КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ И МЕТОДЫ ЕЕ ЗАЩИТЫ. Конфиденциальная информация и методы ее защиты заиченко Ангелина Александровна
Скачать 32.9 Kb.
|
КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ И МЕТОДЫ ЕЕ ЗАЩИТЫ Заиченко Ангелина Александровна Студентка ДЮЮОБ-11 «Астраханский Государственный Технический Университет» Научный руководитель: Цыганова Ольга Александровна Старший преподаватель иностранного языка, разговорного иностранного языка в профессиональной сфере «Астраханский Государственный Технический Университет» Аннотация: Новым направлением в сфере защиты прав человека и гражданина является активно возрастающая угроза атак на сведения ограниченного доступа. С развитием информационных технологий проблема конфиденциальности имеет большую значимость. В разных областях и странах информация, относящаяся к конфиденциальной и методы ее защиты определятся различными способами. На основе политики информационной безопасности строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационных систем в различных ситуациях. Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве научно-технически развитых государств мира. Ключевые слова: конфиденциальность, конфиденциальная информация, информационная безопасность, режимы защиты, правовой режим, признаки информации с ограниченным доступом, виды конфиденциальности, методы защиты. CONFIDENTIAL INFORMATION AND METHODS OF ITS PROTECTION Abstract: A new direction in the field of human and civil rights protection is the actively increasing threat of attacks on restricted access information. With the development of information technology, the problem of confidentiality is of great importance. In different areas and countries, information related to confidential and methods of its protection will be determined in various ways. Based on the information security policy, management, protection and distribution of critical information in the system is built. It should cover all the features of the information processing process, determining the behavior of information systems in various situations. Legislative and administrative measures to regulate the issues of information protection at the state level are applied in most of the scientifically and technically developed countries of the world. Interaction with information is becoming more and more important in our lives. Effective functioning of societies and states is impossible without constant exchange of information with the outside world. With the development of information technologies, issues of privacy and confidential information are becoming increasingly important. It is necessary to ensure the confidentiality of information in accordance with the national information security policy. Information is considered confidential precisely because it is owned, used or disposed of exclusively by a specific person, organization, business community or public authority, which means that the information is available only to the addressee. It is considered that confidential information is restricted access information recognized as such in accordance with current legislation and represents commercial, official or personal secrets protected by its owner. In information security and information protection, specialists adhere to the following definition: confidentiality of information is a mandatory requirement for a person not to transfer information to third parties without the consent of its owners. By its content, information with limited access combines the whole set of information that makes up both secret and confidential information, needs protection at the legislative level and is subject to state protection. According to the current legislation, information with restricted access also includes: • Personal data. They include such personal information about people as date and place of birth, marital status, education, work experience. They are considered confidential if the owner has not given permission for their public presentation in the media, the Internet. • Trade secret. Data belonging to the company, its managers, which are used to conduct business, maintain its competitiveness. This includes information about the credit history of the organization, annual turnover of funds, salaries of employees, own developments and new projects, innovative technologies. The list of the most valuable information is selected and designated by the head of the company, marked with the stamp "trade secret". To preserve it, a non-disclosure agreement is signed with employees. • State secret. Data that, in case of leakage, can damage the security of the country. Among the most important are data on the country's armament, the size of the army, negotiations with other countries, and state budget expenditures. State secrets affect military, foreign policy, intelligence, and economic aspects. It is established by such departments as the Ministry of Internal Affairs, FSB, FSO, Ministry of Emergency Situations, Ministry of Justice, Ministry of Defense and the Office of the President of the Russian Federation, Ministry of Economic Development, Rosatom, Roscosmos, Ministry of Industry and Energy. • Professional secrecy. Information related to professional activity: medical, notary, attorney secrets, inviolability of personal correspondence, telephone communication, postal messages. It implies a generalized concept that includes the secrets of the principal, which were revealed to them when seeking help from an organization or an individual providing services. • Official secret. Combines information with limited access by state or federal authorities in accordance with current legislation. For example, this includes the secrecy of the investigation and legal proceedings, military secrecy. This can also include personal data about people who have opened up while performing official duties. • Information about the essence of inventions. This is information that contains technical aspects, the results of testing inventions, prototypes or samples before presentation to the public and introduction into mass production. To date, there is a set of standards in organizations to ensure correct work with confidential information. The head of the organization signs a list of confidential information. In the contract signed by the employee and the employer, there is a clause stating responsibility for incorrect work with confidential information, as a result of which, if the norms prescribed in the contract for working with this information are not observed, there is a legal basis for bringing such employees to administrative or criminal responsibility. Organizations also have a set of measures aimed at ensuring the protection of confidential