Формы и методы защиты конфиденциальной информации. Средства защиты конфиденциальной информации

Сегодня угрозы, связанные с несанк­ционированным доступом к конфиденциальным данным, могут оказать существенное влияние на деятельность организации. Возможный ущерб от раскрытия корпоративных секретов может включать в себя как прямые финансовые потери, например, в результате передачи коммерческой информации конкурентам и затрат на устранение возникших последствий, так и косвенные - плохая репутация и потери перспективных проектов. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовыми планами и другими приватными документами трудно недооценить.

Одной из самых опасных угроз сегодня является несанкционированный доступ. Согласно исследованию Института компьютерной безопасности, в прошлом году 65% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, вследствие неавторизованного доступа каждая фирма потеряла в 2014–2015 гг. в среднем $353 тыс. Причем по сравнению с 2012–2013 гг. убытки увеличились в шесть раз. Таким образом, суммарные убытки, которые понесли свыше 600 опрошенных фирм, за год превысили $38 млн. (см. диаграмму).

Проблема усугубляется тем, что за неавторизованным доступом к конфиденциальной информации часто следует ее кража. В результате такой комбинации двух чрезвычайно опасных угроз убытки компании могут возрасти в несколько раз (в зависимости от ценности похищенных данных). Кроме того, фирмы нередко сталкиваются и с физической кражей мобильных компьютеров, вследствие чего реализуются как угрозы несанк­ционированного доступа, так и кражи чувствительной информации. Кстати, стоимость самого портативного устройства зачастую несопоставима со стоимостью записанных на нем данных.

Проблемы, возникающие у предприятия в случае утечки информации, особенно показательны на примере кражи ноутбуков. Достаточно вспомнить недавние инциденты, когда у компании Ernst&Young в течение нескольких месяцев было похищено пять ноутбуков, содержащих приватные сведения клиентов фирмы: компаний Cisco, IBM, Sun Microsystems, BP, Nokia и т. д. Здесь в высшей мере проявился такой трудноизмеримый показатель нанесенного ущерба, как ухудшение имиджа и снижение доверия со стороны клиентов. Между тем аналогичные трудности испытывают мно­жество компаний.

Так, в марте 2006 года фирма Fidelity потеряла ноутбук с приватными данными 200 тыс. служащих HP, а в феврале аудиторская компания PricewaterhouseCoopers лишилась ноутбука с чувствительными сведениями 4 тыс. пациентов одного американского госпиталя. Если продолжать список, то в него попадут такие известные компании, как Bank of America, Kodak, Ameritrade, Ameriprise, Verizon, и другие.

Таким образом, помимо защиты конфиденциальной информации от несанкционированного доступа, необходимо оберегать и сам физический носитель. При этом надо учитывать, что такая система безопасности должна быть абсолютно прозрачной и не доставлять пользователю трудностей при доступе к чувствительным данным ни в корпоративной среде, ни при удаленной работе (дома или в командировке).

До сих пор ничего более эффек­тивного в области защиты информации от несанкционированного доступа, чем шифрование данных, не изобретено. При условии сохранности криптографических ключей шифрование гарантирует безопасность чувствительных данных.

Технологии шифрования

Для того чтобы защитить информацию от несанкционированного доступа, применяются технологии шифрования. Однако у пользователей, не обладающих надлежащими знаниями о методах шифрования, может возникнуть ложное ощущение, будто все чувствительные данные надежно защищены. Рассмотрим основные технологии шифрования данных.

