"Кадровик. Трудовое право для кадровика", 2011, N 10

ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ

Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.

Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему. В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке . Элементами такой системы являются меры правового, организационного, технического и др. характера.

Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.

Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор. Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.

В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.

Персонал организации

как объект и субъект угроз безопасности

В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации. Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр. К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании. По неофициальным данным, от "промышленного шпионажа" в той или иной форме страдают около 80% организаций.

Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.

Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.

Типичные ошибки предприятий

Мельникова Е. И. приводит данные исследования на тему "Методы и средства защиты коммерческой тайны на предприятии", которое было проведено в Ульяновске . В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.

Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).

Виды конфиденциальной информации

Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен . Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?

Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: "коммерческая тайна", "служебная тайна", "инсайдерская информация", "профессиональная тайна" и пр. Несколько слов следует сказать о каждом из приведенных понятий.

Ее субъектами могут являться исключительно государственные или муниципальные служащие;

К ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;

У нее особый качественный состав .

Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.

Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.

Термин "инсайдерская информация" в дословном переводе означает внутреннюю информацию компании.

Словарь трудового права. Инсайдер (inside англ. - внутри) - лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.

Пункт 1 ст. 1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов .

В отличие от стран с развитым рынком ценных бумаг, Россия до сих пор не ввела термин "инсайдерская информация" на законодательном уровне. Законопроект "Об инсайдерской информации" был отклонен. Термин не вошел в нормативную лексику. Вместо понятия "инсайдерская информации" в Федеральном законе от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг" (ред. от 11.07.2011) закреплено понятие "служебная информация". Ею признается: 1) любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах; 2) информация, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг.

В. И. Добровольский отмечает, что в мировой практике понятию "служебная информация" соответствует понятие "инсайдерская информация", так как это понятие является наиболее универсальным, включающим в себя служебную, коммерческую, конфиденциальную и т. п. информацию .

В России термин "служебная информация" также подразумевает конфиденциальную информацию, однако применяется в сфере фондового рынка. Термин "инсайдерская информация" вообще употребляется неофициально.

Относить ли информацию к конфиденциальной?

Легальное определение имеет понятие "коммерческая тайна". Это, во-первых, режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; а во-вторых, это сама информация, то есть сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Обладатель информации имеет право отнести ее к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну, приведенный в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (ред. от 11.07.2011, далее - Закон о коммерческой тайне). Этот перечень не является закрытым, поскольку в отношении иных подлежащих раскрытию сведений Закон о коммерческой тайне ссылается на другие нормативные акты.

Таким образом, если работник пожаловался кому-то, что ему задерживают зарплату, или рассказал кому-либо об имеющихся в организации вакансиях, то такие действия не будут разглашением коммерческой тайны.

Для того чтобы защитить информацию, нередко при заключении трудового договора от сотрудника требуется соблюдение такого условия, как неразглашение коммерческой тайны организации. Помимо условий о коммерческой тайне в трудовом договоре не исключена и возможность подписания отдельного документа о защите информации, составляющей коммерческую тайну, что по своей сути является логическим завершением юридического оформления защиты информации на уровне хозяйствующего субъекта. Г. М. Колебошин справедливо указывает на то, что в литературе высказывается предложение именно о целесообразности заключения с работником дополнительного соглашения о неразглашении, которое может быть включено условием в трудовой договор или существовать в виде отдельного документа . Так, в организации может существовать локальный нормативный акт, посвященный коммерческой тайне, - положение о коммерческой тайне (далее - Положение). Принимая на работу сотрудника, который будет иметь доступ к закрытой информации, работодатель должен под расписку ознакомить его с действующими в организации локальными нормативными актами, имеющими непосредственное отношение к трудовой функции данного работника (ст. 68 ТК РФ; ст. 11 Закона о коммерческой тайне), в том числе с Положением. Оно может содержать перечень конфиденциальных сведений, который устанавливает руководитель исходя из специфики работы компании. То есть работник должен быть ознакомлен с перечнем информации, составляющей коммерческую тайну работодателя, а также с установленным режимом коммерческой тайны и мерами ответственности за его нарушение.

Если в организации не принято локальных нормативных актов, регламентирующих работу с конфиденциальной информацией, сотрудники с ними не ознакомлены, не обеспечена сохранность таких сведений, говорить о разглашении коммерческой тайны не приходится, а значит, законных претензий к работнику, разгласившему такие сведения, предъявлено быть не может, за исключением случая, когда сбор таких сведений осуществлен путем похищения документов, подкупа или угроз.

