Материал: Защита конфиденциальной информации
К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств; языки, нравственные ценности и культурное наследие народностей Российской Федерации; объекты интеллектуальной собственности.
Российская Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. Общее число тайн превысило 40, а термин "конфиденциальность" встречается в 84 федеральных законах и 706 международных актах, в том числе в межправительственных соглашениях. В качестве примеров можно привести следующие документы: Европейская Конвенция об информации относительно иностранного законодательства (ETS № 62) (заключена в Лондоне 7 июня 1968 г.); Соглашение о межгосударственном обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 г.); Соглашение о сотрудничестве в области информации (заключено в Бишкеке 9 октября 1992 г.); Соглашение об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 г.); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена в Стамбуле, 6 марта 1993 г.); Соглашение о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств - участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 г.); Конвенция о преступности в сфере компьютерной информации (ETS N 185) (заключена в Будапеште 23 ноября 2001 г.); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных технологий и связи (заключено в Ганновере 11 апреля 2005 г.); Соглашение между Правительством Российской Федерации и Правительством Союза Мьянма о взаимной защите секретной информации (заключено в Москве 3 апреля 2006 г.) и др.
Подводя итог вышеизложенному материалу можно сделать вывод, что конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную, профессиональную или личную тайны, охраняющиеся её владельцем.
Отношения по поводу информации в целом и
конфиденциальной информации в частности, регулируются правом. При этом
информация как таковая и конфиденциальная информация являются предметом
регулирования различных отраслей права и нормативных правовых актов РФ,
важнейшее место среди которых занимает Конституция РФ. Россия также - субъект
международных правоотношений по поводу информации.
2. Информационная безопасность и защита конфиденциальной информации
.1 Угрозы и меры по предупреждению
утечки конфиденциальной информации
Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.
Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных.
Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рис. 1.
Рисунок 1 - Угрозы информационной безопасности в России
конфиденциальность информация тайна защита
Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.
Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.
Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.
Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах.
Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:
последствия для бизнеса, включая существенный ущерб для репутации и потерю конкурентных преимуществ;
стоимость необходимых ресурсов и требуемого времени для воссоздания информации;
юридические последствия, ответственность и иски, штрафы и санкции, отзыв лицензий;
ликвидность информации - количество лиц, заинтересованных в получении информации, и внешние ограничения для ее распространения и использования;
актуальность информации, влияние времени на ее ценность.
Основными источниками конфиденциальной информации являются:
персонал предприятия, допущенный к конфиденциальной информации;
носители конфиденциальной информации (документы, изделия);
технические средства, предназначенные для хранения и обработки информации;
средства коммуникации, используемые в целях передачи информации;
передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.
Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (различных средств и систем связи).
Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:
конфиденциальное делопроизводство (защищенный документооборот);
совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;
совещания (конференции), в ходе которых обсуждаются вопросы конфиденциального характера;
рекламная и издательская (публикаторская) деятельность;
различные мероприятия в области сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией;
научные исследования, деятельность диссертационных и иных советов учреждений и организаций;
передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.
Организационные каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.
Данное воздействие, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на недопущение ее утечки и несанкционированного распространения (утраты носителей конфиденциальной информации).
Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделяются следующим образом:
по источникам угроз защищаемой информации (внешние и внутренние);
по видам конфиденциальной информации или тайн (государственная, коммерческая, служебная или иная тайна; персональные данные сотрудников предприятия);
по источникам конфиденциальной информации (персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или принимаемые сообщения и т.п.);
по способам или средствам доступа к защищаемой информации (применение технических средств, непосредственная и целенаправленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем);
по характеру взаимодействия с партнерами (каналы утечки, возникающие в отсутствие взаимодействия, при осуществлении взаимодействия, в условиях конкурентной борьбы);
по продолжительности или времени действия (каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия);
по направлениям деятельности предприятия (каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия);
по причинам возникновения каналов утечки информации (действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства);
по каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации (каналы утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по которому передается информация);
по месту возникновения каналов утечки информации (каналы утечки, возникающие за пределами территории предприятия или на территории предприятия - в служебных помещениях, на объектах информатизации, объектах связи и в других местах);
по используемым способам и методам защиты информации (каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов).
Рассмотрим более подробно угрозы защищаемой информации. Под угрозой защищаемой информации будем понимать некоторую ситуацию (или потенциально существующую возможность ее осуществления), которая может привести к нарушению установленного статуса информации.
В общем смысле понятие угрозы является комплексным и включает в себя несколько составляющих: источники угроз, виды угроз и способы их реализации.
В качестве источников угроз защищаемой информации могут выступать люди, средства обработки, передачи и хранения информации, другие технические средства и системы, не связанные непосредственно с обработкой защищаемой информации, стихийные бедствия и природные явления.
Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных). В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.
Западные специалисты считают, что для обеспечения информационной безопасности и сохранности конфиденциальной информации, необходим правильный подбор, расстановка и воспитание персонала.
Принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17 799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.
Для предотвращения угрозы утечки конфиденциальной информации, рекомендуется при приеме на работу проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д.
В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:
а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;
б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.
Оформление допуска для работы с конфиденциальной информацией, которое также составляет основу планирования управления персоналом, производится на основании разграничения доступа к конфиденциальным документам.
Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы.
Разрешительная система допуска к конфиденциальным документам решает следующие задачи:
ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны компании (фирмы/организации), и работы с ценными документами;
строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
обеспечение сотрудника всем необходимым для выполнения своих служебных функций;
исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;
рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.