Правовая защита информации в коммерческих организациях

Раздел 8. Правовые основы защиты информации и государственной тайны

Одним из основных нормативных актов, осуществляющих правовое регулирование защиты информации, является Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.

Правовое регулирование отношений, возникающих в сфере информации и ее защиты, основывается на ряде принципов, в частности:

– свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

– установление ограничений доступа к информации только федеральными законами;

– открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

– достоверность информации и своевременность ее предоставления;

– неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

Под информацией законодатель понимает сведения (сообщения, данные) независимо от формы их представления (ст. 2 Закона «Об информации»). Информация может являться объектом публичных, гражданских и иных правовых отношений; может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Законодательно установлен запрет на ограничение доступа к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Так, федеральные законы устанавливают условия отнесения информации к сведениям, составляющим коммерческую, служебную и иную тайну. Соблюдение конфиденциальности такой информации является обязательным.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

В соответствии со ст. 16 Закона «Об информации» защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством России о государственной тайне. Согласно Закону РФ «О государственной тайне» от 21 июля 1993 г. № 5485–1 под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Перечень сведений, составляющих государственную тайну:

1) сведения в военной области (о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники и т.д.);

2) сведения в области экономики, науки и техники (в частности, об использовании инфраструктуры РФ в целях обеспечения обороноспособности и безопасности государства; о достижениях науки и техники, научно-исследовательских, опытно-конструкторских, проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства);

3) сведения в области внешней политики и экономики (о внешнеполитической, внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и пр.);

4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности (о методах и средствах защиты секретной информации; об организации и фактическом состоянии защиты государственной тайны и т.д.).

Не подлежат засекречиванию следующие сведения:

1. Сведения о чрезвычайных происшествиях, катастрофах, угрожающих безопасности и здоровью граждан.

2. Сведения о состоянии экологии, здравоохранения, демографии, образования, культуры, сельского хозяйства и преступности.

3. Сведения о привилегиях, компенсациях, льготах, предоставляемых всем субъектам.

4. Сведения о фактах нарушения прав и свобод человека и гражданина.

5. Сведения о ресурсах золотого запаса и государственных валютных резервов.

6. Сведения о состоянии здоровья высших должностных лиц.

7. Сведения о фактах нарушения здравоохранения органами государственной власти и должностными лицами.

Защита прав государства на государственную тайну осуществляется в административном, судебном порядке в закрытом заседании. Ответственность за правонарушения в сфере защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ.

Правовая защита информации в коммерческих организациях

В.Бутенко, В.Громов, Гостехкомиссия России

О категориях информации

При разработке законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.

Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации в этой области, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации (далее — защита информации), а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий «служебная тайна» и «конфиденциальная информация».

Базовым законом в области защиты информации является принятый в начале 1995 года Федеральный Закон «Об информации, информатизации и защите информации» (далее для краткости — «Закон об информации»), который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

В соответствие с этим Законом должны быть приведены ранее изданные Президентом Российской Федерации и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).

Закон гласит:

  • информационные ресурсы делятся на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ (статья 6, часть 1);
  • государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации (статья 7, часть 1);
  • государственные информационные ресурсы являются ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная информация, отнесенная законом к категории ОГРАНИЧЕННОГО ДОСТУПА (статья 10, часть 1);
  • документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (статья 10, часть 2).
  • конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);
  • ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).

Из этого Закона следует:

  • информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;
  • категория «конфиденциальная информация», в соответствии с понятием, приведенным выше из статьи 2 «Закона об информации», объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом, исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание — статья 10, часть 2 указанного Закона). Этому положению «Закона об информации» не соответствует статья 8 Федерального закона «Об участии в международном информационном обмене» (1996 год), в которой делается ссылка на государственную тайну «ИЛИ ИНУЮ конфиденциальную информацию» (то есть информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации).

Отнесение информации к категориям осуществляется:

  • к государственной тайне — в соответствии с Законом Российской Федерации «О государственной тайне»;
  • к конфиденциальной информации — в порядке, установленном законодательством РФ;
  • к персональным данным о гражданах — федеральным законом.

