Физическая защита конфиденциальной информации. Наличия в текстах открытых документов излишней информации с ограниченным доступом
41. Организационные и правовые меры защиты конфиденциальной информации.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
Организацию охраны, режима, работу с кадрами,
с документами;
Использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
К основным организационным мероприятиям можно отнести:
Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;
Организацию использования технических средств
сбора, обработки, накопления и хранения конфиденциальной информации;
Организацию работы по анализу внутренних и
внешних угроз конфиденциальной информации и
выработке мер по обеспечению ее защиты;
Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:
Перечень сведений, составляющих конфиденциальную информацию организации;
Договорное обязательство о неразглашении КИ
Инструкция по защите конфиденциальной информации
Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).
В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.
Под сведениями (и их носителями) понимаются:
Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;
Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.
Введение
Заключение
Список литературы
Введение
На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.
Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.
Целью данной работы является рассмотрение информационной безопасности как неотъемлемой части национальной безопасности, а также выявление степени ее защищенности на современном этапе, анализ внутренних и внешних угроз, рассмотрение проблем и пути их решения.
В связи с этим поставлены определенные задачи:
.Определить место и значение информационной безопасности на современном этапе развития;
2.Рассмотреть нормативно-правовую базу в сфере защиты информации;
.Выявить основные проблемы и угрозы и пути их решения.
Глава 1. Проблемы и угрозы информационной безопасности
1.1 Место информационной безопасности в системе национальной безопасности России
Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны. Нормативно-правовой основой регулирования защиты информации стала Доктрина информационной безопасности РФ, утвержденная Президентом РФ в 2001 г. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются: объекты, угрозы и источники угроз информационной безопасности; возможные последствия угроз информационной безопасности; методы и средства предотвращения и нейтрализации угроз информационной безопасности; особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства; основные положения государственной политики по обеспечению информационной безопасности в РФ. Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ. Она выделяет четыре основные составляющие национальных интересов России в информационной сфере. Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. Для ее реализации необходимо: повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны; усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России; обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды; обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации; гарантировать свободу массовой информации и запрет цензуры; не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды; конфиденциальная информация защита россия обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством. Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется: укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан; интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования. Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. Для достижения результата на этом направлении необходимо: развивать и совершенствовать инфраструктуру единого информационного пространства России; развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов; развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем; обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи. Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. В этих целях требуется: повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности; обеспечить защиту сведений, составляющих государственную тайну; расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.
1.2 Основные проблемы информационной безопасности и пути их решения
Обеспечение информационной безопасности требует решения целого комплекса задач. Важнейшая задача в деле обеспечения информационной безопасности России - осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом: интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность; интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России; интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества. Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы: правовые; организационно-технические; экономические. К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл.4 настоящего пособия). Организационно-техническими методами обеспечения информационной безопасности являются: создание и совершенствование систем обеспечения информационной безопасности; усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере; создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности; формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства. Экономические методы обеспечения информационной безопасности включают в себя: разработку программ обеспечения информационной безопасности и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению; организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства. При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о "разработке и внедрении правовых норм", "повышении правовой культуры и компьютерной грамотности граждан", "создании безопасных информационных технологий", "обеспечении технологической независимости" и т.п. Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.
1.3 Источники угроз информационной безопасности
Угрозы информационной безопасности - это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т.д.) объекта с целью изменения его функциональных возможностей или полного поражения. С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды: угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; угрозы информационному обеспечению государственной политики РФ; угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться: принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности; создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем; противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений; чрезмерное ограничение доступа к необходимой информации; противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание; неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере; неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации; дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы; нарушение конституционных прав и свобод человека и гражданина в области массовой информации; вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур; девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе; снижение духовного, нравственного и творческого потенциала населения России; манипулирование информацией (дезинформация, сокрытие или искажение информации). Угрозами информационному обеспечению государственной политики РФ могут быть: монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами; блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории; низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики. Угрозы развитию отечественной индустрии информации могут составлять: противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий; закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов; вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи; отток за рубеж специалистов и правообладателей интеллектуальной собственности. Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние. К внешним источникам угроз Доктрина относит: деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ; стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков; деятельность международных террористических организаций; увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий; деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств; разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним. К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности; неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере; недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности; недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики; неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России; недостаточное финансирование мероприятий по обеспечению информационной безопасности; недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности; недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан; отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан. Глава 2. Защита конфиденциальной информации
2.1 Классификация сведений, подлежащих защите
В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы: государственная тайна; коммерческая тайна; сведения конфиденциального характера; интеллектуальная собственность. Государственная тайна. Закон РФ "О государственной тайне" дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности России (ст.2). В ст.5 данного Закона определен перечень сведений, отнесенных к государственной тайне: сведения в военной области - о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.; сведения в области экономики, науки и техники - о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.; сведения в области внешней политики и экономики - о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.; силы и средства названной деятельности, ее источники, планы и результаты; лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность; системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи; шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др. Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такой информацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности. Согласно ст.139 ч.1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию. Постановление Правительства РФ от 5.12.1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". К таким сведениям относятся: организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты); финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности); сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства); сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий). Сведения конфиденциального характера. Конфиденциальность информации - характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования. Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные); сведения, составляющие тайну следствия и судопроизводства; служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна); сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т.д.); сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них. Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об охране здоровья граждан", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др. В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные "тайны": врачебная (медицинская) тайна; банковская тайна; налоговая тайна; нотариальная тайна; тайна страхования; адвокатская тайна; тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др. К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ. Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.