Также администрация обязана создать работнику необходимые условия для соблюдения им режима коммерческой тайны (например, предоставить сейф для хранения секретных материалов).

Итак, работник должен четко знать, что относится к коммерческой тайне организации, как она охраняется, и иметь возможность ее соблюдать.

Ответственность за разглашение

В ст. 14 Закона о коммерческой тайне указано, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с Законом о коммерческой тайне быть привлечено к ответственности. Если сотруднику, не ознакомленному с перечнем секретных документов, случайно в руки попал документ, из формы и текста которого ему непонятно, что эта информация относится к коммерческой тайне, ответственности за ее разглашение он также не понесет.

Не следует забывать, что к тайной информации не должно быть свободного доступа. Например, если сотрудник фирмы передал кому-либо сведения о деятельности фирмы, которые можно узнать и на сайте компании, проступком это не является.

Разглашение коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. При разглашении сведений, составляющих коммерческую тайну, работник может быть уволен по односторонней инициативе работодателя, в соответствии со ст. 81 ТК РФ.

Споры, возникшие в связи с разглашением коммерческой тайны, рассматриваются, как правило, в рамках гражданско-правовых и трудовых отношений и крайне редко доходят до уголовного преследования. Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Судебная практика по этому вопросу весьма скудна.

Действия работодателя по защите информации

Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Работодателю необходимо:

Разработать перечень информации, относящейся к коммерческой тайне;

Ограничить и регламентировать доступ к носителям информации;

Определить круг лиц, имеющих право доступа к информации;

Нанести на документы, составляющие коммерческую тайну, надпись "Конфиденциальная информация" (при этом необходимо указывать обладателя информации, его местонахождение и наименование);

Ознакомить работников с локальными актами о коммерческой тайне;

Внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию работодателя.

При формулировании соглашения (договорного обязательства) об обязанности не разглашать сведения либо Положения о коммерческой тайне можно учесть опыт американских компаний, где в соглашение включаются следующие пункты :

Детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;

Краткое изложение порядка охраны конфиденциальных сведений;

Изложение мер, которые должен принимать сам работник для обеспечения сохранности данных сведений;

Перечень наказаний, которые могут последовать за разглашение конфиденциальных сведений.

Очевидно, что подобное письменное обязательство о неразглашении секретов компании не дает полных гарантий сохранения этих сведений, однако, как показывает практика, заметно снижает риск разглашения персоналом такой информации.

В документы иногда вносят пункт об обязанности сотрудника сообщать в службу безопасности компании или непосредственному руководителю о попытке постороннего лица получить любую информацию об организации, в том числе конфиденциальную, а также о случаях утери носителей информации.

Можно сделать ряд рекомендаций по поводу увольнения сотрудника, владеющего конфиденциальной информацией. При написании сотрудником заявления об увольнении необходимо последовательно выполнить следующие действия: принять все числящиеся за сотрудником документы, базы данных, носители информации и пр., принять пропуск данного сотрудника (идентификатор), ключи и печати, провести собеседование с увольняющимся сотрудником.

На собеседовании стоит напомнить лицу о том, что им были подписаны документы, обязывающие его хранить секреты компании. Некоторые авторы рекомендуют составить еще одно соглашение уже с увольняющимся лицом о неразглашении конфиденциальных данных после ухода из организации. Если опять обратиться к опыту США, то там с особенно ценными увольняющимися сотрудниками нередко заключается соглашение об оказании консультационных услуг в течение ряда лет. При этом все это время такому лицу выплачивается жалованье. Такая материальная и моральная связь с бывшим местом работы, как считается, не дает человеку поводов разглашать конфиденциальную информацию. В нашей стране такая практика в силу известных причин вряд ли может получить широкое распространение и будет применима лишь к топ-менеджерам крупных компаний.

Таким образом, действующие нормативные правовые акты не предусматривают эффективную защиту для конфиденциальной информации организации. Для того чтобы защитить внутреннюю информацию, работодателю необходимо самому позаботиться о секретах компании, правильно оформив как саму конфиденциальную информацию, так и отношения с работником, такой информацией обладающим. При выполнении указанных в настоящей статье действий организация может рассчитывать на вынесение решения в ее пользу при возможном судебном разбирательстве.

Библиографический список

1. Корнеев И. К., Степанов Е. А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.

2. Мельникова Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности // Юридический мир. 2009. N 12. С. 40 - 43.

3. Шевердяев С. Н. Конституционно-правовой режим информации ограниченного доступа // Конституционное и муниципальное право. 2007. N 1.

