполнением договора информации. Так, например, по договору подряда на проведение проектных и изыскательских работ заказчик обязан, если иное не установлено самим договором, использовать проектно-сметную документацию, полученную от подрядчика, только для целей, установленных договором, не передавать проектно-сметную документацию другим лицам и не разглашать данные, содержащиеся в ней, без согласия подрядчика. На подрядчике лежит встречное обязательство по соблюдению конфиденциальности - не передавать без согласия заказчика проектно-сметную документацию другим лицам.
Договор о конфиденциальности является консенсуальным и чаще всего бесплатным, однако такой договор может быть платным.
По общему правилу договор о конфиденциальности является односторонним, в котором на стороне конфидента есть лишь право требовать обеспечения режима ограниченного доступа к определенной информации, а на стороне конфиденциала - обязательство такой режим обеспечить и выполнять.
Конфидент может совпадать в одном лице с франчайзером информации. Однако возможны ситуации, когда конфидент вступает в договор конфиденциальности как управомоченная сторона от имени и/или в интересах собственника информации.
Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. Это превращает обязательства в обязательства, в которых личность должника и лицо кредитора имеют важное значение для каждой из сторон со всеми правовыми последствиями. В частности, невозможным является возложение конфиденциалом выполнения договора о конфиденциальности на третье лицо.
К существенным условиям договора о конфиденциальности относятся:
А) определение (индивидуализация) объекта договора, то есть собственно информации;
б) определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
в) определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.
Договор о конфиденциальности не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.
Важно отметить, что предоставление информации или предоставление доступа к информации, которая является объектом договора о конфиденциальности, не входит в его содержание и не составляет обязательства конфидента именно по этому договору. Договор о конфиденциальности регулирует только обеспечение режима ограниченного доступа к информации.
Срок договора конфиденциальности стороны определяют по своему усмотрению, но он не может быть длиннее, чем общий срок, на который правообладателем информации установлен режим ограниченного доступа к информации.
Потеря информацией признаков конфиденциальности (например, вследствие ее разглашения или преобразования на общеизвестную) прекращает обязательство конфиденциала в связи с невозможностью их исполнения.
Специальных способов защиты гражданских прав вследствие нарушения договора о конфиденциальности законодательство РФ не предусматривает. Вместе с тем необходимо отметить, что наибольшую проблему в процессе защиты нарушенных прав стороны в договоре о конфиденциальности составляет сложность обеспечения надлежащей доказательной базы.
Следовательно, можно прийти к выводу, что в России существуют достаточные нормативно-правовые предпосылки для активного использования на практике договоров о неразглашении информации. Гибкая модель, функциональность и универсальность договоров о конфиденциальности позволяют широко применять их в самых разнообразных сферах общественной жизни.
Разглашение конфиденциальной информации
Информация, содержащая определенного рода сведения, согласно закону, находится под особой охраной. Рядом законодательных актов предусмотрена ответственность за разглашение персональных данных, а также сведений, составляющих банковскую, коммерческую и другие тайны, охраняемые законом.Виды конфиденциальных сведений, за нарушение тайны которых может наступить ответственность, предусмотрены соответствующим указом Президента России.
К таким сведениям можно отнести:
Тайна следствия и судопроизводства;
персональные данные, а также частная жизнь гражданина, включая его переписку, телефонные переговоры и т.д.;
сведения о коммерческой деятельности организации или предпринимателя, доступ к которым ограничен в силу закона или внутренних актов предприятия;
служебная информация, не подлежащая разглашению, любые сведения, составляющие служебную тайну;
информация, полученная в ходе исполнения профессиональных обязанностей, в том числе врачебная, адвокатская тайна и т.д.
Таким образом, ответственность может наступить не только за разглашение личной информации, охране подлежат и другие сведения, передача которых посторонним лицам недопустима.
Виды ответственности
За разглашение неподлежащей обнародованию информации, в зависимости от характера распространенных сведений, может быть предусмотрена дисциплинарная, административная и уголовная ответственность. Параллельно может быть рассмотрен вопрос и о привлечении к гражданско-правовой ответственности путем взыскания ущерба, в том числе и морального вреда.
Дисциплинарная ответственность представляет собой наказание, назначенное работнику руководством предприятия или учреждения после проведенных служебных проверок и расследований, в результате которых признана вина сотрудника в утечке сведений. Ответственность за разглашение конфиденциальной информации в данном случае может быть выражена в виде выговора, замечания, предупреждения о неполном служебном соответствии или увольнения. Ответственность такого вида применяется в рамках трудовых отношений, решение о назначении меры наказания принимает, как правило, руководитель организации или учреждения, в соответствии с положениями специального и трудового законодательства.
Административная ответственность может наступить как за разглашение персональных данных, так и за нарушение защиты информации, кроме государственной тайны. Предметом административной ответственности выступает и распространение сведений о частной жизни – в этом случае виновное лицо может получить наказание в виде штрафа в сумме до 10 тысяч рублей. Составы уголовных преступлений, связанных с распространением сведений, весьма разнообразны. Так, предметом наказания может выступать и разглашение персональных данных, уголовная ответственность здесь, например, за нарушение неприкосновенности частной жизни, может повлечь и реальное лишение свободы. Кроме того, уголовное наказание может повлечь и нарушение тайны переписки, телефонных переговоров, необоснованный и незаконный отказ в предоставлении информации гражданину.
Гражданско-правовая ответственность может выступать как сопутствующее наказание, так и самостоятельный вид ответственности. Как уже говорилось выше, пострадавшее лицо вправе взыскать не только материальный вред, нанесенный вследствие неправомерного разглашения сведений, но и моральный ущерб, причиненный действиями виновного лица.
Административная, гражданско-правовая и уголовная ответственность за распространение конфиденциальной информации наступает только в случае принятия судом соответствующего решения и признания лица виновным в таком деянии.
Разглашение информации – достаточно сложный состав правонарушения. При рассмотрении вопроса о привлечении к ответственности за такие действия, как правило, зачастую допускаются ошибки, неправильно применяются те или иные нормы права.
Не менее сложно защитить свои интересы в случае нарушения и распространения конфиденциальной информации – здесь необходимо правильно определить состав правонарушения, составить иск или обратиться в правоохранительные органы с заявлением.
На нашем сайте вы можете получить исчерпывающую информацию о правильности применения норм права, видах ответственности, порядке составления иска и других процессуальных документов. В соответствующем разделе сайта можно получить бесплатную юридическую консультацию онлайн – наши юристы, имея большой опыт участия в делах такой категории, быстро и квалифицированно ответят на любой вопрос, касающийся защиты информации и ответственности за распространение сведений.
Техническая защита конфиденциальной информации
Техническая защита конфиденциальной информации на предприятии должна обеспечивать инженерно-технические мероприятия порядка доступа, а также целостности и доступности (противодействия блокированию) информации.Мероприятия по защите конфиденциальной информации должны обеспечивать:
Предупреждение появления угроз;
- Выявление появления угроз;
- Предупреждение влияния угроз на информационную систему;
- Локализация воздействия угроз на информационную систему;
- Ликвидация последствий воздействия угроз на информационную систему.
Обеспечение безопасности конфиденциальной информации в информационной системе может быть эффективным только в том случае, когда ее защита будет представлять собой непрерывный и целенаправленный процесс, постоянно осуществляющийся на всех этапах жизненного цикла конфиденциальной информации. Так комплексная система защиты конфиденциальной информации в информационной системе помимо функций, задач и средств собственно обеспечения защиты конфиденциальной информации должна включать функции, задачи и средства управления в качестве одного из основных компонентов.
Комплексная система защиты конфиденциальной информации информационной системы и ее составляющих должна реализоваться на принципах:
Системности;
- Комплектности;
- Адекватности;
- Функциональной самостоятельности;
- Удобства пользования;
- Ограничение доступа к конфиденциальной информации;
- Полный контроль за работой информационной системы;
- Своевременное реагирование на появление угроз;
- Экономичности.