2.2 Организация защиты информации
Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих "защитных" мероприятий: адекватное определение перечня сведений, подлежащих защите; выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации; принятие мер по ограничению доступа к информации или объекту; организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т.п.); наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа; наличие на документах надписей "Секретно", "Для служебного пользования", а на дверях - "Посторонним вход воспрещен". Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик); подписание с сотрудниками организации, фирмы договора о неразглашении тайны. Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов. В числе мер защиты информации можно выделить внешние и внутренние. К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации. Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей. Сотрудники - важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность. Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания: телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации); телефонный подавитель устройств прослушивания; профессиональный детектор (используется для "грубого" определения местонахождения радиозакладок); мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок); генератор шума. Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных. Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами. Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты. Заключение
Нынешнее состояние информационной безопасности России - это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности, а именно: Начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации; Обеспечению информационной безопасности способствуют созданные: государственная система защиты информации; система лицензирования деятельности в области защиты государственной тайны; система сертификации средств защиты информации. Вместе с тем анализ состояния информационной безопасности показывает, что все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы. Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе. Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных). Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов. Список литературы
1.Доктрина информационной безопасности РФ (утв. Президентом РФ от 09.09.2000 г. № Пр-1895)
.Закон РФ "О безопасности" 2010 г.
.Закон РФ "О государственной тайне", принятый 21 июля 1993 г. (ред. от 08.11.2011)
.Закон РФ "Об авторском праве и смежных правах", вступивший в действие 3 августа 1993 г. (с изменениями),
.Федеральный закон "Об основах государственной службы", принятый 31 июля 1995 г.,
.Уголовный кодекс РФ 2013 г.
В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.
Данные, нуждающиеся в защите
Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
- коммерческая тайна;
- производственная документация секретного характера;
- ноу-хау компании;
- клиентская база;
- персональные данные сотрудников;
- другие данные, которые компания считает нужным защитить от утечки.
Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
- определение перечня активов, подлежащих защите;
- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
- определение круга лиц, которым будет доступна КИ;
- определение процедур реагирования;
- оценка рисков;
- внедрение технических средств по защите КИ.
Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).
Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:
- при каких условиях информация относится к служебной, коммерческой, другой тайне;
- обязательность соблюдения условий конфиденциальности;
- ответственность за разглашение КИ.
Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).
Защита конфиденциальной информации на практике
В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.
Защита информации на предприятии
При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
IT-защита информации
Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
DLP-системы для предотвращения утери данных
Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
- USB-разъемы;
- локально функционирующие и подключенные к сети принтеры;
- внешние диски;
- сеть Интернет;
- почтовые сервисы;
- аккаунты и др.
Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.
Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
- частных сведений;
- интеллектуальной собственности;
- финансовых данных;
- медицинской информации;
- данных кредитных карт и др.
SIEM-системы
Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).
Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.
Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.
В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.
Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.
Коммерческая тайна. Служебная тайна. Профессиональные тайны. Персональные данные.
Основные термины и понятия:
Коммерческая (служебная) тайна
Персональные данные
Профессиональная тайна
С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации, приобретают всё большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Развернутая классификация конфиденциальной информации, как уже говорилось выше, приводится в перечне сведений конфиденциального характера, установленном Указом Президента РФ от 6 марта 1997 г. № 188. Далее мы рассмотрим более подробно некоторые виды конфиденциальной информации.
Коммерческая тайна
Коммерческая деятельность организации тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразной информации. Защите подлежит не вся информация, а только та, которая представляет ценность для организации. При определении ценности коммерческой информации необходимо руководствоваться такими её свойствами, как полезность, своевременность и достоверность.
Полезность информации состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата. В свою очередь полезность информации зависит от своевременного её получения и доведения до исполнителя. Из-за несвоевременного поступления важных по своему содержанию сведений часто упускается возможность заключить выгодную торговую или иную сделку.
Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности информации. Причины возникновения недостоверных сведений различны: неправильное восприятие (в силу заблуждения, недостаточного опыта или профессиональных знаний) фактов или умышленное, предпринятое с определенной целью, их искажение. Поэтому, как правило, сведения, представляющие коммерческий интерес, а также источник их поступления должны подвергаться перепроверке.
