Методы и технологии защиты конфиденциальности информации
Методы и технологии защиты конфиденциальности информации
При построении систем защиты от угроз нарушения конфиденциально-сти информации в информационных системах используется комплексный подход.
Организационными методами защиты конфиденциальности информа-ции являются:
- развёртывание системы контроля и разграничения физического до-ступа к элементам ИС;
- создание службы охраны и физической безопасности;
- организацию механизмов контроля за перемещением сотрудников и
посетителей (с использованием систем видеонаблюдения, смарт-карт и т.д.);
- разработку и внедрение регламентов, должностных инструкций и то-му подобных регулирующих документов;
- регламентацию порядка работы с носителями, содержащими конфи-денциальную информацию.
Инженерно-техническими методами защиты конфиденциальности ин-формации являются:
1) Контроль доступа с использованием идентификации и аутентифика-ции.
Механизмы идентификации, аутентификации и авторизации необходимы для подтверждения подлинности субъекта, обеспечения его работы в системе, и определения законности прав субъекта на данный объект или на определенные действия с ним.
Идентификация- это процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации; каждый субъект или объект системы должен быть однозначно идентифицируем.
Аутентификация- это проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности и авторства данных при их хранении или передаче для предотвращения несанкционированной модификации.
Авторизация- это предоставление субъекту прав на доступ к объекту.
Под контролем доступапонимают ограничение возможностей использования ресурсов системы программами, процессами или другими системами в соответствии с правилами разграничения доступа.
2) Разграничение доступа (установление полномочий пользователей для последующего контроля санкционированного использования ресурсов ИС).
3) Криптографические методы (хранение и/или передача информации в зашифрованном виде)
4) Методы защиты внешнего периметра (методы защиты информации от несанкционированных действий внешних по отношению к ИС пользова-телей: межсетевое экранирование, системы обнаружения вторжений, антиви-русная защита и пр.).
Методы и технологии защиты целостности информации
Для обеспечения целостности информации в ИС применяются следу-ющие методы:
1) Протоколирование и аудит. Подсистема протоколирования и аудита является обязательным компонентом любой ИС. Протоколирование, или ре-гистрация, представляет собой механизм подотчётности системы обеспече-ния информационной безопасности, фиксирующий все события, относящиеся к вопросам безопасности. В свою очередь, аудит – это анализ протоколируе-мой информации с целью оперативного выявления и предотвращения нару-шений режима информационной безопасности.
2) Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Это позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации. В состав механизма контроля целостности включают:
- проверку корректности транзакций;
- аутентификацию пользователей;
- минимизацию привилегий (процессы обработки данных должны быть наделены только теми полномочиями, которые минимально необходимы для выполнения заявленных функций);
3) Криптографические методы защиты целостности информации (цифровые подписи, криптографические хэш-функции и коды проверки целостности). 4) Механизмы резервного копирования и восстановления информации (системы создания полных или дифференциальных копий баз данных, приложений и настроек ИС).
Правонарушения в Интернет.
При правовом регулировании отношений в Интернет важно соблюдение баланса:
между свободой слова и интересами несовершеннолетних. Например, любые действия по защите несовершеннолетних не должны принимать формы безусловного заперта на использование Интернет для распространения содержания, доступного с помощью иных средств;
свободы доступа к информации и информационной безопасностью личности, общества, государства. Защита государственной тайны, коммерческой тайны, других видов тайн не должна накладывать запрет на распространение и свободный доступ к информации, затрагивающие свободы и права человека и гражданина;
свободы производства информации и ограничения производства и распространения опасной информации, информации, оскорбляющей личность. Свобода — не вседозволенность.
Потребители имеют все больший доступ к онлайновым банковским операциям, каталогам и прочим услугам. Оплачиваться услуги могут как традиционными методами, так и электронными с использованием«электронных денег».Системы электронных денег разрабатывают несколько компаний. Сами электронные деньги — эквивалент банковского депозита, либо выданный в виде зашифрованной серии цифр компьютерным сетям, либо записанный на карточку со встроенным микропроцессором.