4. Яковец Е. Н., Смирнова И. Н. Нормативное регулирование оборота сведений, составляющих служебную тайну // Информационное право. 2009. N 4.

5. Директива 2003/6/ЕС "Об инсайдерской деятельности и рыночном манипулировании, злоупотреблениях на рынке". Directive 2003/6/EC of the European Parliament and of the Council of 28 January 2003 on insider dealing and market manipulation (market abuse). OJL 096, 12.04.2003. P. 0016 - 0025.

6. Добровольский В. И. Инсайдерская информация в мировой практике, служебная информация и коммерческая тайна в России // Предпринимательское право. 2008. N 4.

7. Колебошин Г. М. Обязанности работника в отношении коммерческой тайны работодателя // Трудовое право. 2007. N 5.

8. Ищейнов В. Я. Технология определения сведений, относимых к коммерческой тайне, и факторы риска // Делопроизводство. 2010. N 2. С. 50.

И. Погодина

зав. кафедрой

гражданского права и процесса

Владимирского государственного

университета имени А. Г. и Н. Г.Столетовых

Подписано в печать

В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

• коммерческая тайна;
• производственная документация секретного характера;
• ноу-хау компании;
• клиентская база;
• персональные данные сотрудников;
• другие данные, которые компания считает нужным защитить от утечки.

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

• определение перечня активов, подлежащих защите;
• разработка документации, регламентирующей и ограничивающей доступ к данным компании;
• определение круга лиц, которым будет доступна КИ;
• определение процедур реагирования;
• оценка рисков;
• внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

• при каких условиях информация относится к служебной, коммерческой, другой тайне;
• обязательность соблюдения условий конфиденциальности;
• ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

• USB-разъемы;
• локально функционирующие и подключенные к сети принтеры;
• внешние диски;
• сеть Интернет;
• почтовые сервисы;
• аккаунты и др.

Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

• частных сведений;
• интеллектуальной собственности;
• финансовых данных;
• медицинской информации;
• данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

41. Организационные и правовые меры защиты конфиденциальной информации.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

Организацию охраны, режима, работу с кадрами,

с документами;

Использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести:

Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;

Организацию использования технических средств

сбора, обработки, накопления и хранения конфиденциальной информации;

Организацию работы по анализу внутренних и

внешних угроз конфиденциальной информации и

выработке мер по обеспечению ее защиты;

Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:

Перечень сведений, составляющих конфиденциальную информацию организации;

Договорное обязательство о неразглашении КИ

Инструкция по защите конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).

В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.

Под сведениями (и их носителями) понимаются:

Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);

Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;

Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.

Введение

Заключение

Список литературы

Введение

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Целью данной работы является рассмотрение информационной безопасности как неотъемлемой части национальной безопасности, а также выявление степени ее защищенности на современном этапе, анализ внутренних и внешних угроз, рассмотрение проблем и пути их решения.

В связи с этим поставлены определенные задачи:

.Определить место и значение информационной безопасности на современном этапе развития;

2.Рассмотреть нормативно-правовую базу в сфере защиты информации;

.Выявить основные проблемы и угрозы и пути их решения.

Глава 1. Проблемы и угрозы информационной безопасности

1.1 Место информационной безопасности в системе национальной безопасности России

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны.

Нормативно-правовой основой регулирования защиты информации стала Доктрина информационной безопасности РФ, утвержденная Президентом РФ в 2001 г. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:

объекты, угрозы и источники угроз информационной безопасности;

возможные последствия угроз информационной безопасности;

методы и средства предотвращения и нейтрализации угроз информационной безопасности;

особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;

основные положения государственной политики по обеспечению информационной безопасности в РФ.

Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.

Она выделяет четыре основные составляющие национальных интересов России в информационной сфере.

Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для ее реализации необходимо:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;

усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;

обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

гарантировать свободу массовой информации и запрет цензуры;

не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;

конфиденциальная информация защита россия

обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:

укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для достижения результата на этом направлении необходимо:

развивать и совершенствовать инфраструктуру единого информационного пространства России;

развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В этих целях требуется:

повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;

обеспечить защиту сведений, составляющих государственную тайну;

расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.

1.2 Основные проблемы информационной безопасности и пути их решения

Обеспечение информационной безопасности требует решения целого комплекса задач.

Важнейшая задача в деле обеспечения информационной безопасности России - осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом:

интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы:

правовые;

организационно-технические; экономические.

К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл.4 настоящего пособия).

