Concepte de bază de protecție și securitate a informațiilor. Protecția datelor fizice și tehnice. Metode moderne de protecție a informațiilor

Metode moderne prelucrarea, transmiterea și acumularea de informații au contribuit la apariția amenințărilor asociate cu posibilitatea de pierdere, denaturare și dezvăluire a datelor adresate sau aparținând utilizatorilor finali. Prin urmare, asigurarea securității informaționale a sistemelor și rețelelor informatice este unul dintre domeniile de vârf ale dezvoltării IT.

Să luăm în considerare conceptele de bază de protecție a informațiilor și securitatea informațiilor a sistemelor și rețelelor de calculatoare, ținând cont de definițiile GOST R 50922-96.

Protejarea datelor - Aceasta este o activitate pentru a preveni scurgerea de informații protejate, impactul neautorizat și neintenționat asupra informațiilor protejate.

Obiectul de protecție - informații, suport de stocare sau proces de informare care trebuie protejat în conformitate cu scopul urmărit de protejare a informațiilor.

Scopul protecției informațiilor este acesta este rezultatul dorit al securității informațiilor. Scopul protecției informațiilor poate fi acela de a preveni deteriorarea proprietarului, posesorului sau utilizatorului informațiilor ca urmare a unei posibile scurgeri de informații și/sau a impactului neautorizat și neintenționat asupra informațiilor.

Eficiența protecției informațiilor - gradul în care rezultatele protecției informațiilor corespund scopului urmărit.

Protejarea informațiilor împotriva scurgerilor - activități pentru a preveni diseminarea necontrolată a informațiilor protejate din dezvăluirea acestora, accesul neautorizat (NAA) la informațiile protejate și primirea de informații protejate de către intruși.

Protecția informațiilor împotriva dezvăluirii - activități pentru a preveni distribuirea neautorizată a informațiilor protejate către un număr necontrolat de destinatari ai informațiilor.

Protecția informațiilor împotriva accesului neautorizat - activități de prevenire a primirii de informații protejate de către un subiect interesat cu încălcarea drepturilor sau regulilor de acces la informații protejate stabilite prin acte legale sau deținătorului sau proprietarului informațiilor. O parte interesată care efectuează controlul vamal asupra informațiilor protejate poate fi un stat, o entitate juridică, un grup de persoane fizice, inclusiv o organizație publică, sau o persoană fizică.

Sistem de securitate a informatiilor - un ansamblu de organisme și/sau executanți, tehnologia de protecție a informațiilor pe care o utilizează, precum și obiectele de protecție, organizate și funcționale conform regulilor stabilite prin documentele legale, organizatorice, administrative și de reglementare relevante privind protecția informațiilor.

Sub securitatea informatiei să înțeleagă securitatea informațiilor față de accesul ilegal, transformarea și distrugerea, precum și securitatea resurselor informaționale de influențe care vizează perturbarea performanței acestora. Natura acestor influențe poate fi foarte diversă.

Acestea includ încercări de intrus, erori de personal, defecțiuni hardware și software, dezastre naturale (cutremur, uragan, incendiu) etc.

Modern sistem automatizat(LA FEL DE) procesarea informatiei este un sistem complex format dintr-un număr mare de componente de diferite grade de autonomie care sunt interconectate și fac schimb de date. Aproape fiecare componentă poate fi expusă influențelor externe sau poate eșua. Componentele difuzoarelor poate fi descompus în următoarele grupuri:

  • hardware - calculatoare și componentele acestora (procesoare, monitoare, terminale, dispozitive periferice - unități de disc, imprimante, controlere, cabluri, linii de comunicație etc.);
  • software - programe achiziționate, sursă, obiect, module de încărcare; OS și programe de sistem(compilatoare, linkere etc.), utilitare, programe de diagnosticare etc.;
  • date - stocate temporar și permanent, pe suporturi magnetice, tipărite, arhive, jurnalele de sistem etc.;
  • personal - personalului de service și utilizatorilor.

Una dintre caracteristicile asigurării securității informațiilor în AS este că astfel de concepte abstracte precum informațiile, obiectele și subiectele sistemului corespund reprezentărilor fizice din mediu informatic:

  • pentru prezentarea informaţiei – medii de stocare computerizate la fel de dispozitive externe sisteme informatice (terminale, dispozitive de imprimare, diverse dispozitive de stocare, linii și canale de comunicație), RAM, fișiere, înregistrări etc.;
  • obiecte de sistem - componentele pasive ale sistemului care stochează, primesc sau transmit informații. Accesul la un obiect înseamnă acces la informațiile conținute în acesta;
  • subiecte ale sistemului - componente active ale unui sistem care pot provoca un flux de informații de la un obiect la un subiect sau o schimbare a stării sistemului. Subiecții pot fi utilizatori, programe active și procese.

Securitatea informațională a sistemelor informatice se realizează prin asigurarea confidențialității, integrității și FIABILITĂții datelor prelucrate, precum și a disponibilității și integrității componentelor și resurselor informaționale ale sistemului. Listat mai sus proprietățile de bază ale informațiilor nevoie de o interpretare mai completă.

Confidențialitatea datelor - este statutul dat datelor și determină gradul de protecție pe care îl necesită. Datele confidențiale pot include, de exemplu, următoarele: informații personale ale utilizatorilor; conturi (nume și parole); informații despre cardul de credit; date de dezvoltare și diverse documente interne; informatii contabile. Informațiile confidențiale ar trebui să fie cunoscute numai de subiecții de sistem (utilizatori, procese, programe) aprobate și verificate (autorizate). Pentru alte subiecte ale sistemului, aceste informații ar trebui să fie necunoscute.

Se numește stabilirea gradațiilor de importanță a protecției informațiilor protejate (obiect de protecție). clasificarea informațiilor protejate.

Sub integritatea informatiilor se referă la proprietatea informațiilor de a-și păstra structura și/sau conținutul în timpul transmiterii și stocării. Integritatea informațiilor este asigurată dacă datele din sistem nu diferă semantic de datele din documente sursă, adică dacă nu a existat nicio denaturare sau distrugere accidentală sau intenționată. Asigurarea integrității datelor este una dintre sarcinile complexe ale securității informațiilor.

Fiabilitatea informațiilor - proprietatea informațiilor, exprimată în strictă apartenență subiectului care este sursa acesteia sau subiectului de la care au fost primite aceste informații.

Semnificația juridică a informațiilorînseamnă că documentul care conține informația are forță juridică.

Disponibilitatea datelor. Utilizatorul poate lucra cu date numai dacă are acces la acestea.

Acces la informatii - obţinerea oportunităţii subiectului de a se familiariza cu informaţia, inclusiv prin mijloace tehnice. Subiectul accesului la informații - participant la raporturile juridice la procesele informaţionale.

Eficiența accesului la informații - este capacitatea informației sau a unei resurse de informații de a fi accesibilă Utilizator final conform nevoilor sale operaţionale.

Proprietarul informatiilor - un subiect care exercită pe deplin competențele de proprietate, utilizare și eliminare a informațiilor în conformitate cu actele legislative.

proprietarul informatiilor - un subiect care deține și folosește informații și își exercită puterile de dispoziție în limitele drepturilor stabilite de lege și/sau proprietarul informațiilor.

Utilizator (informații despre consumator - un subiect care utilizează informațiile primite de la proprietarul, deținătorul sau intermediarul său în conformitate cu drepturile și regulile stabilite de acces la informații sau cu încălcarea acestora.

Dreptul de acces la informatii - un set de reguli de acces la informații stabilite prin acte legale sau de către proprietarul sau deținătorul informațiilor.

regula de acces la informatii - un set de reguli care reglementează procedura și condițiile pentru accesul unui subiect la informații și la mass-media acesteia.

Se face o distincție între accesul autorizat și neautorizat la informații.

Acces autorizat la informație este accesul la informații care nu încalcă regulile stabilite de control al accesului. Regulile de control al accesului servesc la reglementarea drepturilor de acces la componentele sistemului.

Acces neautorizat la informație - încălcarea regulilor de control al accesului stabilite. O persoană sau un proces care efectuează controlul accesului la informații încalcă regulile de control al accesului. NSD este cel mai frecvent tip de încălcare a computerului.

Responsabil pentru protejarea sistemului informatic împotriva accesului neautorizat la informații este administrator de securitate.

Disponibilitatea informațiilor înseamnă și disponibilitatea componentelor sau resursă sistem informatic, adică proprietatea unei componente sau a unei resurse să fie accesibilă subiecților legitimi ai sistemului. Un exemplu de listă de resurse care pot fi disponibile include: imprimante, servere, stații de lucru, date utilizator, orice date critice necesare pentru funcționare.

Integritatea resurselor sau componenta sistemului - aceasta este proprietatea unei resurse sau componente de a fi neschimbată în sens semantic atunci când sistemul operează în condiții de distorsiuni aleatorii sau intenționate sau influențe distructive.

Accesul la informații și la resursele sistemului este asociat cu un grup de concepte importante, cum ar fi identificarea, autentificarea și autorizarea. Fiecare subiect al sistemului (rețea) este asociat cu unele informații (număr, șir de caractere) care identifică subiectul. Această informație este identificator subiectul sistemului (rețea). Entitatea care are ID-ul înregistrat este legale (juridic) subiect. Identificarea subiectului - Aceasta este o procedură de recunoaștere a unui subiect după identificatorul său. Identificarea se realizează atunci când un subiect încearcă să se autentifice într-un sistem (rețea). Următorul pas în interacțiunea sistemului cu subiectul este autentificarea subiectului. Autentificare subiect - aceasta este autentificarea unui subiect cu un identificator dat. Procedura de autentificare determină dacă subiectul este cine pretinde a fi. După identificarea și autentificarea subiectului, se efectuează o procedură de autorizare. Autorizarea subiectului - Aceasta este procedura de furnizare a unei entități legitime care a trecut cu succes de identificare și autentificare cu puteri adecvate și resurse disponibile de sistem (rețea).

Sub amenințare la securitate AS înțelege posibile acțiuni care i-ar putea afecta direct sau indirect siguranța. Daune de securitate implică o încălcare a stării de securitate a informațiilor conținute și prelucrate în sistem (rețea). Conceptul de vulnerabilitate a unui sistem informatic (rețea) este strâns legat de conceptul de amenințare la securitate. Vulnerabilitatea sistemului informatic - este o proprietate nefericită inerentă a sistemului care poate duce la realizarea amenințării. Atac pe un sistem informatic este căutarea și/sau utilizarea de către un atacator a uneia sau altei vulnerabilități a sistemului. Cu alte cuvinte, un atac este implementarea unei amenințări de securitate.

Combaterea amenințărilor de securitate este scopul protejării sistemelor și rețelelor informatice.

sistem securizat - este un sistem cu protecții care contracarează cu succes și eficient amenințările de securitate.

Metoda de protectie a informatiilor - procedura si regulile de aplicare a anumitor principii si mijloace de protectie a informatiilor.

Instrument de securitate a informațiilor - instrument tehnic, software, substanță și/sau material destinat sau utilizat pentru a proteja informațiile

Set echipament de protectie(KSZ) - un set de software și hardware creat și susținut pentru a asigura securitatea informațiilor unui sistem (rețea). Sistemul de securitate este creat și menținut în conformitate cu politica de securitate adoptată de organizație.

Tehnologia securității informației - mijloace de protecție a informațiilor, mijloace de monitorizare a eficacității protecției informațiilor, instrumente și sisteme de management concepute pentru a asigura protecția informațiilor.

Rețelele corporative sunt distribuite sisteme automatizate(AS) efectuează prelucrarea informațiilor. Asigurarea securității sistemului implică organizarea contracarării oricărei intruziuni neautorizate în funcționarea sistemului, precum și încercări de modificare, furare, dezactivare sau distrugere a componentelor acestuia, adică protejarea tuturor componentelor sistemului - hardware, software(software), date și personal. O abordare specifică a problemei asigurării securității se bazează pe politica de securitate dezvoltată pentru AS.

Politică de securitate - este un set de norme, reguli și recomandări practice reglementarea funcționării mijloacelor de protecție a unui sistem informatic de un anumit set de amenințări. Informații mai detaliate despre tipurile de politică de securitate și despre procesul dezvoltării acesteia sunt furnizate în Capitolul. 3.