• Пофайловое шифрование. Пользователь сам выбирает файлы, которые следует зашифровать. Такой подход не требует глубокой интеграции средства шифрования в систему, а, следовательно, позволяет производителям криптографических средств реализовать мультиплатформенное решение для Windows, Linux, MAC OS X и т. д.
• Шифрование каталогов. Пользователь создает папки, все данные в которых шифруются автоматически. В отличие от предыдущего подхода шифрование происходит на лету, а не по требованию пользователя. В целом шифрование каталогов довольно удобно и прозрачно, хотя в его основе лежит все то же пофайловое шифрование. Такой подход требует глубокого взаимодействия с операционной системой, поэтому зависит от используемой платформы.
• Шифрование виртуальных дисков. Концепция виртуальных дисков реализована в некоторых утилитах компрессии, например, Stacker или Microsoft DriveSpace. Шифрование виртуальных дисков подразумевает создание большого скрытого файла на жестком диске. Этот файл в дальнейшем доступен пользователю как отдельный диск (операционная система «видит» его как новый логический диск). Нап­ример, диск Х:\. Все сведения, хранящиеся на виртуальном диске, находятся в зашифрованном виде. Главное отличие от предыдущих подходов в том, что криптографическому программному обеспечению не требуется шифровать каждый файл по отдельности. Здесь данные шифруются автоматически только тогда, когда они записываются на виртуальный диск или считываются с него. При этом работа с данными ведется на уровне секторов (обычно размером 512 байт).
• Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор Windows, все системные файлы и любая другая информация на диске.
• Защита процесса загрузки. Если зашифрован весь диск целиком, то операционная система не сможет запуститься, пока какой-либо механизм не расшифрует файлы загрузки. Поэтому шифрование всего диска обязательно подразумевает и защиту процесса загрузки. Обычно пользователю требуется ввести пароль, чтобы операционная система могла стартовать. Если пользователь введет пароль правильно, программа шифрования получит доступ к ключам шифрования, что позволит читать дальнейшие данные с диска.

Таким образом, существует несколько способов зашифровать данные. Некоторые из них менее надежные, некоторые более быстрые, а часть вообще не годится для защиты важной информации. Чтобы иметь возможность оценить пригодность тех или иных методов, рассмотрим проблемы, с которыми сталкивается криптографическое приложение при защите данных.

Особенности операционных систем

Остановимся на некоторых особенностях операционных систем, которые, несмотря на все свои положительные функции, подчас только мешают надежной защите конфиденциальной информации. Далее представлены наиболее распространенные системные механизмы, оставляющие для злоумышленника ряд «лазеек», и актуальные как для ноутбуков, так и для КПК.