План мероприятий по обеспечению технической защиты конфиденциальной информации разрабатывается на основании технологии обработки конфиденциальной информации, анализа рисков, сформулированной политики ее безопасности. План определяет основные задачи защиты, общие правила обработки конфиденциальной информации в информационной системе, цель построения и функционирования комплексной системы защиты конфиденциальной информации. План должен фиксировать на определенный момент времени исполнителей не имеющих допуска и доступа к конфиденциальной информации, но участвующие в обслуживании системы, состав необходимой технической документации.
План по обеспечению технической и комплексной защиты конфиденциальных данных на всех этапах их сбора, обработки и хранения должен регулярно пересматриваться и при необходимости изменяться. Изменения и дополнения к нему утверждаются в том порядке и на том же руководящем уровне, что и основные документы.
При выполнении работ запрещается:
Ознакомление с конфиденциальной информацией представителей других организаций и сотрудников не работающих по этой теме;
- Привлекать другие организации для выполнения работ;
- Использовать материалы, полученные при выполнении работ в статьях, диссертациях, выступлениях на симпозиумах, конференциях и тому подобное.
Для технической защиты конфиденциальной информации следует применять меры сокрытия или меры технической дезинформации.
Количество методов, направленных на защиту информации, надо увеличивать, а сами методы совершенствовать. Только в таком случае можно надеяться на успех.
Уровень защиты информации в организации и на предприятии должен иметь в своей основе рациональное зерно – не нужно чрезмерно увлекаться запретами на пользование некоторых видов данных. Так через компьютерные сети формируются банки данных общего пользования, но поскольку такая информация имеет обычно конфиденциальный или служебный характер, то реализовывать банки данных общего пользования целесообразнее на уровне локальной сети.
Соглашение конфиденциальной информации
Соглашение о неразглашении используется, когда необходимо чтобы одна сторона обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны или доступ к которой предоставлен такой второй стороной.Стороны соглашения о неразглашении конфиденциальной информации. Конфиденциал – получает конфиденциальную информацию, по отношению к которой обязуется обеспечить и выполнять режим ограниченного доступа к информации. Конфидент – передает конфиденциальную информацию. Регламент коммерческой тайны описывается в законе "О коммерческой тайне".
Встречаются следующие виды соглашения
Одностороннее соглашение, когда существует сторона которая передает информацию и сторона которая получает информацию.
Взаимное соглашение, когда обе стороны будут предоставлять конфиденциальную информацию. Этот тип соглашения распространен, когда организации или физические лица рассматривают некоторое совместное предприятие или слияние компаний.
Например, когда стороны готовятся к переговорам, направленным на заключение долгосрочного контракта. Данные переговоры подразумевают обмен информацией, которая составляет коммерческую тайну. Для обеспечения конфиденциальности стороны в первую очередь заключают соглашение о неразглашении конфиденциальной информации. В данном случае соглашение о неразглашении выступает в роле правового механизма, позволяющего защитить коммерческую тайну.
Основной целью соглашения является то, что в соответствие с соглашением о неразглашении стороны принимают на себя обязательство не раскрывать именно конфиденциальную информацию, полученную ими взаимодействии. Обязательство по неразглашению возникает только в отношении действительно конфиденциальной информации. Это не затрагивает право сторон раскрывать информацию, полученную из открытых публичных источников.
Второй целью соглашение о неразглашении – возложить на виновную в раскрытии конфиденциальности сторону обязанность по компенсации убытков невиновной стороны. В случае огласки соглашение служит правовым основанием для иска о взыскании убытков.
Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. В частности, невозможным является возложение конфиденциалом выполнения соглашения о конфиденциальности на третье лицо.
К существенным условиям соглашения о конфиденциальности относятся:
Определение (индивидуализация) объекта договора, то есть собственно информации;
определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.
Соглашение о неразглашении конфиденциальной информации не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.
Положение о конфиденциальной информации
1. Общие положения1.1. Настоящее Положение регулирует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации «Об информации, информатизации и защите информации», иными федеральными законами и нормативными правовыми актами Российской Федерации отношения, связанные с охраной и использованием конфиденциальной информации Открытого акционерного общества «_ _ _ _ _ _ _ _ _ _ _ _» (далее по тексту настоящего Положения Общество).
1.2. Конфиденциальная информация Общества – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления и существования, отнесенная к таковой в соответствии с настоящим Положением, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, ограничения к доступу и разглашению которой предпринимаются согласно настоящего Положения.
1.3. Общество имеет исключительное право на использование конфиденциальной информации любыми не запрещенными законом способами по собственному усмотрению.
1.4. В соответствии с настоящим Положением Общество принимает меры к охране конфиденциальной информации, ограничению доступа к ней третьих лиц.
1.5. Целью охраны конфиденциальной информации является обеспечение экономической и правовой безопасности Общества.
1.6. В случае если в связи с осуществлением своей деятельности обществу становятся известны сведения, составляющие в соответствии с законодательством Российской Федерации государственную тайну, Общество обязано предпринимать меры по их охране в соответствии с Федеральным законом Российской Федерации «О государственной тайне» и иными нормативными правовыми актами о государственной тайне.
1.7. Действие настоящего Положения распространяется на все структурные подразделения Общества, в том числе обособленные – филиалы и представительства.
2. Коммерческая тайна Общества
2.1. Коммерческой тайной Общества является следующая информация:
2.1.1. Данные первичных учетных документов бухгалтерского учета Общества;
2.1.2. Содержание регистров бухгалтерского учета Общества;
2.1.3. Содержание внутренней бухгалтерской отчетности Общества;
2.1.4. Совершаемые и совершенные Обществом сделки, в том числе договоры, их предмет, содержание, цена и другие их существенные условия;
2.1.5. Сведения об открытых в кредитных учреждениях расчетных и иных счетах, в том числе в иностранной валюте, о движении средств по этим счетам, и об остатке средств на этих счетах, сведения об имеющихся вкладах в банках, в том числе в иностранной валюте (банковская тайна);
2.1.6. Секреты производства (ноу-хау) и иная информация, составляющая производственную тайну;
2.1.7. Иные сведения, отнесенные к коммерческой тайне в соответствии с настоящим положением.
2.2. Отнесение информации, указанной в пункте 2.1. настоящего Положения, к информации, составляющей коммерческую тайну Общества, не требует издания каких-либо иных актов помимо настоящего Положения.
2.3. Любая иная информация, за исключением информации, которая в соответствии с законодательством не может быть отнесена к коммерческой тайне, может быть отнесена к коммерческой тайне по решению Генерального директора Общества.
2.4. Отнесение информации, указанной в пункте 2.3. настоящего Положения, к информации, составляющей коммерческую тайну Общества, осуществляется путем издания в каждом конкретном случае приказа Генерального директора Общества. Инициатива в издании приказа Генерального директора об отнесении той или иной информации к коммерческой тайне Общества может исходить от акционеров Общества, руководителей структурных подразделений Общества, руководителей обособленных структурных подразделений Общества, контрагентов Общества.
2.5. К коммерческой тайне не может быть отнесена следующая информация:
2.5.1. Учредительные документы Общества и Договор о создании Общества;
2.5.2. Регистрационные удостоверения, лицензии, патенты и иные документы, дающие право заниматься предпринимательской деятельностью;
2.5.3. Документы о платежеспособности;
2.5.4. Сведения о численности, составе работников Общества, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
2.5.5. Документы об уплате налогов и обязательных платежах;
2.5.6. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба, в случае если данные факты установлены вступившим в законную силу решением (приговором) суда, арбитражного суда;
2.5.7. Сведения об участии должностных лиц предприятия в производственных кооперативах, товариществах, обществах с ограниченной ответственностью, акционерных обществах и других организациях, осуществляющих предпринимательскую деятельность;
2.5.8. Идентификационный номер налогоплательщика (ИНН);
2.5.9. Содержание внешней бухгалтерской отчетности Общества, в том числе содержание: бухгалтерского баланса; отчета о прибылях и убытках; приложений к ним, предусмотренных нормативными актами; аудиторского заключения, подтверждающего достоверность бухгалтерской отчетности Общества; пояснительной записки к данным внешней бухгалтерской отчетности;
2.5.10. Иная информация, которая не может быть отнесена к коммерческой тайне в соответствии с законодательством Российской Федерации.
