Что является целями защиты информации?

Цели и задачи информационной безопасности

Защита данных
с помощью DLP-системы

И нформационная безопасность – обеспечение конфиденциальности и целостности информации, недопущение несанкционированных действий с ней, в частности, ее использования, раскрытия, искажения, изменения, исследования и уничтожения. Положения информационной безопасности одинаковы для всех форм хранения информации: физических, цифровых или любых других. С появлением компьютеризированных информационных систем безопасность данных вышла на первый план.

Основные цели информационной безопасности

Использование систем информационной безопасности ставит перед собой конкретные задачи по сохранению ключевых характеристик информации и обеспечивает:

  • конфиденциальность данных – доступ есть только у лиц, имеющих на это полномочия;
  • доступность информационных систем с находящимися в них данными конкретным пользователям, у которых есть право доступа к таким сведениям;
  • целостность данных предполагает блокировку несанкционированного изменения информации;
  • подлинность – полнота и общая точность информации;
  • неотказуемость – возможность определить источник или авторство информации.

Главная цель систем информационной безопасности – гарантия защиты данных от внешних и внутренних угроз.

Для обеспечения в информационной системе полной конфиденциальности применяются четыре метода, актуальных для любого формата информации:

  • ограничение или полное закрытие доступа к информации;
  • шифрование;
  • дробление на части и разрозненное хранение;
  • скрытие самого факта существования информации.

Виды информационных угроз

Для определения правильной стратегии информационной защиты необходимо определить, что угрожает безопасности данных. Угрозы информационной безопасности – вероятные события и действия, которые в перспективе способны привести к утечке или потере данных, несанкционированному доступу к ним. Это, в свою очередь, приведет к моральному или материальному ущербу.

Первичное свойство угроз информационных систем – происхождение, по которому угрозы делятся на следующие:

  1. Техногенные источники – угрозы, вызванные проблемами с техническим обеспечением, их прогнозирование затруднительно.
  2. Антропогенные источники – угрозы человеческих ошибок. Могут быть как нечаянными, так и преднамеренными атаками. Непреднамеренные угрозы – это случайная ошибка, например, пользователь по незнанию отключил антивирус. Как правило, антропогенные проблемы можно спрогнозировать для принятия предупредительных мер. Умышленные угрозы безопасности приводят к информационным преступлениям.
  3. Стихийные источники – непреодолимые обстоятельства, которые имеют низкую вероятность прогнозирования, и их предотвращение невозможно. Это различные стихийные бедствия, пожары, землетрясения, прекращение подачи электричества из-за ураганов.

Также по расположению источника относительно информационной системы угрозы классифицируются на внешние и внутренние. Особенно применительно такое разделение к масштабным системам государственного уровня.

Если внешний уровень – это атаки со стороны хакеров, компаний-конкурентов или враждебно настроенных государств, то внутренние угрозы обусловлены:

  • низким уровнем программно-технического обеспечения;
  • на государственном уровне – плохим развитием технологии передачи данных и ИТ-сектора в целом;
  • низкой компьютерной грамотностью пользователей.

Основная цель систем информационной безопасности – ликвидация внутренних угроз. Они обычно состоят в следующем:

  • происходит изъятие данных злоумышленниками, уничтожаются информационные пакеты, что нарушает работу информационной среды;
  • сотрудники создают бэкдоры или сливают информацию;
  • шпионские программы незаметно воздействуют на рабочий код и системное оборудование.

Поэтому фактически вся работа системы информационной безопасности сводится к созданию безопасных каналов связи, защите серверов, обеспечению безопасности внешних носителей и рабочих мест пользователей.

Информационная безопасность в компьютерной среде

Вопрос поддержания безопасности информационных систем одинаково остро стоит и перед обычными пользователями, и перед предприятиями. Потеря данных для компаний влечет за собой, прежде всего, потерю доверия и репутации. Для человека же в лучшем случае утечка выливается в навязчивый показ таргетированной рекламы, в худшем – конфиденциальная информация (пароли, данные банковских карт, сведения для входа в системы) может быть использована мошенниками в корыстных целях.

Для контроля данных, обращающихся в информационной среде, используют различные программные средства:

  • сверхмощные приложения, работа которых состоит в обеспечении безопасности и шифровании финансовых и банковских реестров информации;
  • глобальные решения, работающие на уровне всего информационного массива;
  • утилиты для решения конкретных проблем.

Методы защиты информационных систем

Смысл информационной защиты в сохранении информации в первозданном виде, исключая доступ посторонних.

