Βασικές έννοιες προστασίας πληροφοριών και ασφάλειας πληροφοριών. Προστασία φυσικών και τεχνικών δεδομένων. Σύγχρονες μέθοδοι προστασίας πληροφοριών

Σύγχρονες μέθοδοιη επεξεργασία, η μετάδοση και η συσσώρευση πληροφοριών έχουν συμβάλει στην εμφάνιση απειλών που σχετίζονται με την πιθανότητα απώλειας, παραμόρφωσης και αποκάλυψης δεδομένων που απευθύνονται ή ανήκουν σε τελικούς χρήστες. Ως εκ τούτου, η διασφάλιση της ασφάλειας των πληροφοριών των συστημάτων και των δικτύων υπολογιστών είναι ένας από τους κορυφαίους τομείς ανάπτυξης πληροφορικής.

Ας εξετάσουμε τις βασικές έννοιες της προστασίας πληροφοριών και της ασφάλειας πληροφοριών συστημάτων και δικτύων υπολογιστών, λαμβάνοντας υπόψη τους ορισμούς του GOST R 50922-96.

Προστασία πληροφοριών -Αυτή είναι μια δραστηριότητα για την αποτροπή διαρροής προστατευμένων πληροφοριών, μη εξουσιοδοτημένων και ακούσιων επιπτώσεων σε προστατευμένες πληροφορίες.

Αντικείμενο προστασίας -πληροφορίες, μέσο αποθήκευσης ή διαδικασία πληροφοριών που πρέπει να προστατεύονται σύμφωνα με τον επιδιωκόμενο σκοπό της προστασίας των πληροφοριών.

Ο σκοπός της προστασίας των πληροφοριών είναιαυτό είναι το επιθυμητό αποτέλεσμα της ασφάλειας των πληροφοριών. Ο σκοπός της προστασίας πληροφοριών μπορεί να είναι η αποτροπή ζημίας στον κάτοχο, τον κάτοχο ή τον χρήστη των πληροφοριών ως αποτέλεσμα πιθανής διαρροής πληροφοριών και/ή μη εξουσιοδοτημένης και ακούσιας επίδρασης στις πληροφορίες.

Αποτελεσματικότητα της προστασίας πληροφοριών -ο βαθμός στον οποίο τα αποτελέσματα της προστασίας των πληροφοριών αντιστοιχούν στον επιδιωκόμενο σκοπό.

Προστασία πληροφοριών από διαρροή -δραστηριότητες για την αποτροπή της ανεξέλεγκτης διάδοσης προστατευόμενων πληροφοριών από την αποκάλυψή τους, τη μη εξουσιοδοτημένη πρόσβαση (NAA) σε προστατευμένες πληροφορίες και τη λήψη προστατευμένων πληροφοριών από εισβολείς.

Προστασία πληροφοριών από αποκάλυψη -δραστηριότητες για την πρόληψη της μη εξουσιοδοτημένης διανομής προστατευμένων πληροφοριών σε έναν ανεξέλεγκτο αριθμό παραληπτών πληροφοριών.

Προστασία πληροφοριών από μη εξουσιοδοτημένη πρόσβαση -δραστηριότητες για την αποτροπή της λήψης προστατευόμενων πληροφοριών από ένα ενδιαφερόμενο υποκείμενο κατά παράβαση των δικαιωμάτων ή των κανόνων πρόσβασης σε προστατευμένες πληροφορίες που καθορίζονται από νομικά έγγραφα ή του κατόχου ή του κατόχου των πληροφοριών. Ένα ενδιαφερόμενο μέρος που διενεργεί τελωνειακό έλεγχο σε προστατευόμενες πληροφορίες μπορεί να είναι ένα κράτος, μια νομική οντότητα, μια ομάδα ατόμων, συμπεριλαμβανομένου ενός δημόσιου οργανισμού, ή ένα μεμονωμένο φυσικό πρόσωπο.

Σύστημα ασφάλειας πληροφοριών -ένα σύνολο φορέων ή/και εκτελεστών, την τεχνολογία προστασίας πληροφοριών που χρησιμοποιούν, καθώς και αντικείμενα προστασίας, οργανωμένα και λειτουργικά σύμφωνα με τους κανόνες που ορίζονται από τα σχετικά νομικά, οργανωτικά, διοικητικά και κανονιστικά έγγραφα για την προστασία των πληροφοριών.

Υπό ασφάλεια πληροφοριώνκατανοούν την ασφάλεια των πληροφοριών από παράνομη πρόσβαση, μετασχηματισμό και καταστροφή, καθώς και την ασφάλεια των πόρων πληροφοριών από επιρροές που στοχεύουν στη διατάραξη της απόδοσής τους. Η φύση αυτών των επιρροών μπορεί να είναι πολύ διαφορετική.

Αυτές περιλαμβάνουν απόπειρες εισβολέων, σφάλματα προσωπικού, αστοχία υλικού και λογισμικού, φυσικές καταστροφές (σεισμός, τυφώνας, πυρκαγιά) κ.λπ.

Σύγχρονος αυτοματοποιημένο σύστημα(ΩΣ) επεξεργασία πληροφοριώνείναι ένα σύνθετο σύστημα που αποτελείται από μεγάλο αριθμό στοιχείων διαφορετικού βαθμού αυτονομίας που διασυνδέονται και ανταλλάσσουν δεδομένα. Σχεδόν κάθε στοιχείο μπορεί να εκτεθεί σε εξωτερικές επιρροές ή να αποτύχει. Εξαρτήματα ηχείωνμπορεί να αναλυθεί σε τις ακόλουθες ομάδες:

• υλικό -υπολογιστές και τα εξαρτήματά τους (επεξεργαστές, οθόνες, τερματικά, περιφερειακές συσκευές - μονάδες δίσκου, εκτυπωτές, ελεγκτές, καλώδια, γραμμές επικοινωνίας κ.λπ.)
• λογισμικό -αγορασμένα προγράμματα, πηγή, αντικείμενο, ενότητες φόρτωσης. OS και προγράμματα του συστήματος(μεταγλωττιστές, σύνδεσμοι, κ.λπ.), βοηθητικά προγράμματα, διαγνωστικά προγράμματακαι τα λοιπά.;
• δεδομένα -αποθηκεύονται προσωρινά και μόνιμα, σε μαγνητικά μέσα, έντυπα, αρχεία, αρχεία καταγραφής συστήματοςκαι τα λοιπά.;
• προσωπικό -προσωπικό σέρβις και χρήστες.

Ένα από τα χαρακτηριστικά της διασφάλισης της ασφάλειας πληροφοριών στο AS είναι ότι αφηρημένες έννοιες όπως πληροφορίες, αντικείμενα και θέματα του συστήματος αντιστοιχούν σε φυσικές αναπαραστάσεις σε περιβάλλον υπολογιστή:

• για παρουσίαση πληροφοριών - μέσα αποθήκευσης υπολογιστήστη μορφή εξωτερικές συσκευέςσυστήματα υπολογιστών (τερματικά, συσκευές εκτύπωσης, διάφορες συσκευές αποθήκευσης, γραμμές και κανάλια επικοινωνίας), RAM, αρχεία, εγγραφές κ.λπ.
• αντικείμενα συστήματος -παθητικά στοιχεία συστήματος που αποθηκεύουν, λαμβάνουν ή μεταδίδουν πληροφορίες. Πρόσβαση σε ένα αντικείμενο σημαίνει πρόσβαση στις πληροφορίες που περιέχονται σε αυτό.
• θέματα του συστήματος -ενεργά στοιχεία ενός συστήματος που μπορούν να προκαλέσουν ροή πληροφοριών από ένα αντικείμενο σε ένα θέμα ή μια αλλαγή στην κατάσταση του συστήματος. Τα θέματα μπορεί να είναι χρήστες, ενεργά προγράμματα και διεργασίες.

Η ασφάλεια των πληροφοριών των υπολογιστικών συστημάτων επιτυγχάνεται με τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της ΑΞΙΟΠΙΣΤΙΑΣ των επεξεργασμένων δεδομένων, καθώς και της διαθεσιμότητας και ακεραιότητας των στοιχείων και των πόρων πληροφοριών του συστήματος. Αναφέρεται παραπάνω βασικές ιδιότητες της πληροφορίαςχρειάζεται πληρέστερη ερμηνεία.

Απόρρητο δεδομένων -είναι το καθεστώς που δίνεται στα δεδομένα και καθορίζει τον βαθμό προστασίας που απαιτείται. Τα εμπιστευτικά δεδομένα μπορεί να περιλαμβάνουν, για παράδειγμα, τα ακόλουθα: προσωπικές πληροφορίες χρηστών· λογαριασμούς (ονόματα και κωδικοί πρόσβασης)· στοιχεία πιστωτικής κάρτας· δεδομένα ανάπτυξης και διάφορα εσωτερικά έγγραφα· λογιστικές πληροφορίες. Οι εμπιστευτικές πληροφορίες πρέπει να είναι γνωστές μόνο σε εγκεκριμένα και επαληθευμένα (εξουσιοδοτημένα) υποκείμενα του συστήματος (χρήστες, διαδικασίες, προγράμματα). Για άλλα θέματα του συστήματος, αυτές οι πληροφορίες θα πρέπει να είναι άγνωστες.

Ο καθορισμός διαβαθμίσεων σημασίας για την προστασία προστατευμένων πληροφοριών (αντικείμενο προστασίας) ονομάζεται κατηγοριοποίηση προστατευόμενων πληροφοριών.

Υπό ακεραιότητα των πληροφοριώναναφέρεται στην ιδιότητα της πληροφορίας να διατηρεί τη δομή και/ή το περιεχόμενό της κατά τη μετάδοση και την αποθήκευση. Η ακεραιότητα των πληροφοριών διασφαλίζεται εάν τα δεδομένα στο σύστημα δεν διαφέρουν σημασιολογικά από τα δεδομένα του έγγραφα πηγής, δηλαδή εάν δεν υπήρξε τυχαία ή σκόπιμη παραμόρφωση ή καταστροφή. Η διασφάλιση της ακεραιότητας των δεδομένων είναι ένα από τα πολύπλοκα καθήκοντα της ασφάλειας των πληροφοριών.

Αξιοπιστία πληροφοριών -ιδιοκτησία των πληροφοριών, που εκφράζεται αυστηρά ότι ανήκει στο υποκείμενο που είναι η πηγή τους ή στο υποκείμενο από το οποίο ελήφθησαν αυτές οι πληροφορίες.

Νομική σημασία των πληροφοριώνσημαίνει ότι το έγγραφο που περιέχει τις πληροφορίες έχει νομική ισχύ.

Διαθεσιμότητα δεδομένων.Ο χρήστης μπορεί να εργαστεί με δεδομένα μόνο εάν έχει πρόσβαση σε αυτά.

Πρόσβαση σε πληροφορίες -απόκτηση της ευκαιρίας για το υποκείμενο να εξοικειωθεί με τις πληροφορίες, μεταξύ άλλων μέσω τεχνικά μέσα. Θέμα πρόσβασης σε πληροφορίες -συμμετέχων σε νομικές σχέσεις σε διαδικασίες πληροφόρησης.

Αποτελεσματικότητα πρόσβασης σε πληροφορίες -είναι η ικανότητα μιας πληροφορίας ή κάποιας πηγής πληροφοριών να είναι προσβάσιμη τελικό χρήστηανάλογα με τις λειτουργικές του ανάγκες.

Κάτοχος των πληροφοριών -υποκείμενο που ασκεί πλήρως τις εξουσίες ιδιοκτησίας, χρήσης και διάθεσης πληροφοριών σύμφωνα με τις νομοθετικές πράξεις.

Κάτοχος των πληροφοριών -υποκείμενο που κατέχει και χρησιμοποιεί πληροφορίες και ασκεί τις εξουσίες διάθεσης εντός των ορίων των δικαιωμάτων που θεσπίζονται από το νόμο ή/και του κατόχου των πληροφοριών.

Μεταχειριζόμενος (καταναλωτή) πληροφορίες -ένα υποκείμενο που χρησιμοποιεί πληροφορίες που έλαβε από τον ιδιοκτήτη, τον κάτοχο ή τον μεσάζοντα του σύμφωνα με καθιερωμένα δικαιώματα και κανόνες πρόσβασης σε πληροφορίες ή κατά παράβαση αυτών.

Δικαίωμα πρόσβασης σε πληροφορίες -ένα σύνολο κανόνων για την πρόσβαση σε πληροφορίες που καθορίζονται από νομικά έγγραφα ή από τον κάτοχο ή τον κάτοχο των πληροφοριών.

Κανόνας πρόσβασης σε πληροφορίες -ένα σύνολο κανόνων που ρυθμίζουν τη διαδικασία και τις προϋποθέσεις πρόσβασης ενός υποκειμένου στις πληροφορίες και τα μέσα ενημέρωσης του.

Υπάρχει εξουσιοδοτημένη και μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες.

Εξουσιοδοτημένη πρόσβασηστις πληροφορίες είναι η πρόσβαση σε πληροφορίες που δεν παραβαίνουν τους καθιερωμένους κανόνες ελέγχου πρόσβασης. Οι κανόνες ελέγχου πρόσβασης χρησιμεύουν για τη ρύθμιση των δικαιωμάτων πρόσβασης στα στοιχεία του συστήματος.

Μη εξουσιοδοτημένη πρόσβασησε πληροφορίες - παραβίαση των καθιερωμένων κανόνων ελέγχου πρόσβασης. Ένα άτομο ή μια διαδικασία που διενεργεί έλεγχο πρόσβασης σε πληροφορίες παραβιάζει τους κανόνες ελέγχου πρόσβασης. Το NSD είναι ο πιο συνηθισμένος τύπος παραβίασης υπολογιστή.

Υπεύθυνος για την προστασία του συστήματος του υπολογιστή από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες είναι διαχειριστής ασφαλείας.

Διαθεσιμότητα πληροφοριών σημαίνει επίσης διαθεσιμότητα εξαρτημάτωνή πόροςσύστημα υπολογιστή, δηλαδή η ιδιότητα ενός στοιχείου ή ενός πόρου να είναι προσβάσιμο σε νόμιμα υποκείμενα του συστήματος. Ένα δείγμα λίστας πόρων που ενδέχεται να είναι διαθέσιμοι περιλαμβάνει: εκτυπωτές, διακομιστές, σταθμούς εργασίας, δεδομένα χρήστη, οποιαδήποτε κρίσιμα δεδομένα απαιτούνται για τη λειτουργία.

Ακεραιότητα πόρωνή στοιχείο συστήματος -Αυτή είναι η ιδιότητα ενός πόρου ή ενός στοιχείου να παραμένει αμετάβλητο με τη σημασιολογική έννοια όταν το σύστημα λειτουργεί υπό συνθήκες τυχαίων ή σκόπιμων παραμορφώσεων ή καταστροφικών επιρροών.

Η πρόσβαση σε πληροφορίες και πόρους συστήματος σχετίζεται με μια ομάδα σημαντικών εννοιών όπως η αναγνώριση, η πιστοποίηση ταυτότητας και η εξουσιοδότηση. Κάθε θέμα του συστήματος (δίκτυο) συνδέεται με κάποιες πληροφορίες (αριθμός, σειρά χαρακτήρων) που προσδιορίζουν το θέμα. Αυτή η πληροφορία είναι αναγνωριστικόαντικείμενο του συστήματος (δίκτυο). Η οντότητα που έχει το καταχωρημένο αναγνωριστικό είναι νομικός (νομικό) υποκείμενο. Αναγνώριση υποκειμένου -Αυτή είναι μια διαδικασία για την αναγνώριση ενός υποκειμένου από το αναγνωριστικό του. Η αναγνώριση εκτελείται όταν ένα υποκείμενο επιχειρεί να συνδεθεί σε ένα σύστημα (δίκτυο). Το επόμενο βήμα στην αλληλεπίδραση του συστήματος με το θέμα είναι ο έλεγχος ταυτότητας του θέματος. Έλεγχος ταυτότητας θέματος -Αυτό είναι ο έλεγχος ταυτότητας ενός θέματος με ένα δεδομένο αναγνωριστικό. Η διαδικασία ελέγχου ταυτότητας καθορίζει εάν το υποκείμενο είναι αυτό που ισχυρίζεται ότι είναι. Μετά την ταυτοποίηση και την πιστοποίηση του υποκειμένου, πραγματοποιείται διαδικασία εξουσιοδότησης. Εξουσιοδότηση υποκειμένου -Αυτή είναι η διαδικασία για την παροχή κατάλληλων εξουσιών και διαθέσιμων πόρων συστήματος (δικτύου) σε μια νόμιμη οντότητα που έχει περάσει επιτυχώς την αναγνώριση και τον έλεγχο ταυτότητας.

Υπό απειλή για την ασφάλειαΤο AS κατανοεί πιθανές ενέργειες που θα μπορούσαν άμεσα ή έμμεσα να βλάψουν την ασφάλειά του. Ζημιά ασφαλείαςσυνεπάγεται παραβίαση της κατάστασης ασφαλείας των πληροφοριών που περιέχονται και επεξεργάζονται στο σύστημα (δίκτυο). Η έννοια της ευπάθειας ενός συστήματος υπολογιστών (δικτύου) συνδέεται στενά με την έννοια της απειλής για την ασφάλεια. Ευπάθεια συστήματος υπολογιστή -Είναι μια εγγενής ατυχής ιδιότητα του συστήματος που μπορεί να οδηγήσει στην υλοποίηση της απειλής. Επίθεσησε ένα σύστημα υπολογιστή είναι η αναζήτηση και/ή η χρήση από έναν εισβολέα μιας ή άλλης ευπάθειας συστήματος. Με άλλα λόγια, μια επίθεση είναι η εφαρμογή μιας απειλής για την ασφάλεια.

Η αντιμετώπιση των απειλών ασφαλείας είναι ο στόχος της προστασίας των συστημάτων και των δικτύων υπολογιστών.

Ασφαλές σύστημα -είναι ένα σύστημα με προστασίες που αντιμετωπίζουν επιτυχώς και αποτελεσματικά τις απειλές ασφαλείας.

Μέθοδος προστασίας πληροφοριών -διαδικασία και κανόνες για την εφαρμογή ορισμένων αρχών και μέσων προστασίας των πληροφοριών.

Εργαλείο ασφάλειας πληροφοριών -τεχνικό, εργαλείο λογισμικού, ουσία ή/και υλικό που προορίζεται ή χρησιμοποιείται για την προστασία των πληροφοριών

Σετ προστατευτικού εξοπλισμού(KSZ) - ένα σύνολο λογισμικού και υλικού που δημιουργήθηκε και υποστηρίζεται για τη διασφάλιση της ασφάλειας πληροφοριών ενός συστήματος (δικτύου). Το σύστημα ασφαλείας δημιουργείται και διατηρείται σύμφωνα με την πολιτική ασφαλείας που υιοθετεί ο οργανισμός.

Τεχνολογία ασφάλειας πληροφοριών -μέσα προστασίας πληροφοριών, μέσα παρακολούθησης της αποτελεσματικότητας της προστασίας των πληροφοριών, εργαλεία διαχείρισης και συστήματα που έχουν σχεδιαστεί για να διασφαλίζουν την προστασία των πληροφοριών.

Τα εταιρικά δίκτυα διανέμονται αυτοματοποιημένα συστήματα(AS) εκτέλεση επεξεργασίας πληροφοριών. Η διασφάλιση της ασφάλειας του συστήματος συνεπάγεται την οργάνωση αντιμετώπισης οποιασδήποτε μη εξουσιοδοτημένης εισβολής στη λειτουργία του συστήματος, καθώς και απόπειρες τροποποίησης, κλοπής, απενεργοποίησης ή καταστροφής των στοιχείων του, δηλαδή προστασία όλων των στοιχείων του συστήματος - υλικό, λογισμικό(λογισμικό), δεδομένα και προσωπικό. Μια συγκεκριμένη προσέγγιση στο πρόβλημα της διασφάλισης της ασφάλειας βασίζεται στην πολιτική ασφαλείας που αναπτύχθηκε για το AS.

Πολιτική Ασφαλείας -είναι ένα σύνολο κανόνων, κανόνων και πρακτικές συστάσειςρύθμιση της λειτουργίας των μέσων προστασίας ενός συστήματος υπολογιστή από ένα δεδομένο σύνολο απειλών. Λεπτομερέστερες πληροφορίες σχετικά με τα είδη της πολιτικής ασφαλείας και τη διαδικασία ανάπτυξής της παρέχονται στο Κεφάλαιο. 3.