• Временные файлы. Многие программы (в том числе и операционная система) используют временные файлы для хранения промежуточных данных во время своей работы. Часто во временный файл заносится точная копия открытого программой файла, что позволяет обеспечить возможность полного восстановления данных в случае непредвиденных сбоев. Конечно, полезная нагрузка временных файлов велика, однако, будучи незашифрованными, такие файлы несут прямую угрозу корпоративным секретам.
• Файлы подкачки (или swap-файлы). Очень популярной в совре­менных операционных системах является технология swap-файлов, позволяющая предоставить любому приложению практически неограниченный объем оперативной памяти. Так, если операционной системе не хватает ресурсов памяти, она автоматически записывает данные из опе­ративной памяти на жесткий диск (в файл подкачки). Как только возникает потребность воспользоваться сохраненной информацией, операционная система извлекает данные из swap-файла и в случае необходимости помещает в это хранилище другую информацию. Точно так же, как и в предыдущем случае, в файл подкачки легко может попасть секретная информация в незашифрованном виде.
• Выравнивание файлов. Файловая система Windows размещает данные в кластерах, которые могут занимать до 64 секторов. Даже если файл имеет длину в несколько байтов, он все равно займет целый кластер. Файл большого размера будет разбит на порции, каждая размером с кластер файловой системы. Остаток от разбиения (обычно последние несколько байтов) все равно будет занимать целый кластер. Таким образом, в последний сектор файла попадает случайная информация, которая находилась в оперативной памяти ПК в момент записи файла на диск. Там могут оказаться пароли и ключи шифрования. Другими словами, последний кластер любого файла может содержать довольно чувствительную информацию, начиная от случайной информации из оперативной памяти и заканчивая данными из электронных сообщений и текстовых документов, которые раньше хранились на этом месте.
• Корзина. Когда пользователь удаляет файл, Windows перемещает его в корзину. Пока корзина не очищена, файл можно легко восстановить. Тем не менее, даже если очистить корзину, данные все равно физически останутся на диске. Другими словами, удаленную информацию очень часто можно найти и восстановить (если поверх нее не было записано других данных). Для этого существует огромное количество прикладных программ, некоторые из них бесплатны и свободно распространяются через Интернет.
• Реестр Windows. Сама система Windows, как и большое количество приложений, хранит свои определенные данные в системном реестре. Например, web-браузер сохраняет в реестре доменные имена тех страниц, которые посетил пользователь. Даже текстовый редактор Word сохраняет в реестре имя файла, открытого последним. При этом реестр используется ОС при загрузке. Соответственно, если какой-либо метод шифрования запускается после того, как загрузилась Windows, то результаты его работы могут быть скомпрометированы.
• Файловая система Windows NT (NTFS). Считается, что файловая система со встроенным управлением доступом (как в Windows NT) является безопасной. Тот факт, что пользователь должен ввести пароль для получения доступа к своим персональным файлам, оставляет ложное ощущение, будто личные файлы и данные надежно защищены. Тем не менее даже файловая система со встроенными списками контроля доступа (Access Control List - ACL), например NTFS, не обеспечивает абсолютно никакой защиты против злоумышленника, имеющего физический доступ к жесткому диску или права администратора на данном компьютере. В обоих случаях преступник может получить доступ к секретным данным. Для этого ему понадобится недорогой (или вообще бесплатный) дисковый редактор, чтобы прочитать текстовую информацию на диске, к которому у него есть физический доступ.
• Режим сна. Этот режим очень популярен на ноутбуках, так как позволяет сэкономить энергию батареи в тот момент, когда компьютер включен, но не используется. Когда лэптоп переходит в состояние сна, операционная система копирует на диск абсолютно все данные, находящиеся в оперативной памяти. Таким образом, когда компьютер «проснется», операционная система легко сможет восстановить свое прежнее состояние. Очевидно, что в этом случае на жесткий диск легко может попасть чувствительная информация.
• Скрытые разделы жесткого диска. Скрытый раздел - это такой раздел, который операционная система вообще не показывает пользователю. Некоторые приложения (например, те, что занимаются энергосбережением на ноутбуках) используют скрытые разделы, чтобы хранить в них данные вместо файлов на обычных разделах. При таком подходе информация, размещаемая на скрытом разделе, вообще никак не защищается и легко может быть прочитана кем угодно с помощью дискового редактора.
• Свободное место и пространство между разделами. Сектора в самом конце диска не относятся ни к одному разделу, иногда они отображаются как свободные. Другое незащищенное место - пространство между разделами. К сожалению, некоторые приложения, а также вирусы могут хранить там свои данные. Даже если отформатировать жесткий диск, эта информация останется нетронутой. Ее легко можно восстановить.

Таким образом, чтобы эффективно защитить данные, недостаточно их просто зашифровать. Необходимо позаботиться о том, чтобы копии секретной информации не «утекли» во временные и swap-файлы, а также в другие «потайные места» операционной системы, где они уязвимы для злоумышленника.

Пригодность различных подходов к шифрованию данных

Рассмотрим, как различные подходы к шифрованию данных справляются с особенностями операционных систем.

Пофайловое шифрование

Данный метод используется в основном для того, чтобы посылать зашифрованные файлы по e-mail или через Интернет. В этом случае пользователь шифрует конкретный файл, который необходимо защитить от треть­их лиц, и отправляет его получателю. Такой подход страдает низкой скоростью работы, особенно когда дело касается больших объемов информации (ведь требуется шифровать каждый прикрепляемый к письму файл). Еще одной проблемой является то, что шифруется лишь файл-оригинал, а временные файлы и файл подкачки остаются полностью незащищенными, поэтому защита обеспечивается только от злоумышленника, пытающегося перехватить сообщение в Интернете, но не против преступника, укравшего ноутбук или КПК. Таким образом, можно сделать вывод: пофайловое шифрование не защищает временные файлы, его использование для защиты важной информации неприемлемо. Тем не менее данная концепция подходит для отправки небольших объемов информации через сеть от компьютера к компьютеру.

