- - commercial;
- - un service;
- - Personnel (personnel) À l'exception des secrets publics (articles 727, 771, 1032 du Code civil de la Fédération de Russie, art. 16 du Code des douanes de la Fédération de Russie, décret du président de la Fédération de Russie du 6 mars , 1997 N ° 188 "sur l'approbation de la liste des informations confidentielles").
Les signes juridiques d'informations confidentielles sont documentatifs, limitant l'accès à l'information conformément à la loi et au manque d'accès gratuit à celui-ci à la base légitime.
"Le mystère commercial est un type de mystère qui comprend des informations établies et protégées par son propriétaire dans n'importe quel domaine de ses activités commerciales, limitées dans l'intérêt du propriétaire de l'information." Le mystère commercial est l'un des principaux types de secrets, car le succès de l'entreprise de production de produits ou de services est déterminé par la capacité de mener une lutte concurrentielle, ce qui signifie de pouvoir voir, en raison de laquelle il est possible de augmenter les bénéfices par rapport aux concurrents.
Les informations constituant un secret commercial peuvent être attribuées à toute information commerciale, à l'exception des limitations imposées par le décret du gouvernement de la Fédération de Russie "sur la liste des informations qui ne peuvent être un secret commercial" du 05.12.91 n \u200b\u200b° 35.
En Russie, la législation dans le domaine de la protection des droits à des informations commerciales confidentielles commence tout juste à être formée. Nouveau dans la réglementation des relations dans ce domaine a été l'adoption de la loi fédérale du 29 juillet 2004 no 98-FZ "sur le secret commercial".
L'impression générale qui reste après la connaissance du texte de la loi peut être définie comme contradictoire. D'une part, un seul acte réglementaire est apparu, en détail le mode déterminant et la procédure de protection des informations constituant un mystère commercial. D'autre part, la loi est loin d'être impeccable. Lorsqu'il est créé par le législateur, les normes ont été introduites, de l'avis des chercheurs, entravent la protection des secrets commerciaux et la restauration du droit violé.
La loi n'exclut pas l'application des normes générales sur le secret commercial, prévu par l'art. 139 du Code civil de la Fédération de Russie et, à mesure que les sources appelle le Code civil de la Fédération de Russie et d'autres lois fédérales. Ainsi, la loi complète le cadre réglementaire actuel et ne le remplace que partiellement.
Cependant, après avoir lu la définition des secrets commerciaux, nous constatons les incohérences terminologiques de la loi avec le Code civil de la Fédération de Russie. La loi détermine le concept de secrets commerciaux par le biais de la propriété de l'information: le mystère commercial est la "confidentialité des informations" (paragraphe 1 de l'article 3 de la loi) (confiance en anglais - Secrecy). Le Code civil de la Fédération de Russie envisage un secret commercial comme une variété d'informations qui ont une "valeur commerciale en vertu de son inconnu de tiers", en ce qui concerne quelles mesures sont utilisées pour protéger sa confidentialité (article 139 du Code civil de la Fédération de Russie). Pour toute l'insignifiance, à première vue, l'incompatibilité des concepts que nous avons reçus deux différents, en concurrençant leur définition légale.
La loi distingue la forme dans laquelle il existe des informations précieuses et le contenu de l'information elle-même. Il leur appartient "des informations scientifiques et techniques, technologiques, de production, financières et économiques, y compris la composante des secrets de production (paragraphe 2 de l'article 3 de la loi.
Une liste d'informations pouvant avoir une valeur commerciale est ouverte.
La loi habilite toujours le propriétaire (propriétaire) d'informations au droit de déterminer de manière indépendante sa valeur.
La définition des secrets commerciaux contenus dans la loi reflète la nature de la loi elle-même. L'accent est mis sur son accent sur les procédures de protection de l'information commerciale. Selon la loi, il est qu'ils autorisent à fournir les conditions minimales nécessaires à la protection du droit violé devant le tribunal et à supprimer également un accès légitime et illégal en tant qu'élément de la succursale.
À cet égard, il est difficile de comprendre la détermination du propriétaire de l'information constituant le secret commercial donné en droit. Conformément au paragraphe 4 de l'art. 3 de la loi est une personne qui possède une telle information "à la base légitime". Ainsi, prouvant que la violation de la loi devra établir la légalité de la propriété. Il est possible de documenter les droits au secret commercial, s'ils sont par exemple soumis à l'enregistrement de l'État (brevets, certificats). Dans ce cas, les intérêts du propriétaire sont protégés par le brevet, le droit d'auteur. Si un secret commercial est un accord enregistré sur le transporteur audio, ou ces idées non modifiées, prouvent la primauté et la légalité de la possession de telles informations sera assez difficile.