Η έννοια και η ουσία της ασφάλειας πληροφοριών

Αποτροπή μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες.

Δημιουργία συνθηκών που περιορίζουν τη διάδοση πληροφοριών.

Προστασία του δικαιώματος του ιδιοκτήτη να κατέχει και να διαθέτει πληροφορίες·

Πρόληψη διαρροής, κλοπής, απώλειας, μη εξουσιοδοτημένης καταστροφής, αντιγραφής, τροποποίησης, παραμόρφωσης, αποκλεισμού, αποκάλυψης πληροφοριών, μη εξουσιοδοτημένων και ακούσιων επιπτώσεων σε αυτές·

Διατήρηση της πληρότητας, της αξιοπιστίας, της ακεραιότητας, της αξιοπιστίας, του απορρήτου των πληροφοριών κ.λπ.

Η μεθοδολογική βάση για την αποκάλυψη της ουσίας και τον ορισμό της έννοιας της ασφάλειας πληροφοριών θα πρέπει να είναι ο ορισμός της έννοιας της ασφάλειας στο σύνολό της, ανεξάρτητα από το αντικείμενο προστασίας.

ΣΕ επεξηγηματικά λεξικάΟ όρος προστασία ερμηνεύεται με δύο τρόπους: ως διαδικασία προστασίας, σωτηρίας, σωτηρίας από κάποιον κάτι δυσάρεστο, εχθρικό, επικίνδυνο και ως σύνολο μεθόδων, μέσων και μέτρων που λαμβάνονται για να αποτραπεί κάτι. Έτσι, το περιεχόμενο σε αυτούς τους ορισμούς συμπίπτει ως προς το νόημα - αυτό είναι πρόληψη, πρόληψη κάτι επικίνδυνο, εχθρικό. Εάν συσχετίσουμε αυτή τη διάταξη με την προστασία των πληροφοριών, τότε το πιο επικίνδυνο πράγμα για τον κάτοχο των πληροφοριών είναι η παραβίαση του καθιερωμένου καθεστώτος των πληροφοριών και επομένως το ουσιαστικό μέρος της προστασίας θα πρέπει να είναι η πρόληψη μιας τέτοιας παραβίασης.

Η παραβίαση της κατάστασης οποιασδήποτε πληροφορίας συνίσταται σε παραβίαση της φυσικής της ασφάλειας γενικά ή για έναν δεδομένο ιδιοκτήτη (ολική ή μερική), της δομικής ακεραιότητας και της προσβασιμότητας για εξουσιοδοτημένους χρήστες. Η παραβίαση του καθεστώτος των εμπιστευτικών πληροφοριών, συμπεριλαμβανομένης αυτής που συνιστά κρατικό απόρρητο, περιλαμβάνει επιπλέον παραβίαση του απορρήτου τους (κλειστό σε τρίτους).

Το δεύτερο συστατικό της ουσίας της προστασίας των πληροφοριών - η μέθοδος υλοποίησης του περιεχομένου - στα επεξηγηματικά λεξικά, όπως έχει ήδη σημειωθεί, παρουσιάζεται ως διαδικασία ή ως σύνολο μεθόδων, μέσων και δραστηριοτήτων.

Η προστασία πληροφοριών περιλαμβάνει ένα συγκεκριμένο σύνολο μεθόδων, μέσων και δραστηριοτήτων, αλλά θα ήταν λάθος να περιοριστεί η μέθοδος υλοποίησης μόνο σε αυτό. Η προστασία των πληροφοριών πρέπει να είναι συστηματική και το σύστημα, εκτός από μεθόδους, μέσα και μέτρα, περιλαμβάνει και άλλα στοιχεία: αντικείμενα προστασίας, φορείς προστασίας, χρήστες πληροφοριών. Ταυτόχρονα, η προστασία δεν πρέπει να είναι κάτι στατικό, αλλά να είναι συνεχής διαδικασία. Αλλά αυτή η διαδικασία δεν συμβαίνει από μόνη της, αλλά εμφανίζεται ως αποτέλεσμα της ανθρώπινης δραστηριότητας. Η δραστηριότητα, εξ ορισμού, περιλαμβάνει όχι μόνο μια διαδικασία, αλλά και στόχους, μέσα και αποτελέσματα. Η προστασία των πληροφοριών δεν μπορεί να είναι άσκοπη, αναποτελεσματική και να πραγματοποιείται χωρίς τη βοήθεια ορισμένων μέσων. Επομένως, η δραστηριότητα πρέπει να είναι ο τρόπος υλοποίησης του περιεχομένου της προστασίας.

Προστασία πληροφοριών– δραστηριότητες για την πρόληψη της απώλειας και της διαρροής εμπιστευτικών πληροφοριών και της απώλειας προστατευμένων ανοιχτών πληροφοριών.

Σκοπός προστασίας πληροφοριών– το επιθυμητό αποτέλεσμα προστασίας πληροφοριών. Ο σκοπός της προστασίας πληροφοριών μπορεί να είναι η αποτροπή ζημίας στον κάτοχο, τον κάτοχο ή τον χρήστη των πληροφοριών ως αποτέλεσμα πιθανής διαρροής πληροφοριών και/ή μη εξουσιοδοτημένης και ακούσιας επίδρασης στις πληροφορίες.

Η έννοια της ασφάλειας των πληροφοριών, ως ένα σύστημα απόψεων για τους στόχους, τις μεθόδους διασφάλισης της ασφάλειας των πληροφοριών και τα μέσα προστασίας της, πρέπει γενικά να απαντά σε τρία απλά ερωτήματα:

Τι να προστατέψετε;

Από τι να προστατευτείτε;

Πώς να προστατευτείτε;

Με την ερώτηση «Τι να προστατέψω;» Η έννοια του αντικειμένου προστασίας σχετίζεται.

Αντικείμενο προστασίας– φορέας πληροφοριών ή πληροφοριών ή διαδικασία πληροφοριών, για την οποία είναι απαραίτητο να διασφαλιστεί η προστασία σύμφωνα με τον δηλωμένο σκοπό της προστασίας των πληροφοριών·

Αντικείμενο προστασίας– πληροφορίες, τεχνικά μέσα και τεχνολογία για την επεξεργασία τους, για τα οποία είναι απαραίτητο να διασφαλιστεί η ασφάλεια των πληροφοριών.

Η βασική ιδιότητα των πληροφοριών είναι η αξία τους, δηλαδή το κόστος της ζημιάς από καταστροφή, απώλεια ή αποκάλυψη. Επιπλέον, η ιδιαιτερότητα της πληροφορίας είναι ότι δεν εξαφανίζεται κατά την κατανάλωση και δεν μεταφέρεται πλήρως κατά την ανταλλαγή (σε αντίθεση με τα χρήματα, παραμένει στον παλιό χρήστη). Αφενός, είναι «αδιαίρετο», δηλαδή έχει νόημα μόνο με επαρκή πλήρη ποσότητα πληροφοριών, αφετέρου, η ποιότητά του αυξάνεται με την προσθήκη νέων αξιόπιστων δεδομένων, δηλαδή είναι δυνατό να σταδιακά συσσωρεύουν πληροφορίες σε μικρά μέρη. Επομένως, πριν απαντήσετε στην πρώτη ερώτηση, είναι απαραίτητο να κατανοήσετε με σαφήνεια ποιες πληροφορίες ενδέχεται να απαιτούν προστασία. (Αυτό θα μπορούσε να είναι, για παράδειγμα, ολόκληρος ο όγκος δεδομένων που συσσωρεύονται και δημιουργούνται στην εταιρεία που είναι εμπορικής σημασίας, πληροφορίες για προμηθευτές και κατασκευαστές, πωλητές και αντιπροσώπους, συμβόλαια και πελάτες, εταιρικά σχέδια, όρια τιμών, μπόνους για αντιπροσώπους και μεσάζοντες , ονόματα και διευθύνσεις εργαζομένων, κόστος παραγωγής, μάρκετινγκ και αναλυτική έρευνα).

Το επόμενο βήμα θα πρέπει να είναι ο διαχωρισμός αυτών των προστατευμένων αντικειμένων σύμφωνα με την αξία των πληροφοριών που περιέχουν και ο εντοπισμός δυνητικά επικίνδυνων συστημάτων που επιτρέπουν την πρόσβαση σε αυτά. Επομένως, όλα τα περιγραφόμενα μέσα μη εξουσιοδοτημένης ανάκτησης πληροφοριών συνδέονται με τα συγκεκριμένα μέσα για τα οποία προορίζονται να λειτουργήσουν. Με βάση τα παραπάνω μπορούμε πρακτικά να απαντήσουμε στο πρώτο ερώτημα. Εάν γνωρίζετε τουλάχιστον σε γενικές γραμμές τις βασικές μεθόδους λειτουργίας των επιτιθέμενων και τις δυνατότητες του εξοπλισμού τους, τότε δεν θα χρειαστεί πολύς χρόνος.

Πολλές υπηρεσίες ασφαλείας μεγάλων εμπορικών δομών διεξάγουν με επιτυχία επιχειρήσεις για τη λήψη πληροφοριών σχετικά με πιθανούς πελάτες, συνεργάτες ή ανταγωνιστές. Ελέγχουν αυστηρά τους υπαλλήλους τους για να αποφύγουν τη διαρροή των μυστικών τους. Δεν πρέπει να ξεχνάμε ότι η ένταξη της Ρωσίας σε διεθνείς οργανισμούς, η συμμετοχή σε κοινές εταιρείες και έργα καθιστά τους εγχώριους επιχειρηματίες αντικείμενο προσοχής ιδιωτικών και ακόμη και κρατικών υπηρεσιών πληροφοριών της Δύσης και της Ανατολής.

Η ερώτηση «Από τι να προστατευτείς;» συνδέονται με την έννοια της απειλής. Απειλή– η πιθανότητα παράνομης σκόπιμης ή τυχαίας επιρροής που οδηγεί σε απώλεια ή αποκάλυψη πληροφοριών. Τυπικά, διακρίνονται εσωτερικές και εξωτερικές πηγές απειλών.

Με την ερώτηση «Πώς να προστατεύσω τις πληροφορίες;» Η έννοια του συστήματος ασφάλειας πληροφοριών είναι εγγενώς συνδεδεμένη.

Σύστημα ασφάλειας πληροφοριών– ένα σύνολο φορέων ή/και εκτελεστών, η τεχνολογία προστασίας πληροφοριών που χρησιμοποιούν, καθώς και αντικείμενα προστασίας, οργανωμένα και λειτουργικά σύμφωνα με τους κανόνες που θεσπίζονται από τα σχετικά νομικά, οργανωτικά, διοικητικά και κανονιστικά έγγραφα για την προστασία των πληροφοριών.

Οι κύριοι στόχοι της προστασίας των πληροφοριών είναι:

Πρόληψη διαρροής, κλοπής, απώλειας, παραμόρφωσης, παραποίησης πληροφοριών.

Πρόληψη απειλών για την ασφάλεια των ατόμων, της κοινωνίας και του κράτους.

Πρόληψη μη εξουσιοδοτημένων ενεργειών για την καταστροφή, τροποποίηση, παραμόρφωση, αντιγραφή, αποκλεισμό πληροφοριών.

Πρόληψη άλλων μορφών παράνομης παρέμβασης σε πόρους πληροφοριών και πληροφοριακά συστήματα.

Διασφάλιση του νομικού καθεστώτος των τεκμηριωμένων πληροφοριών ως αντικείμενο ιδιοκτησίας.

Προστασία των συνταγματικών δικαιωμάτων των πολιτών να διατηρούν το προσωπικό απόρρητο και το απόρρητο των προσωπικών δεδομένων που διατίθενται σε πληροφοριακά συστήματα;

Τήρηση κρατικών μυστικών τεκμηριωμένων πληροφοριών σύμφωνα με το νόμο.

Διασφάλιση των δικαιωμάτων των υποκειμένων στις διαδικασίες πληροφόρησης και στην ανάπτυξη, παραγωγή και εφαρμογή πληροφοριακών συστημάτων, τεχνολογιών και μέσων υποστήριξής τους.

Σύμφωνα με αυτούς τους στόχους, η διαδικασία ασφάλειας πληροφοριών πρέπει να διασφαλίζει τη διατήρηση της ακεραιότητας και του απορρήτου της.

Ταξινόμηση και χαρακτηριστικά βασικών μεθόδων και μέσων προστασίας

Μέχρι σήμερα, έχουν αναπτυχθεί πολλά διαφορετικά εργαλεία, μέθοδοι, μέτρα και δραστηριότητες για την προστασία των πληροφοριών. Αυτό περιλαμβάνει:

Υλικό και λογισμικό,

Κλείσιμο κρυπτογραφικών πληροφοριών,

Φυσικά μέτρα

Οργανωτικές εκδηλώσεις

Νομοθετικά μέτρα

Ηθικά και ηθικά μέσα.

Μερικές φορές όλα αυτά τα μέσα προστασίας χωρίζονται σε τεχνικά και μη τεχνικά και τα τεχνικά μέσα περιλαμβάνουν υλικό και λογισμικό και κλείσιμο κρυπτογραφικών πληροφοριών και μη τεχνικά μέσα όλα τα υπόλοιπα.

Υλικό – συσκευές ενσωματωμένες απευθείας σε εξοπλισμό υπολογιστή ή συσκευές που διασυνδέονται με αυτόν χρησιμοποιώντας μια τυπική διεπαφή. Η προστασία υλικού περιλαμβάνει διάφορες ηλεκτρονικές, ηλεκτρονικές-μηχανικές και ηλεκτροοπτικές συσκευές. Για παράδειγμα, γεννήτριες κωδικών που έχουν σχεδιαστεί για να δημιουργούν αυτόματα έναν κωδικό αναγνώρισης για μια συσκευή, μια συσκευή για τη μέτρηση μεμονωμένων χαρακτηριστικών ενός ατόμου (φωνή, δακτυλικά αποτυπώματα) με σκοπό την αναγνώρισή του ( βιομετρική ταυτοποίηση), κ.λπ. Μια ειδική και πιο ευρέως χρησιμοποιούμενη ομάδα συσκευών ασφαλείας υλικού είναι οι συσκευές κρυπτογράφησης πληροφοριών (κρυπτογραφικές μέθοδοι).

Εργαλεία λογισμικού – Αυτό ειδικά προγράμματακαι συστήματα λογισμικού που έχουν σχεδιαστεί για την προστασία πληροφοριών σε IP. Το λογισμικό ασφαλείας περιλαμβάνει ειδικά προγράμματα που έχουν σχεδιαστεί για να εκτελούν λειτουργίες ασφαλείας και περιλαμβάνονται στο λογισμικό των συστημάτων επεξεργασίας δεδομένων. Προστασία λογισμικούείναι ο πιο κοινός τύπος προστασίας, ο οποίος διευκολύνεται από τέτοιες θετικές ιδιότητες αυτό το εργαλείο, όπως καθολικότητα, ευελιξία, ευκολία εφαρμογής, σχεδόν απεριόριστες δυνατότητες αλλαγής και ανάπτυξης κ.λπ.

Κρυπτογραφικό κλείσιμο(κρυπτογράφηση) πληροφοριών συνίσταται στη μετατροπή των προστατευόμενων πληροφοριών κατά τέτοιο τρόπο ώστε το περιεχόμενο των ιδιωτικών δεδομένων να μην μπορεί να προσδιοριστεί από την εμφάνισή τους. Οι ειδικοί δίνουν ιδιαίτερη προσοχή στην κρυπτογραφική προστασία, θεωρώντας την ως την πιο αξιόπιστη, και για πληροφορίες που μεταδίδονται μέσω γραμμών επικοινωνίας μεγάλων αποστάσεων, το μόνο μέσο προστασίας πληροφοριών από κλοπή.

Φυσικά μέσαπεριλαμβάνει διάφορες μηχανικές συσκευές και δομές που εμποδίζουν τη φυσική διείσδυση των επιτιθέμενων σε προστατευμένα αντικείμενα και προστατεύουν το προσωπικό (προσωπικός εξοπλισμός ασφαλείας), τους υλικούς πόρους και τα οικονομικά, πληροφορίες από παράνομες ενέργειες. Παραδείγματα φυσικά μέσα STV: κλειδαριές στις πόρτες, μπάρες στα παράθυρα, ηλεκτρονικές συσκευές συναγερμός για διαρρήξειςκαι τα λοιπά.

Οργανωτικά μέσαεκτελούν τη σύνθετη ρύθμιση των παραγωγικών δραστηριοτήτων κατά την ΠΕ και των σχέσεων των εκτελεστών σε νομική βάση με τέτοιο τρόπο ώστε η αποκάλυψη, η διαρροή και η μη εξουσιοδοτημένη πρόσβαση Ναοι εμπιστευτικές πληροφορίες καθίστανται αδύνατες ή παρεμποδίζονται σημαντικά λόγω οργανωτικών μέτρων. Το σύνολο αυτών των μέτρων υλοποιείται από την ομάδα ασφάλειας πληροφοριών, αλλά πρέπει να είναι υπό τον έλεγχο του πρώτου διαχειριστή.

Νομοθετικά μέσαΟι προστασίες καθορίζονται από νομοθετικές πράξεις της χώρας, οι οποίες ρυθμίζουν τους κανόνες χρήσης, επεξεργασίας και μετάδοσης περιορισμένων πληροφοριών και επιβάλλουν κυρώσεις για παραβίαση αυτών των κανόνων.

Ηθικά και ηθικά μέσαΟι προστασίες περιλαμβάνουν όλα τα είδη κανόνων συμπεριφοράς που παραδοσιακά αναπτύχθηκαν στο παρελθόν, αναδύονται καθώς το IP και το IT εξαπλώνονται σε όλη τη χώρα και τον κόσμο ή έχουν αναπτυχθεί ειδικά. Τα ηθικά και ηθικά πρότυπα μπορεί να είναι άγραφα (για παράδειγμα, ειλικρίνεια) ή επισημοποιημένα σε ένα συγκεκριμένο σύνολο (χάρτη) κανόνων ή κανονισμών. Αυτά τα πρότυπα, κατά κανόνα, δεν είναι νομικά εγκεκριμένα, αλλά δεδομένου ότι η μη συμμόρφωσή τους οδηγεί σε πτώση του κύρους του οργανισμού, θεωρούνται υποχρεωτικά.

Μέτρα προστασίας πληροφοριών:

Οργανωτικός– μέτρα περιοριστικού χαρακτήρα, που περιορίζονται στη ρύθμιση της πρόσβασης και της χρήσης τεχνικών μέσων επεξεργασίας πληροφοριών.

Οργανωτικό και τεχνικό– παρέχετε φραγή πιθανά κανάλιαδιαρροή πληροφοριών μέσω τεχνικών μέσων με χρήση ειδικών συσκευών εγκατεστημένων σε δομικά στοιχεία κτιρίων, χώρων και τεχνικών μέσων επεξεργασίας πληροφοριών.

Τεχνικός– απόκτηση, εγκατάσταση και χρήση τεχνικών μέσων επεξεργασίας πληροφοριών προστατευμένων από διάφορες επιρροές.

Συνηθίζεται να διακρίνουμε τα ακόλουθα κύρια είδη προστατευτικού εξοπλισμού:

Ρυθμιστική

Ηθική και ηθική

Οργανωτικός

Τεχνικός.

Ρυθμιστική– περιλαμβάνει νόμους και άλλες νομικές πράξεις, καθώς και μηχανισμούς εφαρμογής τους, που ρυθμίζουν τις σχέσεις πληροφόρησης στην κοινωνία.

Ηθική και ηθική– κανόνες και κανόνες συμπεριφοράς που στοχεύουν
διασφάλιση της ασφάλειας των πληροφοριών, που δεν κατοχυρώνεται στη νομοθεσία ή διοικητικά, αλλά υποστηρίζεται σε ομάδες μέσω των παραδόσεων και του μηχανισμού της κοινής γνώμης.