Шифрование папок

В отличие от пофайлового шифрования данный подход позволяет переносить файлы в папку, где они будут зашифрованы автоматически. Тем самым работать с защищенными данными намного удобнее. Поскольку в основе шифрования папок лежит пофайловое шифрование, оба метода не обеспечивают надежной защиты временных файлов, файлов подкачки, не удаляют физически данные с диска и т.д. Более того, шифрование каталогов очень неэкономично сказывается на ресурсах памяти и процессора. От процессора требуется время для постоянного зашифровывания/расшифровывания файлов, также для каждого защищенного файла на диске отводится дополнительное место (иногда более 2 кбайт). Все это делает шифрование каталогов очень ресурсоемким и медленным. Если подвести итог, то хотя данный метод довольно прозрачен, его нельзя рекомендовать для защиты важной информации. Особенно если злоумышленник может получить доступ к временным файлам или файлам подкачки.

Шифрование виртуальных дисков

Эта концепция подразумевает создание скрытого файла большого размера, находящегося на жестком диске. Операционная система работает с ним как с отдельным логическим диском. Пользователь может помещать программное обеспечение на такой диск и сжимать его, чтобы сэкономить место. Рассмотрим преимущества и недостатки данного метода.

Прежде всего, использование вир­туальных дисков создает повышенную нагрузку на ресурсы операционной системы. Дело в том, что каждый раз при обращении к виртуальному диску операционной системе приходится переадресовывать запрос на другой физический объект - файл. Это, безусловно, отрицательно сказывается на производительности. Вследствие того, что система не отождествляет виртуальный диск с физическим, могут возникнуть проблемы с защитой временных файлов и файла подкачки. По сравнению с шифрованием каталогов концепция виртуальных дисков имеет как плюсы, так и минусы. Например, зашифрованный виртуальный диск защищает имена файлов, размещенные в виртуальных файловых таблицах. Однако этот виртуальный диск не может быть расширен столь же просто, как обыкновенная папка, что очень неудобно. Подводя итог, можно сказать, что шифрование виртуальных дисков намного надежнее двух предыдущих методов, но может оставить без защиты временные файлы и файлы подкачки, если разработчики специально об этом не позаботятся.

Шифрование всего диска

В основе данной концепции лежит не пофайловое, а посекторное шифрование. Другими словами, любой файл, записанный на диск, будет зашифрован. Криптографические программы шифруют данные прежде, чем операционная система поместит их на диск. Для этого криптографическая программа перехватывает все попытки операционной системы записать данные на физический диск (на уровне секторов) и производит операции шифрования на лету. Благодаря такому подходу зашифрованными окажутся еще и временные файлы, файл подкачки и все удаленные файлы. Логичным следствием данного метода должно стать существенное снижение общего уровня производительности ПК. Именно над этой проблемой трудятся многие разработчики средств шифрования, хотя несколько удачных реализаций таких продуктов уже есть. Можно подвести итог: шифрование всего диска позволяет избежать тех ситуаций, когда какая-либо часть важных данных или их точная копия остаются где-нибудь на диске в незашифрованном виде.

Защита процесса загрузки. Как уже отмечалось, защищать процесс загрузки целесообразно при шифровании всего диска. В этом случае никто не сможет запустить операционную систему, не пройдя процедуру аутентификации в начале загрузки. А для этого необходимо знать пароль. Если у злоумышленника есть физический доступ к жесткому диску с секретными данными, то он не сможет быстро определить, где находятся зашифрованные системные файлы, а где - важная информация. Следует обратить внимание: если криптографическое программное обеспечение шифрует весь диск целиком, но не защищает процесс загрузки, значит, оно не зашифровывает системные файлы и загрузочные сектора. То есть диск зашифровывается не полностью.