Системный подход состоит из четырех составляющих обеспечения безопасности:

  • законы и нормативно-правовые акты;
  • распределение задач между ИБ-подразделениями;
  • политика информационной безопасности;
  • техническое и программное обеспечение.

Всем методам защиты на предприятии присущи такие характеристики:

  • применение технических средств, фактическое использование которых растет по мере расширения информационного пространства и количества рабочих станций;
  • постоянный мониторинг баз данных;
  • непрерывная разработка новых вычислительных систем с улучшенными методами шифрования, постоянное шифрование уже имеющимися методами;
  • ограничение доступа к информации на предприятии.

Наиболее серьезную угрозу для информационных систем представляют компьютерные вирусы. Они приносят больше всего убытков информационной инфраструктуре. Основная проблема состоит в том, что антивирусное программное обеспечение не может полностью предупредить появление новых угроз. Вследствие этого, так или иначе, происходит повреждение информационных пакетов и нарушение работы информационных систем. Устранение проблемы возможно только по факту после нахождения вредоносного вмешательства. Также стоит упомянуть физические методы защиты информации – устройства, мгновенно распознающие стороннее вмешательство в систему.

Чтобы защитить определенный объект от внешних и внутренних угроз, необходимо создание Системы обеспечения информационной безопасности (СОИБ).

Для построения эффективной и работоспособной системы руководствуются примерным планом:

  • выявляют необходимые данному объекту степени защиты;
  • соотносят их с положениями законов и постановлений, действующих на территории страны в этом направлении деятельности;
  • обращаются к предыдущим наработкам;
  • назначают ответственные подразделения и распределяют ответственность между ними;
  • определяют политику информационной безопасности данного объекта и используют необходимые программно-технические методы для ее внедрения.

В итоге происходит создание системы менеджмента информационной безопасности на предприятии, при помощи которой производятся постоянный и действенный контроль эффективности средств защиты, своевременная коррекция предпринимаемых действий и пересмотр существующих положений для обеспечения максимальной безопасности.

Основные цели защиты информации

Дата добавления: 2013-12-23 ; просмотров: 21578 ; Нарушение авторских прав

Согласно статье 16 Закона РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.02.2006 г. защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

За­щите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на общедоступную и информацию ограниченного доступа. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной ин­формации относятся сведения, определяемые общим понятием — тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведе­ний, отнесённых к разряду конфиденциальных, приводится в Указе Прези­дента РФ №188 от 06.03.1997 г. Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам.

В современной среде нельзя обеспечить физический контроль за каналами связи как внутри, так и особенно вне организации – вторжение возможно с любой точки сети, спектр потенциальных атак на конфиденциальную информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1) предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2) предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3) предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4) обеспечение правового режима документированной информации как объекта собственности;

5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6) обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

1.2 Что же может являться угрозой безопасности для информационных систем предприятий?

Многочисленные публикации последних лет показывают, что злоупотребление информацией, циркулирующей в информационных системах и передаваемой по каналам связи, совершенствуется не менее интенсивно, чем меры защиты от него. Под угрозой безопасности информационной системы понимают события или действия, которые приводят к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов системы управления, а также программных и аппаратных средств. (рис. 1.2.1)

Рис. 1.2.1. Классификация угроз безопасности информационных систем агроформирования

Следует помнить, что угрозы могут быть случайные, непреднамеренные, но особенно опасны угрозы умышленные, которые преследуют цель нанесения ущерба системе управления или пользователям, это делается нередко ради получения личной выгоды. Защита от умышленных угроз – это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

«Внешнему врагу» порой весьма непросто проникнуть в корпоративную информационную систему агроформирования. Ситуация коренным образом меняется, если у злоумышленника есть союзник внутри предприятия. Защищаясь от «внутренних врагов», следует различать тех, кто наносит своему предприятию вред целенаправленно, и тех, кто делает это по неосторожности. Соответственно методы защиты от их действий существенно разнятся.

Шпионы– внедренные в компанию недоброжелатели, как правило, хорошо знакомы с используемыми защитными механизмами и стремятся легальным путем получить все необходимые коды доступа. В таких условиях предотвратить утечку информации почти невозможно, тем не менее, ее необходимо точно зафиксировать, чтобы в дальнейшем бороться с ней. Для защиты от этого вида угроз традиционно используется служба физической безопасности. Как правило, «шпионы» могут нанести значительно больший ущерб, чем «сотрудники», но, к счастью, встречаются намного реже. Для обеспечения надежного мониторинга нужно выстроить правильную политику обеспечения доступа пользователей, предоставляя им ровно столько полномочий, сколько нужно. Изменение прав доступа должно меняться автоматически с помощью средств управления идентификационной информацией. Такие решения есть у Oracle, Check Point и ряда других компаний. Желательно не ограничивать процедуру аутентификации простой проверкой пароля, но использовать более сложную систему опознавания пользователей.

