Организация защиты конфиденциальной информации СВТ

Все средства защиты можно разделить: на программные средства, программно-аппаратные и технические.

Для предотвращения несанкционированного доступа и связанных с ним причин применяют обычно следующие средства защиты:

1. Ограничение доступа в помещения, где находятся сервера компании, сетевое оборудование и хранятся носители информации;
2. Использование только сертифицированных знаков, используемых для отличия подлинных документов от подделки;
3. Организация физической защиты помещений, где храниться конфиденциальная информация, с использованием технических средств, существенно затрудняющих проникновение в помещения, где храниться конфиденциальная информация;
4. Разграничение сотрудников по доступы в различные помещения и к различным информационным ресурсам;
5. Строгий учет и хранение в установленных местах традиционных и электронных носителей, содержащих конфиденциальную информацию.

Для предотвращения утечки информации по техническим каналам обычно используют следующие средства защиты:

1. Использование только сертифицированных средств защиты информации;
2. Использование бесперебойных источников питания;
3. Использование серийно выпускаемых технических средств, выполняющих передачу информации по техническим каналам.

Для предотвращения утечки информации по каналам связи можно использовать следующие средства защиты:

1. Использование частных виртуальных сетей;

2. Использование мощных криптографических средств шифрования данных (например, криптографический комплекс «Шифратор IP пакетов», производства объединения МО ПН ИЭИ);

3. Использование только лицензионных программных продуктов.

Техническим аспектам защиты информации в информационных системах и сетях посвящены работы В.А.Герасименко, С.Н. Гриняева, М.П. Зегжды, В.Н. Лопатина, В.А. Никитова, Е.И. Орлова, Г.И. Савина, A.В. Старовойтова, М.П. Сычева, Л.М. Ухлинова, В.Д. Цыганкова, B.Н. Цыгич.

Проблемам защиты национальных интересов в условиях становления единого информационного пространства посвящены работы зарубежных ученых: Х. Ахвельдта, У.Е. Бейкера, У.С. Бека, Д.С. Белла, Д. Веллерсхофа, Д. Грея, Р. Денхардта, М. Калдора, Х. Куроды, К. Лоранта, К.Х. Паке, М. Петтиса, А. Тоффлера.

Проблемы информатизации, компьютеризации в современном обществе раскрыты в исследованиях Р.Ф. Абдеева, Н.П. Ващекина, Б. Гейтса, Б.А. Глинского, Р. Джонстона, А.М. Еременко, М. Иванова, М.Б. Игнатьева, М. Кастельса, Б.И. Козлова, А.В. Лебедева, Н.М. Мамедова, И.В. Мелик-Гайказяна, Д. Мичи. М.А. Мунтяна, Ю.А. Нисневича. А.И. Ракитова, A.Д. Урсула.

Правовые аспекты деятельности в сети Интернет осветили в своих трудах И.Л. Бачило, Е.А. Чичнева.

Изучением информационной безопасности, информационного противоборства и информационных технологий занимались такие авторы, как В.И. Аникин, А.А. Трешневиков, Ю.Б. Кашлев, В.А. Лисичкин, B.Л. Манилов, А.А. Максимов, А.Г. Михайлов, В.Н. Крысько, И.Н. Панарин, Г.Г. Почепцов, С.П. Расторгуев, Л.А. Шелепин, В.И. Ярочкин и другие.

Требования к защите конфиденциальной информации.

К работе с конфиденциальной информацией (документами) предъявляются следующие требования, которые с большой степенью вероятности могут гарантировать решение задач, рассмотренных в предыдущем пункте настоящего курсового проекта:

1.  Централизованная автоматическая обработка документов компании, т.е. регламентированное прохождение документами всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;

2.  Автоматизированный учет всех без исключения конфиденциальных документов (всей информации компании);

3.  Учет и постоянный контроль над действиями, осуществляемыми с документами, содержащими коммерческую тайну, на традиционных (бумажных) или электронных носителях (в том числе чистых);

5.  Обеспечения сохранности не только документов, но и учетных форм;

6.  Ознакомления или работы с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;

7.  Обязательной росписи руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;

8.  Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;

9.  Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

10.  Коллегиальности процедуры уничтожения документов, дел и баз данных;

11.  Наличие письменной санкции руководителя для процедур копирования и тиражирования бумажных и электронных документов, содержащих информацию, представляющую коммерческую тайну, контроль технологии выполнения этих процедур. Такая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.