De toute évidence, il sera nécessaire de confirmer la connexion objective des informations avec son propriétaire. Par exemple, des informations sur le propriétaire de l'organisation, ses transactions, etc. doivent contenir une indication du propriétaire de l'organisation et être protégées par des références spéciales sur le transporteur de la protection de la vie privée, conformément au paragraphe 5 de la partie 1 de l'art. 10 de la loi.
La loi indique le transfert d'informations uniquement sur le transporteur matériel (article 6 de l'article 3 de la loi) et sur les termes d'un accord spécial. Dans cette partie, la loi limite la quantité d'informations protégées dans le mode par rapport aux données de définition du Code civil de la Fédération de Russie, à l'art. 139 qui ne sont pas mentionnés porteurs de matériel, et il s'agit de la protection des informations confidentielles.
Par conséquent, guidées par la loi, les cas, par exemple, la divulgation d'informations non enregistrées sur les transporteurs de matériel exclus de la protection juridique. En particulier, il peut être des informations sur les décisions adoptées par l'Organisation pour la promotion de votre produit et des informations similaires.
D'une part, cette approche simplifie le processus de preuve, de l'autre, limite la capacité de protéger les intérêts du propriétaire de l'information.
La loi introduit la première fois la définition du concept de "mystère commercial". Lorsque vous envisagez des motifs juridiques de protéger les secrets commerciaux, le régime de mystère commercial devrait être accordé à une attention particulière. Son défaut de suivre la perte de la possibilité de protéger le droit violé au secret commercial (partie 1 de l'article 7 et 2 de l'article 10 de la loi).
Le système de conditions qui composent le mode de mystère commercial est assez volumineuse et nécessite des coûts importants du propriétaire ou du bénéficiaire des secrets commerciaux.
En particulier, la partie 1 de l'art. 10 de la loi prévoit:
- - définition d'une liste d'informations constituant un secret commercial;
- - restriction de l'accès à l'information constituant un secret commercial en établissant la procédure de traitement de ces informations et en surveillant la conformité à une telle procédure;
- - la comptabilité de ceux qui ont reçu l'accès à des informations constituant des secrets commerciaux et (ou) fournis ou transférés à ces informations;
- - réglementation des relations sur l'utilisation des informations constituant des secrets commerciaux, des employés sur la base de contrats de travail et de contreparties sur la base de contrats juridiques civils;
- - Demande de transporteurs de matériel (documents) contenant des informations constituant un secret commercial, un jeu de mystère commercial avec une indication du propriétaire de ces informations (pour les entités juridiques - Nom complet et emplacement, pour des entrepreneurs individuels - Nom, Nom, Nom, Patronyme Citoyen qui est entrepreneur individuel et lieu de résidence).
Le propriétaire des secrets commerciaux doit établir une certaine procédure pour le chiffre d'affaires des informations confidentielles et fournir des unités à temps plein supplémentaires pour contrôler un tel chiffre d'affaires. De plus, un ensemble important de documentation réglementaire interne doit être mis en ligne avec ou développer.
Au moins une organisation - le propriétaire d'un mystère commercial est nécessaire:
- - développer des dispositions sur les secrets commerciaux et sur le flux de documents de tous les médias avec un vautour "mystère commercial";
- - libérer une ordonnance pour l'organisation de l'admission à un secret commercial;
- - Fournir dans le contrat de travail Conditions supplémentaires sur le Comité volontaire de l'employé pour se conformer au régime du secret commercial.
Ainsi, d'une part, la loi a élargi les pouvoirs des autorités de l'État pour le contrôle des activités économiques des organisations. D'autre part, le processus de protection des droits des propriétaires de l'information est devenu significativement plus compliqué.
Les informations relatives aux informations officielles ne sont généralement pas soumises à des transactions indépendantes, mais leur divulgation peut causer des dommages matériels à l'organisation et le préjudice de sa réputation d'entreprise.
La nécessité d'une réglementation juridique systémique de l'Institute of Service Secrets est causée par un certain nombre de raisons, notamment: l'absence d'une approche unifiée de la catégorie d'informations correspondante d'accès limité; De nombreux exemples de diffusion illégale (vente) d'informations accumulées dans des organismes gouvernementaux et liés à la personnalité ou aux activités des entités économiques; Restrictions relatives à la diffusion d'informations imposées à leur discrétion par les responsables des autorités de l'État et des employés de l'État (municipal) à présenter des informations aux citoyens, aux organisations publiques, aux médias.