2.5.11. К коммерческой тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия.
3. Служебная тайна Общества
3.1. Служебную тайну Общества составляют любые сведения, в том числе сведения, содержащиеся в служебной переписке, телефонных переговорах, почтовых отправлениях, телеграфных и иных сообщениях, передаваемых по сетям электрической и почтовой связи, которые стали известны работнику Общества в связи с исполнением им возложенных на него трудовых обязанностей.
3.2. К служебной тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия, а также иная информация, ограничения доступа к которой не допускаются в соответствии с законодательством РФ.
4. Банковская тайна Общества
4.1. Банковскую тайну составляют сведения о состоянии банковского счета и банковского вклада, операций по счету и сведений о клиенте.
4.2. Сведения, составляющие банковскую тайну, могут быть предоставлены только Обществу или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом.
5. Налоговая тайна Общества
5.1. Налоговую тайну составляют любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения об Обществе.
5.2. Не относятся к налоговой тайне следующая информация:
5.2.1. Информация, разглашенная Обществом самостоятельно или с его согласия;
5.2.2. Информация об идентификационном номере налогоплательщика (ИНН);
5.2.3. Информация о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;
5.2.4. Информация, предоставляемая налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам).
5.3. В соответствии с законодательством Российской Федерации налоговая тайна не подлежит разглашению налоговыми органами, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. К разглашению налоговой тайны относится, в частности, использование или передача другому лицу коммерческой (в том числе производственной) тайны Общества, ставшей известной должностному лицу налогового органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Поступившие в налоговые органы, органы государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют в соответствии с законодательством Российской Федерации специальный режим хранения и доступа.
6. Охрана конфиденциальной информации Общества
6.1. Охрана конфиденциальной информации Общества состоит в принятии комплекса мер, направленных на ограничение доступа к конфиденциальной информации третьих лиц, на предотвращение несанкционированного разглашения конфиденциальной информации, выявление нарушений режима конфиденциальной информации Общества, пресечение нарушений режима конфиденциальной информации Общества, привлечение лиц, нарушающих режим конфиденциальной информации Общества к установленной ответственности.
6.2. Обязательным условием трудовых договоров, заключаемых с работниками Общества, является условие о соблюдении работником служебной и коммерческой тайны.
6.3. Каждый работник Общества при принятии на работу предупреждается под расписку об ответственности за нарушение режима служебной и коммерческой тайны.
6.4. Руководители структурных подразделение обязаны не реже одного раза в квартал проводить среди непосредственно подчиненных им работников инструктаж по соблюдению режима служебной и коммерческой тайны. Вновь принятый на работу работник проходит инструктаж при принятии на работу. Данные о проведенном инструктаже фиксируются в специальном журнале.
6.5. Заключаемые Обществом, в лице любых уполномоченных лиц договоры должны содержать условие о сохранении контрагентами конфиденциальности.
6.6. В рабочих и иных помещениях Общества создаются условия, ограничивающие доступ к конфиденциальной информации третьих лиц и несанкционированное разглашение конфиденциальной информации, в том числе устанавливаются технические средства защиты от несанкционированного доступа к информации (сейфы и металлические ящики для хранения документов и пр.).
6.7. В Обществе создается служба охраны, действующая в соответствии с Положением об охране.
6.8. Общество предпринимает меры по выявлению фактов нарушения режима конфиденциальной информации Общества.
6.9. Общество предпринимает все допустимые законом способы по пресечению выявленных нарушений режима конфиденциальной информации Общества.
6.10. Лица, виновные в нарушении режима конфиденциальной информации Общества привлекаются к установленной ответственности.
7. Порядок использования и предоставления конфиденциальной информации Общества
7.1. Использование конфиденциальной информации Общества допускается только теми работниками Общества, которым доступ к такой информации необходим в силу выполняемых ими функций.
7.2. Предоставление конфиденциальной информации Общества третьим лицам возможно не иначе как с санкции Генерального директора Общества.
7.3. Внешняя бухгалтерская отчетность Общества является публичной. Публичность бухгалтерской отчетности заключается в ее опубликовании в газетах и журналах, доступных пользователям бухгалтерской отчетности, либо распространении среди них брошюр, буклетов и других изданий, содержащих бухгалтерскую отчетность, а также в ее передаче территориальным органам государственной статистики по месту регистрации организации для предоставления заинтересованным пользователям.
Годовая бухгалтерская отчетность публикуется Обществом не позднее 01 июня года, следующего за отчетным.
7.4. Общество представляет годовую бухгалтерскую отчетность в соответствии с учредительными документами акционерам, а также территориальным органам государственной статистики по месту их регистрации. Другим органам исполнительной власти, банкам и иным пользователям бухгалтерская отчетность представляется в соответствии с законодательством Российской Федерации.
7.5. Иные случаи предоставления конфиденциальной информации предусмотрены действующим законодательством Российской Федерации.
8. Заключительные положения
8.1. Лица виновные в нарушении режима конфиденциальной информации Общества привлекаются в установленном порядке к уголовной, административной, дисциплинарной и гражданско-правовой ответственности.
8.2. Во всем ином, что не урегулировано настоящим Положением, применяются положения действующего законодательства Российской Федерации.
Конфиденциальная коммерческая информация
Важно отметить, что соответствие информации вышеперечисленным критериям еще не является достаточным основанием для признания ее конфиденциальной. Второе необходимое условие для этого - установление режима коммерческой тайны обладателем данной информации. Данный режим должен быть направлен на исключение доступа к конфиденциальной информации любых лиц без согласия ее обладателя, а также обеспечение возможности использования конфиденциальной информации работниками и контрагентами без нарушения режима коммерческой тайны.Для установления режима коммерческой тайны руководитель организации, владеющей конфиденциальной информацией, должен организовать проведение следующих обязательных мероприятий:
Издать приказ с указанием перечня информации, составляющей коммерческую тайну (рекомендуется указать не только определенные виды информации, но и перечислить признаки, позволяющие идентифицировать информацию), и ознакомить с ним работников организации;
- утвердить локальный нормативный акт (напр., положение о коммерческой тайне), регламентирующий порядок обращения с данной информацией (условия хранения, копирования, передачи, уничтожения и т. п.), меры по контролю за соблюдением такого порядка, ответственность в случае его нарушения, и ознакомить с ним работников организации;
- издать приказ с указанием перечня лиц, которым предоставляется допуск к сведениям, содержащим коммерческую тайну, и ознакомить с ним работников организации;
- организовать ведение реестра лиц, допущенных к сведениям, содержащим коммерческую тайну;
- предусмотреть в трудовых договорах с работниками и в гражданско-правовых договорах с контрагентами, которым предоставляется допуск к конфиденциальной информации, условия и порядок ее использования;
- создать необходимые условия для соблюдения работниками установленного режима коммерческой тайны (предоставление сейфов, закрытых помещений для хранения информации, выделение отдельного рабочего кабинета и т. п.);
- организовать нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Выполнение вышеуказанных условий позволяет считать режим коммерческой тайны установленным и предоставляет обладателю конфиденциальной информации право защищать свои интересы в случае их нарушения.