Οργανωτικός– κανόνες, μέτρα και μέτρα που ρυθμίζουν την πρόσβαση, την αποθήκευση, την εφαρμογή και τη μεταφορά πληροφοριών, που τίθενται σε ισχύ με διοικητικά μέσα. Χωρίς την τήρηση αυτών των κανόνων, η εγκατάσταση οποιουδήποτε, ακόμη και του πιο ακριβού, τεχνικού μέσου προστασίας θα έχει ως αποτέλεσμα τη σπατάλη χρημάτων για έναν οργανισμό στον οποίο τα οργανωτικά ζητήματα δεν έχουν επιλυθεί στο κατάλληλο επίπεδο. Και αυτό ισχύει για τυχόν κανάλια διαρροής.

Τεχνικά μέσα– πρόκειται για ειδικά συγκροτήματα υλικού και λογισμικού που έχουν σχεδιαστεί για να αποτρέπουν τη διαρροή επεξεργασμένων ή αποθηκευμένων πληροφοριών αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση σε αυτές χρησιμοποιώντας τεχνικά μέσα ανάκτησης.

Πραγματικό σύστημαΗ προστασία περιλαμβάνει όλους τους αναφερόμενους τύπους εργαλείων και, κατά κανόνα, δημιουργείται με την ενσωμάτωσή τους. Η κύρια δυσκολία στη δημιουργία του είναι ότι πρέπει να ικανοποιεί ταυτόχρονα δύο ομάδες άμεσα αντίθετων απαιτήσεων: να παρέχει αξιόπιστη προστασία πληροφοριών και να μην δημιουργεί αισθητές ενοχλήσεις. Συνήθως μόνο ένας επαρκώς καταρτισμένος επαγγελματίας μπορεί να συνδυάσει αυτές τις απαιτήσεις. Επιπλέον, το σύστημα προστασίας πρέπει να είναι κατάλληλο για πιθανές απειλές, με υποχρεωτική εκτίμηση τόσο της πιθανότητας εμφάνισής τους όσο και του ύψους της πραγματικής ζημίας από την απώλεια ή την αποκάλυψη πληροφοριών που κυκλοφορούν σε ένα συγκεκριμένο μέσο.

Προστατευμένες πληροφορίες

Προστατευμένες πληροφορίες– πληροφορίες που είναι αποκλειστικές και υπόκεινται σε προστασία σύμφωνα με τις απαιτήσεις νομικά έγγραφαή απαιτήσεις που καθορίζονται από τον κάτοχο των πληροφοριών.

Τα κύρια αντικείμενα της κρατικής ασφάλειας πληροφοριών περιλαμβάνουν:

Πηγές πληροφοριών που περιέχουν πληροφορίες που αποτελούν κρατικά μυστικά, εμπορικά μυστικά και άλλες εμπιστευτικές πληροφορίες.

Σύστημα για το σχηματισμό της διάδοσης και χρήσης πόρων πληροφοριών, συμπεριλαμβανομένων συστημάτων πληροφοριών διαφόρων τάξεων και σκοπών, τεχνολογιών πληροφοριών, κανονισμών και διαδικασιών συλλογής, επεξεργασίας, αποθήκευσης και μετάδοσης πληροφοριών, επιστημονικό, τεχνικό και υπηρεσιακό προσωπικό.

Πληροφοριακή υποδομή, συμπεριλαμβανομένων κέντρων επεξεργασίας και ανάλυσης πληροφοριών, διαύλων ανταλλαγής πληροφοριών και τηλεπικοινωνιών, μηχανισμών για τη διασφάλιση της λειτουργίας τηλεπικοινωνιακών συστημάτων και δικτύων, συμπεριλαμβανομένων συστημάτων και μέσων ασφάλειας πληροφοριών.

Η ασφάλεια πληροφοριών των απαριθμούμενων αντικειμένων δημιουργεί προϋποθέσεις για την αξιόπιστη λειτουργία κρατικών και δημόσιων ιδρυμάτων, νομικών προσώπων και μεμονωμένων πολιτών. Τα μέσα επεξεργασίας, συσσώρευσης, αποθήκευσης και μετάδοσής του βελτιώνονται συνεχώς. Οι πληροφορίες ως κατηγορία που έχουν πραγματική ή δυνητική αξία, αξία, όπως και κάθε άλλο είδος αξίας, φυλάσσονται και προστατεύονται από τον ιδιοκτήτη ή τον κάτοχό τους.

Κάτοχος προστατευόμενων πληροφοριών– νομικό ή φυσικό πρόσωπο που κατά την κρίση του κατέχει, χρησιμοποιεί και διαθέτει τις πληροφορίες που του ανήκουν.

Κάτοχος προστατευόμενων πληροφοριών– νομικό ή φυσικό πρόσωπο που έχει την εξουσία να κατέχει, να χρησιμοποιεί και να διαθέτει αυτές τις πληροφορίες βάσει συμφωνίας με τον ιδιοκτήτη, δυνάμει νόμου ή απόφασης διοικητικών οργάνων.

Κάθε κράτος προστατεύει τους πόρους πληροφοριών του. Οι κρατικοί πόροι πληροφοριών, ως πρώτη προσέγγιση, μπορούν να χωριστούν σε τρεις μεγάλες ομάδες:

Οι πληροφορίες είναι ανοιχτές – δεν υπάρχουν περιορισμοί στη διανομή και τη χρήση τους.

Κατοχυρωμένες πληροφορίες – προστατεύονται από την εθνική νομοθεσία ή διεθνείς συμφωνίεςως αντικείμενο πνευματικής ιδιοκτησίας;

Πληροφορίες που «κλείνονται» από τον ιδιοκτήτη, κάτοχό τους και προστατεύονται χρησιμοποιώντας αποδεδειγμένους μηχανισμούς για την προστασία κρατικών, εμπορικών ή άλλων προστατευόμενων μυστικών. Αυτός ο τύπος συνήθως περιλαμβάνει πληροφορίες που δεν είναι γνωστές σε άλλα άτομα, οι οποίες είτε δεν μπορούν να κατοχυρωθούν με δίπλωμα ευρεσιτεχνίας είτε σκόπιμα δεν κατοχυρώνονται με δίπλωμα ευρεσιτεχνίας, προκειμένου να αποφευχθεί ή να μειωθεί ο κίνδυνος αυτές οι πληροφορίες να παραληφθούν από ανταγωνιστές και ανταγωνιστές.

Προστατεύουν και προστατεύουν, κατά κανόνα, όχι όλες ή όχι όλες τις πληροφορίες, αλλά τις πιο σημαντικές, πολύτιμες για τον ιδιοκτήτη τους, ο περιορισμός της διανομής των οποίων του αποφέρει κάποιο όφελος ή κέρδος, την ικανότητα να επιλύει αποτελεσματικά τα προβλήματα που αντιμετωπίζει.

Ποιες πληροφορίες θεωρούνται προστατευμένες;

Πρώτον, διαβαθμισμένες πληροφορίες. Επί του παρόντος, οι απόρρητες πληροφορίες περιλαμβάνουν πληροφορίες που περιέχουν κρατικά μυστικά.

Δεύτερον, εμπιστευτικές πληροφορίες. Αυτός ο τύπος προστατευόμενων πληροφοριών περιλαμβάνει συνήθως πληροφορίες που περιέχουν εμπορικό μυστικό, καθώς και μυστικά που σχετίζονται με την προσωπική (μη επίσημη) ζωή και δραστηριότητες των πολιτών.

Ως εκ τούτου, ως προστατευόμενες πληροφορίες νοούνται πληροφορίες η χρήση και η διανομή των οποίων υπόκειται σε περιορισμούς από τον κάτοχό τους.

Οι προστατευμένες πληροφορίες έχουν τα ακόλουθα διακριτικά χαρακτηριστικά:

Μόνο ο ιδιοκτήτης του (ιδιοκτήτης) ή τα εξουσιοδοτημένα από αυτόν πρόσωπα μπορούν να διαβαθμίσουν τις πληροφορίες, δηλαδή να περιορίσουν την πρόσβαση σε αυτές.

Όσο πιο σημαντικές είναι οι πληροφορίες για τον ιδιοκτήτη, τόσο πιο προσεκτικά τις προστατεύει. Και για να γνωρίζουν όλοι όσοι έρχονται σε επαφή με αυτές τις προστατευμένες πληροφορίες ότι ορισμένες πληροφορίες πρέπει να προστατεύονται πιο προσεκτικά από άλλες, ο ιδιοκτήτης τους εκχωρεί διαφορετικούς βαθμούς μυστικότητας.

Οι προστατευόμενες πληροφορίες πρέπει να αποφέρουν ορισμένα οφέλη στον κάτοχό τους και να δικαιολογούν την προσπάθεια και τους πόρους που δαπανώνται για την προστασία τους.

Έτσι, ένα από τα κύρια χαρακτηριστικά των προστατευόμενων πληροφοριών είναι οι περιορισμοί που επιβάλλει ο κάτοχος των πληροφοριών στη διανομή και χρήση τους.

Μέσα προστατευόμενων πληροφοριών

Η πληροφορία μπορεί να θεωρηθεί από την άποψη της εμφάνισής της σε ορισμένα ή σε ορισμένα υλικά (φυσικά) αντικείμενα που πολύ καιρόμπορεί να το διατηρήσει σχετικά αμετάβλητο ή να το μεταφέρει από το ένα μέρος στο άλλο.

Μέσα αποθήκευσης– υλικά αντικείμενα, συμπεριλαμβανομένων των φυσικών πεδίων, στα οποία οι πληροφορίες αντανακλώνται με τη μορφή συμβόλων, εικόνων, σημάτων, τεχνικών λύσεων και διαδικασιών, δημιουργώντας έτσι την ευκαιρία για συσσώρευση, αποθήκευση, μετάδοση και χρήση τους.

Τα ίδια μέσα χρησιμοποιούνται για την καταγραφή τόσο διαβαθμισμένων όσο και μη διαβαθμισμένων πληροφοριών.

Κατά κανόνα, οι φορείς απόρρητων και εμπιστευτικών πληροφοριών προστατεύονται από τον κάτοχο αυτών των πληροφοριών. Αυτό οφείλεται στο γεγονός ότι εάν ένας αντίπαλος ή ένα άτομο από το οποίο προστατεύονται αυτές οι πληροφορίες αποκτήσει μη εξουσιοδοτημένη πρόσβαση, ο μεταφορέας μπορεί να γίνει πηγή πληροφοριών από την οποία αυτό το άτομο μπορεί να λάβει παράνομα πληροφορίες που το ενδιαφέρουν και προστατεύονται από αυτόν.

Τα προστατευμένα μέσα ενημέρωσης μπορούν να ταξινομηθούν ως εξής:

Ανθρώπινος;

Εγγραφα;

Προϊόντα (αντικείμενα);

Ουσίες και υλικά.

Ηλεκτρομαγνητική, θερμική, ακτινοβολία και άλλη ακτινοβολία.

Υδροακουστικά, σεισμικά και άλλα πεδία. γεωμετρικά σχήματα κτιρίων, τα μεγέθη τους κ.λπ.

Ο ανθρώπινος εγκέφαλος είναι ένα εξαιρετικά περίπλοκο σύστημα που αποθηκεύει και επεξεργάζεται πληροφορίες που προέρχονται από τον έξω κόσμο. Οι ιδιότητες του εγκεφάλου να αντανακλά και να γνωρίζει τον έξω κόσμο, να συσσωρεύει κολοσσιαίες ποσότητες πληροφοριών στη μνήμη του, συμπεριλαμβανομένων μυστικών πληροφοριών, τοποθετούν φυσικά ένα άτομο στην πρώτη θέση ως φορέα εμπιστευτικών πληροφοριών. Ένα άτομο, ως φύλακας απόρρητων και εμπιστευτικών πληροφοριών, έχει τη δυνατότητα (εκτός από τη λήψη τέτοιων πληροφοριών από το εξωτερικό) να παράγει νέες πληροφορίες, συμπεριλαμβανομένου του μυστικού. Ως φορέας προστατευμένων πληροφοριών, μπορεί να έχει τόσο θετικά όσο και αρνητικά χαρακτηριστικά.

Το θετικό είναι ότι χωρίς τη συγκατάθεση του υποκειμένου - του φορέα των προστατευόμενων πληροφοριών, ή, όπως λένε επίσης, του μυστικού φορέα, κατά κανόνα, καμία πληροφορία δεν μπορεί να εξαχθεί από τη μνήμη του. Μπορεί να αξιολογήσει τη σημασία των πληροφοριών που έχει στη μνήμη του και να τις αντιμετωπίσει ανάλογα. Μπορεί επίσης να κατατάξει τους καταναλωτές προστατευμένων πληροφοριών, δηλαδή να γνωρίζει ποιον και ποιες πληροφορίες μπορεί να εμπιστευτεί. Ταυτόχρονα, μπορεί να κάνει λάθος σχετικά με την αλήθεια του καταναλωτή των προστατευόμενων πληροφοριών ή να εμποδίσει σκόπιμα να μην διατηρήσει μυστικές ή εμπιστευτικές πληροφορίες που του έχουν εμπιστευτεί στην υπηρεσία ή το έργο του: διαπράξει εσχάτη προδοσία (κατασκοπεία, παροχή αποκαλύπτετε κρατικά ή επίσημα μυστικά στον εχθρό, κ.λπ.) ή διαχέετε μυστικά σε φίλους και συγγενείς σας.

Εγγραφο– πληροφορίες καταγεγραμμένες σε απτό μέσο με λεπτομέρειες που επιτρέπουν την αναγνώρισή του. Τα έγγραφα ως φορείς πληροφοριών μπορεί να είναι πολύ διαφορετικά σε μορφή: χαρτί, φιλμ και φωτογραφικό φιλμ, μαγνητικές ταινίες και δίσκοι, διάτρητες ταινίες και κάρτες, κ.λπ. Οι πληροφορίες που καταγράφονται στο μέσο μπορεί να είναι με τη μορφή κειμένου, σχεδίων, τύπων, γραφημάτων, χαρτών , κλπ κλπ.

Το έγγραφο, ο φορέας των προστατευόμενων πληροφοριών, υποδεικνύει τον βαθμό εμπιστευτικότητας των πληροφοριών (ταξινόμηση απορρήτου), ώστε ο καταναλωτής, έχοντας αυτά τα δεδομένα στα χέρια του, να γνωρίζει ποιος και πώς να χειριστεί αυτές τις πληροφορίες. Το επίπεδο προστασίας των απόρρητων εγγράφων μπορεί να οργανωθεί λαμβάνοντας υπόψη τη σημασία των προστατευόμενων πληροφοριών που περιέχονται σε αυτά. Οι αδύναμες ιδιότητες ενός εγγράφου ως φορέα προστατευμένων πληροφοριών είναι οι ακόλουθες. Εάν ένας αδίστακτος καταναλωτής έχει αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα έγγραφο, μπορεί να χρησιμοποιήσει τις πληροφορίες για δικούς του σκοπούς (αν δεν είναι κρυπτογραφημένες). Το έγγραφο μπορεί επίσης να χαθεί: κλαπεί ή καταστραφεί, καταστραφεί κ.λπ. Οι ξένες υπηρεσίες πληροφοριών αναζητούν επίσης πιο συχνά τεκμηριωμένες πληροφορίες.

Προϊόντα(αντικείμενα) ως φορείς προστατευόμενων πληροφοριών είναι επίσης αρκετά συνηθισμένοι. Σημαίνουν διαβαθμισμένα δείγματα και συστήματα όπλων, στρατιωτικού και άλλου εξοπλισμού. εξοπλισμός; λειτουργικά συστήματα, μονάδες, συσκευές που περιλαμβάνονται σε σύμπλοκα ή δείγματα· εξαρτήματα - μονάδες συναρμολόγησης και εξαρτήματα που δεν έχουν ανεξάρτητο επιχειρησιακό σκοπό και προορίζονται να εκτελούν αντίστοιχες λειτουργίες ως μέρος εξοπλισμού, όπλων, στρατιωτικού και άλλου εξοπλισμού. Η απόδοσή τους ως φορείς πληροφοριών πραγματοποιείται ταυτόχρονα με την εκπλήρωση του κύριου σκοπού τους από αυτά τα προϊόντα.

Μόνο ένας ειδικός μπορεί να καθορίσει εάν ένα συγκεκριμένο προϊόν είναι μυστικό. Ειδικά αν αυτό αφορά ορισμένα εξαρτήματα ή εξοπλισμό.

Υλικά και ουσίεςυπό ορισμένες προϋποθέσεις μπορούν επίσης να ενεργούν ως φορείς προστατευόμενων πληροφοριών. Αυτά περιλαμβάνουν δομικά και λειτουργικά υλικά, ημικατεργασμένα προϊόντα, πρώτες ύλες, καύσιμα κ.λπ., που χρησιμοποιούνται στην κατασκευή και λειτουργία του εξοπλισμού και των στοιχείων του. Για παράδειγμα, ανθεκτικές στη θερμότητα επικαλύψεις σε διαστημόπλοια.

Οι ουσίες που μπορούν να μεταφέρουν πληροφορίες για μια ευαίσθητη εγκατάσταση περιλαμβάνουν επίσης απόβλητα από ευαίσθητες επιχειρήσεις (νερό, αέρας, βροχοπτώσεις στο έδαφος γύρω από την εγκατάσταση κ.λπ.). Για να χρησιμοποιηθούν αυτές οι πληροφορίες, πρέπει να αποκωδικοποιηθούν χρησιμοποιώντας ειδικό εξοπλισμό. Ένα παράδειγμα του τρόπου με τον οποίο αυτός ο τύπος φορέα προστατευόμενων πληροφοριών ενδιαφέρει τις ξένες υπηρεσίες πληροφοριών μπορεί να είναι περιπτώσεις κράτησης αξιωματικών πληροφοριών και πρακτόρων πληροφοριών στα σύνορα με δείγματα νερού, εδάφους, φυτών κ.λπ.

Ραδιο και ηλεκτρομαγνητική ακτινοβολίαδιαφόρων συχνοτήτων μεταφέρουν πληροφορίες από την πηγή πληροφοριών (ραδιοπομπός, πομπός) στον δέκτη και αποτελούν «προϊόν» της λειτουργίας της ραδιομηχανικής και άλλων συστημάτων και, ως εκ τούτου, μεταφέρουν πληροφορίες για αυτά τα συστήματα. Η ραδιοφωνική και η ηλεκτρομαγνητική ακτινοβολία μπορούν να μεταφέρουν εμπιστευτικές και διαβαθμισμένες πληροφορίες. Η διανομή τους, κατά κανόνα, είναι ανεξέλεγκτη και μπορεί να αναχαιτιστεί από αντίπαλο Για τη λήψη τους απαιτούνται κατάλληλες τεχνικές συσκευές και συσκευές. Μόνο ένας ειδικός μπορεί να κρίνει ότι αυτές οι υποκλαπείς πληροφορίες είναι μυστικές. Για πιθανή χρήση, αυτές οι πληροφορίες πρέπει πρώτα να αποκωδικοποιηθούν.

Έννοια και δομή των απειλών για τις προστατευόμενες πληροφορίες

Ένα από τα κύρια χαρακτηριστικά του προβλήματος της ασφάλειας των πληροφοριών είναι η απαίτηση για έναν πλήρη ορισμό των απειλών πληροφοριών που είναι δυνητικά δυνατές στα σύγχρονα συστήματα πληροφοριών. Ακόμη και ένας αποσταθεροποιητικός παράγοντας που δεν έχει εντοπιστεί (δεν έχει εντοπιστεί, δεν λαμβάνεται υπόψη) μπορεί να μειώσει σημαντικά (ακόμα και να εξαλείψει) την αποτελεσματικότητα της προστασίας.

– πρόκειται για την δυνητικά υπάρχουσα πιθανότητα τυχαίας ή εσκεμμένης ενέργειας ή αδράνειας, με αποτέλεσμα να παραβιαστεί η ασφάλεια των πληροφοριών (δεδομένων).

Απειλή για την ασφάλεια των πληροφοριών– ένα σύνολο συνθηκών και παραγόντων που δημιουργούν δυνητικό ή πραγματικό κίνδυνο που σχετίζεται με διαρροή πληροφοριών και/ή μη εξουσιοδοτημένες και/ή ακούσιες επιπτώσεις σε αυτήν.

Απειλήείναι ένα πρόσωπο, πράγμα, γεγονός ή ιδέα που ενέχει κάποιο κίνδυνο για αξίες που χρειάζονται προστασία.