Организационно-техническими методами обеспечения информационной безопасности являются:

создание и совершенствование систем обеспечения информационной безопасности;

усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;

создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;

формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

разработку программ обеспечения информационной безопасности и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению; организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о "разработке и внедрении правовых норм", "повышении правовой культуры и компьютерной грамотности граждан", "создании безопасных информационных технологий", "обеспечении технологической независимости" и т.п.

Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.

1.3 Источники угроз информационной безопасности

Угрозы информационной безопасности - это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т.д.) объекта с целью изменения его функциональных возможностей или полного поражения.

С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики РФ;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:

принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;

противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

чрезмерное ограничение доступа к необходимой информации;

противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;

неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере;

неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

нарушение конституционных прав и свобод человека и гражданина в области массовой информации;

вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;

девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

снижение духовного, нравственного и творческого потенциала населения России;

манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозами информационному обеспечению государственной политики РФ могут быть:

монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозы развитию отечественной индустрии информации могут составлять:

противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий;

закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов;

вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи;

отток за рубеж специалистов и правообладателей интеллектуальной собственности.

Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние.

К внешним источникам угроз Доктрина относит:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ;

стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков;

деятельность международных террористических организаций;

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним.

К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности;

недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики;

неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России;

недостаточное финансирование мероприятий по обеспечению информационной безопасности;

недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Глава 2. Защита конфиденциальной информации

2.1 Классификация сведений, подлежащих защите

В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы:

государственная тайна;

коммерческая тайна;

сведения конфиденциального характера;

интеллектуальная собственность.

Государственная тайна. Закон РФ "О государственной тайне" дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности России (ст.2).

В ст.5 данного Закона определен перечень сведений, отнесенных к государственной тайне:

сведения в военной области - о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.;

сведения в области экономики, науки и техники - о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.;

сведения в области внешней политики и экономики - о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.;

силы и средства названной деятельности, ее источники, планы и результаты;

лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность;

системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи;

шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др.

Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такой информацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности.

Согласно ст.139 ч.1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию.

Постановление Правительства РФ от 5.12.1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". К таким сведениям относятся:

организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты);

финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности);

сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства);

сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий).

Сведения конфиденциального характера. Конфиденциальность информации - характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.

Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

сведения, составляющие тайну следствия и судопроизводства;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т.д.);

сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них.

Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об охране здоровья граждан", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.

В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные "тайны":

врачебная (медицинская) тайна;

банковская тайна;

налоговая тайна;

нотариальная тайна;

тайна страхования;

адвокатская тайна;

тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др.

К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ.

Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.

2.2 Организация защиты информации

Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих "защитных" мероприятий:

адекватное определение перечня сведений, подлежащих защите;

выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;

принятие мер по ограничению доступа к информации или объекту;

организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т.п.);

наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа;

наличие на документах надписей "Секретно", "Для служебного пользования", а на дверях - "Посторонним вход воспрещен". Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);

подписание с сотрудниками организации, фирмы договора о неразглашении тайны.

Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов.

В числе мер защиты информации можно выделить внешние и внутренние.

К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации.

Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.

Сотрудники - важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность.

Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:

телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);

телефонный подавитель устройств прослушивания;

профессиональный детектор (используется для "грубого" определения местонахождения радиозакладок);

мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);

генератор шума.

Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.

Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами.

Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты.

Заключение

Нынешнее состояние информационной безопасности России - это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности, а именно:

Начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации;

Обеспечению информационной безопасности способствуют созданные:

государственная система защиты информации;

система лицензирования деятельности в области защиты государственной тайны;

система сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности показывает, что все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы.

Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение.

Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации.

Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных).

Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.

Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Список литературы

1.Доктрина информационной безопасности РФ (утв. Президентом РФ от 09.09.2000 г. № Пр-1895)

.Закон РФ "О безопасности" 2010 г.

.Закон РФ "О государственной тайне", принятый 21 июля 1993 г. (ред. от 08.11.2011)

.Закон РФ "Об авторском праве и смежных правах", вступивший в действие 3 августа 1993 г. (с изменениями),

.Федеральный закон "Об основах государственной службы", принятый 31 июля 1995 г.,

.Уголовный кодекс РФ 2013 г.

Сегодня угрозы, связанные с несанк­ционированным доступом к конфиденциальным данным, могут оказать существенное влияние на деятельность организации. Возможный ущерб от раскрытия корпоративных секретов может включать в себя как прямые финансовые потери, например, в результате передачи коммерческой информации конкурентам и затрат на устранение возникших последствий, так и косвенные - плохая репутация и потери перспективных проектов. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовыми планами и другими приватными документами трудно недооценить.