Сотрудники. Защищаться от «шпионов» достаточно сложно, однако это явление довольно редкое. Большинство же инцидентов происходит по вине тех пользователей, которые, имея доступ к конфиденциальной информации, не заботятся о ее защите. В этом случае шифрование и контроль сменных накопителей могут уменьшить вероятность случайной утечки. Впрочем, такие инструменты имеют еще и воспитательный аспект, поскольку с их помощью компания может продемонстрировать, что заботится о сохранении своих секретов и может даже за это наказать.

Также не менее опасны внешние угрозы.

«Троянский конь». Аналогия с древнегреческим троянским конем оправдана – и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем дарится, продается, подменяется пользователям информационных систем. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне), причет личность командующего установить порой невозможно. Для защиты от этой угрозы желательно, чтобы программист или системный администратор с помощью специальных средств могли отслеживать такие нежелательные программы. А программы пользователей должны храниться и защищаться индивидуально.

Вирус – программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающее способностью к дальнейшему размножению. Считается, что вирус характеризуется двумя основными особенностями: способностью к саморазмножению, и способностью к вмешательству в вычислительный процесс.

«Червь»– программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения «червя» является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют.

Захватчик паролей– это программа, специально предназначенная для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе, однако, его имя и пароль уже известны владельцу программы-захватчика. Для предотвращения этой угрозы перед входом в систему необходимо убедится, что введено имя и пароль именно системной программе ввода, а не какой-нибудь другой.

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Методы и средства обеспечения информационной безопасности

К методам и средствам защиты информации относят правовые, организационно-технические и экономические мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Они могут представлять отдельные файлы с различной информацией, коллекции файлов, программы и базы данных. В зависимости от этого к ним применяются различные меры, способствующие обеспечению безопасности информационных ресурсов. К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относят: аутентификацию пользователя и установление его идентичности; управление доступом к базе данных; поддержание целостности данных; протоколирование и аудит; защиту коммуникаций между клиентом и сервером; отражение угроз, специфичных для СУБД и др.

В целях защиты информации в базах данных важнейшими являются следующие аспекты информационной безопасности:

  • доступность — возможность получить некоторую требуемую информационную услугу;
  • целостность — непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения;
  • конфиденциальность — защита от несанкционированного прочтения.

Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях.

Контроль доступа представляет собой процесс защиты данных и программ от их использования объектами, не имеющими на это права.

Одним из наиболее известных способов защиты информации является ее кодирование (шифрование, криптография).

Криптография — это система изменения информации (кодирования, шифрования) с целью ее защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

Код характеризуется: длиной — числом знаков, используемых при кодировании, и структурой — порядком расположения символов, обозначающих классификационный признак.

Средством кодирования служит таблица соответствия. Примером такой таблицы для перевода алфавитно-цифровой информации в компьютерные коды является кодовая таблица ASCII .

Для шифрования информации все чаще используют криптографические методы ее защиты.

Криптографические методы защиты информации содержат комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации, используемых для преобразования смыслового содержания передаваемых в информационных сетях данных. Они подразумевают создание и применение специальных секретных ключей пользователей.

Общие методы криптографии существуют давно. Она считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. И хотя криптография не спасает от физических воздействий, в остальных случаях она служит надежным средством защиты данных.

Стойкость криптоалгоритма зависит от сложности методов преобразования. Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равняется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей. Если использовать 256- и более разрядные ключи, то уровень надежности защиты данных составит десятки и сотни лет работы суперкомпьютера. При этом для коммерческого применения достаточно 40-, 44-разрядных ключей.

Для кодирования ЭИР, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись для сообщения представляет последовательность символов, зависящих от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа.

Она должна легко проверяться и позволять решать три следующие задачи:

  • осуществлять аутентификацию источника сообщения,
  • устанавливать целостность сообщения,
  • обеспечивать невозможность отказа от факта подписи конкретного сообщения.

Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федеральное агентство по информационным технологиям (ФАИТ).