Απειλή– αυτή είναι μια πιθανή ευκαιρία για παραβίαση της ασφάλειας των πληροφοριών με συγκεκριμένο τρόπο.

Μια προσπάθεια υλοποίησης μιας απειλής ονομάζεται επίθεσηκαι αυτός που κάνει μια τέτοια προσπάθεια - παρείσακτος. Καλούνται οι πιθανοί επιτιθέμενοι πηγές απειλής.

Οι απειλές για την ασφάλεια των πληροφοριών στα σύγχρονα συστήματα πληροφοριών προκαλούνται από:

Τυχαίες και σκόπιμες καταστροφικές και παραμορφωτικές επιρροές του εξωτερικού περιβάλλοντος.

Ο βαθμός αξιοπιστίας της λειτουργίας των εργαλείων επεξεργασίας πληροφοριών.

Σκόπιμες εγωιστικές επιρροές μη εξουσιοδοτημένων χρηστών, σκοπός των οποίων είναι η κλοπή, η αποκάλυψη, η καταστροφή, η καταστροφή, η μη εξουσιοδοτημένη τροποποίηση και η χρήση επεξεργασμένων πληροφοριών.

Ακούσιες, τυχαίες ενέργειες του προσωπικού συντήρησης κ.λπ.

Ταξινόμηση απειλών για την ασφάλεια

Οι κύριες εκδηλώσεις των εξεταζόμενων απειλών είναι η παράνομη κατοχή εμπιστευτικών πληροφοριών, η αντιγραφή, η τροποποίηση, η καταστροφή τους προς το συμφέρον των επιτιθέμενων με σκοπό την πρόκληση ζημιών, τόσο υλικών όσο και ηθικών. Επιπλέον, ακούσιες ενέργειες του προσωπικού συντήρησης και των χρηστών οδηγούν επίσης σε ορισμένες ζημιές.

Οι κύριοι τρόποι με τους οποίους πραγματοποιούνται οι απειλές είναι:

Πηγές πρακτόρων σε κυβερνητικούς και οργανισμούς ασφάλειας πληροφοριών.

Προσλήψεις στελεχών κυβερνητικών φορέων, οργανισμών, επιχειρήσεων κ.λπ.

Υποκλοπή και μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες με χρήση μέσων τεχνικής νοημοσύνης·

Η χρήση σκόπιμου προγράμματος και μαθηματικής επιρροής.

Υποκλοπή εμπιστευτικών συνομιλιών σε χώρους γραφείων, μεταφορές και άλλους χώρους όπου διεξάγονται.

Παράγοντες που προκαλούν απώλεια πληροφοριών και διάφοροι τύποι ζημιών είναι:

Ατυχήματα που προκαλούν αστοχία εξοπλισμού και πόρων πληροφοριών (πυρκαγιές, εκρήξεις, ατυχήματα, προσκρούσεις, συγκρούσεις, πτώσεις, έκθεση σε χημικά ή φυσικά περιβάλλοντα)·

Αστοχία στοιχείων των εγκαταστάσεων επεξεργασίας πληροφοριών.

Συνέπειες φυσικών φαινομένων (πλημμύρες, καταιγίδες, κεραυνοί, σεισμοί κ.λπ.);

Κλοπή, σκόπιμη ζημιά σε υλικά περιουσιακά στοιχεία.

Ατυχήματα και αστοχία εξοπλισμού, λογισμικού, χωρίς δεδομένα.

Σφάλματα στη συσσώρευση, αποθήκευση, μετάδοση, χρήση πληροφοριών, αντίληψη, ανάγνωση, ερμηνεία περιεχομένου πληροφοριών, συμμόρφωση με κανόνες, αδυναμία, παραλείψεις, παρουσία παρεμβολών, αστοχίες και παραμορφώσεις μεμονωμένα στοιχείακαι σήματα ή μηνύματα?

Σφάλματα λειτουργίας: παραβίαση ασφαλείας, υπερχείλιση αρχείων, σφάλματα γλώσσας διαχείρισης δεδομένων, σφάλματα προετοιμασίας και εισαγωγής πληροφοριών.

Κακόβουλες ενέργειες στην υλική σφαίρα. ομιλητικότητα, αποκάλυψη.

Κοινωνικές απώλειες (παραίτηση, απόλυση, απεργία κ.λπ.).

Κύριοι τύποι απειλών: εξωτερικές και εσωτερικές. Οι εσωτερικές απειλές περιλαμβάνουν τόσο σκόπιμες ενέργειες όσο και ακούσια ανθρώπινα λάθη. Εξωτερικές απειλέςπολύ ποικιλόμορφο.

Χαρακτηριστικά της προστασίας τεκμηριωμένων πληροφοριών

Η εμπιστευτικότητα προϋποθέτει τη διατήρηση των δικαιωμάτων στις πληροφορίες, τη μη αποκάλυψη (απόρρητο) και το αμετάβλητο σε όλες τις περιπτώσεις εκτός από την εξουσιοδοτημένη χρήση.

Εμπιστευτικές πληροφορίες– τεκμηριωμένες πληροφορίες, η πρόσβαση στην οποία είναι περιορισμένη σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας.

Ιδιοκτήτες (ιδιοκτήτες)εμπιστευτικές πληροφορίες μπορεί να είναι:

Το κράτος και οι δομές του (φορείς). Σε αυτήν την περίπτωση, περιλαμβάνει πληροφορίες που είναι κρατικό μυστικό, επίσημο μυστικό και άλλους τύπους προστατευόμενων πληροφοριών που ανήκουν στο κράτος ή το τμήμα. Αυτό μπορεί να περιλαμβάνει πληροφορίες που αποτελούν εμπορικό μυστικό.

Επιχειρήσεις, συνεταιρισμοί, μετοχικές εταιρείες (συμπεριλαμβανομένων των κοινών) και άλλες - οι πληροφορίες είναι ιδιοκτησία τους και αποτελούν εμπορικό μυστικό.

Οι δημόσιοι οργανισμοί είναι, κατά κανόνα, κομματικά μυστικά και είναι επίσης δυνατά.

Πολίτες του κράτους: τα δικαιώματά τους (απόρρητο αλληλογραφίας, τηλεφωνικές και τηλεγραφικές συνομιλίες, ιατρικό απόρρητο κ.λπ.) είναι εγγυημένα από το κράτος, τα προσωπικά μυστικά είναι δική τους υπόθεση. Θα πρέπει να σημειωθεί ότι το κράτος δεν ευθύνεται για την ασφάλεια των προσωπικών μυστικών.

Ταξινόμηση πληροφοριών κατά βαθμό εμπιστευτικότητας τουχωρίς να το αποδώσουμε σε κάποιο συγκεκριμένο είδος, φαίνεται κάπως αφηρημένο. Αλλά δίνει μια ιδέα για τη δυνατότητα κατάταξης των προστατευόμενων πληροφοριών ανάλογα με το βαθμό σημασίας τους για τον ιδιοκτήτη. Όλες οι πληροφορίες ανάλογα με το βαθμό απορρήτου μπορούν να χωριστούν σε πέντε επίπεδα:

1. Ιδιαίτερης σημασίας (ιδιαίτερα σημαντικό).

2. Άκρως απόρρητο (αυστηρά εμπιστευτικό).

3. Μυστικό (εμπιστευτικό);

4. Για επίσημη χρήση (όχι για εκτύπωση, αποστέλλεται στη λίστα).

5. Αταξινόμητο (ανοιχτό).

Θα πρέπει να σημειωθεί ότι όσο υψηλότερο είναι το απόρρητο των πληροφοριών που καθορίζεται από τον κάτοχό τους, τόσο υψηλότερο είναι το επίπεδο προστασίας τους, τόσο πιο ακριβό γίνεται και τόσο στενότερος είναι ο κύκλος των ατόμων που εξοικειώνονται με αυτές τις πληροφορίες.

Πρέπει να σημειωθεί ότι οι παραπάνω ταξινομήσεις δεν είναι εξαντλητικές και η ανάπτυξή τους μένει να γίνει από την επιστήμη και τη νομοθεσία.

Όλες οι εμπιστευτικές πληροφορίες και μέρος των δημοσίων πληροφοριών που καθορίζονται από τον ιδιοκτήτη υπόκεινται σε προστασία. Η προστασία των πληροφοριών πραγματοποιείται με διαφοροποιημένο τρόπο, μεταξύ άλλων ανάλογα με τη σύνθεση των πληροφοριών και το κατά πόσον οι εμπιστευτικές πληροφορίες ανήκουν σε διάφορους τύπους μυστικών. Η οργάνωση, η τεχνολογία και το επίπεδο προστασίας εξαρτώνται από το είδος του μυστικού που προστατεύεται. Όχι μόνο τα όρια, αλλά και οι έννοιες ορισμένων τύπων μυστικών και ακόμη και η σύνθεσή τους δεν έχουν ακόμη καθοριστεί με σαφήνεια. Δηλαδή, τα είδη των μυστικών δεν έχουν σαφή νομική ρύθμιση που να υποδεικνύει τους απαραίτητους λόγους για τον χαρακτηρισμό εμπιστευτικών πληροφοριών ως ορισμένων τύπων μυστικών.

Δομή ταξινόμησης πληροφοριών:

Μέσα ενημέρωσης: τεκμηριωμένα και μη τεκμηριωμένα.

Ιδιοκτησία: κρατικοί και μη κρατικοί πόροι πληροφοριών.

Προϋποθέσεις του νομικού καθεστώτος: κρατικά μυστικά και εμπιστευτικές πληροφορίες.

Προσωπική πληροφορία– πληροφορίες για γεγονότα, γεγονότα και περιστάσεις της ιδιωτικής ζωής ενός πολίτη, που επιτρέπουν τον προσδιορισμό της προσωπικότητάς του. Τα προσωπικά δεδομένα για όλους τους υπαλλήλους της εταιρείας αποθηκεύονται συνήθως στο τμήμα ανθρώπινου δυναμικού. Ταυτόχρονα, η εταιρεία ευθύνεται έναντι των εργαζομένων σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας για παραβίαση του καθεστώτος προστασίας, της επεξεργασίας και της διαδικασίας χρήσης αυτών των πληροφοριών.

Προσωπικό μυστικό– προσωπικές πληροφορίες που προστατεύονται από ένα άτομο, η διάδοση των οποίων θα μπορούσε να προκαλέσει ηθική ή υλική βλάβη σε ένα άτομο.

Επίσημο μυστικό – επίσημες πληροφορίες, η πρόσβαση στις οποίες περιορίζεται από τις κυβερνητικές αρχές σύμφωνα με τον Αστικό Κώδικα της Ρωσικής Ομοσπονδίας και τους ομοσπονδιακούς νόμους.

Εμπορικό μυστικό– πληροφορίες που δεν αποτελούν κρατικά μυστικά, που σχετίζονται με την παραγωγή, τεχνικές, τεχνολογικές πληροφορίες, διαχείριση οικονομικών και άλλων δραστηριοτήτων μιας επιχείρησης, η αποκάλυψη (μεταβίβαση, διαρροή) των οποίων μπορεί να βλάψει τα συμφέροντά της.

Εμπορικό μυστικό– πληροφορίες που δεν αποτελούν κρατικά μυστικά που σχετίζονται με την παραγωγή, τις τεχνολογικές πληροφορίες, τη διαχείριση, τη χρηματοδότηση και άλλες δραστηριότητες της επιχείρησης, η αποκάλυψη (μεταβίβαση, διαρροή) των οποίων μπορεί να βλάψει τα συμφέροντά της.

Επαγγελματική εχεμύθεια– πληροφορίες που σχετίζονται με επαγγελματικές δραστηριότητες, η πρόσβαση στις οποίες είναι περιορισμένη σύμφωνα με το Σύνταγμα της Ρωσικής Ομοσπονδίας και τους ομοσπονδιακούς νόμους. Στο τμήμα μιας εταιρείας που ασχολείται με την παροχή υπηρεσιών επικοινωνίας, πρόκειται για πληροφορίες από τηλεπικοινωνιακούς φορείς και άλλους πελάτες, οι οποίες μεταδίδονται και επεξεργάζονται στους πόρους πληροφοριών και τηλεπικοινωνιών της εταιρείας.

Ανοίξτε τις πληροφορίες;

Εμπιστευτικές πληροφορίες;

Αυστηρά εμπιστευτικές πληροφορίες.

Αυτή η διαίρεση δεν είναι σωστή λαμβάνοντας υπόψη τα κανονιστικά έγγραφα που ισχύουν στο έδαφος της Ρωσικής Ομοσπονδίας. Σύμφωνα με την ισχύουσα νομοθεσία της Ρωσικής Ομοσπονδίας, μπορεί να εφαρμοστεί η ακόλουθη διαφοροποίηση των πληροφοριών ανάλογα με τον βαθμό εμπιστευτικότητας:

Ανοιχτές πληροφορίες (OI).

Για εσωτερική χρήση (DVI);

Εμπιστευτικές πληροφορίες (CI).

Θα πρέπει να σημειωθεί ότι το δικαίωμα να χαρακτηρίσει τις πληροφορίες ως εμπιστευτικές και να καθορίσει τη λίστα και τη σύνθεση αυτών των πληροφοριών ανήκει στον κάτοχό τους.

Οι βασικές αρχές προστασίας των πληροφοριών είναι η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα, η τήρηση των οποίων αποτελεί απαραίτητη προϋπόθεση για τη διασφάλιση της ασφάλειας διαφόρων κατηγοριών πληροφοριών.

Τον Σεπτέμβριο του 2000, ο Πρόεδρος της Ρωσίας υπέγραψε το «Δόγμα της Ασφάλειας Πληροφοριών της Ρωσικής Ομοσπονδίας», βάσει του οποίου εγκρίθηκε ο νόμος για τις πληροφορίες. Αυτός ο νόμος προσδιορίζει τους ακόλουθους τύπους πληροφοριών που προστατεύονται από το κράτος:

Κρυπτογραφικές μέθοδοι:

Το πρόβλημα της προστασίας των πληροφοριών με τη μετατροπή τους έτσι ώστε να μην μπορούν να διαβαστούν από έναν ξένοέχει ενθουσιάσει τον ανθρώπινο νου από τα αρχαία χρόνια. Η ιστορία της κρυπτογραφίας είναι συνομήλικη με την ιστορία της ανθρώπινης γλώσσας. Επιπλέον, η ίδια η γραφή ήταν αρχικά ένα κρυπτογραφικό σύστημα, αφού στις αρχαίες κοινωνίες μόνο λίγοι εκλεκτοί την κατείχαν. Τα ιερά βιβλία της Αρχαίας Αιγύπτου και της Αρχαίας Ινδίας είναι παραδείγματα αυτού.

Με την ευρεία χρήση της γραφής, η κρυπτογραφία άρχισε να αναδύεται ως ανεξάρτητη επιστήμη. Τα πρώτα κρυπτοσυστήματα βρίσκονται ήδη στην αρχή της εποχής μας. Έτσι, ο Καίσαρας στην αλληλογραφία του χρησιμοποίησε έναν περισσότερο ή λιγότερο συστηματικό κρυπτογράφηση, που έλαβε το όνομά του.

Τα κρυπτογραφικά συστήματα αναπτύχθηκαν ραγδαία κατά τα χρόνια του Πρώτου και του Β' Παγκοσμίου Πολέμου. Από τη μεταπολεμική περίοδο μέχρι σήμερα, η έλευση των υπολογιστών έχει επιταχύνει την ανάπτυξη και τη βελτίωση των κρυπτογραφικών μεθόδων.

Γιατί έχει γίνει το πρόβλημα της χρήσης κρυπτογραφικών μεθόδων στα πληροφοριακά συστήματα (IS). παρούσα στιγμήιδιαίτερα σχετικό;

Από τη μία πλευρά, η χρήση των δικτύων υπολογιστών έχει επεκταθεί ιδιαίτερα παγκόσμιο δίκτυοΤο Διαδίκτυο, μέσω του οποίου μεταδίδονται μεγάλοι όγκοι πληροφοριών κρατικής, στρατιωτικής, εμπορικής και ιδιωτικής φύσης, αποτρέποντας την πρόσβαση μη εξουσιοδοτημένων προσώπων.

Από την άλλη πλευρά, η εμφάνιση νέων ισχυρών υπολογιστών, τεχνολογιών δικτύου και νευρωνικών υπολογιστών κατέστησε δυνατή την απαξίωση των κρυπτογραφικών συστημάτων που μέχρι πρόσφατα θεωρούνταν πρακτικά άθραυστα.

Η κρυπτολογία (κρυπτός - μυστικό, logos - επιστήμη) ασχολείται με το πρόβλημα της προστασίας της πληροφορίας μετασχηματίζοντας τις. Η κρυπτολογία χωρίζεται σε δύο τομείς - κρυπτογραφία και κρυπτοανάλυση. Οι στόχοι αυτών των κατευθύνσεων είναι ακριβώς αντίθετοι.

Η κρυπτογραφία ασχολείται με την αναζήτηση και μελέτη μαθηματικών μεθόδων μετατροπής πληροφοριών.

Η περιοχή ενδιαφέροντος της κρυπτανάλυσης είναι η μελέτη της δυνατότητας αποκρυπτογράφησης πληροφοριών χωρίς γνώση των κλειδιών.

Η σύγχρονη κρυπτογραφία περιλαμβάνει τέσσερις κύριες ενότητες:

• 1. Συμμετρικά κρυπτοσυστήματα.
• 2. Κρυπτοσυστήματα δημόσιου κλειδιού.
• 3. Συστήματα ηλεκτρονικών υπογραφών.
• 4. Διαχείριση κλειδιών.

Οι κύριοι τομείς χρήσης κρυπτογραφικών μεθόδων είναι η μεταφορά εμπιστευτικών πληροφοριών μέσω καναλιών επικοινωνίας (για παράδειγμα, e-mail), η διαπίστωση της αυθεντικότητας των μεταδιδόμενων μηνυμάτων, η αποθήκευση πληροφοριών (έγγραφα, βάσεις δεδομένων) σε μέσα σε κρυπτογραφημένη μορφή.

Συστήματα δημόσιου κλειδιού:

Ανεξάρτητα από το πόσο πολύπλοκα και αξιόπιστα είναι τα κρυπτογραφικά συστήματα, το αδύνατο σημείο τους στην πρακτική εφαρμογή είναι το πρόβλημα της διανομής κλειδιών. Για να είναι δυνατή η ανταλλαγή εμπιστευτικών πληροφοριών μεταξύ δύο υποκειμένων IP, το κλειδί πρέπει να δημιουργηθεί από το ένα από αυτά και στη συνέχεια να μεταφερθεί με κάποιο τρόπο, και πάλι εμπιστευτικά, στο άλλο. Εκείνοι. γενικά, η μεταφορά του κλειδιού και πάλι απαιτεί τη χρήση κάποιου είδους κρυπτοσυστήματος.

Για την επίλυση αυτού του προβλήματος, έχουν προταθεί συστήματα δημοσίων κλειδιών με βάση τα αποτελέσματα που προέκυψαν από την κλασική και τη σύγχρονη άλγεβρα.

Η ουσία τους είναι ότι κάθε αποδέκτης του πληροφοριακού συστήματος δημιουργεί δύο κλειδιά που συνδέονται μεταξύ τους σύμφωνα με έναν συγκεκριμένο κανόνα. Το ένα κλειδί δηλώνεται ως δημόσιο και το άλλο ιδιωτικό. Το δημόσιο κλειδί είναι δημοσιευμένο και διαθέσιμο σε όποιον επιθυμεί να στείλει ένα μήνυμα στον παραλήπτη. Το μυστικό κλειδί παραμένει μυστικό.

Το αρχικό κείμενο κρυπτογραφείται με το δημόσιο κλειδί του παραλήπτη και μεταδίδεται σε αυτόν. Το κρυπτογραφημένο κείμενο δεν μπορεί κατ' αρχήν να αποκρυπτογραφηθεί με το ίδιο δημόσιο κλειδί. Η αποκρυπτογράφηση ενός μηνύματος είναι δυνατή μόνο χρησιμοποιώντας ένα ιδιωτικό κλειδί, το οποίο είναι γνωστό μόνο στον παραλήπτη.