Одной из самых опасных угроз сегодня является несанкционированный доступ. Согласно исследованию Института компьютерной безопасности, в прошлом году 65% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, вследствие неавторизованного доступа каждая фирма потеряла в 2014–2015 гг. в среднем $353 тыс. Причем по сравнению с 2012–2013 гг. убытки увеличились в шесть раз. Таким образом, суммарные убытки, которые понесли свыше 600 опрошенных фирм, за год превысили $38 млн. (см. диаграмму).

Проблема усугубляется тем, что за неавторизованным доступом к конфиденциальной информации часто следует ее кража. В результате такой комбинации двух чрезвычайно опасных угроз убытки компании могут возрасти в несколько раз (в зависимости от ценности похищенных данных). Кроме того, фирмы нередко сталкиваются и с физической кражей мобильных компьютеров, вследствие чего реализуются как угрозы несанк­ционированного доступа, так и кражи чувствительной информации. Кстати, стоимость самого портативного устройства зачастую несопоставима со стоимостью записанных на нем данных.

Проблемы, возникающие у предприятия в случае утечки информации, особенно показательны на примере кражи ноутбуков. Достаточно вспомнить недавние инциденты, когда у компании Ernst&Young в течение нескольких месяцев было похищено пять ноутбуков, содержащих приватные сведения клиентов фирмы: компаний Cisco, IBM, Sun Microsystems, BP, Nokia и т. д. Здесь в высшей мере проявился такой трудноизмеримый показатель нанесенного ущерба, как ухудшение имиджа и снижение доверия со стороны клиентов. Между тем аналогичные трудности испытывают мно­жество компаний.

Так, в марте 2006 года фирма Fidelity потеряла ноутбук с приватными данными 200 тыс. служащих HP, а в феврале аудиторская компания PricewaterhouseCoopers лишилась ноутбука с чувствительными сведениями 4 тыс. пациентов одного американского госпиталя. Если продолжать список, то в него попадут такие известные компании, как Bank of America, Kodak, Ameritrade, Ameriprise, Verizon, и другие.

Таким образом, помимо защиты конфиденциальной информации от несанкционированного доступа, необходимо оберегать и сам физический носитель. При этом надо учитывать, что такая система безопасности должна быть абсолютно прозрачной и не доставлять пользователю трудностей при доступе к чувствительным данным ни в корпоративной среде, ни при удаленной работе (дома или в командировке).

До сих пор ничего более эффек­тивного в области защиты информации от несанкционированного доступа, чем шифрование данных, не изобретено. При условии сохранности криптографических ключей шифрование гарантирует безопасность чувствительных данных.

Технологии шифрования

Для того чтобы защитить информацию от несанкционированного доступа, применяются технологии шифрования. Однако у пользователей, не обладающих надлежащими знаниями о методах шифрования, может возникнуть ложное ощущение, будто все чувствительные данные надежно защищены. Рассмотрим основные технологии шифрования данных.

• Пофайловое шифрование. Пользователь сам выбирает файлы, которые следует зашифровать. Такой подход не требует глубокой интеграции средства шифрования в систему, а, следовательно, позволяет производителям криптографических средств реализовать мультиплатформенное решение для Windows, Linux, MAC OS X и т. д.
• Шифрование каталогов. Пользователь создает папки, все данные в которых шифруются автоматически. В отличие от предыдущего подхода шифрование происходит на лету, а не по требованию пользователя. В целом шифрование каталогов довольно удобно и прозрачно, хотя в его основе лежит все то же пофайловое шифрование. Такой подход требует глубокого взаимодействия с операционной системой, поэтому зависит от используемой платформы.
• Шифрование виртуальных дисков. Концепция виртуальных дисков реализована в некоторых утилитах компрессии, например, Stacker или Microsoft DriveSpace. Шифрование виртуальных дисков подразумевает создание большого скрытого файла на жестком диске. Этот файл в дальнейшем доступен пользователю как отдельный диск (операционная система «видит» его как новый логический диск). Нап­ример, диск Х:\. Все сведения, хранящиеся на виртуальном диске, находятся в зашифрованном виде. Главное отличие от предыдущих подходов в том, что криптографическому программному обеспечению не требуется шифровать каждый файл по отдельности. Здесь данные шифруются автоматически только тогда, когда они записываются на виртуальный диск или считываются с него. При этом работа с данными ведется на уровне секторов (обычно размером 512 байт).
• Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор Windows, все системные файлы и любая другая информация на диске.
• Защита процесса загрузки. Если зашифрован весь диск целиком, то операционная система не сможет запуститься, пока какой-либо механизм не расшифрует файлы загрузки. Поэтому шифрование всего диска обязательно подразумевает и защиту процесса загрузки. Обычно пользователю требуется ввести пароль, чтобы операционная система могла стартовать. Если пользователь введет пароль правильно, программа шифрования получит доступ к ключам шифрования, что позволит читать дальнейшие данные с диска.