Существующий в мире опыт свидетельствует, что строить системы безопасности из отдельных продуктов неэффективно. Поэтому отмечается общая потребность в комплексных решениях информационной безопасности и их сопровождения. При этом специалисты отмечают, что наиболее эффективные меры защиты кроются не в технических средствах, а в применении различных организационных и административных мер, регламентов, инструкций и в обучении персонала.

Технические мероприятия базируются на применении следующих средств и систем: охранной и пожарной сигнализации; контроля и управления доступом; видеонаблюдения и защиты периметров объектов; защиты информации; контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов; учета рабочего времени персонала и времени присутствия на объектах различных посетителей.

Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.

Биометрические методы защиты информации. Понятие «биометрия» определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики.

Биометрия представляет собой совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристик. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальца, роговице глаза, генетическому коду, запаху и др.) и динамическими (голосу, почерку, поведению и др.) характеристиками.

Биометрическая идентификация считается одним из наиболее надежных способов. Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют биологическим кодом человека.

Первые биометрические системы использовали рисунок (отпечаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вавилоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали применять в Англии с 1897 года, а в США — с 1903 года.

Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Считыватели бывают контактные и бесконтактные. Они могут фиксировать время прохода или открывания дверей и др. К ним относят устройства: дактилоскопии (по отпечаткам пальцев); идентификация глаз человека (идентификация рисунка радужной оболочки глаза или сканирование глазного дна); фотоидентификация (сравнение создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера); идентификация по форме руки, генетическому коду, запаху, голосу, почерку, поведению и др.

В различных странах (в том числе в России) включают биометрические признаки в загранпаспорта и другие идентифицирующие личности документы. Преимущество биологических систем идентификации, по сравнению с традиционными (например, PI №-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления.

С помощью биометрических систем осуществляются:

  • ограничение доступа к информации и обеспечение персональной ответственности за ее сохранность;
  • обеспечение допуска сертифицированных специалистов;
  • предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
  • организация учета доступа и посещаемости сотрудников, а также решается ряд других проблем.

Самой популярной считается аутентификация по отпечаткам пальцев, которые, в отличие от пароля, нельзя забыть, потерять, и заменить. Однако в целях повышения надежности аутентификации и защиты ценной информации лучше использовать комбинацию биометрических признаков. Удачным считается одновременное использование двухфакторной аутентификации пользователя, включающее оптический сканер отпечатков пальцев и картридер для смарт-карты, в которой в защищенном виде хранятся те же отпечатки пальцев.

К новым биометрическим технологиям следует отнести трехмерную идентификацию личности, использующую трехмерные сканеры идентификации личности с параллаксным методом регистрации образов объектов и телевизионные системы регистрации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут применяться для идентификации личностей, трехмерные образы которых войдут в состав удостоверений личности и других документов. Сканирование с помощью миллиметровых волн — быстрый метод, позволяющий за две-четыре секунды сформировать трехмерное топографическое изображение, которое можно поворачивать на экране монитора для досмотра предметов, находящихся в одежде и на теле человека. С этой же целью используют и рентгеновские аппараты. Дополнительным преимуществом миллиметровых волн в сравнении с рентгеном является отсутствие радиации — этот вид просвечивания безвреден, а создаваемое им изображение генерируется энергией, отраженной от тела человека. Энергия, излучаемая миллиметровыми волнами, в 10 000 раз слабее излучения от сотового телефона.

Защита информации в информационных компьютерных сетях осуществляется с помощью специальных программных, технических и программно-технических средств.

С целью защиты сетей и контроля доступа в них используют:

  • фильтры пакетов, запрещающие установление соединений,
    пересекающих границы защищаемой сети;
  • фильтрующие маршрутизаторы, реализующие алгоритмы
    анализа адресов отправления и назначения пакетов в сети;
  • шлюзы прикладных программ, проверяющие права доступа к
    программам.

В качестве устройства, препятствующего получению злоумышленником доступа к информации, используют Firewalls (рус. «огненная стена» или «защитный барьер» — брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получении избыточной информации и так называемого «мусора» (спама).

Считается, что спам появился в 1978 г., а значительный его рост наблюдается в 2003 г. Сложно сказать, какой почты приходит больше: полезной или бестолковой. Выпускается много ПО, предназначенного для борьбы с ним, но единого эффективного средства пока нет.

Техническим устройством, способным эффективно осуществлять защиту в компьютерных сетях, является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осуществлять детальный контроль адресов отправителей и получателей. Также можно ограничить доступ всем или определенным категориям пользователей к различным серверам, например ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.

Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.