Τα κρυπτογραφικά συστήματα δημόσιου κλειδιού χρησιμοποιούν τις λεγόμενες μη αναστρέψιμες ή μονόδρομες συναρτήσεις, οι οποίες έχουν την ακόλουθη ιδιότητα: δεδομένης τιμής xσχετικά εύκολο να υπολογιστεί η αξία f(x),ωστόσο αν y=f(x), τότε όχι τον εύκολο τρόπογια να υπολογίσετε την τιμή x.

Το σύνολο των κλάσεων των μη αναστρέψιμων συναρτήσεων δημιουργεί όλη την ποικιλία συστημάτων δημόσιων κλειδιών. Ωστόσο, δεν είναι κάθε μη αναστρέψιμη λειτουργία κατάλληλη για χρήση σε πραγματικά IC.

Υπάρχει αβεβαιότητα στον ίδιο τον ορισμό της μη αναστρεψιμότητας. Μη αναστρεψιμότητα δεν σημαίνει θεωρητική μη αναστρεψιμότητα, αλλά πρακτική αδυναμία υπολογισμού της αμοιβαίας τιμής χρησιμοποιώντας σύγχρονα υπολογιστικά εργαλεία σε ένα προβλέψιμο χρονικό διάστημα.

Επομένως, προκειμένου να διασφαλιστεί η αξιόπιστη προστασία των πληροφοριών, τα συστήματα δημόσιου κλειδιού (PKS) υπόκεινται σε δύο σημαντικές και προφανείς απαιτήσεις:

• 1. Μετατροπή κείμενο πηγήςπρέπει να είναι μη αναστρέψιμη και δεν μπορεί να αποκατασταθεί με βάση το δημόσιο κλειδί.
• 2. Ο καθορισμός ενός ιδιωτικού κλειδιού με βάση ένα δημόσιο κλειδί θα πρέπει επίσης να είναι αδύνατος στο τρέχον τεχνολογικό επίπεδο. Σε αυτή την περίπτωση, είναι επιθυμητό ένα ακριβές κατώτερο όριο για την πολυπλοκότητα (αριθμός λειτουργιών) της διάρρηξης του κρυπτογράφησης.

Οι αλγόριθμοι κρυπτογράφησης δημόσιου κλειδιού χρησιμοποιούνται ευρέως στα σύγχρονα πληροφοριακά συστήματα. Ετσι, Αλγόριθμος RSAέχει γίνει το de facto παγκόσμιο πρότυπο για ανοιχτά συστήματακαι συνιστάται από την CCITT.

Γενικά, όλα τα κρυπτοσυστήματα δημόσιου κλειδιού που προσφέρονται σήμερα βασίζονται σε έναν από τους ακόλουθους τύπους μη αναστρέψιμων μετασχηματισμών:

Παραγοντοποίηση μεγάλων αριθμών σε πρώτους παράγοντες.

Υπολογισμός του λογάριθμου σε πεπερασμένο πεδίο.

Υπολογισμός ριζών αλγεβρικών εξισώσεων.

Θα πρέπει να σημειωθεί εδώ ότι οι αλγόριθμοι κρυπτοσυστήματος δημόσιου κλειδιού (PSC) μπορούν να χρησιμοποιηθούν για τρεις σκοπούς.

• 1. Πώς ανεξάρτητα μέσαπροστασία των διαβιβαζόμενων και αποθηκευμένων δεδομένων.
• 2. Ως μέσο διανομής κλειδιών. Οι αλγόριθμοι RNS είναι πιο εντάσεως εργασίας από τα παραδοσιακά κρυπτοσυστήματα. Επομένως, στην πράξη είναι συχνά λογικό να χρησιμοποιείται το RNS για τη διανομή κλειδιών, ο όγκος των οποίων ως πληροφορία είναι ασήμαντος. Και στη συνέχεια, χρησιμοποιώντας συμβατικούς αλγόριθμους, ανταλλάξτε μεγάλες ροές πληροφοριών.

Μέσα ελέγχου ταυτότητας χρήστη.

Ηλεκτρονική υπογραφή

Το 1991, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) πρότεινε το πρότυπο DSS (Digital Signature Standard) για τον τότε αναδυόμενο αλγόριθμο ψηφιακής υπογραφής DSA (Digital Signature Algorithm), ο οποίος βασίστηκε στους αλγόριθμους ElGamal και RSA.

Ποιο είναι το πρόβλημα με τον έλεγχο ταυτότητας δεδομένων;

Στο τέλος μιας τακτικής επιστολής ή εγγράφου, ο εκτελεστής ή υπεύθυνος συνήθως βάζει την υπογραφή του. Μια τέτοια ενέργεια συνήθως εξυπηρετεί δύο σκοπούς. Πρώτον, ο παραλήπτης έχει τη δυνατότητα να επαληθεύσει τη γνησιότητα της επιστολής συγκρίνοντας την υπογραφή με ένα δείγμα που έχει. Δεύτερο, προσωπική υπογραφήαποτελεί νομική εγγύηση της πατρότητας του εγγράφου. Η τελευταία πτυχή είναι ιδιαίτερα σημαντική κατά τη σύναψη διαφόρων τύπων εμπορικών συναλλαγών, τη σύνταξη εξουσιοδοτήσεων, υποχρεώσεων κ.λπ.

Εάν είναι πολύ δύσκολο να πλαστογραφηθεί η υπογραφή ενός ατόμου σε χαρτί και η διαπίστωση της πατρότητας μιας υπογραφής χρησιμοποιώντας σύγχρονες ιατροδικαστικές μεθόδους είναι μια τεχνική λεπτομέρεια, τότε με μια ηλεκτρονική υπογραφή η κατάσταση είναι διαφορετική. Οποιοσδήποτε χρήστης μπορεί να παραβιάσει μια συμβολοσειρά bit απλώς αντιγράφοντας την ή να κάνει παράνομες διορθώσεις σε ένα έγγραφο χωρίς να γίνει αντιληπτός.

Με την ευρεία χρήση στον σύγχρονο κόσμο των ηλεκτρονικών μορφών εγγράφων (συμπεριλαμβανομένων των εμπιστευτικών) και των μέσων επεξεργασίας τους, το πρόβλημα της διαπίστωσης της γνησιότητας και της πατρότητας των εγγράφων χωρίς χαρτί έχει γίνει ιδιαίτερα σημαντικό.

Στην ενότητα για τα κρυπτογραφικά συστήματα δημόσιου κλειδιού, φάνηκε ότι παρά όλα τα πλεονεκτήματα των σύγχρονων συστημάτων κρυπτογράφησης, δεν επιτρέπουν τον έλεγχο ταυτότητας δεδομένων. Επομένως, τα μέσα ελέγχου ταυτότητας πρέπει να χρησιμοποιούνται σε συνδυασμό με κρυπτογραφικούς αλγόριθμους.

Μερικές φορές δεν χρειάζεται να κρυπτογραφήσετε το μεταδιδόμενο μήνυμα, αλλά πρέπει να το σφραγίσετε ηλεκτρονική υπογραφή. Σε αυτήν την περίπτωση, το κείμενο κρυπτογραφείται με το ιδιωτικό κλειδί του αποστολέα και η προκύπτουσα σειρά χαρακτήρων επισυνάπτεται στο έγγραφο. Ο παραλήπτης, χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα, αποκρυπτογραφεί την υπογραφή και την ελέγχει σε σχέση με το κείμενο. Το 1991, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) πρότεινε το πρότυπο DSS (Digital Signature Standard) για τον τότε αναδυόμενο αλγόριθμο ψηφιακής υπογραφής DSA (Digital Signature Algorithm), ο οποίος βασίστηκε στους αλγόριθμους ElGamal και RSA.

Μέθοδοι για την προστασία των πληροφοριών στο Διαδίκτυο:

Σήμερα το πιο σχετικό για Θέμα Διαδικτύου- πρόβλημα ασφάλειας πληροφοριών. Το δίκτυο αναπτύσσεται ταχύτατα σε παγκόσμια κλίμακα και τα συστήματα γίνονται όλο και πιο διαδεδομένα εσωτερικά δίκτυα(intranet, intranet). Η εμφάνιση μιας τεράστιας νέας θέσης στην αγορά έχει παρακινήσει τόσο τους χρήστες όσο και τους παρόχους υπηρεσιών δικτύου να αναζητήσουν τρόπους βελτίωσης της ασφάλειας της μετάδοσης πληροφοριών μέσω του Διαδικτύου.

Το πρόβλημα ασφάλειας στο Διαδίκτυο χωρίζεται σε δύο κατηγορίες: γενικά ζητήματα ασφάλειας και αξιοπιστίας. οικονομικές συναλλαγές. Η επιτυχής επίλυση προβλημάτων στον τομέα της χρηματοοικονομικής δραστηριότητας θα μπορούσε να ανοίξει τεράστιες προοπτικές στο Διαδίκτυο για την παροχή υπηρεσιών για τις επιχειρήσεις. Γίγαντες πιστωτικών καρτών όπως η MasterCard και η Visa, καθώς και οι ηγέτες της βιομηχανίας υπολογιστών Microsoft και Netscape, έχουν συμμετάσχει στον αγώνα για την επίλυση αυτού του προβλήματος. Όλα αυτά αφορούν θέματα «χρήματα». Το άρθρο μας είναι αφιερωμένο στο πρόβλημα της γενικής ασφάλειας.

Στόχος της έρευνας σε αυτόν τον τομέα είναι η επίλυση του προβλήματος της ιδιωτικής ζωής. Ας πάρουμε ένα παράδειγμα μεταφοράς μηνυμάτων email από έναν διακομιστή SMTP σε έναν άλλο. Σε ορισμένες περιπτώσεις, αυτά τα μηνύματα απλώς ξαναγράφονται από ένα σκληρό δίσκοαπό την άλλη ως συνήθως αρχεία κειμένου, δηλαδή όλοι μπορούν να τα διαβάσουν. Μεταφορικά μιλώντας, ο μηχανισμός για την παράδοση e-mail μέσω του Διαδικτύου μοιάζει με την κατάσταση όταν τα πλυμένα ρούχα είναι κρεμασμένα στο δρόμο αντί να τα στύβουν σε ένα πλυντήριο ρούχων. Δεν έχει σημασία αν το μήνυμα περιέχει οικονομικές πληροφορίες ή όχι. Τα ακόλουθα είναι σημαντικά: οποιεσδήποτε πληροφορίες αποστέλλονται μέσω του Διαδικτύου πρέπει να είναι απρόσιτες σε τρίτους.

Εκτός από το απόρρητο, οι χρήστες ανησυχούν επίσης για το ζήτημα των εγγυήσεων με τις οποίες «συνομιλούν». Χρειάζονται εμπιστοσύνη ότι ο διακομιστής Διαδικτύου με τον οποίο επικοινωνούν αυτή τη στιγμή είναι πραγματικά αυτός που λέει ότι είναι. είτε πρόκειται για διακομιστή World Wide Web, FTP, IRC ή οποιονδήποτε άλλο. Δεν είναι ιδιαίτερα δύσκολο να μιμηθείτε (είτε για αστείο είτε με εγκληματικές προθέσεις) έναν απροστάτευτο διακομιστή και να προσπαθήσετε να συλλέξετε όλες τις πληροφορίες για εσάς. Και, φυσικά, οι πάροχοι υπηρεσιών δικτύου θέλουν επίσης να είναι σίγουροι ότι τα άτομα που επικοινωνούν μαζί τους για συγκεκριμένους πόρους του Διαδικτύου, όπως υπηρεσίες ηλεκτρονικού ταχυδρομείου και IRC, είναι αυτοί που λένε ότι είναι.

Μέθοδος προστασίας με κωδικό πρόσβασης:

Η νομιμότητα του αιτήματος του χρήστη καθορίζεται από τον κωδικό πρόσβασης, ο οποίος είναι συνήθως μια σειρά χαρακτήρων. Η μέθοδος κωδικού πρόσβασης θεωρείται αρκετά αδύναμη, καθώς ο κωδικός πρόσβασης μπορεί να γίνει αντικείμενο κλοπής, υποκλοπής, ωμής βίας ή εικασίας. Ωστόσο, η απλότητα της μεθόδου διεγείρει την αναζήτηση τρόπων βελτίωσής της.

Για να αυξήσετε την αποτελεσματικότητα της προστασίας με κωδικό πρόσβασης, συνιστάται:

επιλέξτε έναν κωδικό πρόσβασης μεγαλύτερο από 6 χαρακτήρες, αποφεύγοντας κοινές, εύκολα εικασμένες λέξεις, ονόματα, ημερομηνίες κ.λπ.

• 1. Χρησιμοποιήστε ειδικούς χαρακτήρες.
• 2. Κρυπτογραφήστε τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στο διακομιστή χρησιμοποιώντας μια λειτουργία μονής κατεύθυνσης.
• 3. Τοποθετήστε το αρχείο κωδικού πρόσβασης σε μια ειδικά προστατευμένη περιοχή της μνήμης του υπολογιστή, κλειστή για ανάγνωση από τους χρήστες.
• 4. Τα όρια μεταξύ παρακείμενων κωδικών πρόσβασης είναι καλυμμένα.
• 5. Τα σχόλια του αρχείου κωδικού πρόσβασης πρέπει να διατηρούνται χωριστά από το αρχείο.
• 6. Αλλάζετε τους κωδικούς πρόσβασης περιοδικά.
• 7. Να προβλέπει τη δυνατότητα αναγκαστικής αλλαγής κωδικών πρόσβασης από το σύστημα μετά από ορισμένο χρονικό διάστημα.
• 8. χρησιμοποιήστε πολλούς κωδικούς πρόσβασης χρήστη: τον ίδιο τον κωδικό πρόσβασης, ένα προσωπικό αναγνωριστικό, έναν κωδικό πρόσβασης για το κλείδωμα/ξεκλείδωμα του εξοπλισμού κατά τη διάρκεια βραχείας απουσίας κ.λπ.
• 9. Ως πιο σύνθετο μεθόδους κωδικού πρόσβασηςΧρησιμοποιείται τυχαία επιλογή χαρακτήρων κωδικού πρόσβασης και εφάπαξ χρήση κωδικών πρόσβασης. Στην πρώτη περίπτωση, εκχωρείται στον χρήστη (συσκευή) ένας αρκετά μεγάλος κωδικός πρόσβασης και κάθε φορά χρησιμοποιείται ένα τυχαία επιλεγμένο τμήμα του κωδικού πρόσβασης για αναγνώριση. Όταν χρησιμοποιείτε έναν κωδικό πρόσβασης μίας χρήσης, εκχωρείται στον χρήστη όχι ένας, αλλά μεγάλο αριθμόκωδικούς πρόσβασης, καθένας από τους οποίους χρησιμοποιείται μία φορά σε μια λίστα ή σε ένα τυχαίο δείγμα. Οντως κατανεμημένο περιβάλλον, όπου οι χρήστες έχουν πρόσβαση σε πολλούς διακομιστές, βάσεις δεδομένων και έχουν ακόμη και δικαιώματα απομακρυσμένης σύνδεσης, η ασφάλεια γίνεται τόσο περίπλοκη που ο διαχειριστής μπορεί να τα δει όλα αυτά μόνο σε εφιάλτη.

Διοικητικά μέτρα προστασίας:

Το πρόβλημα της ασφάλειας των πληροφοριών επιλύεται με την εισαγωγή του ελέγχου πρόσβασης και την οριοθέτηση των εξουσιών των χρηστών.

Ένα κοινό μέσο περιορισμού της πρόσβασης (ή περιοριστικής αρχής) είναι ένα σύστημα κωδικών πρόσβασης. Ωστόσο, είναι αναξιόπιστο. Οι έμπειροι χάκερ μπορούν να παραβιάσουν αυτήν την προστασία, να «κατασκοπεύσουν» τον κωδικό πρόσβασης κάποιου άλλου ή να εισέλθουν στο σύστημα επιβάλλοντας βίαια πιθανούς κωδικούς πρόσβασης, καθώς πολύ συχνά χρησιμοποιούν τα ονόματα, τα επώνυμα ή τις ημερομηνίες γέννησης των χρηστών. Μια πιο αξιόπιστη λύση είναι να οργανώσετε τον έλεγχο πρόσβασης σε εγκαταστάσεις ή σε συγκεκριμένο υπολογιστή σε LAN χρησιμοποιώντας διάφορους τύπους πλαστικών καρτών ταυτοποίησης.

Η χρήση πλαστικών καρτών με μαγνητική λωρίδα για αυτούς τους σκοπούς δεν συνιστάται, καθώς μπορεί εύκολα να παραποιηθεί. Μεγαλύτερος βαθμός αξιοπιστίας παρέχουν οι πλαστικές κάρτες με ενσωματωμένο μικροκύκλωμα - οι λεγόμενες κάρτες μικροεπεξεργαστή (MP - κάρτες, έξυπνες - κάρτες). Η αξιοπιστία τους οφείλεται κυρίως στην αδυναμία αντιγραφής ή πλαστογραφίας με χρήση οικιακής μεθόδου. Επιπλέον, κατά την παραγωγή των καρτών, εισάγεται ένας μοναδικός κωδικός σε κάθε τσιπ, ο οποίος δεν μπορεί να αντιγραφεί. Όταν μια κάρτα εκδίδεται σε έναν χρήστη, αναγράφονται ένας ή περισσότεροι κωδικοί πρόσβασης, τους οποίους γνωρίζει μόνο ο κάτοχός της. Για ορισμένους τύπους καρτών MP, μια προσπάθεια μη εξουσιοδοτημένης χρήσης τελειώνει με το αυτόματο «κλείσιμο». Για να αποκατασταθεί η λειτουργικότητα μιας τέτοιας κάρτας, πρέπει να προσκομιστεί στην αρμόδια αρχή.

Η εγκατάσταση μιας ειδικής συσκευής ανάγνωσης καρτών MP είναι δυνατή όχι μόνο στην είσοδο των εγκαταστάσεων όπου βρίσκονται οι υπολογιστές, αλλά και απευθείας σε σταθμούς εργασίας και διακομιστές δικτύου.

Προστασία εταιρικών πληροφοριών:

Ωστόσο, κατά την επίλυση αυτού του προβλήματος, οι επιχειρήσεις συχνά ακολουθούν το παράδειγμα των εργολάβων εταιρειών που προωθούν ένα ή περισσότερα προϊόντα που, κατά κανόνα, λύνουν ιδιωτικά προβλήματα. Παρακάτω θα εξετάσουμε τις πιο γενικές προσεγγίσεις για μια ολοκληρωμένη λύση στο πρόβλημα της διασφάλισης της ασφάλειας των πληροφοριών.

Πλέον τυπικό λάθοςΚατά την κατασκευή ενός συστήματος προστασίας, υπάρχει η επιθυμία να προστατεύονται τα πάντα και από τα πάντα ταυτόχρονα. Μάλιστα, προσδιορίζοντας τις απαραίτητες πληροφορίες (αρχεία, κατάλογοι, δίσκοι) και άλλα αντικείμενα δομή πληροφοριώνπου πρέπει να προστατευθούν είναι το πρώτο βήμα για την οικοδόμηση ενός συστήματος ασφάλειας πληροφοριών. Θα πρέπει να ξεκινήσετε ορίζοντας αυτήν τη λίστα: θα πρέπει να υπολογίσετε πόσο μπορεί να κοστίσει η απώλεια (διαγραφή ή κλοπή) μιας συγκεκριμένης βάσης δεδομένων ή, για παράδειγμα, ενός απλού σταθμού εργασίας κατά τη διάρκεια της ημέρας.

Το δεύτερο βήμα είναι ο εντοπισμός των πηγών των απειλών. Κατά κανόνα, υπάρχουν πολλά από αυτά. Ο εντοπισμός μιας πηγής απειλών σημαίνει αξιολόγηση των στόχων της (εάν η πηγή είναι σκόπιμη) ή του πιθανού αντίκτυπου (ακούσια), της πιθανότητας (ή της έντασης) εμφάνισής της. Εάν μιλάμε για κακόβουλες ενέργειες ενός ατόμου (ή μιας ομάδας ατόμων), τότε είναι απαραίτητο να αξιολογηθούν οι οργανωτικές και τεχνικές ικανότητές του για πρόσβαση σε πληροφορίες (εξάλλου, ο εισβολέας μπορεί να είναι επίσης υπάλληλος της εταιρείας).

