Главная » Разное

Препятствие как способ защиты информации

Содержание
  1. Технологии защиты информации в компании
  2. Базовые элементы информационной безопасности
  3. Разновидности угроз информационной безопасности
  4. Угрозы доступности
  5. Угрозы целостности
  6. Базовые угрозы конфиденциальности
  7. Методы защиты информации
  8. Инструменты организационно-правовой защиты
  9. Инструменты инженерно-технической защиты
  10. Криптографические инструменты защиты
  11. Программно-аппаратные инструменты для защиты сведений
  12. Аналитика Публикации
  13. Способы защиты информации в компании

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.
Читайте также:  Чистотел раствор способ применения

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Источник

Аналитика Публикации

Способы защиты информации в компании

Дмитрий Бородин, Старший юрист Группы Технологий и Инвестиций

«Не выкрадут вместе с забором…»

Один из самых распространенных способов защиты информации можно (условно) назвать физическим, поскольку его цель – создать препятствия для проникновения к источникам сведений тех, кому эти сведения знать не положено. Проще говоря, не пустить в помещение (здание, этаж, кабинет). Издавна средствами защиты информации служат высокие стены, крепкие двери и ворота. Большинство компаний используют для этого пропускную систему: у сотрудников есть электронные или магнитные карточки, которые позволяют им беспрепятственно проходить в здание и в комнаты. Посетителям в бюро пропусков или на посту охраны выдают временные пропуска (либо такие же, как у сотрудников, либо бумажные). Небольшие компании, однако, могут экономить и обходиться без людей в форме у входа: сотрудники сами встречают посетителей и проводят их. Разумеется, крупным компаниям с большим количеством визитеров такая экономия неудобна.

Сюда же можно отнести и различные хранилища для документов: сейфы, металлические шкафы и т.п. Как правило, такие шкафы есть в отделе кадров (для хранения трудовых книжек), у директора и его заместителя, финансового директора или главного бухгалтера. В них могут находиться, разумеется, и печати компании, а также ценности (деньги).

Многие компании, однако, не ограничиваются надежными замками, сейфами и пропускной системой с охранниками, а устанавливают дополнительно еще и видеокамеры, причем не только в здании, но и за его пределами, чтобы было видно огражденную территорию вокруг него.

В ночное время от проникновения злоумышленников офисы защищают сигнализацией, но некоторые компании имеют круглосуточную охрану.

Закон суров к болтунам

Действующее законодательство РФ охраняет в сфере бизнеса, прежде всего, два основных вида информации: это, с одной стороны, персональные данные сотрудника, а с другой – сведения, представляющие собой коммерческую тайну. За разглашение и тех и других предусматривается ответственность – от дисциплинарной и административной до уголовной.

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Разглашение охраняемой законом тайны – популярное основание для увольнения сотрудников. Зачастую это становится формальным поводом для расторжения трудового договора с работником, нежелающим расставаться «полюбовно», либо при отсутствии у работодателя весомых доказательств какого-нибудь более серьезного нарушения трудовой дисциплины. Известны случаи, когда суды признавали законным увольнение сотрудника только за то, что тот отправлял документы фирмы на личную электронную почту.

Что касается персональных данных, то их защита регулируется главой 14 ТК РФ. Во-первых, она регламентирует, какие конкретно данные и каким образом вправе собирать работодатель. Так, сотрудники отдела кадров не имеют права выяснять, состоит ли сотрудник в какой-либо общественной или профсоюзной организации. Что еще более важно, они не должны без разрешения сотрудника собирать персональные сведения о нем «на стороне», то есть расспрашивать не его лично, а его знакомых, бывшего работодателя и т.д. в том числе, в соцсетях. Более того, такой сбор возможен лишь в том случае, если персональные данные иначе никак нельзя получить.

Разумеется, компания обязана тщательно хранить сведения, полученные от работников. Доступ к ним могут иметь только специально уполномоченные лица, при этом необходимо учитывать, какие конкретно данные и для чего необходимы данному лицу. При этом работодателю запрещено предоставлять личные данные сотрудника другим компаниям или частным лицам в коммерческих целях, не заручившись его письменным разрешением.

Порядок обработки и хранения сведений, предоставленных сотрудниками, в компании должен быть строго регламентирован. Работникам должны быть представлены под роспись документы, в которых закреплены эти правила.

Читайте также:  Необычные способы получения энергии

Сотрудник при этом может просматривать информацию, которую он о себе предоставил, обновлять или корректировать ее, а также копировать. Сотрудники также имеют право знать, каким образом обрабатываются их персональные данные.

Коммерческую тайну надо тщательно охранять

Еще один аспект информации, защищаемый законодательством – это конфиденциальные сведения самой компании. К ним относятся коммерческая тайна и инсайдерская информация (инсайд, как говорят участники рынка). Часто эти понятия совпадают, но не всегда.