Conceptul și esența securității informațiilor

Prevenirea accesului neautorizat la informații;

Crearea condițiilor de limitare a difuzării informațiilor;

Protejarea dreptului proprietarului de a deține și de a dispune de informații;

Prevenirea scurgerilor, furtului, pierderii, distrugerii neautorizate, copierii, modificării, distorsionării, blocării, dezvăluirii de informații, impacturilor neautorizate și neintenționate asupra acestora;

Menținerea completității, fiabilității, integrității, fiabilității, confidențialității informațiilor etc.

Baza metodologică pentru dezvăluirea esenței și definirea conceptului de securitate a informațiilor ar trebui să fie definirea conceptului de securitate în ansamblu, indiferent de subiectul protecției.

ÎN dicționare explicative termenul de protecție este interpretat în două moduri: ca un proces de protejare, salvare, salvare de la cineva a ceva neplăcut, ostil, periculos și ca un set de metode, mijloace și măsuri luate pentru a preveni ceva. Astfel, conținutul acestor definiții coincide în sens - aceasta este prevenirea, prevenirea a ceva periculos, ostil. Dacă corelăm această prevedere cu protecția informațiilor, atunci cel mai periculos lucru pentru proprietarul informațiilor este o încălcare a stării stabilite a informațiilor și, prin urmare, partea de fond a protecției ar trebui să fie prevenirea unei astfel de încălcări.

Încălcarea statutului oricărei informații constă în încălcarea siguranței fizice a acesteia în general sau pentru un anumit proprietar (total sau parțial), a integrității structurale și a accesibilității pentru utilizatorii autorizați. Încălcarea statutului informațiilor confidențiale, inclusiv a celor care constituie un secret de stat, include în plus și încălcarea confidențialității acestora (închiderea față de persoane din afară).

A doua componentă a esenței protecției informațiilor - metoda de implementare a conținutului - în dicționarele explicative, așa cum sa menționat deja, este prezentată ca un proces sau ca un set de metode, mijloace și activități.

Protecția informațiilor include un anumit set de metode, mijloace și activități, dar ar fi greșit să se limiteze metoda de implementare doar la aceasta. Protecția informațiilor trebuie să fie sistematică, iar sistemul, pe lângă metode, mijloace și măsuri, include și alte componente: obiecte de protecție, organe de protecție, utilizatori de informații. În același timp, protecția nu ar trebui să fie ceva static, ci să fie proces continuu. Dar acest proces nu are loc de la sine, ci are loc ca urmare a activității umane. Activitatea, prin definiție, include nu numai un proces, ci și scopuri, mijloace și rezultate. Protecția informațiilor nu poate fi lipsită de scop, ineficientă și efectuată fără ajutorul anumitor mijloace. Prin urmare, activitatea ar trebui să fie modalitatea de implementare a conținutului de protecție.



Protejarea datelor– activități pentru a preveni pierderea și scurgerea de informații confidențiale și pierderea informațiilor deschise protejate.

Scopul protecției informațiilor– rezultatul dorit al protecției informațiilor. Scopul protecției informațiilor poate fi acela de a preveni deteriorarea proprietarului, posesorului sau utilizatorului informațiilor ca urmare a unei posibile scurgeri de informații și/sau a impactului neautorizat și neintenționat asupra informațiilor.

Conceptul de securitate a informațiilor, ca sistem de opinii asupra obiectivelor, metodelor de asigurare a securității informațiilor și mijloacelor de protejare a acesteia, ar trebui să răspundă în general la trei întrebări simple:

Ce să protejez?

De ce să te protejezi?

Cum să protejăm?

Cu întrebarea „Ce să protejez?” Conceptul de obiect al protecției este legat.

Obiectul de protecție– informații sau purtător de informații, sau proces de informare, pentru care este necesar să se asigure protecția în conformitate cu scopul declarat de protecție a informațiilor;

Obiectul de protecție– informații, mijloace tehnice și tehnologie de prelucrare a acestora, pentru care este necesar să se asigure securitatea informațiilor.

Proprietatea cheie a informațiilor este valoarea acesteia, adică costul daunelor cauzate de distrugere, pierdere sau dezvăluire. În plus, specificul informațiilor este că nu dispar la consum și nu este transferat complet în timpul schimbului (spre deosebire de bani, ei rămân la vechiul utilizator). Pe de o parte, este „indivizibil”, adică are sens numai cu o cantitate suficient de completă de informații, pe de altă parte, calitatea sa crește odată cu adăugarea de noi date fiabile, adică este posibil să treptat acumulează informații în părți mici. Prin urmare, înainte de a răspunde la prima întrebare, este necesar să înțelegem clar ce informații pot necesita protecție. (Acesta ar putea fi, de exemplu, întregul volum de date acumulate și generate în companie care are importanță comercială, informații despre furnizori și producători, vânzători și dealeri, contracte și clienți, planuri ale companiei, prețuri maxime, bonusuri pentru dealeri și intermediari , numele și adresele angajaților, costurile de producție, cercetarea de marketing și analitică).

Următorul pas ar trebui să fie separarea acestor obiecte protejate în funcție de valoarea informațiilor pe care le conțin și identificarea sistemelor potențial periculoase care permit accesul la ele. Prin urmare, toate mijloacele descrise de regăsire neautorizată a informațiilor sunt legate de mediul specific pentru care sunt destinate să funcționeze. Pe baza celor de mai sus, putem să răspundem practic la prima întrebare. Dacă cunoașteți cel puțin în termeni generali metodele de bază de operare a atacatorilor și capacitățile echipamentului lor, atunci nu va dura mult timp.

Multe servicii de securitate ale marilor structuri comerciale desfășoară cu succes operațiuni pentru a obține informații despre potențiali clienți, parteneri sau concurenți. Ei își controlează strict propriii angajați pentru a evita scurgerea secretelor lor. Nu trebuie să uităm că integrarea Rusiei în organizațiile internaționale, participarea la companii și proiecte comune face ca antreprenorii autohtoni să fie obiectul atenției serviciilor de informații private și chiar de stat din Vest și Est.

Întrebarea „De ce să vă protejați?” asociat conceptului de amenințare. Amenințare– potențialul de influență ilegală intenționată sau accidentală care duce la pierderea sau dezvăluirea de informații. De obicei, se disting sursele interne și externe ale amenințărilor.

Cu întrebarea „Cum să protejăm informațiile?” Conceptul de sistem de securitate a informațiilor este legat în mod inerent.

Sistem de securitate a informațiilor– un ansamblu de organisme și/sau executanți, tehnologia de protecție a informațiilor pe care o utilizează, precum și obiectele de protecție, organizate și funcționale conform regulilor stabilite prin documentele legale, organizatorice, administrative și de reglementare relevante privind protecția informațiilor.

Principalele obiective ale protecției informațiilor sunt:

Prevenirea scurgerilor, furtului, pierderii, denaturării, falsificării informațiilor;

Prevenirea amenințărilor la adresa securității indivizilor, societății și statului;

Prevenirea acțiunilor neautorizate de distrugere, modificare, denaturare, copiere, blocare a informațiilor;

Prevenirea altor forme de interferență ilegală în resursele informaționale și sistemele informaționale;

Asigurarea regimului juridic al informațiilor documentate ca obiect de proprietate;

Protecția drepturilor constituționale ale cetățenilor de a păstra viața privată și confidențialitatea datelor cu caracter personal disponibile în sisteme de informare;

Păstrarea secretelor de stat ale informațiilor documentate în condițiile legii;

Asigurarea drepturilor subiecților în procesele informaționale și în dezvoltarea, producerea și aplicarea sistemelor informaționale, tehnologiilor și mijloacelor de susținere a acestora.

În concordanță cu aceste obiective, procesul de securitate a informațiilor trebuie să asigure menținerea integrității și confidențialității acestuia.

Clasificarea și caracteristicile metodelor și mijloacelor de protecție de bază

Până în prezent, au fost dezvoltate multe instrumente, metode, măsuri și activități diferite pentru a proteja informațiile. Aceasta include:

Hardware și software,

Închiderea informațiilor criptografice,

Măsuri fizice

Evenimente organizatorice

Măsuri legislative

Mijloace morale și etice.

Uneori, toate aceste mijloace de protecție sunt împărțite în tehnice și non-tehnice, iar mijloacele tehnice includ hardware și software și închiderea informațiilor criptografice, iar mijloacele non-tehnice toate celelalte.

Hardware – dispozitive încorporate direct în echipamentul informatic sau dispozitive care interfață cu acesta folosind o interfață standard. Protecția hardware include diverse dispozitive electronice, electronice-mecanice și electro-optice. De exemplu, generatoare de coduri concepute pentru a genera automat un cod de identificare pentru un dispozitiv, un dispozitiv pentru măsurarea caracteristicilor individuale ale unei persoane (voce, amprente) în scopul identificării acesteia ( identificare biometrică), etc. Un grup special și cel mai utilizat de dispozitive de securitate hardware sunt dispozitivele pentru criptarea informațiilor (metode criptografice).

Software Acest programe specialeși sisteme software concepute pentru a proteja informațiile în IP. Software-ul de securitate include programe speciale care sunt concepute pentru a îndeplini funcții de securitate și sunt incluse în software-ul sistemelor de prelucrare a datelor. Protecție software este cel mai comun tip de protecție, care este facilitat de astfel de proprietăți pozitive acest instrument, precum universalitatea, flexibilitatea, ușurința de implementare, posibilități aproape nelimitate de schimbare și dezvoltare etc.

Închidere criptografică(criptarea) informațiilor constă în transformarea informațiilor protejate în așa fel încât conținutul datelor private să nu poată fi determinat prin aspectul acestora. Experții acordă o atenție deosebită protecției criptografice, considerând-o cea mai fiabilă, iar pentru informațiile transmise prin linii de comunicație la distanță lungă, singurul mijloc de protejare a informațiilor împotriva furtului.

Mijloace fizice includ diverse dispozitive și structuri de inginerie care împiedică pătrunderea fizică a atacatorilor în obiectele protejate și protejează personalul (echipamentul personal de securitate), resursele materiale și finanțele, informațiile împotriva acțiunilor ilegale. Exemple medii fizice STV: încuietori la uși, gratii la ferestre, dispozitive electronice alarmă anti-efracțieși așa mai departe.

Mijloace organizatoriceîși desfășoară reglementarea complexă a activităților de producție în PI și a relațiilor dintre artiștii executanți pe o bază legală, astfel încât divulgarea, scurgerea și accesul neautorizat La informațiile confidențiale devin imposibile sau îngreunate semnificativ din cauza măsurilor organizaționale. Setul acestor măsuri este implementat de grupul de securitate a informațiilor, dar trebuie să fie sub controlul primului manager.

Mijloace legislative protecțiile sunt determinate de actele legislative ale țării, care reglementează regulile de utilizare, prelucrare și transmitere a informațiilor restricționate și stabilesc sancțiuni pentru încălcarea acestor reguli.

Mijloace morale și etice protecțiile includ tot felul de norme de comportament care s-au dezvoltat în mod tradițional anterior, care apar pe măsură ce IP și IT se răspândesc în întreaga țară și în lume sau sunt dezvoltate special. Standardele morale și etice pot fi nescrise (de exemplu, onestitatea) sau formalizate într-un anumit set (cartă) de reguli sau reglementări. Aceste norme, de regulă, nu sunt aprobate legal, dar întrucât nerespectarea lor duce la o scădere a prestigiului organizației, ele sunt considerate obligatorii.

Măsuri de protecție a informațiilor:

organizatoric– măsuri cu caracter restrictiv, reduse la reglementarea accesului și utilizării mijloacelor tehnice de prelucrare a informațiilor.

Organizatoric si tehnic– asigura blocarea canale posibile scurgerea de informații prin mijloace tehnice folosind dispozitive speciale instalate pe elementele structurale ale clădirilor, spațiilor și mijloace tehnice de prelucrare a informațiilor.

Tehnic– achiziționarea, instalarea și utilizarea mijloacelor tehnice de prelucrare a informațiilor protejate de diverse influențe.

Se obișnuiește să se distingă următoarele principale tipuri de echipamente de protecție:

de reglementare

Morala si etica

organizatoric

Tehnic.

de reglementare– includ legi și alte acte juridice, precum și mecanisme de implementare a acestora, care reglementează relațiile informaționale în societate.