Таким образом, сегодня для надежной защиты конфиденциальных данных на ноутбуках следует использовать технологию шифрования либо виртуальных дисков, либо всего диска целиком. Однако в последнем случае необходимо убедиться в том, что криптографическое средство не отнимает ресурсы компьютера настолько, что это мешает работать пользователям. Заметим, что российские компании пока не производят средства шифрования диска целиком, хотя несколько таких продуктов уже существует на западных рынках. К тому же защищать данные на КПК несколько проще, поскольку ввиду малых объемов хранимой информации разработчики могут себе позволить шифровать вообще все данные, например на флеш-карте.

Шифрование с использованием сильной аутентификации

Для надежного сохранения данных требуются не только мощные и грамотно реализованные криптографические технологии, но и средства предоставления персонализированного доступа. В этой связи применение строгой двухфакторной аутентификации на основе аппаратных ключей или смарт-карт является самым эффективным способом хранения ключей шифрования, паролей, цифровых сертификатов и т. д. Чтобы успешно пройти процедуру сильной аутентификации, пользователю необходимо предъявить токен (USB-ключ или смарт-карту) операционной системе (например, вставить его в один из USB-портов компьютера или в устройство считывания смарт-карт), а потом доказать свое право владения этим электронным ключом (то есть ввести пароль). Таким образом, задача злоумышленника, пытающегося получить доступ к чувствительным данным, сильно осложняется: ему требуется не просто знать пароль, но и иметь физический носитель, которым обладают лишь легальные пользователи.

Внутреннее устройство электронного ключа предполагает наличие электронного чипа и небольшого объема энергонезависимой памяти. С помощью электронного чипа производится шифрование и расшифровывание данных на основе заложенных в устройстве криптографических алгоритмов. В энергонезависимой памяти хранятся пароли, электронные ключи, коды доступа и другие секретные сведения. Сам аппаратный ключ защищен от хищения ПИН-кодом, а специальные механизмы, встроенные внутрь ключа, защищают этот пароль от перебора.

Итоги

Таким образом, эффективная защита данных подразумевает использование надежных средств шифрования (на основе технологий виртуальных дисков или покрытия всего диска целиком) и средств сильной аутентификации (токены и смарт-карты). Среди средств пофайлового шифрования, идеально подходящего для пересылки файлов по Интернету, стоит отметить известную программу PGP, которая может удовлетворить практически все запросы пользователя.

На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.

Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.

Список использованных источников и литературы

1. Лопатин В. Н. Информационная безопасность.
2. Основы информационной без­опасности: Учебник / В. А. Минаев , С. В. Скрыль , А. П. Фисун , В. Е. Потанин , С. В. Дворянкин .
3. ГОСТ ST 50922-96. Защита информации. Основные термины и определения.
4. www.intuit.ru

В Одноклассники

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Образовательная энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

• Введение
• 1.2 Ценность информации
• 1.4 Угрозы и система защиты конфиденциальной информации
• Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
• 2.1 Нормативно-методическая база конфиденциального делопроизводства
• 2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
• 2.3 Технологические основы обработки конфиденциальных документов
• Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
• 3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
• 3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
• 3.3 Совершенствование системы безопасности информации ограниченного доступа
• Заключение
• Список использованных источников и литературы

Введение

Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО "ЧЗПСН - Профнастил"

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

1. Раскрыть основные составляющие информационной безопасности;

2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

4. Рассмотреть методы и средства защиты конфиденциальной информации;

5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;

6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;

7. Рассмотреть технологические системы обработки конфиденциальных документов;

8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.

10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).

Основными в области безопасности конфиденциальной информации также являются законы РФ:

1. "О государственной тайне" от 22 июля 2004 г. (4);

2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);

3. "Об утверждении Перечня сведений конфиденциального характера" (11);

4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).

Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).

Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).

К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).

Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).

Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.

Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).

В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).

Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.

Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.

К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.

Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.

Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы

Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.

Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.

В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.

Заключение содержит выводы по выпускной квалифицированной работе.