Собственник коммерческой информации на основании совокупности перечисленных критериев определяет её ценность для своей хозяйственной деятельности и принимает соответствующее оперативное решение.
В зарубежной экономической литературе коммерческая информация рассматривается не в качестве средства извлечения прибыли, а, прежде всего, как условие, способствующее или препятствующее получению прибыли. Особо подчеркивается наличие стоимостного фактора коммерческой информации, т.е. возможность выступать в качестве предмета купли-продажи. Поэтому важное значение в условиях развития многообразных форм собственности имеет вопрос об определении принадлежности информации на правах интеллектуальной собственности конкретному субъекту предпринимательства, а в итоге - о наличии у него прав на её защиту.
Определение и вопросы гражданско-правовой защиты служебной и коммерческой тайны в российском законодательстве не различаются и рассмотрены в ст. 139 части первой ГК РФ, называющейся «Служебная и коммерческая тайна»:
«Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране её конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».
Обеспечение защиты государственной тайны не имеет прямого отношения к защите коммерческой тайны. Однако следует указать на некоторые возможные исключения. Под защиту государства может быть взята коммерческая информация, оцененная как особо важная не только для её собственника, но и для государства, когда не исключено, что к ней может проявить интерес иностранная спецслужба. Вопрос о подобной защите должен решаться на договорной основе между предпринимателем и органом федеральной безопасности с обозначением пределов и функций профессиональной деятельности последних. Что касается собственно коммерческой тайны, то она специальной уголовно-правовой и режимной защитой не обладает.
Действительная или потенциальная коммерческая ценность информации во многом носит субъективный характер и позволяет предпринимателю ограничивать доступ к практически любым сведениям, используемым в предпринимательской деятельности, за исключением сведений, определяемых нормативно-правовым и актами.
Какие сведения не могут составлять коммерческую тайну? В постановлении Правительства РСФСР от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» обозначены:
Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
Документы, дающие право заниматься предпринимательской (деятельностью (регистрационные удостоверения, лицензии, патенты);
Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РСФСР;
Документы о платежеспособности;
Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
Документы об уплате налогов и обязательных платежах;
Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;
Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Этим же нормативным актом запрещено государственным и муниципальным предприятиям до и в процессе их приватизации относить к коммерческой тайне данные:
О размерах имущества предприятия и его денежных средствах;
О вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
О кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РСФСР и заключенных им договоров;
О договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.
Следует отметить, что ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала подразделений, а также при их сотрудничестве с работниками других организаций.
Целью таких ограничений является предотвращение разглашения, утечки или несанкционированного доступа к конфиденциальной информации. Ограничения должны быть целесообразными и обоснованными с точки зрения необходимости обеспечения информационной безопасности. Не допускается использование ограничений для сокрытия ошибок и некомпетентности руководства организации, расточительства, недобросовестной конкуренции и других негативных явлений в деятельности организации, а также для уклонения от выполнения договорных обязательств и уплаты налогов.
Служебная тайна
Если основной целью обеспечения конфиденциальности информации, составляющей коммерческую тайну, является обеспечение конкурентного превосходства, то защита конфиденциальности служебной тайны, хотя и может затрагивать коммерческие интересы организации, но главной задачей имеет обеспечение интересов клиентов либо собственных интересов, непосредственно не связанных с коммерческой деятельностью. Так, к служебной, а не к коммерческой, тайне следует отнести сведения, касающиеся мер по обеспечению безопасности сотрудников организации, охране складских и иных помещений и др., прямо не связанные с осуществлением предметной деятельности.
В настоящее время институт служебной тайны в отечественном праве является наименее разработанным. В этой проблеме можно выделить три ряда вопросов.
Во-первых, на законодательном уровне требуют урегулирования вопросы «пограничных» и «производных» сведений. «Пограничные» сведения - это такая служебная информация в любой отрасли науки, техники, производства и управления, которая при определенном обобщении и интеграции становится государственной тайной. «Производные» сведения - служебная информация, полученная в результате дробления сведений, составляющих государственную тайну, на отдельные компоненты, каждый из которых не может быть к ней отнесен.
Во-вторых, особого правового регулирования требует защита сведений, образующихся в деятельности органов государственной власти и управления. Для формирования административно-правового института служебной тайны следует принять специальный закон, действие которого должно распространяться на все уровни системы государственного управления.
В-третьих, требует защиты определенная категория значимых сведений субъектов гражданско-правовых отношений. Здесь имеется в виду правовая защита сведений, которые в деятельности организаций не могут быть отнесены к коммерческой тайне, несмотря на то, что в ГК РФ понятие служебной тайны напрямую связано с действительной или потенциальной коммерческой ценностью информации.
Следует заметить, что в настоящее время практикуется упрощенный подход: любые сведения о предпринимательской деятельности организации, доступ к которым ограничен, относят к коммерческой тайне. Однако при таком подходе могут возникнуть трудности определения материального ущерба и упущенной выгоды при неправомерном распространении конфиденциальной информации, например сведений о режиме охраны организации или других аспектах её функционирования, напрямую не связанных с осуществлением предметной деятельности. Вместе с тем указанные сведения необходимо защищать, т.к. от ограничения доступа к ним в значительной степени зависит коммерческий успех организации.