Коммерческая тайна – это те сведения, которые могут помочь компании увеличить выручку или же избежать ненужных расходов, а также закрепить свое положение на рынке. К ним могут относиться различные изобретения, как запатентованные, так и без патентов, секреты производства, ноу-хау, а также придуманные компанией методы управления финансами, маркетинговые стратегии, сохраняемые в секрете от конкурентов.

Не менее тщательно компании охраняют от посторонних глаз и закрытую финансовую документацию, поскольку она также представляет ценность для конкурирующих фирм (см. также, как убедиться в сохранности данных при передаче расчета зарплаты на аутсорсинг).

Беречь коммерческую тайну компаниям помогает законодательство, карающее тех, кто решит ею поделиться. Так, статья 183 УК РФ гласит, что разглашение тайны сотрудником без ведома компании может лишить его одного миллиона рублей или же дохода за два года. Не менее неприятными последствиями могут стать принудительные или исправительные работы, не говоря уже о тюремном заключении (до трех лет). Если компании болтливость сотрудника нанесла крупный ущерб, то наказание будет более суровым: штраф до полутора миллионов или до трехлетнего заработка, а тюремный срок – до пяти лет. Особо ретивые конкуренты также могут пострадать: за кражу документов или же подкуп либо угрозы в адрес чужих сотрудников, владеющих коммерческой тайной, им придется расплатиться полумиллионным штрафом, либо также отработать в пользу государства (до двух лет), либо потерять свободу на тот же срок. Впрочем, в исключительных случаях закон еще более суров и предусматривает даже семилетнее тюремное заключение.

Разумеется, чтобы следственные органы могли установить факт нарушения закона, а суд – покарать преступника, компания должна четко определить, какие же сведения составляют коммерческую тайну, и тщательно беречь ее. То есть информационная политика компании должна быть четко продуманной и регламентированной. Для этого нужно принять правила обращения с секретными документами, определить, кто имеет право доступа к ним. Ответственность за разглашение коммерческой тайны прописывается в трудовых договорах с сотрудниках, а также в соглашениях с контрагентами. Обычно в таком документе указывается срок, в течение которого ее надо хранить в секрете. Доступ к информации, которую компания хотела бы не раскрывать посторонним, могут иметь представителя самых разных профессий и должностей – от переводчика до маркетолога, от секретаря до финансового директора. Компания также может разработать положение о коммерческой тайне.

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Режим коммерческой тайны необходим для того, чтобы сохранить ценную информацию в секрете. Однако потребность в нем еще более возрастает, если компания намеревается поделиться своим секретом с третьими лицами. Так, передавая свое ноу-хау по лицензионному договору, компания прежде должна убедиться, что режим установлен в организации в полном соответствии с законом. В противном случае компания рискует остаться и без ноу-хау, и без денег.

Помимо коммерческой тайны сотрудники могут иметь доступ к профессиональной информации, которая также является секретной. Законодательство считает, что такие сведения обычно используют в работе врачи, адвокаты, нотариусы. Профессиональные тайны также охраняются законом (ст. 13 ФЗ от 21.11.2011 N 323-ФЗ, ст. 53 УПК РФ и другие документы)

Инсайдерская информация (или попросту инсайд) – это те сведения, которые могут повлиять на стоимость ценных бумаг компании и повлиять на ситуацию на рынке, если будут обнародованы. Неудивительно, что компании делают все возможное, дабы не допустить утечку этой информации или злоупотребление ею. Наказание за злоупотребление инсайдом не так давно было четко прописано в российском праве, а именно, в Федеральном законе от 27.07.2010 N 224-ФЗ. Сведения, относящиеся к инсайду, закон не определяет, а описывает лишь круг лиц, которые могут владеть такой информацией. Список инсайдеров довольно большой, но, как правило, это руководство компаний, влиятельные акционеры, а также организаторы торгов и прочие лица, осуществляющие операции с ценными бумагами и финансовыми инструментами по поручению клиентов. Для обслуживающих организаций перечень инсайда установлен Банком России, а вот руководство компании вправе составить свой список таких данных.

Итак, что же грозит тем, кто решил не сохранять тайну инсайда и поделиться ею либо же заработать на ней? Вышеуказанный закон предусматривает следующие штрафы:

для граждан – 3–5 тыс. рублей;

для ответственных за принятие решений сотрудников –30–50 тыс. рублей или дисквалификацию до двух лет;

для организаций и компаний – от 700 тыс. и вплоть до суммы, на которую был превышен доход (уменьшены убытки) по сравнению с ситуацией, при которой злоупотребления инсайдом бы не было.