Список использованных источников и литературы включает 110 наименований.

Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности

Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации (89, с.45).

В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей целью извлечение прибыли (46, с. 20).

Со второй половины XIX в. появляются и различные определения понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более высоким языком, тайну производства благ и тайну их распределения.

В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.

В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах с другими странами, однако отечественной законодательной основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).

Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно было сформулировать определение коммерческой тайны. Такое определение было сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам".

Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя (32, с.13).

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. (56, с.212).

Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф (71, с.5 8).

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).

В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных (61, с.32).

Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).

Секретность - правила и условие доступа и допуска к объектам информации (89, с.50).

Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к информации.

Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом (91, с. 208).

1.2 Ценность информации

К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).

Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).

Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).

При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).

Информация может быть разделена на три категории (82, с.33).

Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.

Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

1. Доступную для всех сотрудников фирмы;

2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.

Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).

Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).

Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.

Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:

1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;

2. Отсутствие свободного доступа к этой информации на законном основании;

3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.

Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:

1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;

2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;

3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).

Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.

Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:

1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);

3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;

4. Документы о платежеспособности;

5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

6. Документы об уплате налогов и обязательных платежах;

7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;

8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).

Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.

Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).

Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.

Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.

Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).

Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).

К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).

Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).

Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.

Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).

Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:

1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);

2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).

Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.

Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).

Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.

Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).

Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.

1.3 Каналы распространения и утечки конфиденциальной информации

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей (83, с.48).

Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах (99, с.11). Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия (104, с.75).

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус (94, с.89). Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).

Термин "разрушение" употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину "искажение", они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации (36, с.59).

Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Уязвимость документированной информации приводит или может привести к утрате или утечке информации. (97, с.12).

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы (77, с.94; 94, с.12) в литературе и даже в нормативных документах термин "утечка конфиденциальной информации" нередко заменяется или отождествляется с терминами: "разглашение конфиденциальной информации", "распространение конфиденциальной информации". Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и "прихвачен" мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью "подсидки", причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме (91, с.123).

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации. (8; 91, с.123)

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов (8; 68, с.37).

Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции (39, с.65).

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе (46, с.11). Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ "Об информации…" (8) отнесена к разряду документированной информации и представляет собой различные виды документов.

В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.

Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств (64, с.82).

Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации (29).

Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации (36, с.62).

Технический канал утечки - информация передается посредством технических средств (29).

Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые (33).

Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт (101, с.256).

Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно) (101, с.256).

Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения (107, с.12).

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию (91, с.239).

Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий (85, с.220).

Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.

Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации (95, с.78).

Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия (95, с.79). Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.

Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.

Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации. (94, с.87)

Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.

Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации (72).

Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.

Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.

Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.

Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.

Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.

Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.

Если речь идет об утечке информации по вине персонала, используется термин "разглашение информации". Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д. (56, с.458).

Утечка (разглашение) информации характеризуется двумя условиями:

1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;

2. Информация переходит к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации (37, с.5). Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как "промокашка" для перехвата необходимой информации.

Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.

Непреднамеренный переход информации к третьему лицу возникает в результате:

1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;

2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;

3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);

4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;

5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;

6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;

7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;

8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.

Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);

2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;

3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;

4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;

5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;

6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;

7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;

8. Получение нужной информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы (75, с.32).

Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Подобные документы

Организационно-распорядительная документация. Требования к оформлению, порядок обращения с конфиденциальными документами. Способы сохранения конфиденциального делопроизводства. Секретные архивы. Обеспечение безопасность конфиденциального делопроизводства.

курсовая работа , добавлен 15.01.2017


Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.

курсовая работа , добавлен 20.11.2012


Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.

курсовая работа , добавлен 09.06.2011


Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.

реферат , добавлен 27.12.2013


Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.

курсовая работа , добавлен 26.09.2012


Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.

курсовая работа , добавлен 19.11.2014


Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

дипломная работа , добавлен 23.10.2013


Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.

реферат , добавлен 27.01.2010


В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.