Профессиональные тайны
В соответствии с действующим законодательством к профессиональной тайне относится информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, загсов, учреждений страхования. В качестве субъекта профессиональной тайны может выступать как юридическое, так и физическое лицо.
Сохранение в тайне сведений, полученных в связи с выполнением профессиональных функций, вызвано в первую очередь нормами профессиональной этики, а не собственными коммерческими интересами предпринимателя или организации. Соответствующий правовой статус рассматриваемым нормам придает их законодательное закрепление.
1) банковская тайна . Понятие банковской тайны, в соответствии со ст. 857 ГК РФ, охватывает сведения о банковском счёте, вкладе, операциях по счёту, а также сведения о клиентах банка.
Банковская тайна защищает конфиденциальную информацию клиента или коммерческую информацию корреспондента.
ФЗ «О банках и банковской деятельности» определяет обязанности субъектов, категории информации и основания, по которым сведения предоставляются заинтересованным органам государственной власти, организациям и лицам. Кредитная организация, Банк России гарантируют тайну об операциях, о счётах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счётах и вкладах её клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Банк России не вправе разглашать сведения о счётах, вкладах, а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных федеральными законами.
Таким образом, кредитная организация вправе относить к банковской тайне любые сведения, за исключением прямо указанных в Законе.
2) нотариальная тайна . Тайна является специфическим правилом нотариальных действий. В соответствии со ст. 5 Основ законодательства РФ о нотариате нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий или увольнения, за исключением случаев, предусмотренных Основами. Обязанность хранить профессиональную тайну включена в текст присяги нотариуса.
3) процессуальные тайны обычноделят на два вида: следственную тайну и тайну совещания судей.
Следственная тайна связана с интересами законного производства предварительного расследования по уголовным делам (ст. 310 УК РФ «Разглашение данных предварительного расследования»). Сведения о ходе предварительного расследования могут быть преданы гласности только с разрешения прокурора, следователя или лица, производящего дознание. Такая информация может касаться как характера производимых следственных действий, так и доказательственной базы, перспектив расследования, круга лиц, участвующих в расследовании. Важно отметить, что законодательно не закреплен перечень сведений, составляющих следственную тайну. Это означает, что прокурор, следователь или лицо, производящее дознание, могут по своему усмотрению устанавливать, какая информация о предварительном расследовании может быть специально охраняемой, а какая - нет.
Тайна совещания судей . Для всех четырех видов существующих в отечественном судопроизводстве процессов предусмотрена определенная процедура обеспечения независимости и объективности вынесения решения по делу. Эта процедура имеет одной из целей запрет на разглашение информации о дискуссиях, суждениях, результатах голосования, которые имели место во время совещания судей. Обеспечение тайны совещания судей устанавливается ст. 193 Гражданским Процессуальным Кодексом (ГПК) РФ, ст. 70 Федерального конституционного закона «О Конституционном суде Российской Федерации», ст. 124 Арбитражного процессуального кодекса Российской Федерации.
4) врачебная тайна . Согласно ст. 61 Основ законодательства РФ об охране здоровья граждан информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.
5) адвокатская тайна . В соответствии с ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокат, помощник адвоката и стажер адвоката не вправе разглашать сведения, сообщенные доверителем в связи с оказанием ему юридической помощи. Причем доверительные сведения, полученные адвокатом, могут быть как в виде документов, так и в устном виде. Законом установлены гарантии независимости адвоката. В частности, адвокат не может быть допрошен в качестве свидетеля об обстоятельствах, которые стали ему известны в связи с исполнением им обязанностей защитника или представителя (ст. 15 Закона).
6) тайна страхования . Институт страховой тайны во многих отношениях схож с институтом банковской тайны. Тайну страхования, в соответствии со ст. 946 ГК РФ, составляют полученные страховщиком в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 139 или ст. 150 ГК РФ.
Согласно ст. 8 Закона РФ «Об организации страхового дела в Российской Федерации» в качестве лица, обязанного сохранять тайну страхования, могут выступать как юридические, так и физические лица - страховые агенты и страховые брокеры. Кроме того, в соответствии со ст. 33 указанного Закона должностные лица федерального органа исполнительной власти по надзору за страховой деятельностью не вправе использовать в корыстных целях и разглашать в какой-либо форме сведения, составляющие коммерческую тайну страховщика.
7) тайна связи. ФЗ «О связи» в части защиты информации регулирует общественные отношения, связанные с обеспечением невозможности противоправного ознакомления с сообщениями, передаваемыми любыми субъектами - физическими или юридическими лицами - по средствам связи. При такой постановке вопроса тайна связи становится инструментом обеспечения сохранности конфиденциальной информации.
Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией РФ. Обязанность обеспечения соблюдения тайны связи возлагается на оператора связи, под которым понимается физическое или юридическое лицо, имеющее право на предоставление услуг электрической или почтовой связи. Также операторы связи обязаны соблюдать конфиденциальность сведений об абонентах и оказываемых им услугах связи, ставших известными операторам в силу выполнения профессиональных обязанностей.
8) тайна усыновления . Институт тайны усыновления связан с интересами охраны семейной жизни и выражается в установлении гражданской и уголовной ответственности за разглашение тайны усыновления (удочерения). Согласно ст. 155 УК РФ тайна усыновления может быть двух разновидностей. Первой обладают лица, которые обязаны хранить факт усыновления как служебную или профессиональную тайну (судьи, работники местных администраций, органов опеки и попечительства и прочие лица, указанные в ч. 1 ст. 139 СК РФ). Второй - все другие лица, если установлены их корыстные или иные низменные побуждения при разглашении тайны усыновления без согласия обоих усыновителей.
9) тайна исповеди . Обеспечение тайны исповеди является внутренним делом священника; юридической ответственности за её разглашение он не несет. Согласно ч. 2 ст. 51 Конституции РФ и ч. 7 ст. 3 ФЗ «О свободе совести и религиозных объединениях» священнослужитель не может быть привлечен к ответственности за отказ от дачи показаний по обстоятельствам, которые стали ему известны из исповеди.
Сегодня угрозы, связанные с несанкционированным доступом к конфиденциальным данным, могут оказать существенное влияние на деятельность организации. Возможный ущерб от раскрытия корпоративных секретов может включать в себя как прямые финансовые потери, например, в результате передачи коммерческой информации конкурентам и затрат на устранение возникших последствий, так и косвенные - плохая репутация и потери перспективных проектов. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовыми планами и другими приватными документами трудно недооценить.
Одной из самых опасных угроз сегодня является несанкционированный доступ. Согласно исследованию Института компьютерной безопасности, в прошлом году 65% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, вследствие неавторизованного доступа каждая фирма потеряла в 2014–2015 гг. в среднем $353 тыс. Причем по сравнению с 2012–2013 гг. убытки увеличились в шесть раз. Таким образом, суммарные убытки, которые понесли свыше 600 опрошенных фирм, за год превысили $38 млн. (см. диаграмму).
Проблема усугубляется тем, что за неавторизованным доступом к конфиденциальной информации часто следует ее кража. В результате такой комбинации двух чрезвычайно опасных угроз убытки компании могут возрасти в несколько раз (в зависимости от ценности похищенных данных). Кроме того, фирмы нередко сталкиваются и с физической кражей мобильных компьютеров, вследствие чего реализуются как угрозы несанкционированного доступа, так и кражи чувствительной информации. Кстати, стоимость самого портативного устройства зачастую несопоставима со стоимостью записанных на нем данных.
Проблемы, возникающие у предприятия в случае утечки информации, особенно показательны на примере кражи ноутбуков. Достаточно вспомнить недавние инциденты, когда у компании Ernst&Young в течение нескольких месяцев было похищено пять ноутбуков, содержащих приватные сведения клиентов фирмы: компаний Cisco, IBM, Sun Microsystems, BP, Nokia и т. д. Здесь в высшей мере проявился такой трудноизмеримый показатель нанесенного ущерба, как ухудшение имиджа и снижение доверия со стороны клиентов. Между тем аналогичные трудности испытывают множество компаний.
Так, в марте 2006 года фирма Fidelity потеряла ноутбук с приватными данными 200 тыс. служащих HP, а в феврале аудиторская компания PricewaterhouseCoopers лишилась ноутбука с чувствительными сведениями 4 тыс. пациентов одного американского госпиталя. Если продолжать список, то в него попадут такие известные компании, как Bank of America, Kodak, Ameritrade, Ameriprise, Verizon, и другие.
Таким образом, помимо защиты конфиденциальной информации от несанкционированного доступа, необходимо оберегать и сам физический носитель. При этом надо учитывать, что такая система безопасности должна быть абсолютно прозрачной и не доставлять пользователю трудностей при доступе к чувствительным данным ни в корпоративной среде, ни при удаленной работе (дома или в командировке).
До сих пор ничего более эффективного в области защиты информации от несанкционированного доступа, чем шифрование данных, не изобретено. При условии сохранности криптографических ключей шифрование гарантирует безопасность чувствительных данных.
Технологии шифрования
Для того чтобы защитить информацию от несанкционированного доступа, применяются технологии шифрования. Однако у пользователей, не обладающих надлежащими знаниями о методах шифрования, может возникнуть ложное ощущение, будто все чувствительные данные надежно защищены. Рассмотрим основные технологии шифрования данных.
- Пофайловое шифрование. Пользователь сам выбирает файлы, которые следует зашифровать. Такой подход не требует глубокой интеграции средства шифрования в систему, а, следовательно, позволяет производителям криптографических средств реализовать мультиплатформенное решение для Windows, Linux, MAC OS X и т. д.