Для наглядности категории государственных информационных ресурсов можно представить следующим образом:

О режимах защиты информации

В соответствии с «Законом об информации» режим защиты информации устанавливается (статья 21):

  • в отношении сведений, отнесенных к ГОСУДАРСТВЕННОЙ ТАЙНЕ, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
  • в отношении конфиденциальной информации — СОБСТВЕННИКОМ информационных ресурсов или уполномоченным лицом на основании «Закона об информации»;
  • в отношении персональных данных — отдельным федеральным законом.

Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие.

О категории «служебная тайна»

Категория «СЛУЖЕБНАЯ ТАЙНА» ранее применялась для обозначения сведений ведомственного характера с грифом «секретно» и за ее разглашение предусматривалась уголовная ответственность. В настоящее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с принятием в июле 1993 года Закона «О государственной тайне» по двум причинам:

  • во-первых, информация с грифом «секретно» теперь составляет государственную тайну;
  • во-вторых, применение грифов секретности для других категорий информации не допускается в соответствии со статьей 8 указанного Закона.

Вместе с тем, Гражданским кодексом Российской Федерации, введенным в действие с 1995 года, предусмотрена категория «служебная тайна» в сочетании с категорией «коммерческая тайна». Статья 139 Кодекса гласит:

  1. Информация составляет служебную или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
  2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Из этого следует, что произошло изменение содержания категории «служебная тайна»: с января 1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф «конфиденциально» или иной гриф (к примеру, «для служебного пользования», применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233).

Такая трактовка категории «служебная тайна» соответствует проекту Федерального закона «О коммерческой тайне», где предусмотрено при передачи информации с грифом «коммерческая тайна» в государственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона).

За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183).

Изложенное можно проиллюстрировать следующим образом:

Обеспечение информационной безопасности организации

Конфиденциальная для бизнеса информация входит в сферу повышенного интереса конкурирующих компаний. Для недобросовестных конкурентов, коррупционеров и других злоумышленников особый интерес представляет информация о составе менеджмента предприятий, их статусе и деятельности фирмы. Доступ к конфиденциальной информации и ее изменение могут нанести существенный урон финансовому положению компании. При этом, информационная утечка может быть даже частичной. В некоторых случаях даже обеспечение хищения 1/5 конфиденциальной информации может иметь критические последствия для финансовой безопасности. Причиной утечки информации, если отсутствует должное обеспечение информационной безопасности организации, могут быть различные случайности, вызванные неопытностью сотрудников.

Основы обеспечения информационной безопасности организации

Информационная безопасность предполагает обеспечение защиты данных от хищений или изменений как случайного, так и умышленного характера. Система обеспечения информационной безопасности организации – эффективный инструмент защиты интересов собственников и пользователей информации. Следует отметить, что ущерб может быть нанесен не только несанкционированным доступом к информации. Он может быть получен в результате поломки коммуникационного или информационного оборудования. Особенно актуальна эффективная организация обеспечения безопасности информационных банковских систем и учреждений открытого типа (учебные, социальные и др.).

Для того чтобы наладить должное обеспечение защиты информации следует иметь четкое представление об основных понятиях, целях и роли информационной безопасности.

Термин «безопасность информации» описывает ситуацию, исключающую доступ для просмотра, модерации и уничтожения данных субъектами без наличия соответствующих прав. Это понятие включает обеспечение защиты от утечки и кражи информации с помощью современных технологий и инновационных устройств.

Защита информации включает полный комплекс мер по обеспечении целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.

Целостность – понятие, определяющее сохранность качества информации и ее свойств.

Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям.

Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.

Цель защиты информации – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности.

3 угрозы информационной безопасности организации

1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги) является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции.

Большую опасность для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, что приводит к насильственному сужению товарно-денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Часто государство преувеличивает свою компетентность в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в пространство информации этих сфер, а также посягает на собственность предприятия в различных формах.

Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.

2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция. Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:

Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;

Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;

Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.