Μόλις εντοπιστεί η πηγή των απειλών, μπορούν να διατυπωθούν απειλές για την ασφάλεια των πληροφοριών. Δηλαδή τι μπορεί να γίνει με την πληροφορία. Κατά κανόνα, είναι σύνηθες να διακρίνουμε τις ακόλουθες ομάδες απειλών:

• § μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες (ανάγνωση, αντιγραφή ή αλλαγή πληροφοριών, πλαστογραφία και επιβολή).
• § διακοπή των υπολογιστών και προγράμματα εφαρμογής
• § καταστροφή πληροφοριών.

Σε κάθε μία από αυτές τις τρεις ομάδες, μπορούν να εντοπιστούν δεκάδες συγκεκριμένες απειλές, αλλά ας σταματήσουμε εκεί προς το παρόν. Ας σημειώσουμε μόνο ότι οι απειλές μπορεί να είναι σκόπιμες και τυχαίες και οι τυχαίες, με τη σειρά τους, μπορεί να είναι φυσικές (για παράδειγμα, φυσικές καταστροφές) και τεχνητές (λανθασμένες ενέργειες προσωπικού). Οι τυχαίες απειλές που δεν έχουν κακόβουλη πρόθεση είναι συνήθως επικίνδυνες μόνο από την άποψη της απώλειας πληροφοριών και της διακοπής του συστήματος, κάτι που είναι αρκετά εύκολο να ασφαλιστεί. Οι σκόπιμες απειλές είναι πιο σοβαρές από την άποψη των απωλειών για τις επιχειρήσεις, γιατί εδώ πρέπει να πολεμήσετε όχι με τυφλή (αν και ανελέητη στη δύναμή της) πιθανότητα, αλλά με έναν σκεπτόμενο εχθρό.

Είναι χρήσιμο να οικοδομήσουμε ένα σύστημα προστασίας χρησιμοποιώντας αρχές προστασίας που είναι αρκετά καθολικές για μια μεγάλη ποικιλία θεματικές περιοχές(μηχανική υποστήριξη στο στρατό, φυσική ασφάλεια προσώπων και εδαφών κ.λπ.)

• § Επάρκεια (εύλογη επάρκεια). Το συνολικό κόστος προστασίας (χρόνος, ανθρώπινοι και νομισματικοί πόροι) πρέπει να είναι χαμηλότερο από το κόστος των πόρων που προστατεύονται. Εάν ο κύκλος εργασιών μιας εταιρείας είναι 10.000 $ το μήνα, δεν έχει νόημα να αναπτυχθεί ένα σύστημα εκατομμυρίων δολαρίων (όπως ακριβώς το αντίστροφο).
• § Συστηματικότητα. Η σημασία αυτής της αρχής είναι ιδιαίτερα εμφανής κατά την κατασκευή μεγάλων συστημάτων προστασίας. Συνίσταται στο γεγονός ότι το σύστημα προστασίας δεν πρέπει να οικοδομείται αφηρημένα (προστασία από τα πάντα), αλλά με βάση την ανάλυση των απειλών, τα μέσα προστασίας από αυτές τις απειλές, την αναζήτηση του βέλτιστου συνόλου αυτών των μέσων και κατασκευή του συστήματος.
• § Διαφάνεια για τους νόμιμους χρήστες. Η εισαγωγή μηχανισμών ασφαλείας (ιδιαίτερα ο έλεγχος ταυτότητας χρήστη) οδηγεί αναπόφευκτα στην περιπλοκή των ενεργειών τους. Ωστόσο, κανένας μηχανισμός δεν πρέπει να απαιτεί αδύνατα βήματα (για παράδειγμα, να δημιουργείτε έναν 10ψήφιο κωδικό πρόσβασης κάθε εβδομάδα και να μην τον γράφετε πουθενά) ή να καθυστερεί τη διαδικασία πρόσβασης σε πληροφορίες.
• § Ίση σταθερότητα συνδέσμων. Οι σύνδεσμοι είναι στοιχεία προστασίας, η υπέρβαση οποιουδήποτε από τα οποία σημαίνει υπέρβαση ολόκληρης της προστασίας. Είναι σαφές ότι η αδυναμία ορισμένων συνδέσμων δεν μπορεί να αντισταθμιστεί με την ενίσχυση άλλων. Σε κάθε περίπτωση, η δύναμη της άμυνας (ή το επίπεδό της, βλέπε παρακάτω) καθορίζεται από τη δύναμη του πιο αδύναμου κρίκου. Και αν ένας άπιστος υπάλληλος είναι έτοιμος να «ρίξει πολύτιμες πληροφορίες σε μια δισκέτα» για 100 $, τότε ο εισβολέας είναι απίθανο να δημιουργήσει μια περίπλοκη επίθεση χάκερ για να πετύχει τον ίδιο στόχο.
• § Συνέχεια. Γενικά, η ίδια σταθερότητα, μόνο στον τομέα του χρόνου. Εάν αποφασίσουμε ότι θα προστατεύσουμε κάτι και με κάποιο τρόπο, τότε πρέπει να το προστατεύσουμε με αυτόν τον τρόπο ανά πάσα στιγμή. Είναι αδύνατο, για παράδειγμα, να αποφασίσετε την Παρασκευή να κάνετε εφεδρικόςπληροφορίες και κανονίστε μια «υγειονομική ημέρα» την τελευταία Παρασκευή του μήνα. Ο νόμος της κακίας είναι αδυσώπητος: ακριβώς τη στιγμή που τα μέτρα για την προστασία των πληροφοριών αποδυναμώνονται, αυτό από το οποίο προστατεύαμε τους εαυτούς μας θα συμβεί. Μια προσωρινή αποτυχία στην προστασία, καθώς και ένας αδύναμος κρίκος, το κάνει χωρίς νόημα.
• § Πολυεπίπεδο. Η προστασία πολλαπλών επιπέδων βρίσκεται παντού, απλώς περιπλανηθείτε στα ερείπια ενός μεσαιωνικού φρουρίου. Γιατί η προστασία είναι ενσωματωμένη σε πολλά επίπεδα που πρέπει να ξεπεραστούν τόσο από τον εισβολέα όσο και από τον νόμιμο χρήστη (ο οποίος, φυσικά, το βρίσκει ευκολότερο να το κάνει); Δυστυχώς, υπάρχει πάντα η πιθανότητα να ξεπεραστεί κάποιο επίπεδο είτε λόγω απρόβλεπτων ατυχημάτων είτε με μη μηδενική πιθανότητα. Τα απλά μαθηματικά προτείνουν: εάν ένα επίπεδο εγγυάται προστασία 90%, τότε τρία επίπεδα (σε καμία περίπτωση δεν επαναλαμβάνονται το ένα το άλλο) θα σας δώσουν 99,9%. Αυτό, παρεμπιπτόντως, είναι ένα αποθεματικό εξοικονόμησης: με τον διαχωρισμό φθηνών και σχετικά αναξιόπιστων μέσων προστασίας, μπορεί να επιτευχθεί πολύ υψηλός βαθμός προστασίας με μικρό κόστος.

Η συνεκτίμηση αυτών των αρχών θα βοηθήσει στην αποφυγή περιττών δαπανών κατά την κατασκευή ενός συστήματος ασφάλειας πληροφοριών και ταυτόχρονα θα επιτύχει πραγματικά υψηλό επίπεδοασφάλεια επιχειρηματικών πληροφοριών.

Αξιολόγηση της αποτελεσματικότητας των συστημάτων προστασίας λογισμικού

Τα συστήματα προστασίας λογισμικού είναι ευρέως διαδεδομένα και εξελίσσονται συνεχώς, χάρη στην επέκταση της αγοράς λογισμικού και τεχνολογίας τηλεπικοινωνιών. Η ανάγκη χρήσης συστημάτων προστασίας λογισμικού (SP) οφείλεται σε μια σειρά προβλημάτων, μεταξύ των οποίων πρέπει να τονίσουμε: παράνομη χρήση αλγορίθμων που αποτελούν πνευματική ιδιοκτησία του συγγραφέα κατά τη σύνταξη αναλόγων του προϊόντος (βιομηχανική κατασκοπεία). μη εξουσιοδοτημένη χρήσηΛογισμικό (κλοπή και αντιγραφή). μη εξουσιοδοτημένη τροποποίηση λογισμικού με σκοπό την εισαγωγή κατάχρησης λογισμικού· παράνομη διανομή και πώληση λογισμικού (πειρατεία).

Με βάση τη μέθοδο εγκατάστασης, τα συστήματα προστασίας λογισμικού μπορούν να χωριστούν σε συστήματα εγκατεστημένα σε μεταγλωττισμένες μονάδες λογισμικού. συστήματα ενσωματωμένα στον πηγαίο κώδικα του λογισμικού πριν από τη μεταγλώττιση· και σε συνδυασμό.

Τα συστήματα του πρώτου τύπου είναι τα πιο βολικά για έναν κατασκευαστή λογισμικού, καθώς είναι εύκολο να προστατευθεί το ήδη πλήρως προετοιμασμένο και δοκιμασμένο λογισμικό (συνήθως η διαδικασία εγκατάστασης προστασίας είναι όσο το δυνατόν πιο αυτοματοποιημένη και καταλήγει στον καθορισμό του ονόματος του προστατευμένου αρχείου και πατώντας «Enter»), και ως εκ τούτου είναι τα πιο δημοφιλή. Ταυτόχρονα, η αντίσταση αυτών των συστημάτων είναι αρκετά χαμηλή (ανάλογα με την αρχή λειτουργίας του συστήματος προστασίας), καθώς για να παρακάμψετε την προστασία αρκεί να προσδιορίσετε το σημείο τερματισμού του «φάκελου» προστασίας και να μεταφέρετε τον έλεγχο στο προστατευμένο πρόγραμμα και, στη συνέχεια, αποθηκεύστε το με δύναμη σε μη προστατευμένη μορφή.

Τα συστήματα του δεύτερου τύπου δεν είναι βολικά για τον κατασκευαστή λογισμικού, καθώς υπάρχει ανάγκη εκπαίδευσης προσωπικού για εργασία με διεπαφή λογισμικού(API) συστήματα προστασίας με το προκύπτον οικονομικό και χρονικό κόστος. Επιπλέον, η διαδικασία δοκιμής λογισμικού γίνεται πιο περίπλοκη και η αξιοπιστία του μειώνεται, καθώς εκτός από το ίδιο το λογισμικό, σφάλματα ενδέχεται να περιέχουν ένα API του συστήματος ασφαλείας ή των διαδικασιών που το χρησιμοποιούν. Αλλά τέτοια συστήματα είναι πιο ανθεκτικά στις επιθέσεις, γιατί εδώ εξαφανίζεται το σαφές όριο μεταξύ του συστήματος προστασίας και του ίδιου του λογισμικού.

Για την προστασία του λογισμικού χρησιμοποιούνται διάφορες μέθοδοι, όπως:

• § Αλγόριθμοι συσκότισης - χρησιμοποιούνται χαοτικές μεταβάσεις σε διαφορετικά μέρη του κώδικα, εισαγωγή ψευδών διαδικασιών - "ανδρείκελα", βρόχοι αδράνειας, παραμόρφωση του αριθμού των πραγματικών παραμέτρων των διαδικασιών λογισμικού, διασπορά τμημάτων κώδικα σε διαφορετικές περιοχές της μνήμης RAM κ.λπ. .
• § Αλγόριθμοι μετάλλαξης - πίνακες αντιστοιχίας τελεστών - συνώνυμα δημιουργούνται και αντικαθίστανται μεταξύ τους κάθε φορά που εκκινείται το πρόγραμμα σύμφωνα με ένα συγκεκριμένο σχήμα ή τυχαίες, τυχαίες αλλαγές στη δομή του προγράμματος.
• § Αλγόριθμοι συμπίεσης δεδομένων - το πρόγραμμα συσκευάζεται και στη συνέχεια αποσυμπιέζεται καθώς εκτελείται.
• § Αλγόριθμοι κρυπτογράφησης δεδομένων - το πρόγραμμα κρυπτογραφείται και στη συνέχεια αποκρυπτογραφείται καθώς εκτελείται.
• § Υπολογισμός μιγαδικού μαθηματικές εκφράσειςκατά τη διαδικασία επεξεργασίας του μηχανισμού προστασίας, τα στοιχεία της λογικής προστασίας εξαρτώνται από το αποτέλεσμα του υπολογισμού της τιμής ενός τύπου ή μιας ομάδας τύπων.
• § Μέθοδοι για την παρεμπόδιση της αποσυναρμολόγησης - χρησιμοποιούνται διάφορες τεχνικές για την αποτροπή της αποσυναρμολόγησης στη λειτουργία παρτίδας.
• § Μέθοδοι για τη δυσκολία του εντοπισμού σφαλμάτων - χρησιμοποιούνται διάφορες τεχνικές που στοχεύουν στην περίπλοκη διόρθωση του προγράμματος.
• § Προσομοίωση επεξεργαστών και λειτουργικών συστημάτων - δημιουργείται ένας εικονικός επεξεργαστής ή/και λειτουργικό σύστημα (όχι απαραίτητα πραγματικό) και ένα πρόγραμμα μεταφραστή από το σύστημα εντολών της IBM στο σύστημα εντολών του δημιουργημένου επεξεργαστή ή λειτουργικού συστήματος μετά από μια τέτοια μετάφραση να εκτελεστεί μόνο με χρήση εξομοιωτή, κάτι που είναι δραστικό καθιστά δύσκολη τη μελέτη του αλγόριθμου λογισμικού.
• § Μη τυπικές μέθοδοι εργασίας με υλικό - οι μονάδες συστήματος προστασίας έχουν πρόσβαση στο υλικό υπολογιστή, παρακάμπτοντας διαδικασίες λειτουργικό σύστημακαι χρησιμοποιήστε ελάχιστα γνωστές ή μη τεκμηριωμένες δυνατότητες του.

Εμπορικό μυστικό. Επίσημο μυστικό. Επαγγελματικά μυστικά. Προσωπική πληροφορία.

Βασικοί όροι και έννοιες:

Εμπορικό (επίσημο) μυστικό

Προσωπική πληροφορία

Επαγγελματική εχεμύθεια

Με την ανάπτυξη της κοινωνίας της πληροφορίας, τα προβλήματα που σχετίζονται με την προστασία των εμπιστευτικών πληροφοριών γίνονται όλο και πιο σημαντικά. Επί του παρόντος, αυτά τα ζητήματα δεν έχουν επιλυθεί πλήρως και συστηματικά στη ρωσική νομοθεσία. Μια λεπτομερής ταξινόμηση των εμπιστευτικών πληροφοριών, όπως προαναφέρθηκε, δίνεται στον κατάλογο εμπιστευτικών πληροφοριών που δημιουργήθηκε με Διάταγμα του Προέδρου της Ρωσικής Ομοσπονδίας της 6ης Μαρτίου 1997 αρ. 188. Στη συνέχεια, θα εξετάσουμε λεπτομερέστερα ορισμένους τύπους εμπιστευτικών πληροφορίες.

Εμπορικό μυστικό

Οι εμπορικές δραστηριότητες ενός οργανισμού συνδέονται στενά με τη λήψη, τη συσσώρευση, την αποθήκευση, την επεξεργασία και τη χρήση διαφόρων πληροφοριών. Δεν υπόκεινται σε προστασία όλες οι πληροφορίες, αλλά μόνο αυτές που είναι πολύτιμες για τον οργανισμό. Κατά τον προσδιορισμό της αξίας των εμπορικών πληροφοριών, είναι απαραίτητο να καθοδηγείται από τις ιδιότητές τους όπως η χρησιμότητα, η επικαιρότητα και η αξιοπιστία.

Η χρησιμότητα της πληροφορίας έγκειται στο γεγονός ότι δημιουργεί ευνοϊκές συνθήκες ώστε το υποκείμενο να λάβει μια έγκαιρη απόφαση και να επιτύχει ένα αποτελεσματικό αποτέλεσμα. Με τη σειρά της, η χρησιμότητα των πληροφοριών εξαρτάται από την έγκαιρη λήψη και παράδοσή τους στον ερμηνευτή. Λόγω της μη έγκαιρης λήψης σημαντικών πληροφοριών, συχνά χάνεται η ευκαιρία να συνάψετε μια κερδοφόρα συναλλαγή ή άλλη συμφωνία.

Τα κριτήρια χρησιμότητας και επικαιρότητας είναι στενά αλληλένδετα και αλληλεξαρτώμενα με το κριτήριο της αξιοπιστίας των πληροφοριών. Οι λόγοι για την εμφάνιση αναξιόπιστων πληροφοριών είναι διαφορετικοί: εσφαλμένη αντίληψη (λόγω εσφαλμένης αντίληψης, ανεπαρκούς πείρας ή επαγγελματικής γνώσης) των γεγονότων ή σκόπιμη παραμόρφωση γεγονότων που πραγματοποιείται για συγκεκριμένο σκοπό. Επομένως, κατά κανόνα, οι πληροφορίες εμπορικού ενδιαφέροντος, καθώς και η πηγή παραλαβής τους, πρέπει να ελέγχονται διπλά.

Ο κάτοχος εμπορικών πληροφοριών, με βάση το σύνολο των αναγραφόμενων κριτηρίων, καθορίζει την αξία τους για τις επιχειρηματικές του δραστηριότητες και λαμβάνει την κατάλληλη επιχειρησιακή απόφαση.

Στην ξένη οικονομική βιβλιογραφία, η εμπορική πληροφόρηση δεν θεωρείται ως μέσο απόκτησης κέρδους, αλλά, πρώτα απ' όλα, ως συνθήκη που προωθεί ή εμποδίζει την επίτευξη κέρδους. Τονίζεται ιδιαίτερα η παρουσία του παράγοντα κόστους των εμπορικών πληροφοριών, δηλ. την ικανότητα να ενεργεί ως αντικείμενο αγοράς και πώλησης. Γι' αυτό σπουδαίοςΣτο πλαίσιο της ανάπτυξης διαφορετικών μορφών ιδιοκτησίας, τίθεται το ερώτημα εάν οι πληροφορίες για τα δικαιώματα πνευματικής ιδιοκτησίας ανήκουν σε μια συγκεκριμένη επιχειρηματική οντότητα και, τελικά, εάν έχει τα δικαιώματα να την προστατεύσει.

Ο ορισμός και τα ζητήματα της πολιτικής προστασίας των επίσημων και εμπορικών μυστικών στη ρωσική νομοθεσία δεν διαφέρουν και συζητούνται στο άρθρο. 139 του πρώτου μέρους του Αστικού Κώδικα της Ρωσικής Ομοσπονδίας, που ονομάζεται «Επίσημα και εμπορικά απόρρητα»:

«Οι πληροφορίες συνιστούν επίσημο ή εμπορικό απόρρητο στην περίπτωση που οι πληροφορίες έχουν πραγματική ή δυνητική εμπορική αξία λόγω της αγνώστων τους σε τρίτους, δεν υπάρχει ελεύθερη πρόσβαση σε αυτές σε νομική βάση και ο κάτοχος των πληροφοριών λαμβάνει μέτρα για την προστασία τους. εμπιστευτικότητα. Πληροφορίες που δεν μπορούν να συνιστούν επίσημο ή εμπορικό απόρρητο καθορίζονται από το νόμο και άλλες νομικές πράξεις.

Οι πληροφορίες που αποτελούν επίσημο ή εμπορικό μυστικό προστατεύονται με τις μεθόδους που προβλέπονται από τον παρόντα Κώδικα και άλλους νόμους.

Τα πρόσωπα που έχουν λάβει πληροφορίες που συνιστούν επίσημο ή εμπορικό απόρρητο με παράνομες μεθόδους υποχρεούνται να αποζημιώσουν τις ζημίες που προκλήθηκαν. Η ίδια υποχρέωση επιβάλλεται στους υπαλλήλους που αποκάλυψαν επίσημα ή εμπορικά απόρρητα αντίθετα με σύμβαση εργασίας, συμπεριλαμβανομένης της σύμβασης, και σε εργολάβους που το έπραξαν αντίθετα με σύμβαση αστικού δικαίου.»