Le niveau de réglementation réglementaire de la procédure de traitement des informations sur la distribution limitée, dont l'institution peut maintenant être perçue comme un analogue du secret officiel de la période socialiste, car un certain nombre de raisons ne peuvent être reconnues comme satisfaisantes. La seule loi réglementaire régissant ce groupe de relations juridiques est "le règlement sur la procédure de circulation avec des informations officielles de diffusion limitée dans les organes exécutifs fédéraux", approuvé par le décret du gouvernement de la Fédération de Russie du 3 novembre 1994. 1233 (marginette). Cette disposition s'applique uniquement aux activités des organes exécutifs fédéraux, bien que des informations similaires soient formées et entrées dans des organes gouvernementaux et des organismes gouvernementaux locaux. De nombreuses affections importantes qui déterminent la procédure d'attribution d'informations à la catégorie des informations de service ne sont pas établies dans la situation et sont accordées au dépôt aux chefs d'organes exécutifs fédéraux, ce qui ne peut être reconnu correct, depuis le maintien des restrictions à l'accès à Les informations ne doivent être établies que par la loi fédérale. Ainsi, le niveau de régulation juridique est clairement insuffisant, par ailleurs, au niveau de la résolution du gouvernement de la Fédération de Russie, construit un système à long terme et stable pour la protection des informations qui ont une longue durée de vie est impossible, en particulier quand il s'agit d'établir un certain nombre de droit civil. Malgré l'absence de réglementation réglementaire pratiquement complète dans le domaine des informations de certification, de leur protection et de l'identification des sanctions pour la diffusion illégale de ces informations, cette catégorie est présente dans un grand nombre de lois fédérales (environ 40), notamment: FZ "sur Les bases du service d'État de la Fédération de Russie ", FKZ" sur le gouvernement de la Fédération de Russie ", FZ" sur le service des autorités douanières de la Fédération de Russie ", FZ" sur la Banque centrale de la Fédération de Russie (Banque de la Russie) ", FZ" sur la base du service municipal de la Fédération de Russie ", FZ" sur la restructuration des établissements de crédit ", FZ" sur le marché des valeurs mobilières "et d'autres. Dans le même temps, le manque d'un puits -Les institutions juridiques définies du secret officiel ont conduit à une variété d'approches juridiques qui ont reçu la consolidation de la législation. Ainsi, dans la loi fédérale "sur la restructuration des organisations de crédit", un secret de service de l'établissement de crédit est mentionné (art. 41), dans la loi fédérale "sur des mesures visant à protéger les intérêts économiques de la Fédération de Russie dans l'exercice de l'étranger Le commerce des biens "dans les autorités exécutives circule" informations confidentielles "(art. 18), dans la loi fédérale "sur les principes fondamentaux du service d'État de la Fédération de Russie" et un certain nombre d'autres lois, le terme "information de service" est utilisé, dans la loi fédérale "sur le tarif douanier" dans le corps des douanes diffuse des informations qui rend les secrets commerciaux et les informations confidentielles (article 14). La loi fédérale n ° 119-FZ datée du 20.08.2004 "sur la protection de l'État des victimes, des témoins et des autres participants aux procédures pénales" prévoit un certain nombre de mesures de sécurité contre une personne protégée pour assurer la confidentialité des informations à ce sujet.
Ces informations sur son contenu sont une sécrétion de service et une consolidation législative des mécanismes d'élimination avec ces informations contribueront à mettre en œuvre la loi fédérale. Ces exemples suggèrent que non seulement la terminologie, mais également le contenu de l'Institut de protection des informations sur les services n'ayant pas une réflexion définitive dans la législation.
De différentes manières, la question de la structure des informations confidentielles et du ratio de différents types de secrets est résolue. À cet égard, il est particulièrement préoccupé par l'inclusion de la catégorie "Mystère de service" dans les normes de l'article 139 du Code civil de la Fédération de Russie, où les informations pertinentes sur les caractéristiques systémiques sont pratiquement fusionnées avec un secret commercial, bien que, bien que, Après une logique juridique commune, les données des restrictions du système sur l'accès à l'information doivent être différentes. Sur les marchés électroniques du pays et en envoyant des courriers électroniques non demandés (le «spam»), CD contenant des bases de données (base de données) avec des informations sur des personnalités et des organisations est incontrôlée. Par exemple, la base de données "Douanes", la police de la circulation, BTI (Bureau d'inventaire technique), "Enregistrement", "Activités économiques étrangères", EGRP (Enregistrement d'État unifié des entreprises), "Propriétaires d'appartements", "Indicateurs d'individus", "Carte Self Mia" (Criminal Book et al.), Ovir (passeports enregistrés), "BD" Ministère de la Justice "," Siren "(Transport de particuliers par transport ferroviaire de Russie), base de données sur les non-colonisations des entreprises Avec les fournisseurs et les consommateurs et autres. De toute évidence, ces informations ne peuvent pas se rendre sur le marché sans la participation des fonctionnaires.