8. Фз « о безопасности», понятие, состав, принципы основные положения

9. Правовая основа обеспечения безопасности в рф.

16. Этапы развития сферы безопасности в рф.

17. Объекты и субъекты экономической безопасности хозяйствующего субъекта.

18. Критерии и показатели состояния экономической безопасности хозяйствующего субъекта.

19. Основные угрозы экономической безопасности хозяйствующему субъекту внешнего происхождения. Их краткая характеристика и особенности проявления.

20. Основные угрозы экономической безопасности хозяйствующему субъекту внутреннего происхождения. Их краткая характеристика и особенности проявления.

21. Система экономической безопасности хозяйствующего субъекта. Цели и задачи системы экономической безопасности хозяйствующего субъекта.

22. Система, элементы системы экономической безопасности хозяйствующего субъекта, взаимодействие, декомпозиция, состояние системы, процесс исследования системы.

23. Показатель безопасного функционирования для хозяйствующего субъекта, возможные виды, влияние на систему экономической безопасности.

24. Риски. Понятие риска и их классификация.

25. 3Х факторная модель рисков хозяйствующего субъекта, варианты политик противодействия рискам.

26. Основные пути уменьшения рисков в предпринимательской деятельности.

27. Принципы функционирования системы экономической безопасности хозяйствующего субъекта.

29. Виды деструктивных проявлений человеческого фактора.

30. Субъект безопасности, функции, цели и задачи.

31. Сферы взаимодействия субъекта безопасности с кадровой службой хозяйствующего субъекта.

32. Локальные нормативно правовые акты хозяйствующего субъекта, цели, классификация.

33. Локальные нормативно правовые акты хозяйствующего субъекта концепция разработки, классификация.

34. Положение о структурном подразделении, цели создания, пример макета.

35. Этапы разработки системы локальных нормативно правовых актов хозяйствующего субъекта.

36. Коммерческая тайна предприятия. Нормативные акты, регулирующие вопросы коммерческой тайны.

37. Система правовой защиты конфиденциальной информации.

38. Общие принципы построения системы защиты конфиденциальной информации.

39. Меры физической защиты конфиденциальной информации.

40. Меры технической и аппаратно - программной защиты конфиденциальной информации.

41. Организационные и правовые меры защиты конфиденциальной информации.

42. Закон о «о коммерческой тайне». Основные положения закона.

43. Закон «о персональных данных». Основные положения закона.

Глава 1. Общие положения

44. Вопросы безопасности при подборе сотрудников предприятия на вакантные должности, состав объявления на замещение вакантной должности.

45. Собеседование, цели и варианты.

46. Основные методы проверки репутации вновь принимаемых сотрудников.

47. Контроль персонала предприятия. Цели, задачи, методы, способы контроля.

49. Вопросы безопасности при увольнении сотрудников.

41. Организационные и правовые меры защиты конфиденциальной информации.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

Организацию охраны, режима, работу с кадрами,

с документами;

Использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести:

Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;

Организацию использования технических средств

сбора, обработки, накопления и хранения конфиденциальной информации;

Организацию работы по анализу внутренних и

внешних угроз конфиденциальной информации и

выработке мер по обеспечению ее защиты;

Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:

Перечень сведений, составляющих конфиденциальную информацию организации;

Договорное обязательство о неразглашении КИ

Инструкция по защите конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).

В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.

Под сведениями (и их носителями) понимаются:

Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);

Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;

Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.

Как же защищать конфиденци­альные данные, как сделать работу центров обработки безопасной?

Как и везде, в вопросах построе­ния систем информационной без­опасности необходим комплексный, взвешенный, многоуровневый под­ход, поскольку осечка в одном во­просе способна свести на нет усилия во всех остальных направлениях.