Morala si etica– reguli şi norme de comportament vizate
asigurarea securității informațiilor, nu consacrate în legislație sau administrativ, ci susținute în echipe prin tradiții și mecanismul opiniei publice.

organizatoric– reguli, măsuri și măsuri care reglementează accesul, stocarea, aplicarea și transferul informațiilor, puse în aplicare prin mijloace administrative. Fără a respecta aceste reguli, instalarea oricăror, chiar și a celor mai scumpe, mijloace tehnice de protecție va avea ca rezultat o risipă de bani pentru o organizație în care problemele organizaționale nu au fost rezolvate la nivelul corespunzător. Și acest lucru este valabil pentru orice canale de scurgere.

Mijloace tehnice– acestea sunt complexe hardware și software speciale concepute pentru a preveni scurgerea informațiilor procesate sau stocate prin împiedicarea accesului neautorizat la acestea folosind mijloace tehnice de recuperare.

Sistem real protecția include toate tipurile de instrumente enumerate și, de regulă, este creată prin integrarea acestora. Principala dificultate în crearea sa este că trebuie să satisfacă simultan două grupuri de cerințe direct opuse: să ofere o protecție fiabilă a informațiilor și să nu creeze inconveniente vizibile. De obicei, doar un profesionist suficient de calificat poate combina aceste cerințe. În plus, sistemul de protecție trebuie să fie adecvat posibilelor amenințări, cu o evaluare obligatorie atât a probabilității apariției acestora, cât și a mărimii pagubelor reale din pierderea sau dezvăluirea informațiilor care circulă într-un anumit mediu.

Informații protejate

Informații protejate– informații care sunt proprietare și supuse protecției în conformitate cu cerințele documente legale sau cerințe stabilite de proprietarul informațiilor.

Principalele obiecte ale securității informațiilor de stat includ:

Resursele de informații care conțin informații care constituie secrete de stat, secrete comerciale și alte informații confidențiale;

Un sistem pentru formarea de diseminare și utilizare a resurselor informaționale, inclusiv sisteme informaționale de diferite clase și scopuri, tehnologii informaționale, reglementări și proceduri de colectare, prelucrare, stocare și transmitere a informațiilor, personal științific, tehnic și de servicii;

Infrastructura informațională, inclusiv centre de procesare și analiză a informațiilor, canale de schimb de informații și de telecomunicații, mecanisme de asigurare a funcționării sistemelor și rețelelor de telecomunicații, inclusiv a sistemelor și mijloacelor de securitate a informațiilor.

Securitatea informațională a obiectelor enumerate creează condiții pentru funcționarea fiabilă a instituțiilor de stat și publice, a persoanelor juridice și a cetățenilor. Mijloacele de prelucrare, acumulare, stocare și transmitere a acestuia sunt în mod constant îmbunătățite. Informația ca categorie care are valoare reală sau potențială, valoarea, ca orice alt tip de valoare, este păzită și protejată de proprietarul sau posesorul acesteia.

Proprietarul informațiilor protejate– o persoană juridică sau fizică care, la discreția sa, deține, folosește și dispune de informațiile care îi aparțin.

Proprietarul informațiilor protejate– o persoană juridică sau fizică care are autoritatea de a deține, utiliza și dispune de aceste informații în baza unui acord cu proprietarul, în temeiul legii sau a unei decizii a organelor administrative.

Fiecare stat își protejează resursele informaționale. Resursele de informații de stat, ca o primă aproximare, pot fi împărțite în trei grupuri mari:

Informația este deschisă – nu există restricții privind distribuirea și utilizarea acesteia;

Informații brevetate – protejate de legislația internă sau acorduri internationale ca obiect proprietate intelectuală;

Informații care sunt „închise” de proprietarul, posesorul și protejate folosind mecanisme dovedite pentru protejarea secretelor de stat, comerciale sau de altă natură protejate. Acest tip include de obicei informații care nu sunt cunoscute de alte persoane, care fie nu pot fi brevetate, fie nu sunt brevetate în mod deliberat pentru a evita sau reduce riscul ca aceste informații să fie preluate de rivali și concurenți.

Ele protejează și protejează, de regulă, nu toate sau nu toate informațiile, ci pe cele mai importante, valoroase pentru proprietarul acesteia, limitând a căror distribuție îi aduce un anumit beneficiu sau profit, capacitatea de a rezolva eficient problemele cu care se confruntă.

Ce informații sunt considerate protejate?

În primul rând, informații clasificate. În prezent, informațiile clasificate includ informații care conțin secrete de stat.

În al doilea rând, informații confidențiale. Acest tip de informații protejate include de obicei informații care conțin secrete comerciale, precum și secrete legate de viața și activitățile personale (neoficiale) ale cetățenilor.

Astfel, prin informație protejată se înțelege informații a căror utilizare și distribuție este supusă restricțiilor de către proprietar.

Informațiile protejate au următoarele caracteristici distinctive:

Doar proprietarul (proprietarul) sau persoanele autorizate de acesta pot clasifica informatiile, adica limita accesul la acestea;

Cu cât informațiile sunt mai importante pentru proprietar, cu atât el o protejează mai atent. Și pentru ca toți cei care întâlnesc aceste informații protejate să știe că unele informații trebuie protejate cu mai multă atenție decât altele, proprietarul îi atribuie diferite grade de secret;

Informațiile protejate trebuie să aducă anumite beneficii proprietarului lor și să justifice efortul și resursele cheltuite pentru protecția lor.

Astfel, una dintre principalele caracteristici ale informațiilor protejate o reprezintă restricțiile impuse de proprietarul informațiilor privind distribuirea și utilizarea acestora.

Media de informații protejate

Informaţia poate fi considerată din punctul de vedere al expunerii ei pe unele sau în unele obiecte materiale (fizice) care perioadă lungă de timpîl poate păstra relativ neschimbat sau îl poate transfera dintr-un loc în altul.

Purtători de informații– obiecte materiale, inclusiv câmpuri fizice, în care informația se reflectă sub formă de simboluri, imagini, semnale, soluții și procese tehnice, creând astfel oportunitatea acumulării, stocării, transmiterii și utilizării acesteia.

Același suport este folosit pentru a înregistra atât informații clasificate, cât și neclasificate.

De regulă, purtătorii de informații secrete și confidențiale sunt protejați de proprietarul acestor informații. Acest lucru se datorează faptului că în cazul în care un rival sau o persoană de la care aceste informații sunt protejate obține acces neautorizat, transportatorul poate deveni o sursă de informații din care această persoană poate obține în mod ilegal informații care îl interesează și sunt protejate de el.

Mijloacele de informare protejate pot fi clasificate după cum urmează:

Uman;

Documentație;

Produse (articole);

Substanțe și materiale;

Electromagnetice, termice, radiații și alte radiații;

Domenii hidroacustice, seismice și alte domenii; formele geometrice ale clădirilor, dimensiunile acestora etc.

Creierul uman este un sistem extrem de complex care stochează și procesează informații care provin din lumea exterioară. Proprietățile creierului de a reflecta și de a cunoaște lumea exterioară, de a acumula cantități colosale de informații, inclusiv informații secrete, în memoria sa, pun în mod natural o persoană pe primul loc ca purtător de informații confidențiale. O persoană, în calitate de deținător al informațiilor secrete și confidențiale, are capacitatea (cu excepția faptului că primește astfel de informații din exterior) de a genera informație nouă, inclusiv secret. Ca purtător de informații protejate, el poate avea atât trăsături pozitive, cât și negative.

Lucrul pozitiv este că, fără consimțământul subiectului - purtătorul informațiilor protejate sau, după cum se spune, purtătorul secret, de regulă, nu poate fi extrasă nicio informație din memoria sa. El poate evalua importanța informațiilor pe care le are în memorie și le poate trata în consecință. El poate, de asemenea, să ierarhească consumatorii de informații protejate, adică să știe în cine și în ce informații poate avea încredere. În același timp, acesta poate greși în privința adevărului consumatorului informațiilor protejate, sau poate împiedica deliberat să nu păstreze informații secrete sau confidențiale care i-au fost încredințate în serviciul sau munca sa: săvârșirea de înaltă trădare (spionaj, dezvăluiți secrete de stat sau oficiale inamicului etc.) sau vărsați secrete prietenilor și rudelor dvs.

Document– informații înregistrate pe un suport tangibil cu detalii care permit identificarea acesteia. Documentele ca suporturi de informații pot fi foarte diverse ca formă: hârtie, film și film fotografic, benzi și discuri magnetice, benzi și carduri perforate etc. Informațiile înregistrate pe suport pot fi sub formă de text, desene, formule, grafice, hărți. , etc etc.

Documentul, purtătorul informațiilor protejate, indică gradul de confidențialitate al informațiilor (clasificarea secretului), astfel încât consumatorul, având astfel de date în mână, să știe cine și cum să manipuleze aceste informații. Nivelul de protecție al documentelor secrete poate fi organizat ținând cont de importanța informațiilor protejate conținute în acestea. Proprietățile slabe ale unui document ca purtător de informații protejate sunt următoarele. Dacă un consumator fără scrupule a obținut acces neautorizat la un document, el poate folosi informațiile în scopuri proprii (dacă nu sunt criptate). Documentul poate fi, de asemenea, pierdut: furat sau distrus, deteriorat etc. De asemenea, serviciile de informații străine caută mai des informații documentare.

Produse(obiectele) ca purtători de informații protejate sunt, de asemenea, destul de comune. Ele înseamnă mostre și sisteme clasificate de arme, echipamente militare și alte echipamente; echipamente; sisteme funcționale, unități, dispozitive incluse în complexe sau probe; elemente componente - unități de asamblare și piese care nu au un scop operațional independent și sunt destinate să îndeplinească funcții corespunzătoare ca parte a echipamentelor, armelor, echipamentelor militare și de altă natură. Performanța lor ca purtători de informații se realizează concomitent cu îndeplinirea scopului lor principal de către aceste produse.

Doar un specialist poate determina dacă un anumit produs este secret. Mai ales dacă aceasta se referă la unele componente sau echipamente.

Materiale și substanțeîn anumite condiții pot acționa și ca purtători de informații protejate. Acestea includ materiale structurale și operaționale, semifabricate, materii prime, combustibil etc., utilizate la fabricarea și exploatarea echipamentelor și a elementelor acestora. De exemplu, acoperiri rezistente la căldură pe nave spațiale.

Substanțele care pot transporta informații despre o instalație sensibilă includ și deșeuri de la întreprinderi sensibile (apă, aer, precipitații pe solul din jurul instalației etc.). Pentru ca aceste informații să poată fi utilizate, acestea trebuie decodificate folosind echipamente speciale. Un exemplu de modul în care acest tip de purtător de informații protejate prezintă interes pentru serviciile de informații străine pot fi cazurile de reținere a ofițerilor de informații și agenților de informații la frontieră cu mostre de apă, sol, plante etc.

Radiații radio și electromagnetice de diferite frecvențe transportă informații de la sursa de informații (emițător radio, emițător) la receptor și sunt un „produs” al funcționării ingineriei radio și a altor sisteme și, prin urmare, transportă informații despre aceste sisteme. Radiațiile radio și electromagnetice pot transporta atât informații confidențiale, cât și clasificate. Distribuția lor, de regulă, este incontrolabilă și poate fi interceptată de un adversar. Pentru a le primi, sunt necesare dispozitive și dispozitive tehnice adecvate. Doar un specialist poate aprecia că această informație interceptată este secretă. Pentru o posibilă utilizare, astfel de informații trebuie mai întâi decodificate.

Conceptul și structura amenințărilor la adresa informațiilor protejate

Una dintre principalele caracteristici ale problemei securității informațiilor este cerința unei definiții complete a amenințărilor informaționale care sunt potențial posibile în sistemele informaționale moderne. Chiar și un factor destabilizator nedetectat (nedetectat, neluat în considerare) poate reduce semnificativ (și chiar anula) eficacitatea protecției.

– aceasta este posibilitatea existentă potențial de acțiune sau inacțiune accidentală sau intenționată, în urma căreia securitatea informațiilor (date) poate fi încălcată.

Amenințare la securitatea informațiilor– un set de condiții și factori care creează un pericol potențial sau real asociat cu scurgerea de informații și/sau impactul neautorizat și/sau neintenționat asupra acesteia.

Amenințare este o persoană, lucru, eveniment sau idee care prezintă un pericol pentru valorile care au nevoie de protecție.