В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности. Также к ответственности приводят следующие неправомерные действия:

Подкуп или переманивание потребителей со стороны конкурента;

Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;

Установление неравноправных и дискредитирующих условий, влияющих на обеспечение безопасности информации;

Тайное создание картелей, сговор во время торгов с предоставлением коммерческой информации;

Создание условий, ограничивающих возможность обеспечения безопасности информации;

Преднамеренное снижение цен для подавления конкуренции;

Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента.

Имеются и другие аспекты, выявляющие недобросовестную конкуренцию. К ним относится экономическое подавление, которое выражается в разных формах – шантаж персонала, руководителей, компрометирующая информация, парализация деятельности предприятия и срыв сделок с помощью медиаканалов, коррупционных связей в госорганах.

Коммерческий и промышленный шпионаж, подрывающий основы обеспечения информационной безопасности организации, также входит под правовую юридическую ответственность, поскольку он подразумевает незаконное завладение секретной информацией конкурента с целью извлечения личной выгоды.

Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение служащему о предоставлении секретной информации, кража, подкуп и другие разные уловки. Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий и промышленный шпионаж.

Для многих служащих конкурентной компании сумма, предложенная за шпионаж, предоставление секретной информации и нарушение обеспечения безопасности информации, в несколько раз превышает их ежемесячный доход, что является очень соблазнительным для обычного сотрудника. Поэтому, можно считать, что подписка о неразглашении не является полной гарантией обеспечения безопасности коммерческой информации.

Следующей формой недобросовестной конкуренции, направленной на препятствование обеспечению безопасности информации, считается физическое подавление в виде посягательства на жизнь и здоровье служащего компании. В эту категорию входит:

Организация разбойных нападений на производственные, складские помещения и офисы с целью ограбления;

Уничтожение, порча имущества и материальных ценностей путем взрыва, поджога или разрушения;

Захват сотрудников в заложники или физическое устранение.

3. Кризисные явления в мировой экономике. Кризисы имеют особенность перетекать из одной страны в другую, используя каналы внешних экономических связей. Они также наносят ущерб обеспечению безопасности информации. Это следует учесть, определяя методы и средства обеспечения информационной безопасности организации.

Поэтапное интегрирование России в международную экономику способствует зависимости коммерческих предприятий страны от различных процессов, происходящих в мировой экономике (падение и рост цен на энергоносители, структурная перестройка и другие факторы). По степени внедрения национальной экономики в мировую экономическую структуру усиливается ее подверженность внешним факторам. Поэтому, современное производство в стремлении к увеличению прибыли, улучшению деятельности путем модернизации, повышению уровня обеспечения безопасности информации, стабильности обязательно должно обращать внимание на динамику потребительского спроса, политику государства и центральных банков, развитие научно-технического прогресса, на отношение конкурентов, мировую политику и хозяйственную деятельность.

Из чего состоит система информационной безопасности

Система безопасности обеспечивается работой таких подразделений, как:

Компьютерная безопасность. Работа этого подразделения основана на принятии технологических и административных мер, которые обеспечивают качественную работу всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс.

Безопасность данных — это защита информации от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы.

Безопасное программное обеспечение — это целый комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных.

Безопасность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос.

Система обеспечения информационной безопасности организации: комплексный подход к построению

Система безопасности потенциальных и реальных угроз непостоянна, поскольку те могут появляться, исчезать, уменьшаться или нарастать. Все участники отношений в процессе обеспечения безопасности информации, будь то человек, государство, предприятие или регион, представляют собой многоцелевые сложные системы, для которых трудно определить уровень необходимой безопасности.

На основании этого система обеспечения информационной безопасности организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей. Обеспечение информационной безопасности организации базируется на принятии таких мер, как:

  1. Анализ потенциальных и реальных ситуаций, представляющих угрозу безопасности информации предприятия;
  2. Оценка характера угроз безопасности информации;
  3. Принятие и комплексное распределение мер для определения угрозы;
  4. Реализация принятых мер по предотвращению угрозы.