- Шифрование каталогов. Пользователь создает папки, все данные в которых шифруются автоматически. В отличие от предыдущего подхода шифрование происходит на лету, а не по требованию пользователя. В целом шифрование каталогов довольно удобно и прозрачно, хотя в его основе лежит все то же пофайловое шифрование. Такой подход требует глубокого взаимодействия с операционной системой, поэтому зависит от используемой платформы.
- Шифрование виртуальных дисков. Концепция виртуальных дисков реализована в некоторых утилитах компрессии, например, Stacker или Microsoft DriveSpace. Шифрование виртуальных дисков подразумевает создание большого скрытого файла на жестком диске. Этот файл в дальнейшем доступен пользователю как отдельный диск (операционная система «видит» его как новый логический диск). Например, диск Х:\. Все сведения, хранящиеся на виртуальном диске, находятся в зашифрованном виде. Главное отличие от предыдущих подходов в том, что криптографическому программному обеспечению не требуется шифровать каждый файл по отдельности. Здесь данные шифруются автоматически только тогда, когда они записываются на виртуальный диск или считываются с него. При этом работа с данными ведется на уровне секторов (обычно размером 512 байт).
- Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор Windows, все системные файлы и любая другая информация на диске.
- Защита процесса загрузки. Если зашифрован весь диск целиком, то операционная система не сможет запуститься, пока какой-либо механизм не расшифрует файлы загрузки. Поэтому шифрование всего диска обязательно подразумевает и защиту процесса загрузки. Обычно пользователю требуется ввести пароль, чтобы операционная система могла стартовать. Если пользователь введет пароль правильно, программа шифрования получит доступ к ключам шифрования, что позволит читать дальнейшие данные с диска.
Таким образом, существует несколько способов зашифровать данные. Некоторые из них менее надежные, некоторые более быстрые, а часть вообще не годится для защиты важной информации. Чтобы иметь возможность оценить пригодность тех или иных методов, рассмотрим проблемы, с которыми сталкивается криптографическое приложение при защите данных.
Особенности операционных систем
Остановимся на некоторых особенностях операционных систем, которые, несмотря на все свои положительные функции, подчас только мешают надежной защите конфиденциальной информации. Далее представлены наиболее распространенные системные механизмы, оставляющие для злоумышленника ряд «лазеек», и актуальные как для ноутбуков, так и для КПК.
- Временные файлы. Многие программы (в том числе и операционная система) используют временные файлы для хранения промежуточных данных во время своей работы. Часто во временный файл заносится точная копия открытого программой файла, что позволяет обеспечить возможность полного восстановления данных в случае непредвиденных сбоев. Конечно, полезная нагрузка временных файлов велика, однако, будучи незашифрованными, такие файлы несут прямую угрозу корпоративным секретам.
- Файлы подкачки (или swap-файлы). Очень популярной в современных операционных системах является технология swap-файлов, позволяющая предоставить любому приложению практически неограниченный объем оперативной памяти. Так, если операционной системе не хватает ресурсов памяти, она автоматически записывает данные из оперативной памяти на жесткий диск (в файл подкачки). Как только возникает потребность воспользоваться сохраненной информацией, операционная система извлекает данные из swap-файла и в случае необходимости помещает в это хранилище другую информацию. Точно так же, как и в предыдущем случае, в файл подкачки легко может попасть секретная информация в незашифрованном виде.
- Выравнивание файлов. Файловая система Windows размещает данные в кластерах, которые могут занимать до 64 секторов. Даже если файл имеет длину в несколько байтов, он все равно займет целый кластер. Файл большого размера будет разбит на порции, каждая размером с кластер файловой системы. Остаток от разбиения (обычно последние несколько байтов) все равно будет занимать целый кластер. Таким образом, в последний сектор файла попадает случайная информация, которая находилась в оперативной памяти ПК в момент записи файла на диск. Там могут оказаться пароли и ключи шифрования. Другими словами, последний кластер любого файла может содержать довольно чувствительную информацию, начиная от случайной информации из оперативной памяти и заканчивая данными из электронных сообщений и текстовых документов, которые раньше хранились на этом месте.
- Корзина. Когда пользователь удаляет файл, Windows перемещает его в корзину. Пока корзина не очищена, файл можно легко восстановить. Тем не менее, даже если очистить корзину, данные все равно физически останутся на диске. Другими словами, удаленную информацию очень часто можно найти и восстановить (если поверх нее не было записано других данных). Для этого существует огромное количество прикладных программ, некоторые из них бесплатны и свободно распространяются через Интернет.
- Реестр Windows. Сама система Windows, как и большое количество приложений, хранит свои определенные данные в системном реестре. Например, web-браузер сохраняет в реестре доменные имена тех страниц, которые посетил пользователь. Даже текстовый редактор Word сохраняет в реестре имя файла, открытого последним. При этом реестр используется ОС при загрузке. Соответственно, если какой-либо метод шифрования запускается после того, как загрузилась Windows, то результаты его работы могут быть скомпрометированы.