Amenințare– aceasta este o oportunitate potențială de a încălca securitatea informațiilor într-un anumit fel.

Este apelată o încercare de a implementa o amenințare atac, iar cel care face o astfel de încercare - intrus. Potențialii atacatori sunt chemați surse de amenințare.

Amenințările la adresa securității informațiilor în sistemele informaționale moderne sunt cauzate de:

Influențe distructive și denaturante accidentale și intenționate ale mediului extern;

Gradul de fiabilitate al funcționării instrumentelor de prelucrare a informațiilor;

Influențe egoiste intenționate ale utilizatorilor neautorizați, al căror scop este furtul, dezvăluirea, distrugerea, distrugerea, modificarea neautorizată și utilizarea informațiilor prelucrate;

Acțiuni neintenționate, accidentale ale personalului de întreținere etc.

Clasificarea amenințărilor de securitate

Principalele manifestări ale amenințărilor avute în vedere sunt deținerea ilegală a informațiilor confidențiale, copierea, modificarea, distrugerea acestora în interesul atacatorilor cu scopul de a produce prejudicii, atât materiale, cât și morale. În plus, acțiunile neintenționate ale personalului de întreținere și ale utilizatorilor conduc, de asemenea, la anumite daune.

Principalele moduri prin care se realizează amenințările sunt:

Surse de agenți din guvern și agenții de securitate a informațiilor;

Recrutarea de funcționari ai organelor guvernamentale, organizațiilor, întreprinderilor etc.;

Interceptarea și accesul neautorizat la informații folosind mijloace de informații tehnice;

Utilizarea deliberată a programului și a influenței matematice;

Ascultarea conversațiilor confidențiale din birouri, transport și alte locuri în care se desfășoară.

Factorii care cauzează pierderi de informații și diferite tipuri de daune sunt:

Accidente care provoacă defecțiuni ale echipamentelor și resurselor informaționale (incendii, explozii, accidente, impacturi, coliziuni, căderi, expunere la medii chimice sau fizice);

Defecțiunea elementelor instalațiilor de procesare a informațiilor;

Consecințele fenomenelor naturale (inundații, furtuni, fulgere, cutremure etc.);

Furt, deteriorarea intenționată a bunurilor materiale;

Accidente și defecțiuni ale echipamentelor, software-ului, fără date;

Erori în acumularea, stocarea, transmiterea, folosirea informațiilor, percepția, citirea, interpretarea conținutului informațional, respectarea regulilor, incapacitatea, neglijările, interferența, eșecurile și distorsiunile elemente individualeși semne sau mesaje;

Erori de operare: încălcarea securității, depășirea fișierelor, erori de limbaj de gestionare a datelor, erori în pregătirea și introducerea informațiilor;

Acțiuni răuvoitoare în sfera materială; vorbăreț, dezvăluire;

Pierderi sociale (demisie, concediere, grevă etc.).

Principalele tipuri de amenințări: externe și interne. Amenințările interne includ atât acțiuni intenționate, cât și erori umane neintenționate. Amenințări externe foarte diverse.

Caracteristici de protecție a informațiilor documentate

Confidențialitatea presupune păstrarea drepturilor la informație, nedezvăluirea (secretul) și imuabilitatea acesteia în toate cazurile, cu excepția utilizării autorizate.

Informații confidențialeinformatii documentate, la care accesul este limitat în conformitate cu legislația Federației Ruse.

Proprietari (proprietari) informațiile confidențiale pot fi:

Statul și structurile sale (organismele). În acest caz, include informații care sunt secrete de stat, secrete oficiale și alte tipuri de informații protejate aparținând statului sau departamentului. Aceasta poate include informații care sunt secrete comerciale;

Întreprinderi, parteneriate, societăți pe acțiuni (inclusiv cele pe acțiuni) și altele - informațiile sunt proprietatea lor și constituie un secret comercial;

Organizațiile publice sunt, de regulă, secrete de stat și secrete comerciale;

Cetăţeni ai statului: drepturile lor (secretul corespondenţei, convorbirile telefonice şi telegrafice, confidenţialitatea medicală etc.) sunt garantate de stat, secretele personale sunt treaba lor. Trebuie menționat că statul nu este responsabil pentru siguranța secretelor personale.

Clasificarea informațiilor după gradul de confidențialitate al acestuia fără a-l atribui vreunei specii specifice, pare oarecum abstract. Dar oferă o idee despre posibilitatea de a clasifica informațiile protejate în funcție de gradul de importanță a acestora pentru proprietar. Toate informațiile în funcție de gradul de secretizare pot fi împărțite în cinci niveluri:

1. De o importanță deosebită (deosebit de important);

2. Top secret (strict confidențial);

3. Secret (confidenţial);

4. Pentru uz oficial (nu pentru tipărire, trimis în listă);

5. Neclasificat (deschis).

Trebuie remarcat faptul că, cu cât secretul informațiilor este determinat de proprietarul acesteia, cu atât este mai mare nivelul de protecție, cu atât devine mai scump și cu atât cercul de persoane care se familiarizează cu aceste informații este mai restrâns.

Trebuie menționat că clasificările de mai sus nu sunt exhaustive și dezvoltarea lor rămâne de făcut de știință și legislație.

Toate informațiile confidențiale și o parte din informațiile publice determinate de proprietar sunt supuse protecției. Protecția informațiilor se realizează într-o manieră diferențiată, inclusiv în funcție de compoziția informațiilor și dacă informațiile confidențiale aparțin diferitelor tipuri de secrete. Organizația, tehnologia și nivelul de protecție depind de tipul de secret protejat. Nu doar granițele, ci și conceptele unor tipuri de secrete și chiar compoziția lor nu au fost încă clar definite. Adică tipurile de secrete nu au o reglementare legală clară care să indice temeiurile necesare pentru clasificarea informațiilor confidențiale ca anumite tipuri de secrete.

Structura de clasificare a informațiilor:

Mass-media: documentate și nedocumentate;

Proprietatea: resurse informaționale de stat și nestatale;

Condiții ale regimului juridic: secrete de stat și informații confidențiale.

Informații personale– informații despre fapte, evenimente și împrejurări din viața privată a unui cetățean, permițând identificarea personalității acestuia. Datele personale pentru toți angajații companiei sunt de obicei stocate în departamentul de resurse umane. În același timp, compania este răspunzătoare față de angajați în conformitate cu legislația Federației Ruse pentru încălcarea regimului de protecție, prelucrare și procedura de utilizare a acestor informații.

Secret personal– informații cu caracter personal protejate de o persoană, a căror difuzare ar putea cauza un prejudiciu moral sau material unei persoane fizice.

Secret oficial informații oficiale, accesul la care este limitat de autoritățile guvernamentale în conformitate cu Codul civil al Federației Ruse și legile federale.

secret comercial– informații care nu sunt secrete de stat, referitoare la producție, informații tehnice, tehnologice, managementul activităților financiare și de altă natură ale unei întreprinderi, a căror dezvăluire (transfer, scurgere) poate prejudicia interesele acesteia.

secret comercial– informații care nu sunt secrete de stat legate de producție, informații tehnologice, management, finanțe și alte activități ale întreprinderii, a căror dezvăluire (transfer, scurgere) poate prejudicia interesele acesteia.

Secretul profesional– informații legate de activități profesionale, accesul la care este limitat în conformitate cu Constituția Federației Ruse și cu legile federale. În partea unei companii angajată în furnizarea de servicii de comunicații, este vorba de informații de la operatorii de telecomunicații și alți clienți, care sunt transmise și procesate în resursele de informații și telecomunicații ale companiei.

Deschideți informații;

Informații confidențiale;

Informații strict confidențiale.

Această împărțire nu este corectă ținând cont de documentele de reglementare în vigoare pe teritoriul Federației Ruse. Conform legislației actuale a Federației Ruse, se poate aplica următoarea diferențiere a informațiilor în funcție de gradul de confidențialitate:

Informații deschise (OI);

Pentru uz intern (DVI);

Informații confidențiale (CI).

Trebuie menționat că dreptul de a clasifica informațiile ca fiind confidențiale și de a stabili lista și compoziția acestor informații aparține proprietarului acesteia.

Principiile de bază ale protecției informațiilor sunt confidențialitatea, integritatea și disponibilitatea, respectarea cărora este o condiție necesară pentru asigurarea securității diverselor categorii de informații.

În septembrie 2000, președintele Rusiei a semnat „Doctrina securității informaționale a Federației Ruse”, în baza căreia a fost adoptată legea informațiilor. Această lege identifică următoarele tipuri de informații care sunt protejate de stat:

Metode criptografice:

Problema protejării informațiilor prin transformarea acesteia astfel încât să nu poată fi citite de un străin a entuziasmat mintea umană din cele mai vechi timpuri. Istoria criptografiei este coevală cu istoria limbajului uman. Mai mult decât atât, scrisul în sine a fost inițial un sistem criptografic, deoarece în societățile antice doar câțiva aleși îl stăpâneau. Cărțile sacre ale Egiptului Antic și Indiei Antice sunt exemple în acest sens.

Odată cu utilizarea pe scară largă a scrisului, criptografie a început să apară ca o știință independentă. Primele criptosisteme se găsesc deja la începutul erei noastre. Astfel, Cezar a folosit în corespondența sa un cifru mai mult sau mai puțin sistematic, care a primit numele său.

Sistemele criptografice s-au dezvoltat rapid în anii Primului și celui de-al Doilea Război Mondial. Din perioada postbelică și până în prezent, apariția computerului a accelerat dezvoltarea și îmbunătățirea metodelor criptografice.

De ce a devenit problema utilizării metodelor criptografice în sistemele informaţionale (IS). în prezent deosebit de relevant?

Pe de o parte, utilizarea rețelelor de calculatoare s-a extins, în special retea globala Internetul, prin care se transmit volume mari de informații cu caracter de stat, militar, comercial și privat, împiedicând accesul persoanelor neautorizate la el.

Pe de altă parte, apariția unor noi computere puternice, tehnologii de rețea și de calcul neuronal a făcut posibilă discreditarea sistemelor criptografice care până de curând erau considerate practic indestructibile.

Criptologia (kryptos - secret, logos - știință) se ocupă de problema protejării informațiilor prin transformarea acesteia. Criptologia este împărțită în două domenii - criptografie și criptoanaliza. Scopurile acestor direcții sunt direct opuse.

Criptografia se ocupă cu căutarea și studiul metodelor matematice de conversie a informațiilor.

Domeniul de interes al criptoanalizei este studiul posibilității de decriptare a informațiilor fără a cunoaște cheile.

Criptografia modernă include patru secțiuni majore:

  • 1. Criptosisteme simetrice.
  • 2. Criptosisteme cu cheie publică.
  • 3. Sisteme de semnătură electronică.
  • 4. Managementul cheilor.

Principalele domenii de utilizare a metodelor criptografice sunt transferul de informații confidențiale prin canale de comunicare (de exemplu, e-mail), stabilirea autenticității mesajelor transmise, stocarea informațiilor (documente, baze de date) pe medii în formă criptată.

Sisteme cu chei publice:

Indiferent cât de complexe și de fiabile sunt sistemele criptografice, punctul lor slab în implementarea practică este problema distribuției cheilor. Pentru ca schimbul de informații confidențiale între doi subiecți IP să fie posibil, cheia trebuie să fie generată de unul dintre ei, iar apoi, cumva, din nou confidențial, transferată celuilalt. Acestea. în general, transferul cheii din nou necesită utilizarea unui fel de criptosistem.

Pentru a rezolva această problemă, au fost propuse sisteme de chei publice pe baza rezultatelor obținute din algebra clasică și modernă.

Esența lor este că fiecare destinatar IP generează două chei care sunt conectate între ele conform unei anumite reguli. O cheie este declarată publică, iar cealaltă privată. Cheia publică este publicată și disponibilă pentru oricine dorește să trimită un mesaj destinatarului. Cheia secretă este ținută secretă.

Textul original este criptat cu cheia publică a destinatarului și transmis acestuia. În principiu, textul cifrat nu poate fi decriptat cu aceeași cheie publică. Decriptarea unui mesaj este posibilă numai folosind o cheie privată, care este cunoscută doar de destinatar.