Важной вехой на пути формирования основ информационного общества на международном уровне следует считать принятие в Окинаве Хартии Глобального информационного общества,в которой устанавливаются основные принципы вхождения мирового сообщества в такое общество на основе единой информационной инфраструктуры, базис которой составляет Интернет (см. гл. 1).
Таким образом, правовое регулирование отношений в Интернет может базироваться на основе норм актов информационного законодательства. Можно выделить основные направления этого законодательства, имеющие наиболее тесную связь с отношениями, возникающими в Интернет, многие из которых могут быть трансформированы для распространения их действия и на виртуальную среду.
Это следующие направления:
законодательство об осуществлении права на поиск, получение и потребление информации (о праве на доступ к информации);
законодательство об интеллектуальной собственности (законодательство об авторском праве и смежных правах, патентное законодательство, законодательство о ноу-хау);
законодательство о СМИ;
законодательство о документированной информации и об информационных ресурсах;
законодательство об информации ограниченного доступа;
законодательство о создании и применении информационных систем, информационных технологий и средств их обеспечения;
законодательство об ответственности за правонарушения в информационной сфере.
Именно нормы актов этих направлений могут быть рассмотрены на предмет дополнений и изменений для приведения в соответствие сособенностям среды Интернет.
Кроме того, важнейшее значение сегодня приобретает работа по формированию актов международного законодательства, ибо именно на этом уровне необходимо регулировать основную группу отношений, возникающих в виртуальной среде Интернет, не имеющей географических границ.
Вопрос 49.
Институт интеллектуальной собственности в сфере регулирования информационных отношений и обращения информации.
Институт интеллектуальной собственности является основой правового регулирования информационных отношений, возникающих мри производстве, передаче, распространении и потреблении информации, создаваемой в порядке осуществления свободы мысли и слона свободы литературного, художественного, научного, технического и других видов творчества, а также информации, созданной в результате иной интеллектуальной деятельности.
Институт интеллектуальной собственности в системе информационного права обеспечивает реализацию предписания основной конституционной информационной нормы: «Каждый имеет право свободно ...производить и распространять информациюлюбым законным способом» (ст. 29). Кроме того, этот институт развивает также предписания и других информационных правовых норм Конституции РФ.
«Статья 29 1. Каждому гарантируется свобода мысли и слова».Эта норма означает свободу излагать устно и письменно любую информацию, не ограниченную законом.
«Статья 29 3. Никто не может быть принужден к выражению своих мнений или убеждений или отказу от них».Эта норма подтверждает и гарантирует свободу производства и распространения информации без насилия и давления посторонних лиц.
«Статья 44 1. Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом».
В порядке обеспечения каждого соответствующими информационными ресурсами и знаниями устанавливается: «Статья 44 2. Каждый имеет право на участие в культурной жизни и пользование учреждениями культуры, на доступ к культурным ценностям».При этом одновременно на каждого возлагаются определенные обязанности: «Статья 44 3.Каждый обязан заботиться о сохранении исторического и культурного наследия, беречь памятники истории и культуры».
Вводится запрет на распространение недоброкачественной информации.
«Статья 29 2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. 3» прощается пропаганда социального, расового, национального, религиозного или языкового превосходства».
Ащита государственной тайны
К органам защиты государственной тайны относятся:
- Межведомственная комиссия по защите государственной тайны;
- органы федеральной исполнительной власти (Федеральная служба безопасности РФ, Министерство обороны РФ, Федеральное агентство правительственной связи и информации при Президенте РФ), Служба внешней разведки РФ, Государственная техническая комиссия при Президенте рФ и их органы на местах;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства РФ о государственной тайне.
Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей.
Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.
Допуск предусматривает для принимающих такое решение:
- принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;
- письменное согласие на проведение в отношении них полномочными органами проверочных мероприятий;
- определение видов, размеров и порядка предоставления льгот;
- ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за его нарушение.
При решении вопроса о допуске к государственной тайне проводятся проверочные мероприятия. Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо.
Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливаются льготы:
- процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ;
- преимущественное право при прочих равных условиях на оставление на работе при проведении штатных мероприятий.