Так, если нарушение допущено со стороны контрагента, допуск к конфиденциальной информации которому был предоставлен на основании гражданско-правового договора, обладатель такой информации вправе требовать возмещения причиненных убытков в полном объеме (реальный ущерб и упущенная выгода).
Если нарушителем является работник организации - обладателя конфиденциальной информации, то виновное лицо обязано возместить причиненный реальный ущерб. И, кроме того, может быть привлечено к дисциплинарной ответственности (замечание, выговор, увольнение), административной ответственности или уголовной ответственности.
Если неправомерные действия совершены должностным лицом государственного органа, получившего допуск к конфиденциальной информации, обладатель информации вправе требовать возмещения причиненных таким нарушением убытков в полном объеме (реальный ущерб и упущенная выгода), равно как настаивать на привлечении виновных должностных лиц к дисциплинарной, административной либо уголовной ответственности по аналогии с ответственностью для работников организации.
Запрос государственных органов о предоставлении данных
Следует обратить внимание, что подобное требование должно быть мотивированным. В запросе должны быть указаны цель и правовые основания запроса, а также сроки предоставления информации.
На документах, предоставляемых в государственный орган, необходимо нанести гриф «Коммерческая тайна» с указанием данных организации - обладателя, что обяжет орган государственной власти обеспечить условия по защите полученной информации от доступа третьих лиц.
Утечка конфиденциальной информации
Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены.Утечка информации по своей сущности всегда предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.
Утечка охраняемой информации может произойти при наличии ряда обстоятельств. Если есть конкурент (злоумышленник), который такой информацией интересуется и затрачивает определенные силы и средства для ее получения, и если есть условия, при которых конкурент может рассчитывать на овладение интересующей его информацией (затратив на это меньше сил, чем если бы он добывал ее самостоятельно). Будем исходить из того, что конкуренты есть всегда и у всех.
Причины и условия утечки информации при всех своих различиях имеют много общего. Причины связаны, как правило, с несовершенством норм по сохранению коммерческих секретов, а также с нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.
Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки коммерческих секретов.
К таким факторам и обстоятельствам относятся:
Недостаточное знание работниками предприятия правил защиты коммерческой тайны и непонимание (или недопонимание) необходимости их тщательного соблюдения;
- использование неатгестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, - организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну.
Таким образом, большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за недоработок руководителей предприятий и их сотрудников.
Кроме того, утечке информации способствуют:
Стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
- неблагоприятные погодные условия (гроза, дождь, снег);
- катастрофы (пожар, взрывы);
- неисправности, отказы, аварии технических средств и оборудования.
Требования конфиденциальной информации
При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:Осведомление сотрудников о закрытости данной информации,
общее ознакомление сотрудников с основными возможными методами атак на информацию,
ограничение физического доступа,
полный набор документации по правилам выполнения операций с данной информацией.
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:
Расчет рисков атак на информацию;
поддержания списка лиц, имеющих доступ к данной информации;
по возможности выдача подобной информации по расписку (в т.ч. электронную);
автоматическая система проверки целостности системы и ее средств безопасности;
надежные схемы физической транспортировки;
обязательное шифрование при передаче по линиям связи;
схема бесперебойного питания ЭВМ.
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:
Детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);
защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;
криптографическая проверка целостности информации
Лицензия конфиденциальной информации
Наиболее востребованной является лицензия на деятельность по технической защите конфиденциальной информации.При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
А) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается, помещениях со средствами (системами), подлежащими защите, помещениях, предназначенных для ведения конфиденциальных переговоров;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Лицензирование деятельности по технической защите конфиденциальной информации
Под технической защитой конфиденциальной информации понимается выполнение работ или оказание услуг, направленных на её защиту от несанкционированного доступа, от утечки по техническим каналам, а так же от специальных воздействий на данную информацию с целью её уничтожения, искажения или блокирования доступа к ней. Виды работ по технической защите конфиденциальной информации, подлежащие лицензированию, определены Постановлением Правительства РФ № 79.
Конфиденциальная информация обрабатывается только на аттестованных объектах информатизации (ОИ), с использованием сертифицированных ФСТЭК технических средств защиты. Необходимо провести аттестацию ОИ, на котором будет обрабатываться или храниться конфиденциальная информация.
Лицензия на защиту конфиденциальной информации (техническая защита конфиденциальной информации)
При проведении аттестации ОИ исследованиям подвергается помещение, в котором будет обрабатываться конфиденциальная информация и технические средства, на которых обрабатывается конфиденциальная информация, а так же технические средства не участвующие в обработке информации, но установленные в данном помещении. Для достижения ОИ характеристик, удовлетворяющих требованиям безопасности, устанавливаются в необходимом количестве средства защиты информации. Аттестация необходима для того, чтобы подтвердить возможности Заказчика по обработке конфиденциальной информации. К аттестации ОИ могут привлекаться только организации, имеющие лицензию ФСТЭK в части проведения аттестационных испытаний и аттестации на соответствие требованиям по защите информации. Периодичность аттестации ОИ – один раз в три года.
С целью обеспечения должного уровня защиты персональных данных, правительством РФ был издан Закон № 152 ФЗ «О персональных данных». В соответствии со ст. 19 этого закона, организация, обрабатывающая персональные данные, обязана «принять меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». ФСТЭК осуществляет контроль и надзор за соблюдением требований российского законодательства в области защиты персональных данных и является одним из контролирующих органов в этой сфере.
Порядок получения лицензии фстэк на деятельность по технической защите конфиденциальной информации
Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации начинается с подготовки соискателя лицензии к выполнению лицензионных требований.
А именно наличие у соискателя лицензии:
Штатных специалистов с высшим или средним профессиональным образованием в области технической защиты информации. В случае необходимости организуется подготовка специалистов на курсах повышения квалификации по программам, согласованным с ФСТЭК России;
помещения для осуществления лицензируемой деятельности, принадлежащего на правах собственности или на другом законном основании;
контрольно-измерительного оборудования, прошедшего метрологическую проверку;
средств контроля защищенности информации от несанкционированного доступа;
автоматизированной системы для обработки конфиденциальной информации, с установленными на ней сертифицированными средствами защиты;
программ для ЭВМ, для осуществления лицензируемого вида деятельности;
нормативно методической документации, национальных стандартов и технической документации для выполнения заявленных работ.
После проведения подготовительных мероприятий подается заявление на получение лицензии в орган по лицензированию. К заявке прилагаются документы, подтверждающие возможности Заказчика осуществлять лицензируемые виды работ. ФСТЭК проверяет комплектность представленных документов, полноту и достоверность указанных в них сведений. По результатам проверки принимается решение о выдаче лицензии. В соответствии с федеральным законом № 99-ФЗ лицензия выдается бессрочно. ФСТЭК может отказать в выдаче лицензии в случае невыполнения соискателем одного из лицензионных требований, представления неправильно оформленных документов или выявления в них сведений, не соответствующих действительности.
Защита конфиденциальной информации - лицензия фстэк
Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.
В соответствии с Постановлением Правительства РФ № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации», обязательному лицензированию подлежит деятельность юридических лиц и предпринимателей по разработке и производству средств защиты конфиденциальной информации.
Если организация разрабатывает или производит средства защиты информации, не являющейся государственной тайной, то такие виды деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия на деятельность по разработке и производству средств технической защиты конфиденциальной информации выдается соискателям лицензии, удовлетворяющим лицензионные требования на ТЗКИ и имеющим на законных основаниях средства проектирования, разработки и производства средств защиты информации. Кроме этого в организации должна быть в наличии система производственного контроля, включающая в себя правила и процедуры проверки и оценки системы разработки (производства) средств защиты информации, учёта изменений, вносимых в ПКД на разрабатываемую (производимую) продукцию, учета готовой продукции.