Основная цель обеспечения комплексной системы безопасности информации для защиты предприятия, это:

Создать благоприятные условия для нормального функционирования в условиях нестабильной среды;

Обеспечить защиту собственной безопасности;

Возможность на законную защиту собственных интересов от противоправных действий конкурентов;

Обеспечить сотруднику сохранностью жизни и здоровья.

Предотвращать возможность материального и финансового хищения, искажения, разглашения и утечки конфиденциальной информации, растраты, производственные нарушения, уничтожение имущества и обеспечить нормальную производственную деятельность.

Качественная безопасность информации для специалистов — это система мер, которая обеспечивает:

Защиту от противоправных действий;

Соблюдение законов во избежание правового наказания и наложения санкций;

Защиту от криминальных действий конкурентов;

Защиту от недобросовестности сотрудников.

Производственной (для сбережения материальных ценностей);

Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов);

Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения);

Для обеспечения предприятия квалифицированными кадрами.

Обеспечение безопасности информации любого коммерческого предприятия основывается на следующих критериях:

Соблюдение конфиденциальности и защита интеллектуальной собственности;

Предоставление физической охраны для персонала предприятия;

Защита и сохранность имущественных ценностей.

При создавшейся за последние годы на отечественном рынке обстановке рассчитывать на качественную защиту личных и жизненно важных интересов можно только при условии:

Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач;

Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности.

6 рекомендаций разработчикам системы информационной безопасности

  1. Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания.
  2. Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы.
  3. Система защиты должна быть автономной.
  4. Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ.
  5. Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы.
  6. Наличие и место расположение защитных механизмов должно быть конфиденциальной информацией.

Организация обеспечения безопасности информационных банковских систем основывается на тех же принципах защиты и предполагает постоянную модернизацию защитных функций, поскольку эта сфера постоянно развивается и совершенствуется. Казалось бы, еще недавно созданные новые защитные системы со временем становятся уязвимыми и недейственными, вероятность их взлома с каждым годом возрастает.

5 принципов системы обеспечения информационной безопасности организации

Принцип комплексности. При создании защитных систем необходимо предполагать вероятность возникновения всех возможных угроз для каждой организации, включая каналы закрытого доступа и используемые для них средства защиты. Применение средств защиты должно совпадать с вероятными видами угроз и функционировать как комплексная система защиты, технически дополняя друг друга. Комплексные методы и средства обеспечения информационной безопасности организации являются сложной системой взаимосвязанных между собой процессов.

Принцип эшелонирования представляет собой порядок обеспечения информационной безопасности организации, при котором все рубежи защитной системы будут состоять из последовательно расположенных зон безопасности, самая важная из которых будет находиться внутри всей системы.

Принцип надежности (равнопрочности). Стандарт организации обеспечения информационной безопасности должен касаться всех зон безопасности. Все они должны быть равнопрочными, то есть иметь одинаковую степень надежной защиты с вероятностью реальной угрозы.

Принцип разумной достаточности предполагает разумное применение защитных средств с приемлемым уровнем безопасности без фанатизма создания абсолютной защиты. Обеспечение организации высокоэффективной защитной системой предполагает большие материальные затраты, поэтому к выбору систем безопасности нужно подходить рационально. Стоимость защитной системы не должна превышать размер возможного ущерба и затраты на ее функционирование и обслуживание.

Принцип непрерывности. Работа всех систем безопасности должна быть круглосуточной и непрерывной.

Чем занимается служба безопасности в организации

В целом деятельность службы безопасности на предприятии может иметь одну из форм:

Может входить в структуру организации и финансироваться за ее счет.

Может существовать как отдельное коммерческое или государственное предприятие и работать в организации по договору с целью обеспечения безопасности отдельных объектов.

Служба безопасности, входящая в состав предприятия, может иметь форму многофункциональной структуры, обеспечивающей полную безопасность предприятия. Обычно, такая форма службы безопасности присуща крупным финансовым компаниям со стабильной экономической ситуацией. Это инвестиционные фонды, коммерческие банки, финансово-промышленные группы — все, кто может использовать собственные технические средства и персонал.