information. For example, such measures may include: the selection of qualified personnel, the prediction of possible threats and the implementation of measures to prevent them, the use of different levels of personnel access to information with different secrecy. To do this, there is a certain information protection regime – the procedure established by law for access to information and responsibility for their disclosure. Information security objectives: 1) prevention of theft, leakage, distortion, loss and forgery of information; 2) prevention of unauthorized actions to destroy, modify, copy and block information; 3) realization of the right to state secrets and confidential information. On the basis of Article 16 of the Law on Information, any documented information is subject to protection, the misuse of which may cause damage to its owner, owner, user and other person. Protected information is information that is the subject of ownership and is subject to protection in accordance with the requirements of legal documents or requirements established by the owner of the information. Information is protected from: - leaks (uncontrolled dissemination of protected information as a result of its disclosure, unauthorized access to information and receipt of protected information by intelligence services); - unauthorized impact (impact on protected information in violation of the established rights and (or) rules for changing information, leading to its distortion, destruction, blocking access to information, as well as to the loss, destruction or malfunction of the information carrier); - unintentional impact (impact on the protected information of its user's errors, failure of technical and software tools of information systems, natural phenomena or other measures that are not aimed at changing information, leading to distortion, destruction, copying, blocking of access to information, as well as to the loss, destruction or malfunction of the information carrier); - disclosure (unauthorized communication of protected information to consumers who do not have the right to access this information); - unauthorized access (obtaining protected information by an interested entity in violation of the rights or rules of access to protected information established by legal documents or by the owner, owner of the information); - intelligence (obtaining protected information by technical, agent intelligence). The level of confidentiality of information is one of the most important categories when it comes to its protection. Violation of confidentiality is one of the most serious threats to information security in terms of damage. Thus, when creating a specific security policy, the following classification of information is proposed. According to the level of its confidentiality , it is divided into 4 classes: The zero class includes open, publicly available information. The first class is a class with internal information. It is not available in open form and does not carry any the dangers of its disclosure. As a rule, these are financial reports and test information for long-past periods, reports on regular meetings and meetings, an internal telephone directory of the company, office, enterprise. The second class includes confidential information, the disclosure of such information leads to significant losses in the market. The third class implies classified information, the disclosure of which will lead to the financial ruin of a firm, company or organization, taking into account a specific situations. This class has additional requirements. This is the presence of a detailed plan for the rescue or reliable destruction of information in emergency situations in case of fire, flood, explosion, protection of equipment and data carriers from damage by water and high temperature, and cryptographic verification of the integrity of information. An information security system is a rational set of directions, methods, means and measures that reduce the vulnerability of information and prevent unauthorized access to information, its disclosure or leakage. The owners of information resources, including state institutions, organizations and enterprises, independently determine (with the exception of information classified as a state secret) the necessary degree of protection of resources and the type of system, methods and means of protection, based on the value of the information. The value of information and the required reliability of its protection are directly dependent. It is important that the structure of the protection system should cover not only electronic information systems, but the entire management complex of the company in the unity of its real functional and production units, traditional documentation processes. It is not always possible to abandon paper documents and often routine, historically established management technology, especially if the issue is about the security of valuable, confidential information. Methods of protection 1. Legislative methods – the signing of an agreement on non-disclosure of information by the state is adopted by federal law. 2. Organizational methods – setting up internal programs in the company 3. Technical methods – installation of security cameras in places where classified information is stored 4. Methods of working with personnel – conducting briefings on the importance of maintaining confidential information These methods are used in most large companies and are accompanied by the signing of a contract. Thus, there are currently many types of confidential information: government, commercial, personal, family, official and professional information. They correlate according to the degree of confidentiality of information, meaning four classes of information, accompanied by a list of mandatory requirements. All these components are important, necessary and interrelated. Without these components, it would be impossible to create modern security systems and implement specific security policies in the information environment. https://ru.wikipedia.org/wiki/Конфиденциальность https://www.consultant.ru/document/cons_doc_LAW_61798/c5051782233acca771e9adb35b47d3fb82c9ff1c/ https://studfile.net/preview/9254611/ Взаимодействие с информацией становится все более важным в нашей жизни .