Таким образом, существует несколько способов зашифровать данные. Некоторые из них менее надежные, некоторые более быстрые, а часть вообще не годится для защиты важной информации. Чтобы иметь возможность оценить пригодность тех или иных методов, рассмотрим проблемы, с которыми сталкивается криптографическое приложение при защите данных.

Особенности операционных систем

Остановимся на некоторых особенностях операционных систем, которые, несмотря на все свои положительные функции, подчас только мешают надежной защите конфиденциальной информации. Далее представлены наиболее распространенные системные механизмы, оставляющие для злоумышленника ряд «лазеек», и актуальные как для ноутбуков, так и для КПК.

• Временные файлы. Многие программы (в том числе и операционная система) используют временные файлы для хранения промежуточных данных во время своей работы. Часто во временный файл заносится точная копия открытого программой файла, что позволяет обеспечить возможность полного восстановления данных в случае непредвиденных сбоев. Конечно, полезная нагрузка временных файлов велика, однако, будучи незашифрованными, такие файлы несут прямую угрозу корпоративным секретам.
• Файлы подкачки (или swap-файлы). Очень популярной в совре­менных операционных системах является технология swap-файлов, позволяющая предоставить любому приложению практически неограниченный объем оперативной памяти. Так, если операционной системе не хватает ресурсов памяти, она автоматически записывает данные из опе­ративной памяти на жесткий диск (в файл подкачки). Как только возникает потребность воспользоваться сохраненной информацией, операционная система извлекает данные из swap-файла и в случае необходимости помещает в это хранилище другую информацию. Точно так же, как и в предыдущем случае, в файл подкачки легко может попасть секретная информация в незашифрованном виде.
• Выравнивание файлов. Файловая система Windows размещает данные в кластерах, которые могут занимать до 64 секторов. Даже если файл имеет длину в несколько байтов, он все равно займет целый кластер. Файл большого размера будет разбит на порции, каждая размером с кластер файловой системы. Остаток от разбиения (обычно последние несколько байтов) все равно будет занимать целый кластер. Таким образом, в последний сектор файла попадает случайная информация, которая находилась в оперативной памяти ПК в момент записи файла на диск. Там могут оказаться пароли и ключи шифрования. Другими словами, последний кластер любого файла может содержать довольно чувствительную информацию, начиная от случайной информации из оперативной памяти и заканчивая данными из электронных сообщений и текстовых документов, которые раньше хранились на этом месте.
• Корзина. Когда пользователь удаляет файл, Windows перемещает его в корзину. Пока корзина не очищена, файл можно легко восстановить. Тем не менее, даже если очистить корзину, данные все равно физически останутся на диске. Другими словами, удаленную информацию очень часто можно найти и восстановить (если поверх нее не было записано других данных). Для этого существует огромное количество прикладных программ, некоторые из них бесплатны и свободно распространяются через Интернет.
• Реестр Windows. Сама система Windows, как и большое количество приложений, хранит свои определенные данные в системном реестре. Например, web-браузер сохраняет в реестре доменные имена тех страниц, которые посетил пользователь. Даже текстовый редактор Word сохраняет в реестре имя файла, открытого последним. При этом реестр используется ОС при загрузке. Соответственно, если какой-либо метод шифрования запускается после того, как загрузилась Windows, то результаты его работы могут быть скомпрометированы.
• Файловая система Windows NT (NTFS). Считается, что файловая система со встроенным управлением доступом (как в Windows NT) является безопасной. Тот факт, что пользователь должен ввести пароль для получения доступа к своим персональным файлам, оставляет ложное ощущение, будто личные файлы и данные надежно защищены. Тем не менее даже файловая система со встроенными списками контроля доступа (Access Control List - ACL), например NTFS, не обеспечивает абсолютно никакой защиты против злоумышленника, имеющего физический доступ к жесткому диску или права администратора на данном компьютере. В обоих случаях преступник может получить доступ к секретным данным. Для этого ему понадобится недорогой (или вообще бесплатный) дисковый редактор, чтобы прочитать текстовую информацию на диске, к которому у него есть физический доступ.
• Режим сна. Этот режим очень популярен на ноутбуках, так как позволяет сэкономить энергию батареи в тот момент, когда компьютер включен, но не используется. Когда лэптоп переходит в состояние сна, операционная система копирует на диск абсолютно все данные, находящиеся в оперативной памяти. Таким образом, когда компьютер «проснется», операционная система легко сможет восстановить свое прежнее состояние. Очевидно, что в этом случае на жесткий диск легко может попасть чувствительная информация.
• Скрытые разделы жесткого диска. Скрытый раздел - это такой раздел, который операционная система вообще не показывает пользователю. Некоторые приложения (например, те, что занимаются энергосбережением на ноутбуках) используют скрытые разделы, чтобы хранить в них данные вместо файлов на обычных разделах. При таком подходе информация, размещаемая на скрытом разделе, вообще никак не защищается и легко может быть прочитана кем угодно с помощью дискового редактора.
• Свободное место и пространство между разделами. Сектора в самом конце диска не относятся ни к одному разделу, иногда они отображаются как свободные. Другое незащищенное место - пространство между разделами. К сожалению, некоторые приложения, а также вирусы могут хранить там свои данные. Даже если отформатировать жесткий диск, эта информация останется нетронутой. Ее легко можно восстановить.