Sistemele criptografice cu cheie publică utilizează așa-numitele funcții ireversibile sau unidirecționale, care au următoarea proprietate: dată o valoare X valoare relativ ușor de calculat f(x), totusi daca y=f(x), atunci nu calea ușoară pentru a calcula valoarea X.

Setul de clase de funcții ireversibile dă naștere la toată varietatea de sisteme de chei publice. Cu toate acestea, nu toate funcțiile ireversibile sunt potrivite pentru utilizare în circuite integrate reale.

Există incertitudine în însăși definiția ireversibilității. Ireversibilitatea nu înseamnă ireversibilitate teoretică, ci imposibilitatea practică de a calcula valoarea reciprocă folosind instrumente de calcul moderne pe un interval de timp previzibil.

Prin urmare, pentru a garanta o protecție fiabilă a informațiilor, sistemele cu chei publice (PKS) sunt supuse a două cerințe importante și evidente:

  • 1. Conversie text sursă trebuie să fie ireversibilă și nu poate fi restaurată pe baza cheii publice.
  • 2. Determinarea unei chei private pe baza unei chei publice ar trebui, de asemenea, imposibilă la nivelul tehnologic actual. În acest caz, este de dorit o limită inferioară exactă pentru complexitatea (numărul de operații) de rupere a cifrului.

Algoritmii de criptare cu chei publice sunt utilizați pe scară largă în sistemele informaționale moderne. Asa de, algoritmul RSA a devenit de facto standardul global pentru sisteme deschiseși recomandat de CCITT.

În general, toate criptosistemele cu cheie publică oferite astăzi se bazează pe unul dintre următoarele tipuri de transformări ireversibile:

Factorizarea numerelor mari în factori primi.

Calcularea logaritmului într-un câmp finit.

Calculul rădăcinilor ecuațiilor algebrice.

Trebuie remarcat aici că algoritmii de criptosistem cu cheie publică (PSC) pot fi utilizați în trei scopuri.

  • 1. Cum mijloace independente protecția datelor transmise și stocate.
  • 2. Ca mijloc de distribuire a cheilor. Algoritmii RNS necesită mai multă muncă decât criptosistemele tradiționale. Prin urmare, în practică este adesea rațional să folosiți RNS pentru a distribui chei, al căror volum ca informații este nesemnificativ. Și apoi, folosind algoritmi convenționali, faceți schimb de fluxuri mari de informații.

Mijloace de autentificare a utilizatorului.

Semnatura electronica

În 1991, Institutul Național de Standarde și Tehnologie (NIST) a propus standardul DSS (Digital Signature Standard) pentru algoritmul de semnătură digitală DSA (Digital Signature Algorithm), care se baza pe algoritmii ElGamal și RSA.

Care este problema cu autentificarea datelor?

La sfârșitul unei scrisori sau unui document obișnuit, executorul sau persoana responsabilă își pune de obicei semnătura. O astfel de acțiune are de obicei două scopuri. În primul rând, destinatarul are posibilitatea de a verifica autenticitatea scrisorii comparând semnătura cu eșantionul de care dispune. În al doilea rând, semnătura personală este o garanție legală a dreptului de autor a documentului. Ultimul aspect este deosebit de important la încheierea diferitelor tipuri de tranzacții comerciale, întocmirea de împuterniciri, obligații etc.

Dacă este foarte dificil să falsificați semnătura unei persoane pe hârtie și stabilirea dreptului de autor a unei semnături folosind metode criminalistice moderne este un detaliu tehnic, atunci cu o semnătură electronică situația este diferită. Orice utilizator poate modifica un șir de biți prin simpla copiere a acestuia sau poate face corecții ilegale unui document fără a fi observat.

Odată cu utilizarea pe scară largă în lumea modernă a formelor electronice de documente (inclusiv a celor confidențiale) și a mijloacelor de prelucrare a acestora, problema stabilirii autenticității și autorului documentației fără hârtie a devenit deosebit de relevantă.

În secțiunea privind sistemele criptografice cu cheie publică, s-a arătat că, în ciuda tuturor avantajelor sistemelor moderne de criptare, acestea nu permit autentificarea datelor. Prin urmare, mijloacele de autentificare trebuie utilizate împreună cu algoritmi criptografici.

Uneori nu este nevoie să criptați mesajul transmis, dar trebuie să-l sigilați semnatura electronica. În acest caz, textul este criptat cu cheia privată a expeditorului și șirul de caractere rezultat este atașat documentului. Destinatarul, folosind cheia publică a expeditorului, decriptează semnătura și o verifică cu textul. În 1991, Institutul Național de Standarde și Tehnologie (NIST) a propus standardul DSS (Digital Signature Standard) pentru algoritmul de semnătură digitală DSA (Digital Signature Algorithm), care se baza pe algoritmii ElGamal și RSA.

Metode de protejare a informațiilor de pe Internet:

Astăzi cel mai relevant pentru tema internetului- problema securitatii informatiilor. Rețeaua se dezvoltă rapid la scară globală, iar sistemele devin din ce în ce mai răspândite rețele interne(intranet, intranet). Apariția unei noi nișe uriașe pe piață a stimulat atât utilizatorii, cât și furnizorii de servicii de rețea să caute modalități de îmbunătățire a securității transmiterii informațiilor prin Internet.

Problema securității pe Internet se încadrează în două categorii: probleme generale de securitate și fiabilitate. tranzactii financiare. Rezolvarea cu succes a problemelor din domeniul activității financiare ar putea deschide perspective vaste pentru Internet în furnizarea de servicii pentru afaceri. Giganții cardurilor de credit precum MasterCard și Visa, precum și liderii industriei computerelor Microsoft și Netscape s-au alăturat luptei pentru a rezolva această problemă. Toate acestea se referă la chestiuni „bani”; Articolul nostru este dedicat problemei securității generale.

Scopul cercetării în acest domeniu este de a rezolva problema vieții private. Să luăm un exemplu de transfer de mesaje de e-mail de la un server SMTP la altul. În unele cazuri, aceste mesaje sunt pur și simplu rescrise dintr-unul hard disk pe de alta ca de obicei fișiere text, adică toată lumea le poate citi. Figurat vorbind, mecanismul de livrare a e-mailurilor prin Internet este similar cu situația în care hainele spălate sunt atârnate afară în loc să fie strânse într-o mașină de spălat. Nu contează dacă mesajul conține informații financiare sau nu; Următoarele sunt importante: orice informație trimisă prin Internet trebuie să fie inaccesibilă persoanelor din afară.

Pe lângă confidențialitate, utilizatorii sunt îngrijorați și de problema garanțiilor cu care „vorbesc” în prezent. Au nevoie de încredere că serverul de Internet cu care comunică în prezent este cu adevărat cine pretinde că este; fie că este un server World-Wide Web, FTP, IRC sau orice altul. Nu este deosebit de dificil să imiteți (fie ca glumă, fie cu intenții criminale) un server neprotejat și să încercați să culegeți toate informațiile despre dvs. Și, desigur, furnizorii de servicii de rețea vor, de asemenea, să fie siguri că cei care îi contactează pentru anumite resurse de internet, cum ar fi e-mailul și serviciile IRC, sunt cine spun că sunt.

Metoda de protectie prin parola:

Legitimitatea cererii utilizatorului este determinată de parolă, care este de obicei un șir de caractere. Metoda parolei este considerată destul de slabă, deoarece parola poate deveni obiect de furt, interceptare, forță brută sau ghicire. Cu toate acestea, simplitatea metodei stimulează căutarea modalităților de a o îmbunătăți.

Pentru a crește eficacitatea protecției prin parolă, se recomandă:

alegeți o parolă mai lungă de 6 caractere, evitând cuvintele, nume, date, etc. obișnuite, ușor de ghicit;

  • 1. utilizați caractere speciale;
  • 2. Criptați parolele stocate pe server folosind o funcție unidirecțională;
  • 3. plasați fișierul cu parole într-o zonă special protejată a memoriei computerului, închisă pentru citire de către utilizatori;
  • 4. granițele dintre parolele adiacente sunt mascate;
  • 5. Comentariile fișierului cu parole trebuie păstrate separat de fișier;
  • 6. schimba parolele periodic;
  • 7. să prevadă posibilitatea modificării forțate a parolelor de către sistem după o anumită perioadă de timp;
  • 8. folosiți mai multe parole de utilizator: parola în sine, un identificator personal, o parolă pentru încuierea/deblocarea echipamentelor în timpul unei absențe de scurtă durată etc.
  • 9. Cu cât mai complex metode de parole Se utilizează selecția aleatorie a caracterelor parolei și utilizarea unică a parolelor. În primul caz, utilizatorului (dispozitivului) i se alocă o parolă destul de lungă și, de fiecare dată, o parte a parolei selectată aleatoriu este utilizată pentru identificare. Când se utilizează o parolă unică, utilizatorului i se alocă nu una, ci un numar mare de parole, fiecare dintre acestea fiind folosită o dată într-o listă sau într-un eșantion aleatoriu. De fapt mediu distribuit, unde utilizatorii au acces la mai multe servere, baze de date și chiar au drepturi de conectare la distanță, securitatea devine atât de complicată încât administratorul poate vedea toate acestea doar într-un coșmar.

Măsuri de protecție administrativă:

Problema securității informațiilor este rezolvată prin introducerea controlului accesului și delimitarea puterilor utilizatorilor.

Un mijloc comun de restricționare a accesului (sau de limitare a autorității) este un sistem de parole. Cu toate acestea, nu este de încredere. Hackerii experimentați pot sparge această protecție, „snoop” parola altcuiva sau pot intra în sistem prin forțarea brută a posibilelor parole, deoarece foarte des folosesc prenumele, prenumele sau datele de naștere ale utilizatorilor. O soluție mai fiabilă este organizarea controlului accesului la spații sau la un anumit PC pe o rețea LAN folosind diferite tipuri de carduri de identificare din plastic.

Folosirea cardurilor de plastic cu bandă magnetică în aceste scopuri nu este recomandată, deoarece poate fi ușor contrafăcută. Un grad mai mare de fiabilitate este asigurat de cardurile din plastic cu microcircuit încorporat - așa-numitele carduri cu microprocesor (MP - carduri, smart - carduri). Fiabilitatea lor se datorează în primul rând imposibilității copierii sau contrafacerii folosind o metodă de casă. În plus, în timpul producției de carduri, în fiecare cip este introdus un cod unic, care nu poate fi duplicat. Atunci când un card este emis unui utilizator, pe acesta sunt scrise una sau mai multe parole, cunoscute doar de proprietarul său. Pentru unele tipuri de carduri MP, o încercare de utilizare neautorizată se termină cu „închiderea” automată. Pentru a restabili funcționalitatea unui astfel de card, acesta trebuie prezentat autorității competente.

Instalarea unui cititor de carduri MP special este posibilă nu numai la intrarea în incinta unde se află computerele, ci și direct la stațiile de lucru și serverele de rețea.

Protecția informațiilor corporative:

Cu toate acestea, atunci când rezolvă această problemă, întreprinderile urmează adesea exemplul companiilor contractante care promovează unul sau mai multe produse care, de regulă, rezolvă problemele private. Mai jos vom analiza cele mai generale abordări ale unei soluții cuprinzătoare la problema asigurării securității informațiilor.

Cel mai greseala tipica Când se construiește un sistem de protecție, există dorința de a proteja totul și de tot deodată. De fapt, determinarea informațiilor necesare (fișiere, directoare, discuri) și a altor obiecte structura informatiei care trebuie protejate este primul pas în construirea unui sistem de securitate a informațiilor. Ar trebui să începeți prin a defini această listă: ar trebui să estimați cât ar putea costa pierderea (ștergerea sau furtul) unei anumite baze de date sau, de exemplu, o singură stație de lucru în timpul zilei.

Al doilea pas este identificarea surselor amenințărilor. De regulă, există mai multe dintre ele. Identificarea unei surse de amenințări înseamnă evaluarea obiectivelor acesteia (dacă sursa este intenționată) sau a posibilului impact (neintentionat), a probabilității (sau intensității) apariției acesteia. Dacă vorbim de acțiuni rău intenționate ale unei persoane (sau ale unui grup de persoane), atunci este necesar să se evalueze capacitățile sale organizaționale și tehnice de acces la informații (la urma urmei, atacatorul poate fi și un angajat al companiei).