 

 

1.2 Законодательные основы защиты конфиденциальной информации средствами вычислительной техники

 

 

Законодательными актами РФ определено, что документированная информация (документы), является общедоступной, за исключением документов, отнесенных законом к категории ограниченного доступа.

Документированная информация с ограниченным доступом делиться на информацию, причисленную к государственной тайне, и конфиденциальную информацию. Эти виды документированной информации подлежат защите от незаконного распространения (разглашения) и относится к охраняемой законом тайне.

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих информацию, составляющую государственную тайну, регулируются соответствующими законодательными актами.

Основным из них является:

1. Конституция Российской Федерации (статья 23), в которой гарантируется неприкосновенность личной жизни, личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. При этом ограничение этого права допускается только на основании решения судебных органов,
2. Конституция РФ (статья 24), в которой не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия,
3. Гражданский кодекс РФ (ст.150), в которой конфиденциальная информация относится к нематериальным благам. Также гражданский кодекс гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

• Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

• К этой информации нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

4. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года; 

5. Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года; 
6. Федеральный закон «О государственной тайне» с изменениями от 21 декабря 2014 года; 
7. Федеральный закон № 98-ФЗ «О коммерческой тайне» от 29 июля 2004 года (в редакции от 12.03.2014);
8. Федеральный закон № 1-ФЗ «Об электронно-цифровой подписи» от 10 января 2002 года и также другие подзаконные акты.

В Федеральном законе “Об информации, информатизации и защите информации” конфиденциальная информация определяется как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст.2).

Понятие конфиденциальной информации конкретизировано в перечне сведений конфиденциального характера, утвержденном Указом Президента Российской Федерации от 6 марта 1997 г. № 188. Согласно данному перечню сведения конфиденциального характера делятся на несколько категорий:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Информация, составляющая тайну следствия и судопроизводства.

3. Группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами.

4. Информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных разговоров и т.д.)

5. Информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Информация о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Некоторые вопросы, связанные с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом Российской Федерации.

В данном кодексе есть положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телеграфных и иных сообщений.

Защита конфиденциальной информации от неправомерных посягательств на основе норм гражданского, административного либо уголовного права.

Поскольку ГК РФ, как упоминалось выше, относит конфиденциальную информацию к нематериальным благам (ст.150), защита гражданских прав юридических и физических лиц, связанных с конфиденциальной информацией, регулируются преимущественно соответствующими нормами гражданского законодательства.

Так, ст.11 Части первой ГК РФ предусматривает судебную защиту гражданских прав. Защиту нарушенных или оспоренных гражданских прав, согласно этой статье осуществляет в соответствии с подведомственностью дел, установленной процессуальным законодательством, суд, арбитражный суд или третейский суд.

ГК РФ определены также способы защиты гражданских прав (ст.12), большинство которых могут применяться в связи с защитой конфиденциальной информации.

Основными способами такой защиты являются:

• пресечение действий, нарушающих право на защиту конфиденциальной информации или создающих угрозу его нарушения;
• восстановление положения, существовавшего до нарушения права на защиту конфиденциальной информации;
• прекращение или изменение конкретного правоотношения, связанного с конфиденциальной информацией.

УК РФ также содержит ряд положений, относящихся к защите конфиденциальной информации и ответственности за ее неправомерное использование (ст. 137,138,310).

Ст.138 УК РФ предусматривает ответственность за другие правонарушения, связанные с нарушением права на защиту конфиденциальной информации. В ней определена ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Установлено, что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом или исправительными работами.

Ст.138 УК РФ предусматривает также, что это же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений имеет место в случае незаконного ознакомления с перепиской, почтовыми или телеграфными сообщениями, прослушиванием чужих переговоров. Таким же нарушением является ознакомление с информацией, поступившей по телетайпу, телефаксу и другим телекоммуникациям.

Статьей 13.12 Кодекса АП предусмотрена ответственность за нарушение правил защиты информации. Так, нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа.

Мера ответственности за разглашение информации с ограниченным доступом, в том числе конфиденциальной информации, установлена статьей 13.14 Кодекса АП. В соответствии с этой статьей разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.