Для того чтобы понять основные направления, на которые следует об­ращать внимание, рассмотрим глав­ные черты, характеризующие систе­мы хранения и обработки данных:

все основные массы информации накапливаются в структурирован­ных базах данных;

все компьютерные ресурсы обыч­но находятся в выделенных, хоро­шо охраняемых серверных комна­тах (так называемых ЦОД - Цент­рах обработки данных);

хранилища - это не просто мерт­вые склады информации, но и на­личие большого числа тесно свя­занных с ним прикладных и об­служивающих систем (например, программное обеспечение для ар­хивирования информации, управ­ления, системы обработки, систе­мы типа ETL (extraction, transfor­mation, loading), прикладные сис­темы, которые, собственно, и по­рождают исходные данные и т. д.);

средний размер хранилища состав­ляет 1 Терабайт и выше, что дикту­ет серьезное отношение к сетевой инфраструктуре и системам хране­ния и обработки информации.

Если не рассматривать физиче­скую безопасность и организацион­ные меры (организация центров об­работки требует серьезного подхода), то одним из первых вопросов ока­жется организация надежной и без­опасной телекоммуникационной ин­фраструктуры, включающей в себя как защиту периметра, так и внут­реннюю безопасность.

Центры обработки должны быть максимально закрыты от попыток проникновения снаружи. Все внеш­ние соединения должны включать шифрование трафика (SSH, IPSec, SSL и т. д.), которое также желатель­но во внутренней сети управления (ее целесообразно выделить из сети общей передачи данных на физичес­ком уровне или с помощью VLAN). Из-за проблем с производительнос­тью шифрование на уровне ядра се­ти обычно не используется.

Разные сетевые протоколы и сете­вые взаимодействия требуют своих уровней защиты:

защита транспортного уровня;

организация VLAN, Port Security и т. д.;

proxy-серверы на периметре, ана­лизирующие прикладной уровень взаимодействия;

системы предотвращения вторже­ний (Intrusion Detection/Prevention) идр;

уровень Fibre Channel: Fibre Chan­nel Authentication Protocol, Switch Link Authentication Protocol и т. д.;

уровень SAN: Virtual SAN, марки­ровка LUN и др.

8.4. Проблема инсайдеров

В последнее время часто обсуж­дается проблема утечек информа­ции и рассматриваются решения по контролю телекоммуникационного периметра и внешних устройств на компьютерах в связи с термином «инсайдер».

В этой области есть зарубежные и отечественные решения по конт­ролю внешних устройств (типа USB, DVD-RW, Bluetooth). Такие продукты предлагают SecureWave (Sanctu­ary Device Control), Safend, Control Guard, SecurIT и другие компании. Есть большая группа средств сете­вого контроля и защиты перимет­ра от компаний (из отечественных компаний здесь наиболее заметна Info Watch).

Кстати, не следует забывать о не­обходимости тщательного контро­ля компьютеров пользователей: что за ПО на них установлено, нет ли брешей в безопасности, какие про­граммы разрешено запускать, какие процессы обязаны работать в систе­ме и т. д.

Но! Как это зачастую бывает, по­пытка сделать инфраструктуру мак­симально защищенной порождает перекосы в реализации комплексной системы безопасности. Часто за де­ревьями не видно леса.

Первое, что следует отметить: не существует стопроцентной защиты от утечек информации. Можно кон­тролировать корпоративную почту и порты компьютера, но злоумыш­ленник всегда найдет дополнитель­ные возможности для реализации своего замысла. Например, напеча­тать документ или просто сфотогра­фировать экран с дальнейшим пре­образованием к нужному электрон­ному формату путем программ распознавания текста. Кроме того, сле­дует помнить о трудностях, связан­ных с тем, как именно все это конт­ролировать (кто будет анализиро­вать, какие данные уполномоченный пользователь записал на USB-устройство?). Можно вспомнить и о мо­рально-психологической стороне во­проса: если компания уполномочила пользователя работать с данным до­кументом (следовательно, ему дове­ряют эту работу), то откуда возника­ет потребность в контроле его дей­ствий? В данном случае это означа­ет, что, наверное, в организации не­правильно выстроены сами основы безопасности - корпоративное уп­равление идентификацией, автори­зацией и доступом, а также защита баз данных.