Кроме ФСТЭК лицензию на разработку и производство средств ТЗКИ вы дает Федеральная служба безопасности России для организаций разрабатывающих и производящих средства ТЗКИ, которые затем устанавливаются на объектах Администрации Президента, Совбеза, Федерального Собрания, Правительства, Конституционного Суда, Верховного Суда и Высшего Арбитражного Суда Российской Федерации.
Важнейшими средствами, обеспечивающими защиту сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства, средства ТЗКИ, биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензии на техническую защиту конфиденциальной информации, на разработку и производство средств технической защиты конфиденциальной информации выдаются ФСТЭК, а лицензии на оказание услуг в области шифрования, разработку, распространение и техническое обслуживание шифровальных средств выдаются ФСБ.
Обязанности предприятий, действующих на основании лицензии фстэк
Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Лицензионный контроль осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".
Организациям, претендующим на получение лицензий ФСТЭК на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны и на проведение работ, связанных с созданием средств защиты информации, понадобится также лицензия ФСБ на работу со сведениями, составляющими государственную тайну.
Перечень конфиденциальной информации
В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.
Перечень конфиденциальных данных, определенных законодательством:
|
Вид |
Перечень сведений |
Законодательная |
|
Информация, |
Сведения любого характера |
Статья 3 |
|
Банковская |
Сведения об операциях, о счетах и |
Статья 26 |
|
Адвокатская |
Сведения, связанные с оказанием |
Основы |
|
Сведения, |
Любые сведения и документы, полученные |
Статья 9 |
На практике режим конфиденциальности определяется:
Перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
- договорным регулированием отношений с работниками;
- договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
- нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.
Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
Режим коммерческой тайны не может быть установлен в отношении следующих сведений:
Содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
- содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.
Рассмотрим порядок установления перечня в конкретной компании.
Как поступать с сотрудником, разгласившим конфиденциальную информацию?
Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.
Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.
Таким образом, налагая дисциплинарное взыскание, работодатель должен:
Доказать, что работник нанес материальный вред организации;
- установить, что работник разгласил конфиденциальные данные, включенные в перечень;
- подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.
Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.
Перечень конфиденциальной информации в отдельной организации
В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:
Сведения о производстве и управлении;
- данные об уровне заработной платы сотрудников;
- персональные данные сотрудников;
- управленческие решения, планы развития производства, инвестиционные программы;
- протоколы совещаний;
- конфиденциальные договоры;
- сведения о переговорах;
- сведения о кадровом составе, штатном расписании;
- стоимость и цены;
- бухгалтерская отчетность, первичная документация;
- сведения об уплаченных налогах и сборах;
- отчеты аудиторов.
Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.
Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда по делу N 33-36486).
Понятие персональных данных установлено в Федеральном законе N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.
Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа по делу N А27-25441/2009).
Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.
Порядок защиты конфиденциальной информации
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
Определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.
В целях охраны конфиденциальности информации работодатель обязан:
Ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).
Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.
Признание данных конфиденциальными может быть оспорено в суде.
При этом в компании могут быть предприняты следующие действия:
Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
- ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
- стенографирование совещаний;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
- резервирование технических средств и дублирование массивов и носителей информации;
- защита от копирования информации, применение сертифицированных средств ее защиты;
- использование защищенных каналов связи;
- криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.
Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.
Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.
В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.
Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.
Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.
Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.
Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.
В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.
Безопасность конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.Такими действиями являются:
Ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам:
По величине принесенного ущерба:
Предельный, после которого фирма может стать банкротом;
- значительный, но не приводящий к банкротству;
- незначительный, который фирма за какое-то время может компенсировать и др.
По вероятности возникновения:
Весьма вероятная угроза;
- вероятная угроза;
- маловероятная угроза.
По причинам появления:
Стихийные бедствия;
- преднамеренные действия.
По характеру нанесенного ущерба:
Материальный;
- моральный.
По характеру воздействия:
Активные;
- пассивные.
По отношению к объекту:
Внутренние;
- внешние.
Источниками внешних угроз являются:
Недобросовестные конкуренты;
- преступные группировки и формирования;
- отдельные лица и организации административно-управленческого аппарата.
Источниками внутренних угроз могут быть:
Администрация предприятия;
- персонал;
- технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
- 17% угроз совершается извне - внешние угрозы;
- 1% угроз совершается случайными лицами.
Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
Передача конфиденциальной информации
Надо сказать, что в определенных случаях закон обязывает представлять информацию независимо от ее конфиденциальности. Но учитывая, что такие действия нарушают в какой-то степени наши конституционные права, то такие обстоятельства должны быть обязательно определены Законом, не подзаконными актами, а именно законом. Желания всех и вся получить информацию - понятны, но не всегда согласуются с законом. Порядок обязательного представления информации, отнесенной к конфиденциальной информации устанавливается законодательством.Итак, посмотрим кому и какую конфиденциальную информацию мы должны передавать:
1. В интересах борьбы с преступностью, осуществления правосудия, соблюдения налогового и антимонопольного законодательства, рядом нормативных актов определен круг организаций и лиц, которые в соответствующих случаях имеют право на получение конфиденциальной информации в пределах своей компетенции.
К таким органам относятся:
Судебные органы;
органы прокуратуры;
органы, осуществляющие оперативно-розыскную деятельность;
органы следствия и дознания.
2. В случае предоставления в обязательном порядке информации органам и организациям, ответственным за формирование и использование государственных информационных ресурсов в соответствии с утвержденными Правительством Российской Федерации Перечнями.
К таким органам, например, можно отнести:
Органы статистики;
органы (фонды) пенсионного страхования;
органы (фонды) медицинского страхования;
органы налоговой службы;
организации-депозитарии ценных бумаг;
органы Архивной Службы России и пр.
Конкретный перечень представляемой в обязательном порядке информации с адресами ее представления прилагается к уставу каждого юридического лица (положению о нем). А должностные лица регистрационных органов, виновные в том, что не обеспечили регистрируемых юридических лиц таким перечнем, привлекаются к дисциплинарной ответственности вплоть до снятия с должности.
3. По обращениям депутатов Совета Федерации и депутата Государственной Думы Федерального Собрания Российской Федерации по вопросам, связанным с их депутатской деятельностью безотлагательно предоставляется необходимая информация и документация независимо от степени их секретности в соответствии с федеральным законодательством о государственной тайне. Однако, обратим Ваше внимание, что законодатель предусмотрел предоставление именно информации, составляющей государственную тайну (что подчеркнуто ссылкой на Федеральный Закон о "О государственной тайне", это справедливо, так как именно государство является собственником этой категории информации и вправе устанавливать правила доступа к ней), а обязательность предоставления сведений конфиденциального характера - не определяется (это прерогатива собственника конфиденциальной информации). Это дает право предоставлять такую информацию депутатам на общих основаниях и с соблюдением требований, определяемых собственником информации.
4. В случае обязательной внешней аудиторской проверки с целью установления достоверности бухгалтерской (финансовой) отчетности и соответствия совершенных финансовых и хозяйственных операций нормативным актам Российской Федерации, проводимой по поручению государственных органов, органов дознания, следователя, прокурора, суда и арбитражного суда в соответствии с процессуальным законодательством Российской Федерации.
Обмен конфиденциальной информацией по волеизъявлению собственника
Кроме обязательного представления информации государственным органам, в обычной жизни существует много других моментов, когда собственник конфиденциальной информации хочет сам (или это ему крайне необходимо) по каким-то причинам передать третьему лицу такую информацию. От этого иногда зависит его коммерческий успех и деловая репутация. Однако и эти случаи во многом регулируются законом и собственник информации имеет определенные права, о которых мы поговорим ниже.
Вот некоторые из таких случаев:
1. Добровольная передача конфиденциальной информации в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.
2. Добровольная передача конфиденциальной информации на основе условий договора (мены, дарения, купли-продажи, совместной деятельности и пр.) или в порядке универсального правопреемства (по завещанию, в связи с реорганизацией юридического лица и пр.).