Для сотрудников структурных подразделений по защите государственной тайны дополнительно к этим льготам устанавливается процентная надбавка к заработной плате за стаж работы в указанных структурных подразделениях.
Устанавливается три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.
Вопрос 62.
Понятие коммерческой тайны и критерии охраноспособности прав на нее.
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Хотя для признания объекта охраняемым в качестве коммерческой тайны не требуется государственной регистрации и уплаты государственных пошлин, тем не менее, как и иные объекты интеллектуальной собственности, коммерческая тайна должна соответствовать установленным законом критериям охраноспособности.
Законом установлены следующие критерии охраноспособности коммерческой тайны:
1) эта информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам - к коммерческой тайне не имеет смысла относить информацию, которая не представляет и не может в будущем представлять интереса в той сфере, где существует породивший ее бизнес. К объектам коммерческой тайны могут относиться такие достижения и информация, которые являются существенными факторами для экономики предприятия, оставаясь при этом неизвестными третьим лицам.
2) к этой информации не должно быть свободного доступа на законном основании - правообладатель должен принимать все меры, чтобы предотвратить раскрытие информации, представляющей важность с коммерческой точки зрения, при опубликовании различных материалов, экспонировании на выставках, при передаче для ознакомления возможным партнерам или при внедрении результатов интеллектуальной деятельности.
3) требуется, чтобы обладатель информации принимал меры к охране ее конфиденциальности - обладатель коммерческой информации принимает меры к охране ее конфиденциальности.
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
1) учредит док-ты, регистрация в гос реестрах;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов... (безопасности каждого гражданина и населения в целом);
5) о численности, составе работников, системе оплаты труда, условиях труда, охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным соц выплатам;
7) о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, размерах и составе их имущества, их расходах, численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Вопрос 63.
Объекты и субъекты информационных правоотношений в области коммерческой тайны.
Информация, составляющая коммерческую тайну,определяется как научно-техническая, технологическая, коммерческая, организационная или иная используемая в экономической деятельности информация, в том числе ноу-хау, которая обладает действительной или потенциальной коммерческой ценностью в силу ее неизвестности третьи лицам, которые могли бы получить выгоду от ее разглашения или использования, к которой нет свободного доступа на законном основании и по отношению к которой принимаются адекватные ее ценности правовые, организационные, технические и иные меры охраны.
К коммерческой тайне относят также:
знания и опыт в области реализации продукции и услуг, сведения о конъюнктуре рынка, результаты маркетинговых исследований;
коммерческие, методические или организационно-управленческие идеи и решения.
К числу основных объектов правоотношенийкоммерческой тайны относятся:
обладатель коммерческой тайны- физическое или юридическое лицо, обладающее на законном основании информацией, составляющем коммерческую тайну, и соответствующими правами в полном объеме;
конфидент коммерческой тайны— физическое или юридическое лицо, которому в силу служебного положения, договора или на ином законном основании известна коммерческая тайна другого лица;
режим коммерческой тайны— система правовых, организационных, технических и иных мер, принимаемых обладателем коммерческой тайны и конфидентом коммерческой тайны по обеспечению ограниченного доступа к соответствующей информации;
носители коммерческой тайны— материальные объекты, в том числе физические поля, в которых информация, составляющая коммерческую тайну, находит отображение в виде символов, образов, сигналов, технических решений и процессов;
разглашение коммерческой тайны— деяние (действие или бездействие), которое совершается с нарушением закона или договора (в томчисле трудового) и в результате которого коммерческая тайна стала известна третьим лицам;
неправомерные способы получения коммерческой тайны —собирание информации, составляющей коммерческую тайну, посредством похищения документов, подкупа или угроз, дачи взятки, введения в заблуждение, нарушения или подстрекательства (принуждения) к нарушению обязательств о соблюдении режима коммерческой тайны, а равно иным незаконным способом без согласия обладателя коммерческой тайны на передачу коммерческой тайны третьим лицам.