Η διασφάλιση της προστασίας των κρατικών μυστικών δεν σχετίζεται άμεσα με την προστασία των εμπορικών μυστικών. Ωστόσο, πρέπει να σημειωθούν ορισμένες πιθανές εξαιρέσεις. Εμπορικές πληροφορίες που αξιολογούνται ως ιδιαίτερα σημαντικές όχι μόνο για τον κάτοχό τους, αλλά και για το κράτος, μπορούν να ληφθούν υπό κρατική προστασία, όταν είναι πιθανό μια ξένη υπηρεσία πληροφοριών να δείξει ενδιαφέρον για αυτές. Το ζήτημα αυτής της προστασίας θα πρέπει να επιλυθεί σε συμβατική βάση μεταξύ του επιχειρηματία και της ομοσπονδιακής υπηρεσίας ασφαλείας, περιγράφοντας τα όρια και τις λειτουργίες επαγγελματικές δραστηριότητεςτο τελευταίο. Όσο για το ίδιο το εμπορικό μυστικό, δεν έχει ειδική ποινική νομοθεσία ή προστασία καθεστώτος.

Η πραγματική ή δυνητική εμπορική αξία των πληροφοριών είναι σε μεγάλο βαθμό υποκειμενική και επιτρέπει σε έναν επιχειρηματία να περιορίσει την πρόσβαση σε όλες σχεδόν τις πληροφορίες που χρησιμοποιούνται σε επιχειρηματικές δραστηριότητες, με εξαίρεση τις πληροφορίες που καθορίζονται από κανονισμούς και νόμους.

Ποιες πληροφορίες δεν μπορούν να αποτελούν εμπορικό μυστικό; Το Διάταγμα της Κυβέρνησης της RSFSR της 5ης Δεκεμβρίου 1991 αριθ. 35 «Σχετικά με τον κατάλογο των πληροφοριών που δεν μπορούν να συνιστούν εμπορικό μυστικό» αναφέρει:

Συστατικά έγγραφα (απόφαση για τη σύσταση συμφωνίας επιχείρησης ή ιδρυτών) και καταστατικό·

Έγγραφα που παρέχουν το δικαίωμα συμμετοχής σε επιχειρηματικές δραστηριότητες (πιστοποιητικά εγγραφής, άδειες, διπλώματα ευρεσιτεχνίας).

Πληροφορίες για καθιερωμένες μορφές αναφοράς για χρηματοπιστωτικές και οικονομικές δραστηριότητες και άλλες πληροφορίες που είναι απαραίτητες για την επαλήθευση της ορθότητας του υπολογισμού και της πληρωμής φόρων και άλλων υποχρεωτικών πληρωμών στο σύστημα κρατικού προϋπολογισμού της RSFSR.

Έγγραφα φερεγγυότητας.

Πληροφορίες για τον αριθμό, τη σύνθεση των εργαζομένων, τους μισθούς και τις συνθήκες εργασίας τους, καθώς και τη διαθεσιμότητα των διαθέσιμων θέσεων εργασίας.

Έγγραφα πληρωμής φόρων και υποχρεωτικών πληρωμών.

Πληροφορίες μόλυνσης περιβάλλο, παραβίαση της αντιμονοπωλιακής νομοθεσίας, μη συμμόρφωση με ασφαλείς συνθήκες εργασίας, πωλήσεις προϊόντων που βλάπτουν τη δημόσια υγεία, καθώς και άλλες παραβιάσεις της νομοθεσίας της RSFSR και το ποσό της ζημίας που προκλήθηκε.

Πληροφορίες για τη συμμετοχή στελεχών της εταιρείας σε συνεταιρισμούς, μικρές επιχειρήσεις, εταιρικές σχέσεις, ανώνυμες εταιρείες, ενώσεις και άλλους οργανισμούς που ασκούν επιχειρηματική δραστηριότητα.

Η ίδια κανονιστική πράξη απαγορεύει στις κρατικές και δημοτικές επιχειρήσεις, πριν και κατά τη διάρκεια της διαδικασίας ιδιωτικοποίησής τους, να χαρακτηρίζουν τα ακόλουθα δεδομένα ως εμπορικό απόρρητο:

Σχετικά με το μέγεθος της περιουσίας της επιχείρησης και τα κεφάλαιά της·

Για την επένδυση κεφαλαίων σε κερδοφόρα περιουσιακά στοιχεία (τίτλοι) άλλων επιχειρήσεων, σε έντοκα ομόλογα και δάνεια, σε εγκεκριμένα κεφάλαια κοινοπραξιών.

Επί πιστώσεων, εμπορικών και άλλων υποχρεώσεων της επιχείρησης που απορρέουν από τη νομοθεσία της RSFSR και τις συμφωνίες που έχει συνάψει.

Για συμφωνίες με συνεταιρισμούς, άλλες μη κρατικές επιχειρήσεις, δημιουργικές και προσωρινές εργατικές συλλογικότητες, καθώς και μεμονωμένους πολίτες.

Πρέπει να σημειωθεί ότι οι περιορισμοί που επιβάλλονται στη χρήση πληροφοριών που αποτελούν εμπορικό μυστικό αποσκοπούν στην προστασία πνευματικής, υλικής, οικονομικής ιδιοκτησίας και άλλων συμφερόντων που προκύπτουν κατά τη διαμόρφωση της εργασιακής δραστηριότητας του οργανισμού, του προσωπικού του τμήματος, καθώς και κατά τη διάρκεια τη συνεργασία τους με υπαλλήλους άλλων οργανισμών.

Σκοπός τέτοιων περιορισμών είναι να αποτραπεί η αποκάλυψη, η διαρροή ή η μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες. Οι περιορισμοί πρέπει να είναι κατάλληλοι και αιτιολογημένοι από την άποψη της ανάγκης διασφάλισης της ασφάλειας των πληροφοριών. Δεν επιτρέπεται η χρήση περιορισμών για απόκρυψη λαθών και ανικανότητας της διοίκησης του οργανισμού, σπατάλης, αθέμιτου ανταγωνισμού και άλλων αρνητικών φαινομένων στις δραστηριότητες του οργανισμού, καθώς και για αποφυγή εκπλήρωσης συμβατικών υποχρεώσεων και καταβολής φόρων.

Επίσημο μυστικό

Εάν ο κύριος σκοπός της διασφάλισης του απορρήτου των πληροφοριών που συνιστούν εμπορικό μυστικό είναι η διασφάλιση ανταγωνιστικού πλεονεκτήματος, τότε η προστασία του απορρήτου των επίσημων απορρήτων, αν και μπορεί να επηρεάσει τα εμπορικά συμφέροντα του οργανισμού, αλλά κύριο καθήκονέχει συμφέροντα πελατών ή δικά της συμφέροντα που δεν σχετίζονται άμεσα με εμπορικές δραστηριότητες. Έτσι, πληροφορίες σχετικά με μέτρα για τη διασφάλιση της ασφάλειας των εργαζομένων του οργανισμού, την ασφάλεια της αποθήκης και άλλων χώρων κ.λπ., που δεν σχετίζονται άμεσα με την υλοποίηση του θέματος, θα πρέπει να ταξινομούνται ως επίσημα και όχι εμπορικά μυστικά.

Επί του παρόντος, ο θεσμός των επίσημων απορρήτων στο εσωτερικό δίκαιο είναι ο λιγότερο ανεπτυγμένος. Υπάρχουν τρία σύνολα ζητημάτων σε αυτό το πρόβλημα.

Πρώτον, τα ζητήματα των «οριακών» και «παραγώγων» πληροφοριών απαιτούν ρύθμιση σε νομοθετικό επίπεδο. Οι «οριακές» πληροφορίες είναι τέτοιες επίσημες πληροφορίες σε οποιονδήποτε κλάδο της επιστήμης, της τεχνολογίας, της παραγωγής και της διαχείρισης, οι οποίες, με κάποια γενίκευση και ολοκλήρωση, γίνονται κρατικό μυστικό. Οι «προερχόμενες» πληροφορίες είναι επίσημες πληροφορίες που λαμβάνονται ως αποτέλεσμα κατακερματισμού πληροφοριών που αποτελούν κρατικό μυστικό σε ξεχωριστά στοιχεία, καθένα από τα οποία δεν μπορεί να αποδοθεί σε αυτό.

Δεύτερον, ιδιαίτερο νομική ρύθμισηαπαιτεί την προστασία των πληροφοριών που παράγονται στις δραστηριότητες των δημόσιων αρχών και της διοίκησης. Για τη συγκρότηση ενός διοικητικού-νομικού θεσμού των επίσημων απορρήτων θα πρέπει να εκδοθεί ειδικός νόμος, η ισχύς του οποίου να επεκταθεί σε όλα τα επίπεδα του συστήματος δημόσιας διοίκησης.

Τρίτον, μια ορισμένη κατηγορία σημαντικών πληροφοριών για θέματα αστικών σχέσεων απαιτεί προστασία. Αυτό αναφέρεται στη νομική προστασία πληροφοριών που στις δραστηριότητες των οργανισμών δεν μπορούν να χαρακτηριστούν ως εμπορικό μυστικό, παρά το γεγονός ότι στον Αστικό Κώδικα της Ρωσικής Ομοσπονδίας η έννοια του επίσημου μυστικού σχετίζεται άμεσα με την πραγματική ή πιθανή εμπορική αξία του πληροφορίες.

Θα πρέπει να σημειωθεί ότι επί του παρόντος εφαρμόζεται μια απλοποιημένη προσέγγιση: οποιαδήποτε πληροφορία σχετικά με τις επιχειρηματικές δραστηριότητες ενός οργανισμού, η πρόσβαση στην οποία είναι περιορισμένη, χαρακτηρίζεται ως εμπορικό μυστικό. Ωστόσο, με αυτήν την προσέγγιση, ενδέχεται να προκύψουν δυσκολίες στον προσδιορισμό της υλικής ζημίας και των διαφυγόντων κερδών σε περίπτωση παράνομης διάδοσης εμπιστευτικών πληροφοριών, για παράδειγμα, πληροφοριών σχετικά με το καθεστώς ασφαλείας του οργανισμού ή άλλες πτυχές της λειτουργίας του που δεν σχετίζονται άμεσα με την εφαρμογή του η θεματική δραστηριότητα. Ταυτόχρονα, αυτές οι πληροφορίες πρέπει να προστατεύονται, γιατί Η εμπορική επιτυχία ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τον περιορισμό της πρόσβασης σε αυτά.

Επαγγελματικά μυστικά

Σύμφωνα με την ισχύουσα νομοθεσία, τα επαγγελματικά μυστικά περιλαμβάνουν πληροφορίες που σχετίζονται με τις επίσημες δραστηριότητες ιατρικών εργαζομένων, συμβολαιογράφων, δικηγόρων, ιδιωτικών ντετέκτιβ, κληρικών, υπαλλήλων τραπεζών, ληξιαρχείων και ασφαλιστικών ιδρυμάτων. Τόσο ένα νομικό πρόσωπο όσο και ένα φυσικό πρόσωπο μπορούν να ενεργούν ως υποκείμενο επαγγελματικού απορρήτου.

Η τήρηση εμπιστευτικών πληροφοριών που αποκτώνται σε σχέση με την εκτέλεση επαγγελματικών λειτουργιών προκαλείται κυρίως από τους κανόνες επαγγελματικής δεοντολογίας και όχι από τα δικά του εμπορικά συμφέροντα του επιχειρηματία ή του οργανισμού. Το κατάλληλο νομικό καθεστώς για τα υπό εξέταση πρότυπα δίνεται από τη νομοθετική τους ενοποίηση.

1)τραπεζικό απόρρητο. Η έννοια του τραπεζικού απορρήτου, σύμφωνα με το άρθ. 857 του Αστικού Κώδικα της Ρωσικής Ομοσπονδίας, καλύπτει πληροφορίες σχετικά με τραπεζικό λογαριασμό, κατάθεση, συναλλαγές λογαριασμού, καθώς και πληροφορίες για πελάτες τραπεζών.

Το τραπεζικό απόρρητο προστατεύει τις εμπιστευτικές πληροφορίες ενός πελάτη ή τις εμπορικές πληροφορίες ενός ανταποκριτή.

Ο ομοσπονδιακός νόμος «Περί Τραπεζών και Τραπεζικών Δραστηριοτήτων» ορίζει τις ευθύνες των θεμάτων, τις κατηγορίες πληροφοριών και τους λόγους για τους οποίους παρέχονται πληροφορίες σε ενδιαφερόμενους κρατικούς φορείς, οργανισμούς και ιδιώτες. Ο πιστωτικός οργανισμός και η Τράπεζα της Ρωσίας εγγυώνται το απόρρητο των συναλλαγών, των λογαριασμών και των καταθέσεων των πελατών και των ανταποκριτών τους. Όλοι οι υπάλληλοι ενός πιστωτικού ιδρύματος υποχρεούνται να κρατούν μυστικές τις συναλλαγές, τους λογαριασμούς και τις καταθέσεις των πελατών και των ανταποκριτών του, καθώς και άλλες πληροφορίες που έχουν δημιουργηθεί από το πιστωτικό ίδρυμα, εκτός εάν αυτό έρχεται σε αντίθεση με την ομοσπονδιακή νομοθεσία.

Η Τράπεζα της Ρωσίας δεν έχει το δικαίωμα να αποκαλύψει πληροφορίες σχετικά με λογαριασμούς, καταθέσεις, καθώς και πληροφορίες σχετικά με συγκεκριμένες συναλλαγές και πράξεις από τις εκθέσεις πιστωτικών ιδρυμάτων που έλαβε ως αποτέλεσμα της εκτέλεσης λειτουργιών αδειοδότησης, εποπτείας και ελέγχου, εκτός από περιπτώσεις που προβλέπονται από ομοσπονδιακούς νόμους.

Έτσι, ένα πιστωτικό ίδρυμα έχει το δικαίωμα να χαρακτηρίσει οποιαδήποτε πληροφορία ως τραπεζικό απόρρητο, με εξαίρεση αυτές που ρητά ορίζει ο Νόμος.

2)συμβολαιογραφικό απόρρητο. Το απόρρητο είναι ειδικός κανόνας των συμβολαιογραφικών πράξεων. Σύμφωνα με το άρθ. 5 Βασικές αρχές της νομοθεσίας της Ρωσικής Ομοσπονδίας για τους συμβολαιογράφους, ο συμβολαιογράφος κατά την εκτέλεση των επίσημων καθηκόντων του, καθώς και τα άτομα που εργάζονται σε συμβολαιογραφικό γραφείο, απαγορεύεται να αποκαλύπτουν πληροφορίες, να διαβάζουν έγγραφα που τους έχουν γίνει γνωστά σε σχέση με εκτέλεση συμβολαιογραφικών πράξεων, συμπεριλαμβανομένης της παραίτησης ή της απόλυσης, εκτός από τις περιπτώσεις που προβλέπονται από τα Θεμελιώδη. Η υποχρέωση τήρησης του επαγγελματικού απορρήτου περιλαμβάνεται στο κείμενο του όρκου του συμβολαιογράφου.

3)διαδικαστικά μυστικάΣυνήθως χωρίζεται σε δύο τύπους: το ερευνητικό απόρρητο και το απόρρητο των συνεδριάσεων των δικαστών.

Ερευνητικό μυστήριοσυνδέεται με τα συμφέροντα της νόμιμης διεξαγωγής προκαταρκτικής έρευνας σε ποινικές υποθέσεις (άρθρο 310 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας «Αποκάλυψη δεδομένων προκαταρκτικής έρευνας»). Πληροφορίες για την εξέλιξη της προανάκρισης μπορούν να δημοσιοποιηθούν μόνο με άδεια του εισαγγελέα, του ανακριτή ή του προσώπου που διενεργεί την ανάκριση. Οι πληροφορίες αυτές μπορεί να σχετίζονται τόσο με τη φύση των ερευνητικών ενεργειών που διεξάγονται όσο και με τη βάση αποδεικτικών στοιχείων, τις προοπτικές της έρευνας και τον κύκλο των προσώπων που συμμετέχουν στην έρευνα. Είναι σημαντικό να σημειωθεί ότι ο κατάλογος των πληροφοριών που αποτελούν ερευνητικό απόρρητο δεν έχει τεκμηριωθεί νομικά. Αυτό σημαίνει ότι ο εισαγγελέας, ο ανακριτής ή το πρόσωπο που διεξάγει την ανάκριση έχει τη διακριτική ευχέρεια να καθορίσει ποιες πληροφορίες σχετικά με την προκαταρκτική έρευνα μπορούν να προστατευθούν ειδικά και ποιες όχι.

Απόρρητο της συνεδρίασης των δικαστών. Και για τους τέσσερις τύπους διαδικασιών που υπάρχουν σε εσωτερικές δικαστικές διαδικασίες, προβλέπεται μια συγκεκριμένη διαδικασία για τη διασφάλιση της ανεξαρτησίας και της αντικειμενικότητας λήψης απόφασης επί της υπόθεσης. Αυτή η διαδικασία έχει έναν από τους στόχους της απαγόρευσης της αποκάλυψης πληροφοριών σχετικά με συζητήσεις, κρίσεις, αποτελέσματα ψηφοφορίας που πραγματοποιήθηκαν κατά τη συνεδρίαση των δικαστών. Η διασφάλιση του απορρήτου των συνεδριάσεων των δικαστών καθιερώνεται από το άρθ. 193 Κώδικας Πολιτικής Δικονομίας (Κώδικας Πολιτικής Δικονομίας) της Ρωσικής Ομοσπονδίας, άρθ. 70 του Ομοσπονδιακού Συνταγματικού Νόμου «Σχετικά με το Συνταγματικό Δικαστήριο της Ρωσικής Ομοσπονδίας», άρθρο. 124 του Κώδικα Διαιτησίας της Ρωσικής Ομοσπονδίας.

4)ιατρικό απόρρητο. Σύμφωνα με το άρθ. 61 της νομοθεσίας της Ρωσικής Ομοσπονδίας για την προστασία της υγείας των πολιτών, πληροφορίες σχετικά με το γεγονός της αναζήτησης ιατρικής βοήθειας, την κατάσταση της υγείας ενός πολίτη, τη διάγνωση της ασθένειάς του και άλλες πληροφορίες που λαμβάνονται κατά την εξέταση και Η θεραπεία αποτελεί ιατρικό μυστικό. Ο πολίτης πρέπει να έχει εγγύηση εμπιστευτικότητας των πληροφοριών που του διαβιβάζονται.

5)προνόμιο δικηγόρου-πελάτη. Σύμφωνα με τον Ομοσπονδιακό Νόμο «Για την δικηγορία και το νομικό επάγγελμα στη Ρωσική Ομοσπονδία», ένας δικηγόρος, ένας βοηθός δικηγόρος και ένας ασκούμενος δικηγόρος δεν έχουν το δικαίωμα να αποκαλύπτουν πληροφορίες που παρέχονται από τον πελάτη σε σχέση με την παροχή νομικής συνδρομής σε αυτόν. Επιπλέον, οι εμπιστευτικές πληροφορίες που λαμβάνει ένας δικηγόρος μπορεί να είναι τόσο με τη μορφή εγγράφων όσο και προφορικά. Ο νόμος θεσπίζει εγγυήσεις για την ανεξαρτησία του δικηγόρου. Ειδικότερα, ο δικηγόρος δεν μπορεί να ανακριθεί ως μάρτυρας για περιστάσεις που του έγιναν γνωστές σε σχέση με την άσκηση των καθηκόντων του ως συνήγορος υπεράσπισης ή εκπρόσωπος (άρθρο 15 του Νόμου).

6)το μυστικό της ασφάλισης. Ο θεσμός του ασφαλιστικού απορρήτου μοιάζει από πολλές απόψεις με τον θεσμό του τραπεζικού απορρήτου. Το απόρρητο της ασφάλισης, σύμφωνα με το άρθ. 946 του Αστικού Κώδικα της Ρωσικής Ομοσπονδίας, αποτελούν πληροφορίες που λαμβάνονται από τον ασφαλιστή ως αποτέλεσμα των επαγγελματικών του δραστηριοτήτων σχετικά με τον αντισυμβαλλόμενο, τον ασφαλισμένο και τον δικαιούχο, την κατάσταση της υγείας τους, καθώς και την περιουσιακή κατάσταση αυτών των προσώπων. Για παραβίαση του ασφαλιστικού απορρήτου, ο ασφαλιστής, ανάλογα με το είδος των δικαιωμάτων που παραβιάζονται και τη φύση της παραβίασης, ευθύνεται σύμφωνα με τους κανόνες που προβλέπονται στο άρθρο. 139 ή άρθ. 150 Αστικός Κώδικας της Ρωσικής Ομοσπονδίας.