3. Передача конфиденциальной информации учредителям, участникам хозяйственных товариществ и обществ, контрагентам, партнерам, субподрядчикам, арендаторам, сотрудникам для выполнения служебных обязанностей по трудовому договору или контракту или зарубежному партнеру с использованием средства международного информационного обмена.
4. Передача конфиденциальной информации при использовании услуг оператора связи (телефонных, телеграфных, телетайпных, факсимильных, телематических, и др.) по транспортированию информационных потоков, по сетям электрической и почтовой связи.
5. При необходимости передачи конфиденциальной информации адвокату, нотариусу, аудитору, организациям-депозитариям для выполнения ими возложенных законом действий и обязанностей.
Какую информацию обязаны предоставлять
Итак, круг организаций, которые могут получить информацию достаточно широк. Но всеми ли и всю ли информацию надо безоговорочно передавать? Мы уже упомянули, что любую информацию, а особенно конфиденциального характера надо передавать только строго дозировано, в пределах компетенции запрашивающего ведомства и, поэтому, для предотвращения разглашения конфиденциальных сведений через должностных лиц и представителей федеральных органов государственной власти, органов власти субъектов российской Федерации, необходимо знать их реальные права и предоставлять им только ту информацию, которая входит в их компетенцию и необходима им для выполнения служебных функций. Не плохо также уяснить то, как закон трактует, что может служить основанием обязательной передачи каких-либо сведений.
Так, по требованию прокурора и следователя безвозмездно представляются статистическая и иная информация, справки, документы и их копии, необходимые при осуществлении возложенных на органы прокуратуры функций.
Прокурор, следователь, орган дознания и судья по телефонному, телеграфному или письменному запросу могут истребовать и получить объяснения о фактах совершенных или подготовляемых преступлениях. Исходя из духа статьи закона, конфиденциальная информация, в этом случае может быть предоставлена только по письменному запросу.
Необходимо помнить, что закрепленное в законе право истребовать какие-либо материалы не означает безусловность их предоставления. Уголовно-процессуальное законодательство не предусматривает обязанность безусловно предоставить истребуемые материалы, а соответственно и нет ответственности за отказ в предоставлении истребуемых материалов, за исключением отдельных случаев. В принципе, законодательство не исключает необходимости соблюдения специальной процедуры (порядка) при предоставлении истребуемой информации. Федеральным законом определено, что собственник документов, массива документов, информационных систем или уполномоченные им лица устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Вообще-то говоря, установлено, что и для органов прокуратуры, внутренних дел, налоговой полиции, ФСБ России конфиденциальность определенной информации (банковская и коммерческая тайна) не является препятствием для получения сведений и документов о финансово-экономической деятельности, вкладах и операциях по счетам физических и юридических лиц, причастных к совершению тяжких преступлений и преступлений, совершенных преступными группами. Основанием для предоставления банковскими и коммерческими структурами таких документов является мотивированное требование (запрос) прокурора, следователя, руководителя органа дознания по возбужденному уголовному делу. Органы полиции, при наличии данных о правонарушениях в финансовой, хозяйственной, предпринимательской и торговой деятельности могут изымать необходимые документы на материальные ценности, денежные средства, кредитные и финансовые операции.
Органы ФСБ России имеют право безвозмездно получать от государственных органов, предприятий, учреждений и организаций независимо от форм собственности информацию, необходимую для выполнения возложенных на них обязанностей, за исключением случаев, когда федеральными законами установлен специальный порядок получения информации.
Налоговые органы имеют право получать безвозмездно от министерств, ведомств, предприятий и учреждений независимо от форм собственности физических лиц информацию, необходимую для исполнения возложенных обязанностей, за исключением случаев, когда законом установлен специальный порядок получения такой информации. Кроме того они вправе получать от банков и кредитных учреждений информацию о совершении физическими лицами операций с крупными валютными суммами.
Налоговая служба Российской Федерации имеет право производить проверки денежных документов, регистров бухгалтерского учета, отчетов, планов, смет, деклараций и иных документов, связанных с исчислением и уплатой налогов и других платежей в бюджет. Кроме того она может контролировать своевременность предоставления плательщиками бухгалтерских отчетов, балансов, налоговых расчетов, отчетов и других документов, связанных с исчислением и уплатой платежей в бюджет, а также проверять достоверность этих документов в части правильности определения прибыли, дохода, иных объектов обложения и исчисления налогов и платежей в бюджет. При необходимости эти документы могут быть и изъяты на основании мотивированного постановления должностного лица налоговой инспекции. Предоставление же сведений, составляющих коммерческую тайну по запросам налоговой полиции и налоговой службы производится только по возбужденному уголовному делу или по материалам проверки, проводимой в порядке обязательности рассмотрения заявлений и сообщений о преступлении.
По требованию суда, прокуратуры, органов следствия, арбитражного суда, нотариус может дать необходимую справку о совершенных нотариальных действиях, содержащих конфиденциальную информацию доверителя.
Особое место в процессе обмена информацией вообще и конфиденциальной в частности занимают взаимоотношения со средствами массовой информации. Законодательно закреплено, что поиск, получение, производство и распространение массовой информации не подлежит ограничениям, за исключением случаев, предусмотренных законодательством о средствах массовой информации. Как один из таких случаев, законодатель называет недопустимость использования средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Поэтому, несмотря на то, что любая редакция имеет право в устной и письменной форме запрашивать информацию о деятельности государственных органов и организаций, общественных объединений и их должностных лиц, а руководители этих органов обязаны предоставлять такую информацию, они вправе и отказать редакции в ее получении, если запрашиваемая информация содержит какую-либо тайну. В этом случае журналист может получить доступ только к документам и материалам без фрагментов, содержащих такие сведения.
Информация конфиденциального характера
Основной социальной ценностью, главным продуктом производства и основным товаром в информационном обществе является информация. В настоящее время ни в одной из научных областей общества, в том числе и праве, нет единого определения информации.Термин «информация» происходит от латинского слова «informatio», что означает – разъяснение, сообщение, осведомленность.
Существует множество философских концепций информации, и все осветить было бы крайне трудно. Известно философское определение американского ученого-математика Винера: информация – это не энергия и не материя.
Под информацией в технике понимают сообщения, передаваемые в форме знаков или сигналов.
С середины ХХ столетия под информацией понимается обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передача признаков от клетки к клетке, от организма к организму (генетическая информация) – это одно из основных понятий кибернетики.
Признаки информации:
– нематериальный характер, когда ценность информации заключается в ее сути, а не в материальном носителе, на котором она закреплена; субъективный характер, когда информация является интеллектуальной собственностью;
– информация должна быть объективной для включения в правовой оборот; количественная определенность; возможность многократного использования;
– сохранение передаваемой информации у передающего субъекта;
– способность к воспроизведению, копированию, сохранению и накапливанию.
Что можно делать с информацией:
– создавать, принимать, комбинирвать, хранить;
– передавать, копировать, обрабатывать, искать;
– воспринимать, формализовать, делить на части, измерять;
– использовать, распространять, упрощать, разрушать;
– запоминать, преобразовывать, собирать, и т. д.
Все эти процессы, связанные с определенными операциями над информацией, называются информационными процессами.
Информацию можно структурировать и классифицировать, исходя из различных признаков:
А) по степени доступа – общедоступная информация; информация, доступ к которой не может быть ограничен:
– информация с ограниченным доступом;
– информация, не подлежащая распространению;
б) по степени систематизации – систематизированная в информационных системах (каталоги, энциклопедии, рубрикаторы и т. д. и несистематизированная информация, т. е. свободная;
в) по виду носителя – на бумажном носителе, видео- и звуковая, компьютерная информация;
г) по сфере применения – массовая информация, распространяемая через СМИ, Интернет и отраслевая, предназначенная для круга лиц, связанного профессиональными интересами.