Служба безопасности как отдельная коммерческая организация, которая предоставляет услуги в сфере безопасности и защиты, может оказывать как комплексные, так и отдельные услуги. Она может полностью обеспечить организацию системы охраны или выполнять конкретные задания: определять, где установлены подслушивающие устройства; сопровождать транзитные перевозки; предоставлять личную охрану и другие услуги. К этой категории можно отнести частные сыскные и охранные агентства и некоторые государственные организации.

Для многих предприятий намного выгоднее пользоваться услугами коммерческой службы безопасности, чем содержать собственную охранную структуру.

Основы обеспечения информационной безопасности организации базируются на таких функциональных направлениях, как:

Своевременная организация безопасности по предотвращению угроз для жизненно важных интересов организации со стороны криминальных лиц или конкурентов. В этом случае для обеспечения защиты используются такие методы информации, как деловая разведка и аналитическое прогнозирование ситуации.

Принятие мер по предотвращению внедрения агентуры и установки технических устройств с целью получения конфиденциальной информации и коммерческой тайны предприятия. Основными средствами защиты здесь являются строгий пропускной режим, бдительность охранной службы и применение технических защитных устройств.

Обеспечение личной охраны руководству и персоналу организации. Основными критериями для этого вида охраны являются организация предупреждающих мер, опыт и профессионализм охранника, системный подход к обеспечению безопасности.

На структуру и организацию системы безопасности оказывают влияние такие факторы, как:

Масштабность и уровень производственной деятельности организации, количество служащих и возможности для технического развития;

Позиция предприятия на рынке – темпы его развития в отрасли, динамика продаж и процентный охват рынка, зоны стратегического влияния, конкурентная способность товаров и услуг;

Уровень финансовой рентабельности, платежеспособность, деловая активность и привлекательность для инвестиционных вложений;

Наличие объектов и субъектов для специальной охраны – обладатели коммерческой или государственной тайны, взрывоопасные и пожароопасные участки, экологически вредное производство;

Присутствие криминальной среды.

Служба безопасности может состоять из типового набора услуг:

Первое направление – юридическая защита предпринимательской деятельности, которая представляет собой юридически грамотное оформление обязанностей, прав и условий для ведения деятельности (прав собственности на патент, лицензию, имущество, ведение бухгалтерской документации, регистрационных документов, соглашений, арендных договоров, уставов и другой документации). Реализация и внедрение данной защиты для безопасности предпринимательской деятельности очевидна, поскольку нормативно-правовая база в данных условиях нестабильна и требует определенной юридической защиты.

Второе направление – физическая безопасность участников предпринимательской деятельности. В данном случае участниками или субъектами предпринимательской деятельности могут быть не только предприниматели, но и используемые ими ресурсы – материальные, финансовые, информационные. Безопасность интеллектуальных ресурсов также входит в эту категорию. Это обслуживающий персонал, работники предприятия, акционеры.

Третье направление – информационно-коммерческая безопасность, которая представляет собой защиту информационных ресурсов предпринимателя и его интеллектуальной собственности.

Четвертое направление – охрана и безопасность персонала и людей, работающих на предприятии. Это соблюдение техники безопасности, охраны труда, экологии, санитарии, деловых взаимоотношений, личной безопасности работников.

На основании данной информации можно сделать вывод, что универсального или идеального метода защиты на сегодняшний день не существует, хотя потребность в качественной безопасности очевидна, а в некоторых случаях – критически необходима.

Какие методы и средства обеспечения информационной безопасности организации хороши

Для обеспечения защиты информации используются следующие методы:

1)Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре.

2)Управление доступом – метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как:

Идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора;

Аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору;

Проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур;

Доступ для проведения работ установленных регламентом и создание необходимых условий для их проведения;

Регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов;

Реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ.

3) Маскировка – метод криптографического закрытия, защищающий доступ к информации в автоматизированной системе.

4) Регламентация – метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму.

5) Принуждение – это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности.

6) Побуждение – метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила.