Σύμφωνα με το άρθ. 8 του νόμου της Ρωσικής Ομοσπονδίας «Σχετικά με την οργάνωση των ασφαλιστικών εργασιών στη Ρωσική Ομοσπονδία», τόσο νομικά όσο και φυσικά πρόσωπα - ασφαλιστικοί πράκτορες και ασφαλιστικοί μεσίτες - μπορούν να ενεργούν ως άτομα που υποχρεούνται να τηρούν το απόρρητο της ασφάλισης. Επιπλέον, σύμφωνα με το άρθρο. 33 του εν λόγω Νόμου λειτουργοί ομοσπονδιακό όργανοΗ εκτελεστική αρχή για την εποπτεία ασφαλιστικών δραστηριοτήτων δεν έχει το δικαίωμα να χρησιμοποιεί για προσωπικό όφελος ή να αποκαλύπτει υπό οποιαδήποτε μορφή πληροφορίες που αποτελούν εμπορικό μυστικό του ασφαλιστή.

7)μυστική σύνδεση . Ο ομοσπονδιακός νόμος «Περί Επικοινωνιών» ρυθμίζει την προστασία των πληροφοριών δημόσιες σχέσεις, που σχετίζονται με τη διασφάλιση της αδυναμίας παράνομης πρόσβασης σε μηνύματα που μεταδίδονται από οποιεσδήποτε οντότητες - φυσικά ή νομικά πρόσωπα - μέσω επικοινωνιών. Με αυτή τη διατύπωση του θέματος, το απόρρητο επικοινωνίας γίνεται εργαλείο για τη διασφάλιση της ασφάλειας των εμπιστευτικών πληροφοριών.

Απόρρητο αλληλογραφίας, τηλεφωνικές συνομιλίες, ταχυδρομικά αντικείμενα, τηλεγραφικά και άλλα μηνύματα που μεταδίδονται μέσω ηλεκτρικών και ταχυδρομικών δικτύων προστατεύονται από το Σύνταγμα της Ρωσικής Ομοσπονδίας. Η ευθύνη για τη διασφάλιση της συμμόρφωσης με το απόρρητο των επικοινωνιών ανήκει στον πάροχο επικοινωνιών, ο οποίος νοείται ως φυσικό ή νομικό πρόσωπο που έχει το δικαίωμα να παρέχει ηλεκτρικές ή ταχυδρομικές υπηρεσίες επικοινωνιών. Επίσης, οι τηλεπικοινωνιακοί πάροχοι υποχρεούνται να τηρούν το απόρρητο των πληροφοριών σχετικά με τους συνδρομητές και τις υπηρεσίες επικοινωνίας που τους παρέχονται, οι οποίες έγιναν γνωστές στους φορείς εκμετάλλευσης λόγω άσκησης επαγγελματικών καθηκόντων.

8)μυστικό υιοθεσίας. Ο θεσμός του απορρήτου της υιοθεσίας συνδέεται με τα συμφέροντα της προστασίας της οικογενειακής ζωής και εκφράζεται στη θεμελίωση αστικής και ποινικής ευθύνης για αποκάλυψη του απορρήτου της υιοθεσίας. Σύμφωνα με το άρθ. 155 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας, το απόρρητο της υιοθεσίας μπορεί να είναι δύο τύπων. Το πρώτο κατέχεται από άτομα που είναι υποχρεωμένα να κρατούν το γεγονός της υιοθεσίας ως επίσημο ή επαγγελματικό μυστικό (δικαστές, υπάλληλοι τοπικών διοικήσεων, αρχές κηδεμονίας και άλλα πρόσωπα που καθορίζονται στο Μέρος 1 του άρθρου 139 του RF IC). Το δεύτερο - όλα τα άλλα πρόσωπα, εάν τα εγωιστικά ή άλλα βασικά κίνητρά τους διαπιστωθούν κατά την αποκάλυψη του μυστικού της υιοθεσίας χωρίς τη συγκατάθεση και των δύο θετών γονέων.

9)μυστικό της εξομολόγησης. Η διασφάλιση του απορρήτου της εξομολόγησης είναι εσωτερική υπόθεση του ιερέα. Δεν φέρει καμία νομική ευθύνη για την αποκάλυψή του. Σύμφωνα με το Μέρος 2 του Άρθ. 51 του Συντάγματος της Ρωσικής Ομοσπονδίας και Μέρος 7 του Άρθ. 3 του Ομοσπονδιακού Νόμου «Για την ελευθερία της συνείδησης και τις θρησκευτικές ενώσεις», ένας κληρικός δεν μπορεί να θεωρηθεί υπεύθυνος για την άρνησή του να καταθέσει για περιστάσεις που του έγιναν γνωστές από την ομολογία.

3.1. Έννοια των εμπορικών πληροφοριών

Και πηγές απόκτησής του

Πληροφορίες (λατ. - πληροφορίες) - μήνυμα για κάτι -

Οι εμπορικές πληροφορίες είναι πληροφορίες σχετικά με την τρέχουσα κατάσταση στην αγορά για διάφορα αγαθά και υπηρεσίες. Αυτό περιλαμβάνει ποσοτικούς και ποιοτικούς δείκτες των εμπορικών δραστηριοτήτων της εταιρείας (εμπορική δομή, εμπορική επιχείρηση κ.λπ.), διάφορες πληροφορίες και δεδομένα για εμπορικές δραστηριότητες (τιμές, προμηθευτές, ανταγωνιστές, συνθήκες παράδοσης, υπολογισμοί, γκάμα αγαθών κ.λπ.).

Ο σκοπός των εμπορικών πληροφοριών είναι ότι επιτρέπει στους εμπορικούς οργανισμούς (επιχειρήσεις) να αναλύουν τις εμπορικές δραστηριότητές τους, να τις προγραμματίζουν και να παρακολουθούν τα αποτελέσματα αυτών των δραστηριοτήτων (αποτελεσματικότητα εργασίας).

Σε έναν επιχειρηματία για επιτυχημένη δουλειάοι εμπορικές πληροφορίες είναι τόσο απαραίτητες όσο και ο αέρας. Χρειάζεται συνεχή ενημέρωση για πελάτες, ανταγωνιστές, εμπόρους (μεσάζοντες). Λειτουργικά δεδομένα για ανάλυση, σχεδιασμό, έλεγχο. Η κατάσταση της αγοράς αλλάζει συνεχώς ή μπορεί να αλλάξει ανά πάσα στιγμή. Και εάν δεν διαπιστωθεί συνεχής παροχή (ενημέρωση) δεδομένων πληροφοριών, η εταιρεία ενδέχεται να μην ανταποκριθεί έγκαιρα σε ορισμένες αλλαγές (αλλαγές) και επομένως δεν μπορεί να αποφύγει τις πιο δυσάρεστες συνέπειες. Αυτός που κατέχει τις πληροφορίες ενεργεί

Προτείνεται μια βάση δεδομένων με την ονομασία «Partner-2», η οποία περιέχει 3,5 χιλιάδες από τους μεγαλύτερους εξαγωγείς και εισαγωγείς, αναφέροντας τις διευθύνσεις, τα φαξ, τους αριθμούς τηλεφώνου και το πλήρες φάσμα των εμπορευμάτων που διακινούνται από μια συγκεκριμένη εταιρεία.

3.2. Εμπορικό μυστικό και το περιεχόμενό του

Τι είναι το εμπορικό μυστικό; Προφανώς, όλοι γνωρίζουν την έννοια των κρατικών (στρατιωτικών) μυστικών. Σε όλο τον κόσμο, κρατικά μυστικά σημαίνουν πληροφορίες που σχετίζονται με την εξωτερική πολιτική, την άμυνα και την εθνική ασφάλεια.

Κατά τη σοβιετική περίοδο, το περιεχόμενο των κρατικών μυστικών επεκτάθηκε πολύ - από την υγεία των κομματικών και κρατικών ηγετών μέχρι τη συνταγή για ψωμί και βραστό λουκάνικο. Πολλά έγγραφα του τμήματος έφεραν την ένδειξη "Για επίσημη χρήση".

Τώρα, σε μια οικονομία της αγοράς, στις περισσότερες περιπτώσεις δεν υπάρχει τέτοια σφραγίδα, αλλά έχει εμφανιστεί η έννοια του εμπορικού μυστικού, που σημαίνει περιορισμό των δικαιωμάτων σε ορισμένες πληροφορίες για νομικά πρόσωπα και φυσικά πρόσωπα που είναι ανταγωνιστές.

Τα εμπορικά μυστικά είναι ένα φαινόμενο που ενυπάρχει μόνο σε μια αγορά, καπιταλιστική οικονομία. Δεν είναι τυχαίο ότι ένα από τα πρώτα διατάγματα του V.I Lenin ήταν ένα διάταγμα για την κατάργηση των εμπορικών μυστικών. Σε ένα ανταγωνιστικό περιβάλλον, ένα εμπορικό μυστικό είναι αποτελεσματική θεραπείααύξηση της ανταγωνιστικότητας προϊόντων και υπηρεσιών.

Τι είναι λοιπόν το εμπορικό μυστικό; Με βάση τα παραπάνω, μπορεί να δοθεί ο ακόλουθος ορισμός: «Εσκεμμένα αποκρύπτονται για εμπορικούς λόγους, οικονομικά, τεχνικά, οργανωτικά και άλλα δεδομένα και πληροφορίες για διάφορες πτυχές και τομείς της οικονομικής δραστηριότητας της εταιρείας, η προστασία των οποίων οφείλεται σε συμφέροντα του ανταγωνισμού και πιθανή απειλήοικονομική ασφάλεια της εταιρείας (επιχείρησης)».

Ένα εμπορικό μυστικό προκύπτει όταν ενδιαφέρει τους ανταγωνιστές. Σε αντίθεση με τα κρατικά μυστικά, τα εμπορικά μυστικά δεν καθορίζονται από μια συγκεκριμένη λίστα, καθώς είναι πάντα διαφορετικά σε σχέση με διαφορετικές επιχειρήσεις ή εταιρείες.

Στη ρωσική νομοθεσία, η έννοια του εμπορικού μυστικού εμφανίστηκε το 1990 στο κείμενο του νόμου για τις επιχειρήσεις και τις επιχειρηματικές δραστηριότητες. Αργότερα το 1994, στην παράγραφο 1 του άρθ. 139 του Αστικού Κώδικα της Ρωσικής Ομοσπονδίας (εφεξής ο Αστικός Κώδικας της Ρωσικής Ομοσπονδίας) «Επίσημα και εμπορικά απόρρητα» παρείχε έναν ορισμό των πληροφοριών που αποτελούν επίσημο ή εμπορικό μυστικό.

Με τους πληρέστερους και νομικούς όρους, ένα εμπορικό μυστικό δηλώθηκε στον Ομοσπονδιακό Νόμο της 29ης Ιουλίου 2004 Αρ. 98-FZ «Σχετικά με τα εμπορικά μυστικά». Οι διατάξεις αυτού του Ομοσπονδιακού Νόμου ισχύουν για πληροφορίες που αποτελούν εμπορικό μυστικό, ανεξάρτητα από τον τύπο του μέσου στο οποίο καταγράφονται.

Η διάταξη για τα εμπορικά απόρρητα αναπτύχθηκε περαιτέρω στο Μέρος IV του Αστικού Κώδικα της Ρωσικής Ομοσπονδίας. Αυτό είναι το θέμα αυτού του κεφαλαίου. 75 «Το δικαίωμα σε ένα μυστικό παραγωγής (τεχνογνωσία).»

Ένα μυστικό παραγωγής (τεχνογνωσία) είναι πληροφορίες οποιασδήποτε φύσης (παραγωγικές, τεχνικές, οικονομικές, οργανωτικές και άλλες), συμπεριλαμβανομένων των αποτελεσμάτων της πνευματικής δραστηριότητας στον επιστημονικό και τεχνικό τομέα, καθώς και πληροφορίες σχετικά με μεθόδους άσκησης επαγγελματικών δραστηριοτήτων που έχουν έγκυρη ή δυνητική εμπορική αξία λόγω της αγνώστων τους σε τρίτα μέρη, στα οποία τρίτα μέρη δεν έχουν νόμιμα ελεύθερη πρόσβαση και για τα οποία ο κάτοχος τέτοιων πληροφοριών έχει εισαγάγει καθεστώς εμπορικού μυστικού.

Ο κάτοχος ενός μυστικού παραγωγής έχει το αποκλειστικό δικαίωμα να το χρησιμοποιήσει σύμφωνα με το άρθρο. 1229

περίοδο μετά τη λήξη της σύμβασης εργασίας. Επιπλέον, ενώ ισχύει τέτοιος περιορισμός, το άτομο αυτό πρέπει να λάβει αμοιβή. Στη ρωσική πρακτική, τέτοιες συμφωνίες είναι ακόμη άγνωστες.

3. Πληροφορίες για πρόταση καινοτομίας, εφεύρεση κ.λπ., που βρίσκεται σε στάδιο ανάπτυξης, αναμφίβολα ανήκουν σε εμπορικό μυστικό.

Μια πρόταση καινοτομίας, ακόμη και μετά την εκτέλεσή της και την έκδοση πιστοποιητικού πνευματικής ιδιοκτησίας, μπορεί να παραμείνει εμπορικό μυστικό, καθώς αντιπροσωπεύει τεχνική λύσηνέα καθήκοντα για αυτήν την εταιρεία.

Μια εφεύρεση, αφού έχει εκδοθεί δίπλωμα ευρεσιτεχνίας για αυτήν, έχει ειδική νομική προστασία και επομένως δεν χρειάζεται να προστατεύεται χαρακτηρίζοντάς την ως εμπορικό μυστικό. Είναι άλλο θέμα εάν, κατόπιν συμφωνίας με τον συγγραφέα της εφεύρεσης, η εταιρεία αποφασίσει να μην υποβάλει αίτηση στη Rospatent της Ρωσίας. Τότε η προστασία των πληροφοριών ανήκει αποκλειστικά στην εταιρεία. Θα έπρεπε να είναι

Κατά κανόνα, εάν ο εργοδότης δεν υποβάλει αίτηση για αυτήν εντός τριών μηνών από τη στιγμή που ο συγγραφέας του ειδοποιήσει για την εφεύρεση που έγινε, ο συγγραφέας έχει το δικαίωμα να υποβάλει αίτηση και να λάβει ο ίδιος δίπλωμα ευρεσιτεχνίας.

4. Ιδιαίτερη προσοχή πρέπει να δοθεί στην προστασία των συμβάσεων που συνάπτει η επιχείρηση. Οι περισσότεροι βέβαια,

αλλά είναι εμπορικό μυστικό. Επιπλέον, σε ορισμένες περιπτώσειςΌχι μόνο το κείμενο της συμφωνίας, αλλά και το ίδιο το γεγονός της σύναψής της υπόκειται σε προστασία.

Ο επικεφαλής της εταιρείας πρέπει να καθιερώσει μια αυστηρή διαδικασία για την αποθήκευση των πρώτων αντιγράφων των συμβάσεων και τη συνεργασία μαζί τους. Θα πρέπει να φυλάσσονται σε συγκεκριμένο χώρο με υπεύθυνο άτομο και να εκδίδονται μόνο έναντι υπογραφής με γραπτή άδεια του επικεφαλής της εταιρείας. Τα άτομα που είναι υπεύθυνα για την αποθήκευση συμβάσεων και τη συνεργασία μαζί τους έχουν προσωπική ευθύνη -

ευθύνη για απώλεια συμβάσεων ή διαρροή πληροφοριών από αυτά. Όλα αυτά είναι απαραίτητα γιατί οι δραστηριότητες των εμπορικών δομών χτίζονται σε μεγάλο βαθμό σε συμβατική βάση και ένας ανταγωνιστής ή διαπραγματευτικός εταίρος, έχοντας πληροφορίες σε αυτόν τον τομέα, μπορεί να σχηματίσει μια αρκετά πλήρη εικόνα της παραγωγικής και οικονομικής θέσης της εταιρείας. Η απώλεια (κλοπή) των πρώτων αντιγράφων των συμβολαίων οδηγεί σε σημαντικές δυσκολίες έως και αδυναμία απόδειξης ορισμένων διατάξεων όταν προκύπτει διαφορά και επιλύεται δικαστικά. Κατά την υπογραφή μιας συμφωνίας, συνιστάται οι εκπρόσωποι των μερών να υπογράφουν όχι μόνο στο τέλος της συμφωνίας, αλλά και σε κάθε φύλλο, προκειμένου να αποφευχθεί η αντικατάσταση ενός κειμένου με άλλο.

Λοιπόν, τι συνιστά εμπορικό μυστικό και απαιτεί προστασία από διαρροή πληροφοριών και κλοπή;

Επιχειρηματικές πληροφορίες:

οικονομικές πληροφορίες·

δεδομένα σχετικά με την τιμή (κόστος) προϊόντων και υπηρεσιών, τεχνολογία·

επιχειρηματικά σχέδια και σχέδια για την παραγωγή νέων προϊόντων

λίστες πελατών και πωλητών, συμβάσεις, προτιμήσεις και σχέδια·

πληροφορίες μάρκετινγκ·

συμφωνίες, προτάσεις, ποσοστώσεις·

λίστες προσωπικού, οργανογράμματα και πληροφορίες για τους εργαζόμενους (τα χαρακτηριστικά τους).

Τεχνικές πληροφορίες:

ερευνητικά έργα·

σχεδιαστικές εξελίξεις για την παραγωγή οποιουδήποτε προϊόντος και τις τεχνικές του παραμέτρους·

αιτήσεις διπλωμάτων ευρεσιτεχνίας·

ο σχεδιασμός, η αποτελεσματικότητα και οι δυνατότητες των μεθόδων, του εξοπλισμού και των συστημάτων κατασκευής·

διαδικασία πληροφόρησης·

λογισμικό υπολογιστή.

Οι πληροφορίες που δεν μπορούν να συνιστούν εμπορικό μυστικό περιλαμβάνουν τα ακόλουθα:

1) που περιέχονται στα συστατικά έγγραφα μιας νομικής οντότητας, έγγραφα που επιβεβαιώνουν το γεγονός ότι γίνονται καταχωρίσεις για νομικά πρόσωπα και μεμονωμένους επιχειρηματίες στους σχετικούς κρατικούς πόρους·

2) περιέχονται σε έγγραφα που παρέχουν το δικαίωμα άσκησης επιχειρηματικών δραστηριοτήτων·

3) σχετικά με τη σύνθεση της περιουσίας μιας κρατικής ή δημοτικής ενιαίας επιχείρησης, κρατικού ιδρύματος και τη χρήση κεφαλαίων από τους σχετικούς προϋπολογισμούς·

4) σχετικά με τη ρύπανση του περιβάλλοντος, τις συνθήκες πυρασφάλειας,υγειονομικο-επιδημιολογικο και

κατάσταση ακτινοβολίας, την ασφάλεια των τροφίμων και άλλους παράγοντες που επηρεάζουν αρνητικό αντίκτυπονα διασφαλίσει την ασφαλή λειτουργία των εγκαταστάσεων παραγωγής, την ασφάλεια κάθε πολίτη και την ασφάλεια του πληθυσμού στο σύνολό του·

5) σχετικά με τον αριθμό, τη σύνθεση των εργαζομένων, το σύστημα αποδοχών, τις συνθήκες εργασίας, συμπεριλαμβανομένης της προστασίας της εργασίας, τους δείκτες βιομηχανικών τραυματισμών και επαγγελματικής νοσηρότητας και τη διαθεσιμότητα κενών θέσεων·

6) σχετικά με το χρέος των εργοδοτών για πληρωμή μισθών και άλλων κοινωνικών παροχών·

7) σχετικά με παραβιάσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας και γεγονότα δίωξης για τη διάπραξη αυτών των παραβιάσεων·

8) σχετικά με τους όρους διαγωνισμών ή πλειστηριασμών για την ιδιωτικοποίηση κρατικής ή δημοτικής περιουσίας·

9) σχετικά με τις συνθήκες και τη δομή του εισοδήματος των μη κερδοσκοπικών οργανισμών, σχετικά με το μέγεθος και τη σύνθεση της περιουσίας τους, σχετικά με τα έξοδά τους