Odată identificată sursa amenințărilor, amenințările la adresa securității informațiilor pot fi formulate. Adică ce se poate întâmpla cu informația. De regulă, se obișnuiește să se distingă următoarele grupuri de amenințări:

  • § acces neautorizat la informații (citirea, copierea sau modificarea informațiilor, falsificare și impunere);
  • § întreruperea calculatoarelor şi programe de aplicație
  • § distrugerea informatiilor.

În fiecare dintre aceste trei grupuri, pot fi identificate zeci de amenințări specifice, dar să ne oprim aici pentru moment. Să observăm doar că amenințările pot fi intenționate și accidentale, iar cele accidentale, la rândul lor, pot fi naturale (de exemplu, dezastre naturale) și artificiale (acțiuni eronate ale personalului). Amenințările aleatorii care nu au intenții rău intenționate sunt de obicei periculoase doar în ceea ce privește pierderea de informații și întreruperea sistemului, care este destul de ușor de asigurat. Amenințările intenționate sunt mai grave din punct de vedere al pierderilor pentru afaceri, pentru că aici trebuie să lupți nu cu șansa oarbă (deși fără milă în puterea ei), ci cu un dușman gânditor.

Este util să construiți un sistem de protecție folosind principii de protecție care sunt destul de universale pentru o mare varietate de domeniile subiectului(sprijin ingineresc în armată, securitatea fizică a persoanelor și a teritoriilor etc.)

  • § Adecvare (suficiență rezonabilă). Costul total al protecției (timp, resurse umane și monetare) trebuie să fie mai mic decât costul resurselor protejate. Dacă cifra de afaceri a unei companii este de 10.000 de dolari pe lună, nu are sens să implementezi un sistem de un milion de dolari (la fel ca viceversa).
  • § Sistematicitate. Importanța acestui principiu este evidentă mai ales atunci când se construiesc sisteme mari de protecție. Constă în faptul că sistemul de protecție nu trebuie construit în abstract (protecția împotriva tuturor), ci pe baza unei analize a amenințărilor, a mijloacelor de protecție împotriva acestor amenințări, a căutării setului optim al acestor mijloace și a construcția sistemului.
  • § Transparență pentru utilizatorii legali. Introducerea mecanismelor de securitate (în special autentificarea utilizatorilor) duce inevitabil la complicarea acțiunilor acestora. Cu toate acestea, niciun mecanism nu ar trebui să necesite pași imposibili (de exemplu, să vină cu o parolă de 10 cifre în fiecare săptămână și să nu o noteze nicăieri) sau să întârzie procedura de accesare a informațiilor.
  • § Stabilitate egală a legăturilor. Legăturile sunt elemente de protecție, a depăși oricare dintre acestea înseamnă a depăși întreaga protecție. Este clar că slăbiciunea unor legături nu poate fi compensată prin întărirea altora. În orice caz, puterea apărării (sau nivelul acesteia, vezi mai jos) este determinată de puterea verigii celei mai slabe. Și dacă un angajat neloial este gata să „arunce informații valoroase pe o dischetă” pentru 100 USD, atunci atacatorul este puțin probabil să construiască un atac complex de hacker pentru a atinge același obiectiv.
  • § Continuitate. În general, aceeași stabilitate, doar în domeniul timpului. Dacă decidem că vom proteja ceva și cumva, atunci trebuie să îl protejăm în acest fel în orice moment. Nu te poți decide, de exemplu, să faci vineri backup informații și aranjați o „zi sanitară” în ultima vineri a lunii. Legea ticăloșiei este inexorabilă: tocmai în momentul în care măsurile de protecție a informațiilor sunt slăbite, se va întâmpla de ce ne protejam. O defecțiune temporară în protecție, precum și o verigă slabă, o fac lipsită de sens.
  • § Mai multe niveluri. Protecția pe mai multe niveluri se găsește peste tot prin ruinele unei cetăți medievale. De ce protecția este construită în mai multe straturi care trebuie depășite atât de atacator, cât și de utilizatorul legitim (care, desigur, îi este mai ușor să facă asta)? Din păcate, există întotdeauna posibilitatea ca un anumit nivel să poată fi depășit fie din cauza unor accidente neprevăzute, fie cu o probabilitate diferită de zero. Matematica simplă sugerează: dacă un nivel garantează o protecție de 90%, atunci trei niveluri (în niciun caz care nu se repetă) vă vor oferi 99,9%. Aceasta, apropo, este o rezervă de economii: prin separarea mijloacelor de protecție ieftine și relativ nesigure, se poate obține un grad foarte ridicat de protecție cu costuri reduse.

Luarea în considerare a acestor principii va ajuta la evitarea costurilor inutile la construirea unui sistem de securitate a informațiilor și, în același timp, la realizarea cu adevărat nivel inalt securitatea informațiilor de afaceri.

Evaluarea eficacității sistemelor de protecție software

Sistemele de protecție software sunt larg răspândite și sunt în continuă evoluție, datorită extinderii pieței de software și tehnologie de telecomunicații. Necesitatea utilizării sistemelor de protecție software (SP) se datorează unei serii de probleme, dintre care trebuie să evidențiem: utilizarea ilegală a algoritmilor care sunt proprietatea intelectuală a autorului la scrierea analogilor produsului (spionaj industrial); utilizare neautorizată Software (furt și copiere); modificare neautorizată a software-ului în scopul introducerii abuzului de software; distribuirea și vânzarea ilegală de software (piraterie).

Pe baza metodei de instalare, sistemele de protecție software pot fi împărțite în sisteme instalate pe module software compilate; sisteme integrate în codul sursă al software-ului înainte de compilare; și combinate.

Sistemele de primul tip sunt cele mai convenabile pentru un producător de software, deoarece este ușor să protejați software-ul deja complet pregătit și testat (de obicei procesul de instalare a protecției este cât se poate de automatizat și se reduce la specificarea numelui fișierului protejat și apăsând „Enter”) și, prin urmare, sunt cele mai populare. În același timp, rezistența acestor sisteme este destul de scăzută (în funcție de principiul de funcționare al sistemului de protecție), deoarece pentru a ocoli protecția este suficient să se determine punctul de terminare al „învelișului” de protecție și să se transfere controlul către cel protejat. program și apoi salvați-l cu forță într-o formă neprotejată.

Sistemele de al doilea tip sunt incomode pentru producătorul de software, deoarece este necesar să se instruiască personalul cu care să lucreze interfata software(API) sisteme de protecție cu costurile financiare și de timp rezultate. În plus, procesul de testare a software-ului devine mai complicat și fiabilitatea acestuia scade, deoarece pe lângă software-ul în sine, erorile pot conține un API al sistemului de securitate sau proceduri care îl folosesc. Dar astfel de sisteme sunt mai rezistente la atacuri, pentru că aici dispare granița clară dintre sistemul de protecție și software-ul în sine.

Pentru a proteja software-ul sunt utilizate o serie de metode, cum ar fi:

  • § Algoritmi de ofuscare - se folosesc tranziții haotice la diferite părți ale codului, introducerea de proceduri false - „manichini”, bucle inactive, distorsiunea numărului de parametri reali ai procedurilor software, împrăștierea secțiunilor de cod în diferite zone ale RAM etc. .
  • § Algoritmi de mutație - tabele de corespondență ale operanzilor - sinonimele sunt create și înlocuite între ele de fiecare dată când programul este lansat conform unei anumite scheme sau aleatoriu, modificări aleatorii în structura programului.
  • § Algoritmi de compresie a datelor - programul este împachetat și apoi dezambalat pe măsură ce rulează.
  • § Algoritmi de criptare a datelor - programul este criptat și apoi decriptat pe măsură ce rulează.
  • § Calculul complexului expresii matematiceîn procesul de elaborare a mecanismului de protecție, elementele logicii de protecție depind de rezultatul calculării valorii unei formule sau a unui grup de formule.
  • § Metode de îngreunare a dezasamblarii - sunt folosite diverse tehnici pentru a preveni dezasamblarea în modul batch.
  • § Metode pentru a îngreuna depanarea - sunt folosite diverse tehnici pentru a face mai dificilă depanarea unui program.
  • § Emularea procesoarelor și sistemelor de operare - se creează un procesor virtual și/sau un sistem de operare (nu neapărat real) și un program de traducere din sistemul de comandă IBM în sistemul de comandă al procesorului sau al sistemului de operare creat, după o astfel de traducere, software-ul poate poate fi executat doar folosind un emulator, ceea ce este drastic face dificilă studierea algoritmului software.
  • § Metode non-standard de lucru cu hardware - modulele sistemului de protecție accesează hardware-ul computerului, ocolind procedurile sistem de operareși folosiți capabilități puțin cunoscute sau nedocumentate ale acestuia.

Secret comercial. Secret oficial. Secrete profesionale. Informații personale.

Termeni și concepte de bază:

Secret comercial (oficial).

Informații personale

Secretul profesional

Odată cu dezvoltarea societății informaționale, problemele legate de protecția informațiilor confidențiale devin din ce în ce mai importante. În prezent, aceste probleme nu au fost rezolvate pe deplin și sistematic în legislația rusă. O clasificare detaliată a informațiilor confidențiale, așa cum s-a menționat mai sus, este dată în lista informațiilor confidențiale stabilită prin Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188. În continuare, vom analiza mai detaliat câteva tipuri de informații confidențiale. informație.

secret comercial

Activitățile comerciale ale unei organizații sunt strâns legate de primirea, acumularea, stocarea, prelucrarea și utilizarea diferitelor informații. Nu toate informațiile sunt supuse protecției, ci doar cele care sunt valoroase pentru organizație. Atunci când se determină valoarea informațiilor comerciale, este necesar să se ghideze după proprietățile acesteia, cum ar fi utilitatea, promptitudinea și fiabilitatea.

Utilitatea informației constă în faptul că creează condiții favorabile pentru ca subiectul să ia o decizie promptă și să obțină un rezultat eficient. La rândul său, utilitatea informațiilor depinde de primirea și livrarea la timp către executant. Din cauza primirii în timp util a unor informații importante, oportunitatea de a încheia o tranzacție profitabilă sau o altă tranzacție este adesea ratată.

Criteriile de utilitate și promptitudine sunt strâns legate și interdependente de criteriul fiabilității informațiilor. Motivele apariției unor informații nesigure sunt diferite: percepția incorectă (datorită unei concepții greșite, experienței insuficiente sau cunoștințelor profesionale) a faptelor sau denaturarea deliberată a faptelor întreprinsă într-un anumit scop. Prin urmare, de regulă, informațiile de interes comercial, precum și sursa primirii lor, trebuie verificate dublu.

Deținătorul informațiilor comerciale, pe baza totalității criteriilor enumerate, determină valoarea acestora pentru activitățile sale de afaceri și ia o decizie operațională adecvată.

În literatura economică străină, informația comercială este considerată nu ca un mijloc de obținere a profitului, ci, în primul rând, ca o condiție care promovează sau împiedică realizarea unui profit. Se subliniază în special prezența factorului cost al informațiilor comerciale, adică. capacitatea de a acționa ca subiect de cumpărare și vânzare. De aceea importantîn contextul dezvoltării diverselor forme de proprietate, se pune problema de a determina dacă informațiile privind drepturile de proprietate intelectuală aparțin unei anumite entități comerciale și, în consecință, dacă aceasta are dreptul de a le proteja.

Definiția și problemele de protecție civilă a secretelor oficiale și comerciale din legislația rusă nu diferă și sunt discutate în art. 139 din prima parte a Codului civil al Federației Ruse, numit „Secrete oficiale și comerciale”:

„Informația constituie secret oficial sau comercial în cazul în care informația are valoare comercială reală sau potențială din cauza necunoscutei acesteia față de terți, nu există acces liber la acestea în temeiul legal, iar proprietarul informațiilor ia măsuri pentru a le proteja. confidențialitatea. Informațiile care nu pot constitui secret oficial sau comercial sunt determinate de lege și de alte acte juridice.

Informațiile care constituie secret oficial sau comercial sunt protejate prin metodele prevăzute de prezentul Cod și de alte legi.

Persoanele care au obținut prin metode ilegale informații care constituie secret oficial sau comercial sunt obligate să compenseze pierderile cauzate. Aceeași obligație este atribuită angajaților care au dezvăluit secrete oficiale sau comerciale contrar unui contract de muncă, inclusiv unui contract, și contractorilor care au făcut acest lucru contrar unui contract de drept civil.”