Читайте также:  Наука это способ изучения окружающего мира

Впрочем, указанные наказания не означают, что инсайдер, который решит обогатиться за счет доступных ему сведений, отделается столь сравнительно невысоким штрафом. Если инсайдер совершит благодаря владению такой информацией сделки с финансовыми инструментами или с валютой, которые принесут ему более 3 млн 750 тыс. рублей, или же даст рекомендации кому-то купить (либо продать) финансовые инструменты и валюту, что приведет к возникновению дохода у продавца (покупателя) в том же размере, то сумма штрафа окажется весьма существенной и может дойти до полумиллиона рублей (или заработка за три года) либо даже тюремным сроком до четырех лет. Если же нечестный инсайдер передаст (читай: продаст) такую информацию посторонним лицам, и они получат особо крупный доход, то он может быть наказан на сумму до миллиона рублей или оказаться в тюрьме на срок до шести лет.

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

На практике одним из наиболее действенных методов защиты секретов фирмы является демонстративное увольнение сотрудника, грубо нарушившего правила обращения с секретной информацией. При наличии доказательств злого умысла работника (например, в случае «слива» инсайда конкурентам) компания может обратиться в правоохранительные органы для возбуждения уголовного дела. Такое развитие событий неизбежно станет достоянием коллектива и послужит сдерживающим фактором для других потенциальных нарушителей.

Компьютеры: строим «стены»

Главный предмет в современном офисе – это, безусловно, компьютер. В нем хранится множество самых разных данных, необходимых сотрудникам для работы, большинство из них являются конфиденциальными. Неудивительно, что защита компьютера – одна из важнейших задач ИТ-специалистов, ведь потеря данных может дорого обойтись компании в самом прямом смысле. Если точнее, то системным администраторам приходится решать сразу несколько задач: защищать компьютерную сеть от сбоев, которые могут привести к потере данных, от несанкционированного вторжения «чужаков», а также обеспечивать беспрерывный доступ к информации тех, кто имеет право ее использовать.

Рассмотрим сначала, из-за чего ценная информация может исчезнуть из компьютеров или подвергнуться нежелательной модификации. Такие неприятности могут возникнуть из-за перебоев электропитания, проблем с «железом», а также некорректной работы ПО: его ошибок (неправильная установка или обновление) или же заражения ПК вирусом или троянским конем. Проблемы, связанные с картами, серверами, кабелями и т.п. компании научились решать весьма неплохо. А вот предупреждать заражение вирусами на сегодняшний день на 100% эффективно не удается, пожалуй, никому.

Безусловно, вряд ли сейчас найдется фирма-«камикадзе», которая не установила на свои компьютеры антивирусные программы (а лучше – несколько) или не пользуется firewall для защиты информации от внешних угроз и атак. Существуют и специальные инструменты, препятствующие внедрению шпионских программ, способных считать конфиденциальную информацию. Но и хакеры не дремлют, совершенствуя и разрабатывая все новые и новые вирусы и хакерские программы, поэтому чувствовать себя в полной информационной безопасности не может никто. Тем не менее, любой компании важно понимать, что на защищающем ПО экономить не стоит – это тот случай, когда скупой может заплатить даже не дважды, а много раз.

Чтобы обеспечить конфиденциальность информации, системные администраторы, как правило, ставят пароли на компьютерах. На практике, однако, такая мера нередко оказывается фикцией: забывчивые сотрудники приклеивают стикеры с паролем от своего ПК на стол или на монитор. Поэтому помимо установки паролей на вход в компьютер (а иногда и на подключение к корпоративной почте) необходимо разъяснять сотрудникам специфику их генерирования и хранения и контролировать исполнение предписаний.

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Внедряя режим коммерческой тайны, мы иногда рекомендуем клиентам рассмотреть те или иные IT-решения в этой сфере, так как вопрос защиты информации требует комплексного подхода. Это справедливо и для обратной ситуации: приобретая IT-решение, всегда необходимо привлекать к процессу юристов (внешних или внутренних) для того чтобы соблюсти требования законодательства и впоследствии иметь возможность привлечь нарушителей к ответственности. Случается, что правовой аудит системы информационной безопасности выявляет упущения, которые могли быть легко исправлены на этапе проектирования или внедрения системы. Внесение же изменений в уже полностью функционирующий продукт, как правило, обходится компании дороже, не говоря уже о рисках, о существовании которых компания может не подозревать до первого серьезного инцидента.

Есть компании, в которых до сих пор использовать интернет (либо же определенные программы, например, ICQ) имеют право не все сотрудники, для получения доступа необходимо разрешение руководства. С точки зрения защиты информации данную меру вряд ли можно назвать очень эффективной. В некоторых компаниях сотрудники информационного отдела выборочно просматривают корпоративную почту персонала в том числе с целью контроля за распространением сведений.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.