Под информацией понимаются: сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Термины «явления» и «процессы» охватывают как конкретные фактографические данные, так и неформализованные знания или заблуждения об окружающем или воображаемом мире.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления:
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами;
- доступ к информации (доступ) – ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
- доступность (санкционированная доступность) информации – состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
- защита информации от несанкционированного доступа или воздействия – деятельность, направленная на получения информации без прав;
- несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;
- персональные данные – информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность;
- конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
В нем указано, что к конфиденциальным понятиям следует относить:
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- Сведения, составляющие тайну следствия и судопроизводства.
- Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Как можно заметить, в этом перечне нет упоминания о государственной тайне, хотя, последняя полностью подпадает под определение конфиденциальной информации и является важнейшим информационным звеном, несанкционированный доступ к которому способен нанести ущерб безопасности государства.
В связи с этим становятся немного непонятными мотивации органов государственной власти в связи с таким обособлением государственной тайны от конфиденциальной информации.
Стратегия информационной безопасности и её цели
Проанализировав достаточно большое количество литературы, я не вижу четкого определения ИБ, поэтому сформулировала своё – информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия.
Самое главное в этом определении это то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом, а вот как раз этого главного принципа большинство сегодняшних руководителей не понимают и вследствие чего являются жертвами злоумышленников.
Стратегия – средство достижения желаемых результатов. Комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций. То есть стратегию информационной безопасности.
(Стратегию информационной безопасности) нужно определять с учетом быстрого реагирования на новые угрозы и возможности.
Среди целей ИБ главными можно выделить следующие:
Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа.
Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации.
Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные.
Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались.
В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Административный уровень информационной безопасности
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации (предприятия, фирмы).
Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности.
Политика безопасности – это совокупность документированных решений, принимаемых руководством организации и направленных на обеспечение информационной безопасности. Политика безопасности отражает подход организации к защите своих информационных активов.
Для выработки такой стратегии и претворения ее в жизнь необходимы, несомненно, политические решения, принимаемые на уровне высшего руководства фирмы.
На основе политики безопасности разрабатывается программа безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения и т. д.
На основе программы безопасности разрабатываются конкретные правила, инструкции, нормативы и рекомендации, касающиеся работы персонала по обеспечению информационной безопасности. Эти правила относятся к процедурному уровню защиты.
Таким образом, в организационном обеспечении информационной безопасности выделяются меры административного уровня (политика и программа безопасности) и меры процедурного уровня.
Совокупность данных, хранящихся в виде бумажных документов или сведений на цифровых носителях, доступных для передачи заранее определённому узкому кругу лиц. Использование конфиденциальной информации регулируется законодательством РФ, несанкционированная передача таких сведений расценивается как правонарушение.
Разновидности конфиденциальной информации
В зависимости от сферы применения, конфиденциальная информация представляет собой коммерческую, государственную или служебную тайну. Доступ к таким сведениям предоставляется в зависимости от служебного положения, использование ограничивается договорами о неразглашении конфиденциальных данных.
- Персональные данные гражданина. Обстоятельства частной жизни, сведения о родственниках, доходах и месте проживания, с помощью которых можно идентифицировать личность. Защита персональных данных регулируется федеральными законами.
- Следственные и судебные данные. Официальные документы и заверенные показания участников судебных процессов, информация о гражданах, находящихся под защитой государства. Такие сведения доступны государственным служащим в рамках должностных полномочий.
- Финансовая информация о компании. Список банковских операций, контрагентов, внутренняя бухгалтерская отчётность, особенности ценовой политики, текущий объём прибыли компании. Такие сведения доступны инвесторам, акционерам, руководителям отделов согласно корпоративной политике в сфере распространения информации.
- Служебная информация. Особенности ведения переговоров и заключения сделок, детали взаимодействия с контрагентами, организационная структура предприятия. Такие сведения доступны рядовым сотрудникам и защищены от посторонних договором о неразглашении конфиденциальных данных.
- Сведения об особенностях производства. Рецептура и технологии производства, чертежи и схемы оборудования, планы развития компании и загрузки текущих мощностей. Такая информация доступна сотрудникам предприятия согласно их полномочиям.
- Научно-технические данные. Результаты исследований, разработок, научных изысканий, опытов на веществах и материалах, новые технологии, образцы продукции, программное обеспечение. Такие сведения предоставляются научным сотрудникам, руководителям отдела в коммерческих организациях.
Конфиденциальная информация зафиксирована на физических носителях (жёстких дисках, листах бумаги) и обладает реквизитами для идентификации (номером, датой составления). Контролирующие органы получают доступ к информации после предъявления ордера или разрешения на проведение налоговой проверки.
Защита конфиденциальной информации
Несанкционированный доступ к конфиденциальным сведениям приводит к потере конкурентных преимуществ, конфликтам с клиентами, негативно отражается на деловой репутации компании. Информацию с ограниченным доступом охраняют четырьмя методами.
- Законодательные методы — подписание соглашений о неразглашении сведений, обращение в государственные структуры при нарушении норм права злоумышленниками. Со стороны государства применяется ФЗ № 149 «Об информации, информационных технологиях и защите информации», ФЗ № 98 «О коммерческой тайне».
- Организационные методы — ограничение доступа к отдельным данным путём настройки внутренних программ в компании. EPR системы в организациях (например, SAP) регулируют права доступа для каждого сотрудника в зависимости от его должности.
- Технические методы — установка камер слежения в местах хранения закрытой информации (лабораториях с чертежами и образцами), создание пропускного режима и системы идентификации на предприятиях. Такие методы применяются на производственных, исследовательских предприятиях.
- Методы работы с кадрами — проведение инструктажей и разъяснений о важности сохранения конфиденциальных сведений, введение санкций за нарушение обязательств сотрудниками. Такие методы применяются в большинстве крупных компаний для разъяснения сотрудникам их обязанностей и сопровождаются подписанием договора о неразглашении сведений.
В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.
Данные, нуждающиеся в защите
Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
- коммерческая тайна;
- производственная документация секретного характера;
- ноу-хау компании;
- клиентская база;
- персональные данные сотрудников;
- другие данные, которые компания считает нужным защитить от утечки.
Какие сведения составляют коммерческую тайну и как их обезопасить?
Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
- определение перечня активов, подлежащих защите;
- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
- определение круга лиц, которым будет доступна КИ;
- определение процедур реагирования;
- оценка рисков;
- внедрение технических средств по защите КИ.
Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).
Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:
- при каких условиях информация относится к служебной, коммерческой, другой тайне;
- обязательность соблюдения условий конфиденциальности;
- ответственность за разглашение КИ.
Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).
Полный перечень документов, которые регламентируют подходы к безопасности информации.
Защита конфиденциальной информации на практике
В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.
Защита информации на предприятии
При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
IT-защита информации
Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
DLP-систему можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.
DLP-системы для предотвращения утери данных
Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
- USB-разъемы;
- локально функционирующие и подключенные к сети принтеры;
- внешние диски;
- сеть Интернет;
- почтовые сервисы;
- аккаунты и др.
Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.
Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
- частных сведений;
- интеллектуальной собственности;
- финансовых данных;
- медицинской информации;
- данных кредитных карт и др.
SIEM-системы
Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).
Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.
Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.
В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.
Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
- Введение
- 1.2 Ценность информации
- 1.4 Угрозы и система защиты конфиденциальной информации
- Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
- 2.1 Нормативно-методическая база конфиденциального делопроизводства
- 2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
- 2.3 Технологические основы обработки конфиденциальных документов
- Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
- 3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
- 3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
- 3.3 Совершенствование системы безопасности информации ограниченного доступа
- Заключение
- Список использованных источников и литературы
Введение
Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.
Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.
Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.
Базой исследования является ОАО "ЧЗПСН - Профнастил"
Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;
7. Рассмотреть технологические системы обработки конфиденциальных документов;
8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.
В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.
Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).
Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).
Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:
1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;
2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).
Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).