К коммерческой тайне не может относиться:
информация, составляющая государственную тайну;
информация, содержащаяся в учредительных документах;
информация, содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (регистрационных удостоверениях, лицензиях и др.);
информация, содержащаяся в годовых отчетах, бухгалтерских балансах, формах государственных статистических наблюдений и других формах годовой бухгалтерской отчетности, в том числе в аудиторских заключениях, а также в иных документах, связанных с исчислением и уплатой налогов и других обязательных платежей;
информация, содержащая сведения об оплачиваемой деятельности государственных служащих, о задолженностях работодателей по выплате заработной платы и другим выплатам социального характера, о численности и составе работников, о наличии свободных рабочих мест;
информация об использовании имущества, содержащаяся в годовых отчетах фондов;
информация, подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством РФ о ценных бумагах;
информация о деятельности благотворительных организаций и иных некоммерческих организаций;
информация о хранении, об использовании или о перемещении материалов и об использовании технологий, представляющих опасность
для жизни и здоровья населения или окружающей среды, о соблюдении экологического и антимонопольного законодательства, об обеспечении безопасных условий труда, о реализации причиняющей вред здоровью населения продукции, о других нарушениях законодательства РФ, законодательства субъектов Федерации, а также информация, содержащая сведения о размерах причиненных при этом убытков;
информация о реализации государственных программ приватизации и об условиях приватизации конкретных объектов;
информация о размерах имущества и вложенных средствах при его приватизации;
информация о ликвидации юридического лица, порядке и сроках заявлений требований его кредиторами;
информация, для которой введены ограничения на установление режима коммерческой тайны федеральным законом или принятым и соответствии с ним иным нормативным правовым актом.
Обладатель коммерческой тайны имеет следующие права:
устанавливать режим коммерческой тайны;
использовать коммерческую тайну в экономической деятельности в том числе в собственном производстве товаров (работ или услуг), передавать другим лицам на основании договоров, а также включать указанную информацию в гражданский оборот иными способами;
требовать соблюдения режима коммерческой тайны лицами, по лучившими доступ к коммерческой тайне в результате случайности или ошибки;
на возмещение убытков, причиненных использованием информации, составляющей коммерческую тайну;
на защиту в административном порядке и на судебную защиту нарушений своих прав на коммерческую тайну.
Вопрос 64.
Правовой режим коммерческой тайны
Методы и технологии защиты конфиденциальности информации
При построении систем защиты от угроз нарушения конфиденциально-сти информации в информационных системах используется комплексный подход.
Организационными методами защиты конфиденциальности информа-ции являются:
- развёртывание системы контроля и разграничения физического до-ступа к элементам ИС;
- создание службы охраны и физической безопасности;
- организацию механизмов контроля за перемещением сотрудников и
посетителей (с использованием систем видеонаблюдения, смарт-карт и т.д.);
- разработку и внедрение регламентов, должностных инструкций и то-му подобных регулирующих документов;
- регламентацию порядка работы с носителями, содержащими конфи-денциальную информацию.
Инженерно-техническими методами защиты конфиденциальности ин-формации являются:
1) Контроль доступа с использованием идентификации и аутентифика-ции.
Механизмы идентификации, аутентификации и авторизации необходимы для подтверждения подлинности субъекта, обеспечения его работы в системе, и определения законности прав субъекта на данный объект или на определенные действия с ним.
Идентификация- это процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации; каждый субъект или объект системы должен быть однозначно идентифицируем.
Аутентификация- это проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности и авторства данных при их хранении или передаче для предотвращения несанкционированной модификации.
Авторизация- это предоставление субъекту прав на доступ к объекту.
Под контролем доступапонимают ограничение возможностей использования ресурсов системы программами, процессами или другими системами в соответствии с правилами разграничения доступа.
2) Разграничение доступа (установление полномочий пользователей для последующего контроля санкционированного использования ресурсов ИС).
3) Криптографические методы (хранение и/или передача информации в зашифрованном виде)
4) Методы защиты внешнего периметра (методы защиты информации от несанкционированных действий внешних по отношению к ИС пользова-телей: межсетевое экранирование, системы обнаружения вторжений, антиви-русная защита и пр.).