Все перечисленные методы защиты направленны на обеспечение максимальной безопасности всей информационной системы организации и осуществляются с помощью разных защитных механизмов, создание которых основано на таких средствах, как:

1. Физические средства защиты используются в качестве внешней охраны для наблюдения за территорией объекта и защиты автоматизированной информационной системы в виде специальных устройств.

Вместе с обычными механическими системами, для работы которого необходимо участие человека, параллельно внедряются и электронные полностью автоматизированные системы физической защиты. С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства.

Самая элементарная система электронной защиты состоит из датчиков, сигналы которых обрабатываются микропроцессорами, электронных ключей, биометрических устройств для идентификации человека и других интеллектуальных систем.

Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью таких механизмов, как:

Замковые системы (механические, радиоуправляемые, кодовые, с микропроцессором), которые устанавливаются на сейфы, двери, ставни, системные блоки и другие устройства;

Микровыключатели, с помощью которых фиксируется открывание и закрывание окон и дверей;

Инерционные датчики, которые используются в электросети, телефонных проводах, телекоммуникационных антеннах;

Наклейки из специальной фольги приклеивают на приборы, документы, системные блоки, узлы, что служит для них защитой от выноса за территорию организации или помещения. Любая попытка выноса документов или устройств с защитной наклейкой через пропускные устройства будет оповещена сигналом тревоги.

Металлические шкафы и специальные сейфы, служащие для установки отдельных устройств информационной автоматизированной системы – фалов-серверов, принтеров и переносных информационных носителей.

Доступ информации через электромагнитные каналы ограничивают с помощью экранизирующих и поглощающих устройств и материалов:

В помещениях, где установлены элементы автоматизированной информационной системы. Для защиты проводится экранирование всех поверхностей в помещении – пола, стен и потолка с помощью металлизированных обоев, токопроводящей штукатурки и эмали, фольги, проволочной сетки, многослойных стальных или алюминиевых листов, специальной пластмассы, токопроводящего кирпича и других материалов.

Оконные проемы закрывают шторами с металлической нитью или покрывают стекла токопроводящим составом;

На все отверстия в помещениях устанавливают металлические сетки с системой заземления или соединяют с настенной экранировкой;

Вентиляционные каналы комплектуют с магнитными ловушками, блокирующими распространение радиоволн.

В качестве защиты для блоков и узлов автоматизированной системы применяют:

Экранированный кабель, который можно монтировать между блоками, стояками, внутри и снаружи стен;

Эластичные экранированные соединители или разъемы, сетевые фильтры для блокировки электромагнитных излучений;

Провода, дроссели, наконечники, конденсаторы и другие устройства с помехоподавляющим действием;

На трубах системы водопроводной и газовой сети устанавливают диэлектрические разделительные вставки, разрывающие электромагнитные цепи.

В местах ввода сети с переменным напряжением устанавливают электронные отслеживатели, контролирующие электропитание. При любых повреждениях шнура происходит кодирование и включение сигнала тревоги. Запись последующих событий происходит после активации телевизионной камеры.

Для выявления подслушивающих устройств наиболее эффективным считается обследование с помощью рентгена. Но, с точки зрения технических и организационных мероприятий, рентгеновское обследование самое затратное.

Использование различных шумовых генераторных устройств, защищающих информацию в компьютерах от хищения, методом снятия излучений с дисплея неблагоприятно воздействует на здоровье человека. В результате происходят такие нарушения, как облысение, головные боли, снижение аппетита, поэтому данный способ защиты используется на практике крайне редко.

2. Аппаратные средства защиты – это все виды электронных и электромеханических устройств, встроенных в блоки информационной автоматизированной системы, которые представлены как самостоятельные устройства, соединенные с этими блоками.

Основная их функция — это обеспечение внутренней защиты соединительных элементов и систем в вычислительной технике – периферийного оборудования, терминалов, линий связи, процессоров и других устройств.

Обеспечение безопасности информации с помощью аппаратных средств включает:

Обеспечение запрета неавторизированного доступа удаленных пользователей и АИС (автоматизированная информационная система);

Обеспечение надежной защиты файловых систем архивов и баз данных при отключениях или некорректной работе АИС;

Обеспечение защиты программ и приложений.