27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.
10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).
Основными в области безопасности конфиденциальной информации также являются законы РФ:
1. "О государственной тайне" от 22 июля 2004 г. (4);
2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);
3. "Об утверждении Перечня сведений конфиденциального характера" (11);
4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).
Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).
Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).
Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).
К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).
Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).
Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.
Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).
В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).
Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.
В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.
Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.
К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.
Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.
Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы
Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.
Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.
В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.
Заключение содержит выводы по выпускной квалифицированной работе.
Список использованных источников и литературы включает 110 наименований.
Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации (89, с.45).
В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей целью извлечение прибыли (46, с. 20).
Со второй половины XIX в. появляются и различные определения понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более высоким языком, тайну производства благ и тайну их распределения.
В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.
В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах с другими странами, однако отечественной законодательной основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).
Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно было сформулировать определение коммерческой тайны. Такое определение было сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам".
Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя (32, с.13).
Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. (56, с.212).
Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф (71, с.5 8).
Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).
В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных (61, с.32).
Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.
Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).
Секретность - правила и условие доступа и допуска к объектам информации (89, с.50).
Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к информации.
Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.
Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом (91, с. 208).
1.2 Ценность информации
К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).
Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).
Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).
При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).
Информация может быть разделена на три категории (82, с.33).
Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.
Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:
1. Доступную для всех сотрудников фирмы;
2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.
Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.
Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).
Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).
Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.
Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:
1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;
2. Отсутствие свободного доступа к этой информации на законном основании;
3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.
Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).
Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.
Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:
1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4. Документы о платежеспособности;
5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
6. Документы об уплате налогов и обязательных платежах;
7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).
Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.
Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).
Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.
Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.
Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).
Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).
К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).
Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).
Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.
Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).
Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:
1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);
2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).
Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).
Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).
Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.
1.3 Каналы распространения и утечки конфиденциальной информации
Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.
Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей (83, с.48).
Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах (99, с.11). Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия (104, с.75).
Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус (94, с.89). Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).
Термин "разрушение" употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину "искажение", они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации (36, с.59).
Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.
Разглашение информации является формой проявления уязвимости только конфиденциальной информации.
Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.
Уязвимость документированной информации приводит или может привести к утрате или утечке информации. (97, с.12).
К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.
К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы (77, с.94; 94, с.12) в литературе и даже в нормативных документах термин "утечка конфиденциальной информации" нередко заменяется или отождествляется с терминами: "разглашение конфиденциальной информации", "распространение конфиденциальной информации". Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и "прихвачен" мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью "подсидки", причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.
Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме (91, с.123).
Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации. (8; 91, с.123)
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов (8; 68, с.37).
Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции (39, с.65).
Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе (46, с.11). Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ "Об информации…" (8) отнесена к разряду документированной информации и представляет собой различные виды документов.
В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.
Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств (64, с.82).
Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.
На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.
Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации (29).
Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации (36, с.62).
Технический канал утечки - информация передается посредством технических средств (29).
Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые (33).
Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт (101, с.256).
Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно) (101, с.256).
Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения (107, с.12).
В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию (91, с.239).
Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.
Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий (85, с.220).
Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.
Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации (95, с.78).
Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия (95, с.79). Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.
Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.
Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации. (94, с.87)
Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.
Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.
К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.
Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации (72).
Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.
Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.
Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.
Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.
Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.
Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.
Если речь идет об утечке информации по вине персонала, используется термин "разглашение информации". Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д. (56, с.458).
Утечка (разглашение) информации характеризуется двумя условиями:
1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;
2. Информация переходит к случайному, третьему лицу.
Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации (37, с.5). Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как "промокашка" для перехвата необходимой информации.
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;
2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;
3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);
4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;
5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;
6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;
7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;
8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.
Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.
Основными видами организационных каналов могут быть:
1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);
2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;
3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;
4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;
5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;
6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;
8. Получение нужной информации от третьего (случайного) лица.
Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы (75, с.32).
Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.
Подобные документы
Организационно-распорядительная документация. Требования к оформлению, порядок обращения с конфиденциальными документами. Способы сохранения конфиденциального делопроизводства. Секретные архивы. Обеспечение безопасность конфиденциального делопроизводства.
курсовая работа , добавлен 15.01.2017
Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.
курсовая работа , добавлен 20.11.2012
Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.
курсовая работа , добавлен 09.06.2011
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.
реферат , добавлен 27.12.2013
Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.
курсовая работа , добавлен 26.09.2012
Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.
курсовая работа , добавлен 19.11.2014
Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
дипломная работа , добавлен 23.10.2013
Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.
реферат , добавлен 27.01.2010
В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.
В настоящее время одной из наиболее значимых задач в области информационной безопасности является информационная защита, в частности, защита персональных данных, коммерческой тайны и другой информации конфиденциального характера в сферах муниципальных учреждений, в том числе предприятий ЖКХ, гостиничного и санаторно-курортного обслуживания, а также медицинских и лечебно-профилактических учреждений (ЛПУ), расположенных в местах постоянного проживания и отдыха россиян.
Необходимость решения подобных задач диктуется государственными правовыми и нормативными актами, требующими выполнения работ по созданию систем защиты информации конфиденциального характера, в том числе систем защиты персональных данных в организациях, являющихся операторами персональных данных. Таким образом, защищается не только информация конкретной организации, но и конституционные права граждан.
Компания «РНТ» располагает собственным методологическим подходом к решению данных задач. Предлагаемое решение «РНТ» включает полный комплекс средств защиты информации, организационно-технических мер и работ по их разработке и внедрению.
1 этап - предпроектные работы.
На данном этапе производится предварительный анализ существующих систем организации защиты, формируется перечень защищаемых информационных систем, а также перечень защищаемых данных, выявляются ключевые техпроцессы их обработки, формулируются цели обработки и требования к необходимым организационно-техническим мерам, разрабатываются модели угроз и возможностей потенциальных нарушителей безопасности, определяются требуемые уровни защищённости и формируется техническое задание, включающее требования к работам последующих этапов. Этап также включает участие в подготовке внутренних организационных документов Заказчика.
2 этап – проектирование.
На данном этапе производится выбор технических средств и проектирование системы защиты информации. Результатом этапа являются эскизный, а также технический либо технорабочий проекты.
3 этап – внедрение.
На данном этапе производится закупка и поставка технических средств и внедрение системы защиты информации, сопровождаемое комплексом необходимых настроек и испытаний.
4 этап – аттестация системы.
На данном этапе производятся аттестационные испытания системы защиты информации. По результатам выдаётся Аттестат соответствия ФСТЭК России, либо (для коммерческих структур) – Заключение о соответствии системы защиты информации требованиям Регуляторов.
После ввода системы защиты информации в эксплуатацию целесообразно заключение договора технического сопровождения с Центром технической поддержки и сопровождения АО «РНТ».
В решении применяются отечественные сертифицированные средства защиты информации как собственного производства АО «РНТ», такие как СОА «ФОРПОСТ» и ПК «ФАНТОМ», так и других российских лидеров в области защиты информации.
Преимущества решения
Наличие у «РНТ» целостного методологического подхода позволяет одновременно оптимизировать процесс обработки информации, снизить трудозатраты и финансовые затраты, связанные с обслуживанием внедрённого комплекса мер силами Заказчика. Важным результатом внедрения решения «РНТ» является оптимизация нормативных основ обработки информации, а также сокращение возможных претензий и исков, связанных с обработкой информации как со стороны частных лиц, так и со стороны различных организаций, в частности, контролирующих государственных структур.
| Статьи по теме: | |
|
MarineTraffic (Марин трафик) – AIS карта отслеживания судов в реальном времени на русском
Существуют сервисы, которые предоставляют информацию о кораблях онлайн в... Ошибка «Не удается установить соединение со службой входа Logmein
Наступил “судный день”, и Хамачи не подключается к сети. Почему и что... Перемещение и прокрутка листа
Владельцы нетбуков или ноутбуков с маленьким размером экрана всего в 10... | |