- Файловая система Windows NT (NTFS). Считается, что файловая система со встроенным управлением доступом (как в Windows NT) является безопасной. Тот факт, что пользователь должен ввести пароль для получения доступа к своим персональным файлам, оставляет ложное ощущение, будто личные файлы и данные надежно защищены. Тем не менее даже файловая система со встроенными списками контроля доступа (Access Control List - ACL), например NTFS, не обеспечивает абсолютно никакой защиты против злоумышленника, имеющего физический доступ к жесткому диску или права администратора на данном компьютере. В обоих случаях преступник может получить доступ к секретным данным. Для этого ему понадобится недорогой (или вообще бесплатный) дисковый редактор, чтобы прочитать текстовую информацию на диске, к которому у него есть физический доступ.
- Режим сна. Этот режим очень популярен на ноутбуках, так как позволяет сэкономить энергию батареи в тот момент, когда компьютер включен, но не используется. Когда лэптоп переходит в состояние сна, операционная система копирует на диск абсолютно все данные, находящиеся в оперативной памяти. Таким образом, когда компьютер «проснется», операционная система легко сможет восстановить свое прежнее состояние. Очевидно, что в этом случае на жесткий диск легко может попасть чувствительная информация.
- Скрытые разделы жесткого диска. Скрытый раздел - это такой раздел, который операционная система вообще не показывает пользователю. Некоторые приложения (например, те, что занимаются энергосбережением на ноутбуках) используют скрытые разделы, чтобы хранить в них данные вместо файлов на обычных разделах. При таком подходе информация, размещаемая на скрытом разделе, вообще никак не защищается и легко может быть прочитана кем угодно с помощью дискового редактора.
- Свободное место и пространство между разделами. Сектора в самом конце диска не относятся ни к одному разделу, иногда они отображаются как свободные. Другое незащищенное место - пространство между разделами. К сожалению, некоторые приложения, а также вирусы могут хранить там свои данные. Даже если отформатировать жесткий диск, эта информация останется нетронутой. Ее легко можно восстановить.
Таким образом, чтобы эффективно защитить данные, недостаточно их просто зашифровать. Необходимо позаботиться о том, чтобы копии секретной информации не «утекли» во временные и swap-файлы, а также в другие «потайные места» операционной системы, где они уязвимы для злоумышленника.
Пригодность различных подходов к шифрованию данных
Рассмотрим, как различные подходы к шифрованию данных справляются с особенностями операционных систем.
Пофайловое шифрование
Данный метод используется в основном для того, чтобы посылать зашифрованные файлы по e-mail или через Интернет. В этом случае пользователь шифрует конкретный файл, который необходимо защитить от третьих лиц, и отправляет его получателю. Такой подход страдает низкой скоростью работы, особенно когда дело касается больших объемов информации (ведь требуется шифровать каждый прикрепляемый к письму файл). Еще одной проблемой является то, что шифруется лишь файл-оригинал, а временные файлы и файл подкачки остаются полностью незащищенными, поэтому защита обеспечивается только от злоумышленника, пытающегося перехватить сообщение в Интернете, но не против преступника, укравшего ноутбук или КПК. Таким образом, можно сделать вывод: пофайловое шифрование не защищает временные файлы, его использование для защиты важной информации неприемлемо. Тем не менее данная концепция подходит для отправки небольших объемов информации через сеть от компьютера к компьютеру.
Шифрование папок
В отличие от пофайлового шифрования данный подход позволяет переносить файлы в папку, где они будут зашифрованы автоматически. Тем самым работать с защищенными данными намного удобнее. Поскольку в основе шифрования папок лежит пофайловое шифрование, оба метода не обеспечивают надежной защиты временных файлов, файлов подкачки, не удаляют физически данные с диска и т.д. Более того, шифрование каталогов очень неэкономично сказывается на ресурсах памяти и процессора. От процессора требуется время для постоянного зашифровывания/расшифровывания файлов, также для каждого защищенного файла на диске отводится дополнительное место (иногда более 2 кбайт). Все это делает шифрование каталогов очень ресурсоемким и медленным. Если подвести итог, то хотя данный метод довольно прозрачен, его нельзя рекомендовать для защиты важной информации. Особенно если злоумышленник может получить доступ к временным файлам или файлам подкачки.
Шифрование виртуальных дисков
Эта концепция подразумевает создание скрытого файла большого размера, находящегося на жестком диске. Операционная система работает с ним как с отдельным логическим диском. Пользователь может помещать программное обеспечение на такой диск и сжимать его, чтобы сэкономить место. Рассмотрим преимущества и недостатки данного метода.