Таким образом, чтобы эффективно защитить данные, недостаточно их просто зашифровать. Необходимо позаботиться о том, чтобы копии секретной информации не «утекли» во временные и swap-файлы, а также в другие «потайные места» операционной системы, где они уязвимы для злоумышленника.

Пригодность различных подходов к шифрованию данных

Рассмотрим, как различные подходы к шифрованию данных справляются с особенностями операционных систем.

Пофайловое шифрование

Данный метод используется в основном для того, чтобы посылать зашифрованные файлы по e-mail или через Интернет. В этом случае пользователь шифрует конкретный файл, который необходимо защитить от треть­их лиц, и отправляет его получателю. Такой подход страдает низкой скоростью работы, особенно когда дело касается больших объемов информации (ведь требуется шифровать каждый прикрепляемый к письму файл). Еще одной проблемой является то, что шифруется лишь файл-оригинал, а временные файлы и файл подкачки остаются полностью незащищенными, поэтому защита обеспечивается только от злоумышленника, пытающегося перехватить сообщение в Интернете, но не против преступника, укравшего ноутбук или КПК. Таким образом, можно сделать вывод: пофайловое шифрование не защищает временные файлы, его использование для защиты важной информации неприемлемо. Тем не менее данная концепция подходит для отправки небольших объемов информации через сеть от компьютера к компьютеру.

Шифрование папок

В отличие от пофайлового шифрования данный подход позволяет переносить файлы в папку, где они будут зашифрованы автоматически. Тем самым работать с защищенными данными намного удобнее. Поскольку в основе шифрования папок лежит пофайловое шифрование, оба метода не обеспечивают надежной защиты временных файлов, файлов подкачки, не удаляют физически данные с диска и т.д. Более того, шифрование каталогов очень неэкономично сказывается на ресурсах памяти и процессора. От процессора требуется время для постоянного зашифровывания/расшифровывания файлов, также для каждого защищенного файла на диске отводится дополнительное место (иногда более 2 кбайт). Все это делает шифрование каталогов очень ресурсоемким и медленным. Если подвести итог, то хотя данный метод довольно прозрачен, его нельзя рекомендовать для защиты важной информации. Особенно если злоумышленник может получить доступ к временным файлам или файлам подкачки.

Шифрование виртуальных дисков

Эта концепция подразумевает создание скрытого файла большого размера, находящегося на жестком диске. Операционная система работает с ним как с отдельным логическим диском. Пользователь может помещать программное обеспечение на такой диск и сжимать его, чтобы сэкономить место. Рассмотрим преимущества и недостатки данного метода.

Прежде всего, использование вир­туальных дисков создает повышенную нагрузку на ресурсы операционной системы. Дело в том, что каждый раз при обращении к виртуальному диску операционной системе приходится переадресовывать запрос на другой физический объект - файл. Это, безусловно, отрицательно сказывается на производительности. Вследствие того, что система не отождествляет виртуальный диск с физическим, могут возникнуть проблемы с защитой временных файлов и файла подкачки. По сравнению с шифрованием каталогов концепция виртуальных дисков имеет как плюсы, так и минусы. Например, зашифрованный виртуальный диск защищает имена файлов, размещенные в виртуальных файловых таблицах. Однако этот виртуальный диск не может быть расширен столь же просто, как обыкновенная папка, что очень неудобно. Подводя итог, можно сказать, что шифрование виртуальных дисков намного надежнее двух предыдущих методов, но может оставить без защиты временные файлы и файлы подкачки, если разработчики специально об этом не позаботятся.