Без постоянного обмена информацией с окружающим миром невозможно эффективное функционирование обществ и государств. С развитием информационных технологий все большее значение приобретают вопросы неприкосновенности частной жизни и конфиденциальной информации. Необходимо обеспечить конфиденциальность информации в соответствии с национальной политикой информационной безопасности. Информация признается конфиденциальной именно потому, что ею владеет, пользуется или распоряжается исключительно конкретное лицо, организация, бизнес-сообщество или орган государственной власти, что означает, что информация доступна только адресату. Принято считать, что конфиденциальная информация – это информация ограниченного доступа, признанная такой в соответствии с действующим законодательством и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем. В информационной безопасности и защите информации специалисты придерживаются следующего определения: конфиденциальность информации – обязательное для выполнения лицом требования не передавать информацию третьим лицам без согласия ее обладателей. По своему содержанию информация с ограниченным доступом объединяет всю совокупность сведений, составляющих как тайную, так и конфиденциальную информацию, нуждается в защите на законодательном уровне и подлежит охране государством. Согласно действующему законодательству к информации с ограниченным доступом также относятся: Персональные данные. Включают такую личную информацию о людях как дату и место рождения, семейное положение, образование, рабочий стаж. Они считаются конфиденциальными если владелец не давал разрешения на их публичное представление в средствах массовой информации, интернете. Коммерческая тайна. Данные принадлежащие компании, ее руководителям, которые используются для ведения бизнеса, поддержания его конкурентоспособности. Сюда относятся сведения о кредитной истории организации, годовом обороте средств, заработной плате сотрудников, собственных разработках и новых проектах, инновационных технологиях. Перечень наиболее ценных сведений выбирает и обозначает руководитель компании, маркирует грифом «коммерческая тайна». Для ее сохранения с работниками подписывается договор о неразглашении. Государственная тайна. Данные, которые в случае утечки способны насести ущерб безопасности страны. К числу наиболее важных относятся данные о вооружении страны, численности армии, переговорах с другими странами, расходах государственного бюджета. Государственная тайна затрагивает военную, внешнеполитическую, разведывательную, экономическую стороны. Устанавливается такими ведомствами как МВД, ФСБ, ФСО, МЧС, Минюста, Минобороны и Аппарата Президента РФ, Минэкономразвития, Росатом, Роскосмос, Минпромэнерго. Профессиональная тайна. Сведения, имеющие отношение к профессиональной деятельности: врачебная, нотариальная, адвокатская тайны, неприкосновенность личной переписки, телефонной связи, почтовых сообщений. Подразумевает обобщённое понятие, включающее тайны доверителя, которые открылись им при обращении за помощью к организации или физическому лицу предоставляющим услуги. Служебная тайна. Объединяет сведения, с ограниченным доступом силами государственных или федеральных органов согласно действующему законодательству. Например, сюда относятся тайна следствия и судопроизводства, военная тайна. Также сюда можно отнести личные данные о людях, которые открылись при выполнении служебных обязанностей. Сведения о сути изобретений. Это информация, которая содержит технические аспекты, результаты тестирования изобретений, прототипов или образцов до представления публике и введения в массовое производство. На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью. Для этого существуют определенный режим защиты информации – установленная законом процедура доступа к сведениям и ответственность за их разглашение. Цели защиты информации: 1) предотвращение хищения, утечки, искажения, утраты и подделки информации; 2) предотвращение несанкционированных действий по уничтожению, модификации, копированию и блокированию информации; 3) реализация права на государственную тайну и конфиденциальную информацию. На основании ст. 16 Закона об информации защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Защита информации осуществляется от: - утечки (неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками); - несанкционированного воздействия (воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации); - непреднамеренного воздействия (воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации); - разглашения (несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации); - несанкционированного доступа (получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации); - разведки (получения защищаемой информации технической, агентурной разведкой). Уровень конфиденциальности информации является одной из самых важных категорий, когда речь заходит о её защите. Нарушение конфиденциальности является из наиболее тяжелых с точки зрения ущерба угроз информационной безопасности. Таким образом, при создании определенной политики безопасности предлагается следующая классификация информации. По уровню её конфиденциальности она делиться на 4 класса: К нулевому классу относится открытая, общедоступная информация. Первый класс - это класс с внутренней информацией. Она не доступна в открытом виде и не несёт никакой опасности при её раскрытии. Как правило, это финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы, офиса, предприятия. Ко второму классу относится конфиденциальная информация, раскрытие такой информации ведет к значительным потерям на рынке. Третий класс подразумевает секретную информацию, раскрытие которой приведет к финансовой гибели фирмы, компании или организации с учётом конкретной ситуации. Этот класс имеет дополнительные требования. Это наличие детального плана спасения или надежного уничтожения информации в аварийных ситуациях при пожаре, наводнении, взрыве, защита оборудования и носителей информации от повреждения водой и высокой температурой, и криптографическая проверка целостности информации. Система защиты информации — рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации. Методы защиты 1. Законодательный методы – подписание соглашения о неразглашении сведений со стороны государства принимается федеральным законом. 2. Организационные методы – настройка внутренних программ в компании 3. Технический методы – установка камер слежения в местах хранения закрытой информации 4. Методы работы с кадрами – проведение инструктажей о важности сохранения конфиденциальных сведений Данные методы применяются в большинстве крупных компаний и сопровождается подписанием договора. Таким образом, в настоящее время существует множество видов конфиденциальной информации: государственная, коммерческая, личная, семейная, служебная и профессиональная информация. Они соотносятся по степени конфиденциальности информации, подразумевая четыре класса информации, сопровождаемые перечнем обязательных требований. Все эти компоненты важны, необходимы и взаимосвязаны. Без этих компонентов было бы невозможно создать современных систем защиты и реализации конкретных политик безопасности в информационной среде |