Asigurarea protecției secretelor de stat nu are legătură directă cu protecția secretelor comerciale. Cu toate acestea, ar trebui remarcate unele posibile excepții. Informațiile comerciale care sunt apreciate ca deosebit de importante nu numai pentru proprietarul său, ci și pentru stat, pot fi preluate sub protecția statului, atunci când este posibil ca un serviciu de informații străin să-și manifeste interesul față de acestea. Problema unei astfel de protecție ar trebui rezolvată pe bază contractuală între antreprenor și agenția federală de securitate, subliniind limitele și funcțiile. activitate profesională acesta din urmă. În ceea ce privește secretul comercial în sine, acesta nu are protecție penală specială sau regim.

Valoarea comercială reală sau potențială a informațiilor este în mare măsură subiectivă și permite unui antreprenor să limiteze accesul la aproape orice informație utilizată în activitățile de afaceri, cu excepția informațiilor determinate de reglementări și acte.

Ce informații nu pot constitui secret comercial? În Decretul Guvernului RSFSR din 5 decembrie 1991 nr. 35 „Pe lista informațiilor care nu pot constitui secret comercial” se precizează:

Actele constitutive (decizia de înființare a unei întreprinderi sau acordul fondatorilor) și Carta;

Documente care dau dreptul de a se angaja în activități comerciale (certificate de înregistrare, licențe, brevete);

Informații privind formele stabilite de raportare a activităților financiare și economice și alte informații necesare verificării corectitudinii calculării și plății impozitelor și a altor plăți obligatorii către sistemul bugetului de stat al RSFSR;

Documente privind solvabilitatea;

Informații privind numărul, componența angajaților, salariile și condițiile de muncă ale acestora, precum și disponibilitatea posturilor vacante;

Documente privind plata impozitelor si platilor obligatorii;

Informații despre contaminare mediu inconjurator, încălcarea legislației antimonopol, nerespectarea condițiilor de muncă sigure, vânzarea de produse dăunătoare sănătății publice, precum și alte încălcări ale legislației RSFSR și cuantumul prejudiciului cauzat;

Informații privind participarea funcționarilor companiei în cooperative, întreprinderi mici, parteneriate, societăți pe acțiuni, asociații și alte organizații implicate în activități comerciale.

Același act normativ interzice întreprinderilor de stat și municipale, înainte și în timpul procesului de privatizare a acestora, să clasifice următoarele date ca secret comercial:

Cu privire la mărimea proprietății întreprinderii și a fondurilor acesteia;

Cu privire la investirea fondurilor în active (titluri) profitabile ale altor întreprinderi, în obligațiuni purtătoare de dobândă și împrumuturi, în fondurile autorizate ale asociațiilor în participațiune;

Asupra obligațiilor de credit, comerț și alte obligații ale întreprinderii care decurg din legislația RSFSR și din acordurile încheiate de aceasta;

Cu privire la acorduri cu cooperative, alte întreprinderi nestatale, colective de muncă creative și temporare, precum și cetățeni individuali.

De menționat că restricțiile impuse utilizării informațiilor care constituie secret comercial au drept scop protejarea proprietății intelectuale, materiale, financiare și a altor interese care apar în timpul formării activității de muncă a organizației, personalului departamentului, precum și în perioada cooperarea lor cu angajații altor organizații.

Scopul acestor restricții este de a preveni dezvăluirea, scurgerea sau accesul neautorizat la informații confidențiale. Restricțiile trebuie să fie adecvate și justificate din punctul de vedere al necesității de a asigura securitatea informațiilor. Nu este permisă utilizarea restricțiilor pentru a ascunde greșelile și incompetența conducerii organizației, risipa, concurența neloială și alte fenomene negative în activitățile organizației, precum și pentru a sustrage îndeplinirea obligațiilor contractuale și plata impozitelor.

Secret oficial

Dacă scopul principal al asigurării confidențialității informațiilor care constituie un secret comercial este de a asigura un avantaj competitiv, atunci protejarea confidențialității secretelor oficiale, deși poate afecta interesele comerciale ale organizației, dar sarcina principala are interesele clienților sau propriile sale interese care nu au legătură directă cu activități comerciale. Astfel, informațiile referitoare la măsurile de asigurare a siguranței angajaților organizației, securitatea depozitului și a altor spații etc., care nu au legătură directă cu implementarea subiectului, ar trebui clasificate ca secrete oficiale și nu comerciale.

În prezent, instituția secretelor oficiale în dreptul intern este cea mai puțin dezvoltată. Există trei seturi de probleme în această problemă.

În primul rând, problemele informațiilor „limită” și „derivate” necesită reglementare la nivel legislativ. Informația „limită” este o astfel de informație oficială în orice ramură a științei, tehnologiei, producției și managementului, care, cu o anumită generalizare și integrare, devine secret de stat. Informațiile „derivate” sunt informații oficiale obținute ca urmare a fragmentării informațiilor care constituie un secret de stat în componente separate, fiecare dintre acestea neputând fi atribuită acesteia.

În al doilea rând, special reglementare legală necesită protecția informațiilor generate în activitățile autorităților publice și ale managementului. Pentru a forma o instituție administrativ-juridică a secretelor oficiale ar trebui adoptată o lege specială, al cărei efect să se extindă la toate nivelurile sistemului administrației publice.

În al treilea rând, o anumită categorie de informații semnificative ale subiecților raporturilor de drept civil necesită protecție. Aceasta se referă la protecția juridică a informațiilor care în activitățile organizațiilor nu pot fi clasificate ca secret comercial, în ciuda faptului că în Codul civil al Federației Ruse conceptul de secret oficial este direct legat de valoarea comercială reală sau potențială a informație.

Trebuie remarcat faptul că în prezent se practică o abordare simplificată: orice informație despre activitățile de afaceri ale unei organizații, la care accesul este limitat, este clasificată drept secret comercial. Cu toate acestea, prin această abordare, pot apărea dificultăți în determinarea daunelor materiale și a profiturilor pierdute în cazul difuzării ilegale a informațiilor confidențiale, de exemplu, informații despre regimul de securitate al organizației sau alte aspecte ale funcționării acesteia care nu sunt direct legate de implementarea activitatea subiectului. În același timp, aceste informații trebuie protejate, deoarece Succesul comercial al unei organizații depinde în mare măsură de restricționarea accesului la acestea.

Secrete profesionale

În conformitate cu legislația în vigoare, secretele profesionale includ informații legate de activitățile oficiale ale lucrătorilor medicali, notarilor, avocaților, detectivilor privați, clerului, angajaților băncilor, oficiilor de registratură și instituțiilor de asigurări. Atât o persoană juridică, cât și o persoană fizică pot acționa ca subiect al secretului profesional.

Păstrarea confidențialității informațiilor primite în legătură cu îndeplinirea funcțiilor profesionale se datorează în primul rând normelor de etică profesională, și nu intereselor comerciale proprii ale întreprinzătorului sau organizației. Statutul juridic adecvat pentru normele luate în considerare este dat de consolidarea lor legislativă.

1)secret bancar. Conceptul de secret bancar, în conformitate cu art. 857 din Codul civil al Federației Ruse, acoperă informații despre un cont bancar, depozit, tranzacții în cont, precum și informații despre clienții băncii.

Secretul bancar protejează informațiile confidențiale ale unui client sau informațiile comerciale ale unui corespondent.

Legea federală „Cu privire la bănci și activități bancare” definește responsabilitățile subiecților, categoriile de informații și motivele pentru care informațiile sunt furnizate organismelor guvernamentale, organizațiilor și persoanelor interesate. Instituția de credit și Banca Rusiei garantează secretul tranzacțiilor, conturilor și depozitelor clienților și corespondenților lor. Toți angajații unei instituții de credit sunt obligați să păstreze secrete tranzacțiile, conturile și depozitele clienților și corespondenților săi, precum și alte informații stabilite de instituția de credit, cu excepția cazului în care acest lucru contravine legii federale.

Banca Rusiei nu are dreptul de a dezvălui informații despre conturi, depozite, precum și informații despre anumite tranzacții și operațiuni din rapoartele instituțiilor de credit, primite de aceasta ca urmare a îndeplinirii funcțiilor de licențiere, supraveghere și control, cu excepția: cazurile prevăzute de legile federale.

Astfel, o instituție de credit are dreptul de a clasifica orice informație drept secret bancar, cu excepția celor specificate expres în Lege.

2)secret notarial. Secretul este o regulă specifică actelor notariale. În conformitate cu art. 5 din Fundamentele legislației Federației Ruse privind notarii, notarului în exercitarea atribuțiilor oficiale, precum și persoanelor care lucrează într-un birou notarial, le este interzis să dezvăluie informații, să citească documente care le-au devenit cunoscute în legătură cu cu efectuarea actelor notariale, inclusiv după demisie sau eliberare din funcție, cu excepția cazurilor prevăzute de Fundamente. Obligația păstrării secretului profesional este cuprinsă în textul jurământului notarului.

3)secrete de procedura De obicei, împărțit în două tipuri: secretul de anchetă și secretul ședințelor judecătorilor.

Mister de anchetă este asociat cu interesele desfășurării legale a unei anchete preliminare în cauzele penale (articolul 310 din Codul penal al Federației Ruse „Divulgarea datelor privind investigația preliminară”). Informațiile despre desfășurarea anchetei preliminare pot fi făcute publice numai cu permisiunea procurorului, anchetatorului sau persoanei care efectuează ancheta. Asemenea informații se pot referi atât la natura acțiunilor de investigare care se desfășoară, cât și la baza de probe, la perspectivele anchetei și la cercul de persoane care participă la investigație. Este important de menționat că lista informațiilor care constituie un secret de investigație nu este stabilită legal. Aceasta înseamnă că procurorul, anchetatorul sau persoana care efectuează ancheta are puterea de apreciere de a stabili ce informații despre ancheta preliminară pot fi protejate în mod special și ce nu.

Secretul adunării judecătorilor. Pentru toate cele patru tipuri de procese existente în procedurile judiciare interne, este prevăzută o anumită procedură pentru asigurarea independenței și obiectivității luării unei decizii asupra cazului. Această procedură are unul dintre scopurile de a interzice dezvăluirea informațiilor despre discuțiile, judecățile și rezultatele voturilor care au avut loc în timpul ședinței judecătorilor. Asigurarea secretului ședințelor judecătorilor este stabilită de art. 193 Codul de procedură civilă (Codul de procedură civilă) al Federației Ruse, art. 70 din Legea constituțională federală „Cu privire la Curtea Constituțională a Federației Ruse”, art. 124 din Codul de procedură de arbitraj al Federației Ruse.

4)secretul medical. Potrivit art. 61 din Fundamentele legislației Federației Ruse privind protecția sănătății cetățenilor, informații despre solicitarea de asistență medicală, starea de sănătate a unui cetățean, diagnosticul bolii sale și alte informații obținute în timpul examinării sale și tratamentul constituie un secret medical. Cetăţeanul trebuie să fie confirmat cu o garanţie de confidenţialitate a informaţiilor care îi sunt transmise.

5)privilegiul avocat-client. În conformitate cu Legea federală „Cu privire la avocatura și profesia juridică în Federația Rusă”, un avocat, un avocat asistent și un avocat stagiar nu au dreptul de a dezvălui informațiile furnizate de client în legătură cu acordarea de asistență juridică către l. Mai mult, informațiile confidențiale primite de un avocat pot fi fie sub formă de documente, fie verbale. Legea stabilește garanții pentru independența unui avocat. În special, un avocat nu poate fi chestionat ca martor cu privire la împrejurări care i-au fost cunoscute în legătură cu îndeplinirea atribuțiilor sale de avocat sau de reprezentant (articolul 15 din lege).

6)secretul asigurării. Instituția secretului asigurărilor este în multe privințe similară cu instituția secretului bancar. Secretul asigurării, în conformitate cu art. 946 din Codul civil al Federației Ruse, constituie informații primite de asigurător ca urmare a activităților sale profesionale despre asiguratul, persoana asigurată și beneficiarul, starea lor de sănătate, precum și starea proprietății acestor persoane. Pentru încălcarea secretului asigurării, asigurătorul, în funcție de tipul drepturilor încălcate și de natura încălcării, răspunde în conformitate cu regulile prevăzute la art. 139 sau art. 150 Cod civil al Federației Ruse.