Шифрование всего диска

В основе данной концепции лежит не пофайловое, а посекторное шифрование. Другими словами, любой файл, записанный на диск, будет зашифрован. Криптографические программы шифруют данные прежде, чем операционная система поместит их на диск. Для этого криптографическая программа перехватывает все попытки операционной системы записать данные на физический диск (на уровне секторов) и производит операции шифрования на лету. Благодаря такому подходу зашифрованными окажутся еще и временные файлы, файл подкачки и все удаленные файлы. Логичным следствием данного метода должно стать существенное снижение общего уровня производительности ПК. Именно над этой проблемой трудятся многие разработчики средств шифрования, хотя несколько удачных реализаций таких продуктов уже есть. Можно подвести итог: шифрование всего диска позволяет избежать тех ситуаций, когда какая-либо часть важных данных или их точная копия остаются где-нибудь на диске в незашифрованном виде.

Защита процесса загрузки. Как уже отмечалось, защищать процесс загрузки целесообразно при шифровании всего диска. В этом случае никто не сможет запустить операционную систему, не пройдя процедуру аутентификации в начале загрузки. А для этого необходимо знать пароль. Если у злоумышленника есть физический доступ к жесткому диску с секретными данными, то он не сможет быстро определить, где находятся зашифрованные системные файлы, а где - важная информация. Следует обратить внимание: если криптографическое программное обеспечение шифрует весь диск целиком, но не защищает процесс загрузки, значит, оно не зашифровывает системные файлы и загрузочные сектора. То есть диск зашифровывается не полностью.

Таким образом, сегодня для надежной защиты конфиденциальных данных на ноутбуках следует использовать технологию шифрования либо виртуальных дисков, либо всего диска целиком. Однако в последнем случае необходимо убедиться в том, что криптографическое средство не отнимает ресурсы компьютера настолько, что это мешает работать пользователям. Заметим, что российские компании пока не производят средства шифрования диска целиком, хотя несколько таких продуктов уже существует на западных рынках. К тому же защищать данные на КПК несколько проще, поскольку ввиду малых объемов хранимой информации разработчики могут себе позволить шифровать вообще все данные, например на флеш-карте.

Шифрование с использованием сильной аутентификации

Для надежного сохранения данных требуются не только мощные и грамотно реализованные криптографические технологии, но и средства предоставления персонализированного доступа. В этой связи применение строгой двухфакторной аутентификации на основе аппаратных ключей или смарт-карт является самым эффективным способом хранения ключей шифрования, паролей, цифровых сертификатов и т. д. Чтобы успешно пройти процедуру сильной аутентификации, пользователю необходимо предъявить токен (USB-ключ или смарт-карту) операционной системе (например, вставить его в один из USB-портов компьютера или в устройство считывания смарт-карт), а потом доказать свое право владения этим электронным ключом (то есть ввести пароль). Таким образом, задача злоумышленника, пытающегося получить доступ к чувствительным данным, сильно осложняется: ему требуется не просто знать пароль, но и иметь физический носитель, которым обладают лишь легальные пользователи.

Внутреннее устройство электронного ключа предполагает наличие электронного чипа и небольшого объема энергонезависимой памяти. С помощью электронного чипа производится шифрование и расшифровывание данных на основе заложенных в устройстве криптографических алгоритмов. В энергонезависимой памяти хранятся пароли, электронные ключи, коды доступа и другие секретные сведения. Сам аппаратный ключ защищен от хищения ПИН-кодом, а специальные механизмы, встроенные внутрь ключа, защищают этот пароль от перебора.

Итоги

Таким образом, эффективная защита данных подразумевает использование надежных средств шифрования (на основе технологий виртуальных дисков или покрытия всего диска целиком) и средств сильной аутентификации (токены и смарт-карты). Среди средств пофайлового шифрования, идеально подходящего для пересылки файлов по Интернету, стоит отметить известную программу PGP, которая может удовлетворить практически все запросы пользователя.

На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.

Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.

Список использованных источников и литературы

1. Лопатин В. Н. Информационная безопасность.
2. Основы информационной без­опасности: Учебник / В. А. Минаев , С. В. Скрыль , А. П. Фисун , В. Е. Потанин , С. В. Дворянкин .
3. ГОСТ ST 50922-96. Защита информации. Основные термины и определения.
4. www.intuit.ru

В Одноклассники