Вышеперечисленные задачи обеспечения безопасности информации обеспечивают аппаратные средства и технологии контроля доступа (идентификация, регистрация, определение полномочий пользователя).

Обеспечение безопасности особо важной информации может осуществляться с использованием уникальных носителей с особыми свойствами, которые предотвращают считывание данных.

3. Программные средства защиты входят в состав ПО (программного обеспечения), АИС или являются элементами аппаратных систем защиты. Такие средства осуществляют обеспечение безопасности информации путем реализации логических и интеллектуальных защитных функций и относятся к наиболее популярным инструментам защиты. Это объясняется их доступной ценой, универсальностью, простотой внедрения и возможностью доработки под конкретную организацию или отдельного пользователя. В то же время, обеспечение безопасности информации с помощью ПО является наиболее уязвимым местом АИС организаций.

Программные защитные средства, способные решать следующие задачи по обеспечению безопасности информации:

Обеспечение контроля входа в АИС и загрузки баз данных при помощи уникальных идентификаторов (логин, пароль, код и др.);

Обеспечение ограничения доступа пользователей к определенным компонентам АИС и ее внешним ресурсам;

Защита ПО, обеспечивающего выполнение процессов для определенного пользователя от посторонних субъектов;

Обеспечение безопасности потоков конфиденциальных данных;

Безопасность информации от воздействия вирусного ПО;

Уничтожение остаточных данных конфиденциального характера в открытых после введения паролей файлах в оперативной памяти;

Формирование протоколов об уничтожении и стирании остаточных конфиденциальных данных;

Обеспечение целостности данных путем внедрения избыточной информации;

Автоматическое обеспечение безопасности работы пользователей АИС на основе данных протоколирования информации с последующей подготовкой отчетов в регистрационном журнале системы.

Большинство современных ОС (операционных систем) содержат программные решения для обеспечения блокировки повторного доступа к информации. При отсутствии таких средств могут использоваться различные коммерческие ПО. Внедрение избыточных данных направлено на обеспечение контроля случайных ошибок. Это может реализовываться через использование контрольных сумм или обеспечение кодирования устойчивого к помехам.

Для обеспечения безопасности особо важной информации используется метод хранения данных с использованием системы сигнатур. В качестве сигнатуры может применяться система, включающая сочетание защитного байта с его размером, временем изменения и именем. При любом обращении к этому файлу система анализирует сочетание информации с оригиналом.

Необходимо уточнить, что надежное обеспечение безопасности информации возможно только при использовании шифрования данных.

Рекомендации от ICC по защите информации в организации

В современных условиях интеллектуальная собственность (ИС) имеет особую ценность не только для бизнеса, но и для всей государственной и международной экономики. Обеспечение защиты информации, торговых марок, авторских прав и других объектов ИС способствует успешному развитию и получению стабильных доходов. Все чаще внедряются технологии по использованию компаниями ИС других владельцев, которая включает весь цикл от разработки и производства продукта до его реализации, предоставления услуг и обеспечения работы технологических процессов.

Международная торговая палата (МТП) инициировала разработку рекомендаций по обеспечению безопасности ИС в рамках проекта «Бизнес в борьбе с контрафактом и пиратством» («Business Action to Stop Counterfeiting and Piracy» — «BASCAP»). Основываясь на опыте различных компаний, данные рекомендации предлагают практические мероприятия по оценке уровня безопасности информации, авторских прав и других объектов ИС, способствующие обеспечению защиты интеллектуальных прав. Внедрение таких рекомендаций способствует повышению эффективности преодоления рисков, которые связаны с контрафактом и пиратством.

Документ, разработанный МТП, направлен на обеспечение руководителей всевозможных направлений работы с ИС эффективным инструментом по разработке, внедрению и внутрикорпоративному использованию интеллектуальных прав. Он включает технологии формирования систем обеспечения взаимодействия с посредниками и другими субъектами, использующими разработки в сфере ИС. Большая часть рекомендаций включает описание существующих наработок в данной сфере с практическими примерами и советами по конкретным типам интеллектуальных прав.