Potrivit art. 8 din Legea Federației Ruse „Cu privire la organizarea activității de asigurări în Federația Rusă”, atât persoanele juridice, cât și persoanele fizice - agenți de asigurări și brokerii de asigurări - pot acționa ca o persoană obligată să păstreze secretul asigurării. De asemenea, în conformitate cu art. 33 din menționați funcționari ai Legii organism federal Autoritatea executivă de supraveghere a activităților de asigurare nu are dreptul de a folosi în scop personal sau de a dezvălui sub nicio formă informații care constituie un secret comercial al asigurătorului.

7)conexiune secretă . Legea federală „Cu privire la comunicații” reglementează protecția informațiilor relații publice, legat de asigurarea imposibilității accesului ilegal la mesajele transmise de orice entități - persoane fizice sau juridice - prin intermediul comunicațiilor. Odată cu această formulare a problemei, secretul comunicării devine un instrument de asigurare a siguranței informațiilor confidențiale.

Secretul corespondenței, convorbirilor telefonice, trimiteri poştale, telegraful și alte mesaje transmise prin rețelele electrice și poștale sunt protejate de Constituția Federației Ruse. Responsabilitatea de a asigura respectarea secretului comunicațiilor revine operatorului de comunicații, care este înțeles ca persoană fizică sau juridică care are dreptul de a furniza servicii de comunicații electrice sau poștale. De asemenea, operatorii de telecomunicații sunt obligați să păstreze confidențialitatea informațiilor despre abonați și serviciile de comunicații furnizate acestora, care au devenit cunoscute operatorilor ca urmare a îndeplinirii atribuțiilor profesionale.

8)secret de adopție. Instituția secretului adopției este asociată cu interesele ocrotirii vieții de familie și se exprimă în stabilirea răspunderii civile și penale pentru divulgarea secretului adopției. Potrivit art. 155 din Codul penal al Federației Ruse, secretul adopției poate fi de două tipuri. Prima este deținută de persoanele care sunt obligate să păstreze faptul adopției ca secret oficial sau profesional (judecători, angajați ai administrațiilor locale, autorități de tutelă și alte persoane menționate în partea 1 a articolului 139 din RF IC). Al doilea - toate celelalte persoane, dacă motivele lor egoiste sau alte motive de bază sunt stabilite atunci când dezvăluie secretul adopției fără acordul ambilor părinți adoptivi.

9)secretul mărturisirii. Asigurarea secretului spovedaniei este o chestiune internă a preotului; El nu poartă nicio responsabilitate legală pentru dezvăluirea acesteia. Potrivit părții 2 a art. 51 din Constituția Federației Ruse și partea 7 a art. 3 din Legea federală „Cu privire la libertatea conștiinței și a asociațiilor religioase”, un cleric nu poate fi tras la răspundere pentru refuzul de a depune mărturie în circumstanțe care i-au devenit cunoscute din mărturisire.

3.1. Conceptul de informare comercială

Și sursele de obținere a acestuia

Informație (lat. - informație) - un mesaj despre ceva -

Informațiile comerciale sunt informații despre situația actuală de pe piață pentru diverse bunuri și servicii. Acestea includ indicatori cantitativi și calitativi ai activităților comerciale ale companiei (structură comercială, întreprindere comercială etc.), diverse informații și date privind activitățile comerciale (prețuri, furnizori, concurenți, termene de livrare, plăți, gama de mărfuri etc.).

Scopul informațiilor comerciale este acela de a permite organizațiilor comerciale (întreprinderilor) să își analizeze activitățile comerciale, să le planifice și să monitorizeze rezultatele acestor activități (eficiența muncii).

Pentru un om de afaceri pentru munca de succes informațiile comerciale sunt la fel de necesare ca și aerul. Are nevoie de informații constante despre clienți, concurenți, dealeri (intermediari). Date operaționale pentru analiză, planificare, control. Situația pieței este în continuă schimbare sau se poate schimba în orice moment. Iar dacă nu se stabilește o furnizare (actualizare) continuă a datelor informaționale, este posibil ca societatea să nu răspundă la anumite modificări (modificări) în timp util și, prin urmare, să nu poată evita consecințele cele mai neplăcute. Cel care deține informațiile acționează

se propune o bază de date numită „Partner-2”, care conține 3,5 mii dintre cei mai mari exportatori și importatori, indicând adresele, faxurile, numerele de telefon ale acestora și întreaga gamă de mărfuri comercializate de o anumită companie.

3.2. Secretul comercial și conținutul acestuia

Ce este un secret comercial? Aparent, toată lumea cunoaște conceptul de secrete de stat (militare). Peste tot în lume, secretele de stat înseamnă informații legate de politica externă, apărare și securitate națională.

În perioada sovietică, conținutul secretelor de stat a fost mult extins - de la sănătatea liderilor de partid și de stat la rețetele de pâine și cârnați fierți. Multe documente departamentale erau marcate „Pentru uz oficial”.

Acum, într-o economie de piață, în cele mai multe cazuri nu există o astfel de ștampilă, dar a apărut conceptul de secret comercial, ceea ce înseamnă restrângerea drepturilor asupra anumitor informații pentru persoanele juridice și persoanele fizice care sunt concurenți.

Secretele comerciale sunt un fenomen inerent doar unei economii de piață, capitalistă. Nu întâmplător unul dintre primele decrete ale lui V.I Lenin a fost un decret privind abolirea secretelor comerciale. Într-un mediu competitiv, un secret comercial este remediu eficient cresterea competitivitatii produselor si serviciilor.

Deci, ce este un secret comercial? Pe baza celor de mai sus, i se poate da următoarea definiție: „Ascunde intenționat din motive comerciale, date și informații economice, tehnice, organizatorice și de altă natură despre diverse aspecte și domenii ale activității economice a întreprinderii, a căror protecție se datorează intereselor. de concurenţă şi posibilă amenințare securitatea economică a companiei (întreprinderii).”

Un secret comercial apare atunci când este de interes pentru concurenți. Spre deosebire de secretele de stat, secretele comerciale nu sunt definite de o listă specifică, deoarece sunt întotdeauna diferite în raport cu diferite întreprinderi sau firme.

În legislația rusă, conceptul de secret comercial a apărut în 1990 în textul Legii privind întreprinderile și activitățile antreprenoriale. Ulterior, în anul 1994, în paragraful 1 al art. 139 din Codul civil al Federației Ruse (denumit în continuare Codul civil al Federației Ruse) „Secretele oficiale și comerciale” a oferit o definiție a informațiilor care constituie un secret oficial sau comercial.

În termenii cei mai completi și legali, un secret comercial a fost declarat în Legea federală din 29 iulie 2004 nr. 98-FZ „Cu privire la secretele comerciale”. Prevederile prezentei legi federale se aplică informațiilor care constituie secret comercial, indiferent de tipul de suport pe care sunt înregistrate.

Dispoziția privind secretele comerciale a fost dezvoltată în continuare în partea a IV-a a Codului civil al Federației Ruse. Acesta este subiectul acestui capitol. 75 „Dreptul la un secret de producție (know-how).”

Un secret de producție (know-how) este informația de orice natură (de producție, tehnică, economică, organizatorică și altele), inclusiv rezultatele activității intelectuale în domeniul științific și tehnic, precum și informații despre metodele de desfășurare a activităților profesionale care au valoare comercială valabilă sau potențială datorită necunoașterii acestora față de terți, la care terții nu au acces liber în temeiul legal și în privința cărora proprietarul unor astfel de informații a introdus un regim de secret comercial.

Deținătorul unui secret de producție are dreptul exclusiv de a-l folosi în conformitate cu art. 1229

perioada de după încetarea contractului de muncă. În plus, în timp ce o astfel de restricție este în vigoare, această persoană trebuie să primească o remunerație. În practica rusă, astfel de acorduri sunt încă necunoscute.

3. Informațiile despre o propunere de inovație, invenție etc., aflate în stadiul de dezvoltare, aparțin, fără îndoială, unui secret comercial.

O propunere de inovație, chiar și după executarea ei și eliberarea unui certificat de drept de autor, poate rămâne secret comercial, deoarece reprezintă solutie tehnica sarcini care sunt noi pentru această companie.

O invenție, după ce a fost eliberat un brevet pentru ea, are protecție juridică specială și, prin urmare, nu trebuie protejată prin clasificarea acesteia ca secret comercial. Este o altă problemă dacă, prin acord cu autorul invenției, compania decide să nu depună o cerere către Rospatent din Rusia. Atunci protecția informațiilor revine în totalitate companiei. Ar trebui să fie

De regulă, dacă angajatorul nu depune o cerere pentru aceasta în termen de trei luni din momentul în care autorul îl înștiințează despre invenția realizată, autorul are dreptul să depună o cerere și să primească el însuși un brevet.

4. O atenție deosebită trebuie acordată protecției contractelor încheiate de întreprindere. Majoritatea, desigur,

dar este un secret comercial. Mai mult, în anumite cazuri Nu doar textul acordului, ci și însuși faptul încheierii acestuia este supus protecției.

Șeful companiei trebuie să stabilească o procedură strictă pentru stocarea primelor copii ale contractelor și lucrul cu acestea. Acestea ar trebui să fie depozitate într-un anumit loc cu o persoană responsabilă și eliberate numai împotriva semnăturii, cu permisiunea scrisă a șefului companiei. Persoanele responsabile cu stocarea contractelor și lucrul cu acestea au responsabilitatea personală -

răspunderea pentru pierderea contractelor sau scurgerea de informații din acestea. Toate acestea sunt necesare deoarece activitățile structurilor comerciale sunt construite în mare măsură pe bază contractuală și un concurent sau partener de negociere, având informații în acest domeniu, își poate forma o imagine destul de completă a producției și a poziției financiare a companiei. Pierderea (furtul) primelor exemplare ale contractelor duce la dificultăți semnificative și chiar la imposibilitatea dovedirii anumitor prevederi atunci când apare și se soluționează un litigiu în instanță. La semnarea unui acord, se recomandă ca reprezentanții părților să semneze nu doar la sfârșitul acordului, ci și pe fiecare foaie pentru a evita înlocuirea unui text cu altul.

Deci, ce constituie un secret comercial și necesită protecție împotriva scurgerilor de informații și a furtului?

Informații comerciale:

informatie financiara;

date privind prețul (costul) produselor și serviciilor, tehnologie;

planuri de afaceri și planuri pentru producerea de noi produse

liste de clienți și vânzători, contracte, preferințe și planuri;

informatii de marketing;

acorduri, propuneri, cote;

liste de personal, organigrame și informații despre angajați (caracteristicile acestora).

Informații tehnice:

proiecte de cercetare;

dezvoltări de proiectare pentru producția oricărui produs și parametrii tehnici ai acestuia;

cereri de brevet;

proiectarea, eficiența și capacitățile metodelor, echipamentelor și sistemelor de fabricație;

proces de informare;

program de calculator.

Informațiile care nu pot constitui un secret comercial includ următoarele:

1) cuprinse în actele constitutive ale unei persoane juridice, documente care confirmă faptul de a face înregistrări despre persoane juridice și întreprinzători individuali în resursele de stat relevante;

2) cuprinse în documente care dau dreptul de a desfășura activități antreprenoriale;

3) privind componența proprietății unei întreprinderi unitare de stat sau municipale, instituție de stat și asupra utilizării acestora a fondurilor din bugetele corespunzătoare;

4) despre poluarea mediului, condițiile de siguranță la incendiu, sanitar-epidemiologice şi

situația radiațiilor, siguranța alimentară și alți factori care afectează impact negativ să asigure funcționarea în siguranță a instalațiilor de producție, siguranța fiecărui cetățean și siguranța populației în ansamblu;

5) privind numărul, componența angajaților, sistemul de remunerare, condițiile de muncă, inclusiv protecția muncii, indicatorii accidentelor de muncă și morbiditatea profesională și disponibilitatea posturilor vacante;

6) despre datoria angajatorilor în plata salariilor și a altor beneficii sociale;

7) despre încălcările legislației Federației Ruse și faptele de urmărire penală pentru comiterea acestor încălcări;

8) privind condițiile concursurilor sau licitațiilor pentru privatizarea proprietății de stat sau municipale;

9) despre condițiile și structura veniturilor organizațiilor non-profit, despre mărimea și compoziția proprietății lor, despre cheltuielile acestora