Прежде всего, использование виртуальных дисков создает повышенную нагрузку на ресурсы операционной системы. Дело в том, что каждый раз при обращении к виртуальному диску операционной системе приходится переадресовывать запрос на другой физический объект - файл. Это, безусловно, отрицательно сказывается на производительности. Вследствие того, что система не отождествляет виртуальный диск с физическим, могут возникнуть проблемы с защитой временных файлов и файла подкачки. По сравнению с шифрованием каталогов концепция виртуальных дисков имеет как плюсы, так и минусы. Например, зашифрованный виртуальный диск защищает имена файлов, размещенные в виртуальных файловых таблицах. Однако этот виртуальный диск не может быть расширен столь же просто, как обыкновенная папка, что очень неудобно. Подводя итог, можно сказать, что шифрование виртуальных дисков намного надежнее двух предыдущих методов, но может оставить без защиты временные файлы и файлы подкачки, если разработчики специально об этом не позаботятся.
Шифрование всего диска
В основе данной концепции лежит не пофайловое, а посекторное шифрование. Другими словами, любой файл, записанный на диск, будет зашифрован. Криптографические программы шифруют данные прежде, чем операционная система поместит их на диск. Для этого криптографическая программа перехватывает все попытки операционной системы записать данные на физический диск (на уровне секторов) и производит операции шифрования на лету. Благодаря такому подходу зашифрованными окажутся еще и временные файлы, файл подкачки и все удаленные файлы. Логичным следствием данного метода должно стать существенное снижение общего уровня производительности ПК. Именно над этой проблемой трудятся многие разработчики средств шифрования, хотя несколько удачных реализаций таких продуктов уже есть. Можно подвести итог: шифрование всего диска позволяет избежать тех ситуаций, когда какая-либо часть важных данных или их точная копия остаются где-нибудь на диске в незашифрованном виде.
Защита процесса загрузки. Как уже отмечалось, защищать процесс загрузки целесообразно при шифровании всего диска. В этом случае никто не сможет запустить операционную систему, не пройдя процедуру аутентификации в начале загрузки. А для этого необходимо знать пароль. Если у злоумышленника есть физический доступ к жесткому диску с секретными данными, то он не сможет быстро определить, где находятся зашифрованные системные файлы, а где - важная информация. Следует обратить внимание: если криптографическое программное обеспечение шифрует весь диск целиком, но не защищает процесс загрузки, значит, оно не зашифровывает системные файлы и загрузочные сектора. То есть диск зашифровывается не полностью.
Таким образом, сегодня для надежной защиты конфиденциальных данных на ноутбуках следует использовать технологию шифрования либо виртуальных дисков, либо всего диска целиком. Однако в последнем случае необходимо убедиться в том, что криптографическое средство не отнимает ресурсы компьютера настолько, что это мешает работать пользователям. Заметим, что российские компании пока не производят средства шифрования диска целиком, хотя несколько таких продуктов уже существует на западных рынках. К тому же защищать данные на КПК несколько проще, поскольку ввиду малых объемов хранимой информации разработчики могут себе позволить шифровать вообще все данные, например на флеш-карте.
Шифрование с использованием сильной аутентификации
Для надежного сохранения данных требуются не только мощные и грамотно реализованные криптографические технологии, но и средства предоставления персонализированного доступа. В этой связи применение строгой двухфакторной аутентификации на основе аппаратных ключей или смарт-карт является самым эффективным способом хранения ключей шифрования, паролей, цифровых сертификатов и т. д. Чтобы успешно пройти процедуру сильной аутентификации, пользователю необходимо предъявить токен (USB-ключ или смарт-карту) операционной системе (например, вставить его в один из USB-портов компьютера или в устройство считывания смарт-карт), а потом доказать свое право владения этим электронным ключом (то есть ввести пароль). Таким образом, задача злоумышленника, пытающегося получить доступ к чувствительным данным, сильно осложняется: ему требуется не просто знать пароль, но и иметь физический носитель, которым обладают лишь легальные пользователи.
Внутреннее устройство электронного ключа предполагает наличие электронного чипа и небольшого объема энергонезависимой памяти. С помощью электронного чипа производится шифрование и расшифровывание данных на основе заложенных в устройстве криптографических алгоритмов. В энергонезависимой памяти хранятся пароли, электронные ключи, коды доступа и другие секретные сведения. Сам аппаратный ключ защищен от хищения ПИН-кодом, а специальные механизмы, встроенные внутрь ключа, защищают этот пароль от перебора.
Итоги
Таким образом, эффективная защита данных подразумевает использование надежных средств шифрования (на основе технологий виртуальных дисков или покрытия всего диска целиком) и средств сильной аутентификации (токены и смарт-карты). Среди средств пофайлового шифрования, идеально подходящего для пересылки файлов по Интернету, стоит отметить известную программу PGP, которая может удовлетворить практически все запросы пользователя.
На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.
Список использованных источников и литературы
- Лопатин В. Н. Информационная безопасность.
- Основы информационной безопасности: Учебник / В. А. Минаев , С. В. Скрыль , А. П. Фисун , В. Е. Потанин , С. В. Дворянкин .
- ГОСТ ST 50922-96. Защита информации. Основные термины и определения.
- www.intuit.ru
В Одноклассники
Поиск
Мы можем оповещать вас о новых статьях,