Actuellement, les législateurs ont préparé un projet de loi "sur le secret du service", régissant la protection de ces informations.
Pour les données personnelles (personnalisées) incluent le nom de famille, le nom, le patronymique, l'année, le mois, la date et le lieu de naissance, adresse, famille, social, statut de propriété, éducation, profession, revenus physiques. La composition des données à caractère personnel est également soumise à des informations relatives à la saisie de travail (service), à \u200b\u200bson passage et à la conserve; Données sur le conjoint, les enfants et autres membres du propriétaire de la famille, des données qui vous permettent de déterminer le lieu de résidence, l'adresse postale, le téléphone et d'autres moyens individuels de communication d'un fonctionnaire, ainsi que son conjoint (son conjoint), Enfants et autres membres de sa famille, des données permettant la localisation des objets immobiliers appartenant à un fonctionnaire sur le droit de propriété ou dans son utilisation, des informations sur les revenus, les biens et obligations d'une nature immobilière, des informations sur les faits, les événements et Les circonstances de la vie privée d'un citoyen, permettant d'identifier son identité, des informations qui sont devenues un employé célèbre de l'état civil de l'autorité d'entrée dans le cadre de l'enregistrement de l'État d'une loi sur l'état civil, de la maîtrise de la langue (langue maternelle, russe, autre langue ou Autres langues), Éducation générale (Général initial, Général de base, Secondaire (Full) Général) et Professional (Professionnel primaire, Professionnel moyen, PR. Professional de troisième cycle), Conditions de logement (type de locaux résidentiels, temps de construction de maisons de construction, la taille de l'espace total et de vie, le nombre de salles résidentielles, les types d'aménagement paysager des locaux résidentiels), les moyens de subsistance (revenus de l'activité du travail ou Autres classes, pension, y compris nombre de pensions d'invalidité, bourses d'études, avantages, autres types de sécurité de l'État, autre source de moyens de subsistance). Définition des données personnelles en tant que liste d'informations ouverte, quelle que soit la forme de leur soumission, le législateur préserve donc leur expansion car ils modifient le statut social de leur propriétaire à une étape particulière de son chemin de vie.
Données personnelles Reportez-vous à la catégorie des informations confidentielles impliquant l'absence d'accès gratuit et la disponibilité d'un système efficace de sa protection. L'inclusion de données à caractère personnel dans la catégorie des informations confidentielles vise à prévenir les actions non autorisées de détruire, de modifier, de déformer, de copier, de bloquer des informations, d'empêcher d'autres formes d'ingérence illégale dans la vie personnelle d'un citoyen.
Le cadre juridique pour la construction d'un système de protection des données à caractère personnel est la disposition de la Constitution de la Fédération de Russie. Les articles 22 et 23 contiennent les règles qui proclament les droits personnels de base concernant la vie privée. Ils consolident le droit à la vie privée, aux secrets personnels et familiaux. La collecte, le stockage, l'utilisation et la diffusion d'informations sur la vie privée de la personne sans son consentement sont interdites.
Former le cadre législatif du traitement des données à caractère personnel, le législateur adopte une base et des normes de droit international, contenant des principes de base de travailler avec des données à caractère personnel dans le processus de traitement. Initialement, ces principes ont constaté leur consolidation dans la Convention internationale «sur la protection de la personnalité concernant le traitement automatisé des données à caractère personnel» Ets N 108 (28 janvier 1981), qui est devenue le principe unissant de la législation nationale pertinente. Ensuite, le système de protection des données personnelles développé dans l'Union européenne et la directive parlementaire 95/46 / CE datant du 24 octobre 1995. Sur la protection des droits des personnes liées au traitement des données à caractère personnel et la libre circulation de ces données et directives 97/66 / CE le 15 décembre 1997. Pour la transformation des données personnelles et la protection de la vie privée dans le secteur des télécommunications. Ces documents contiennent une liste de mesures de base pour protéger les données personnelles accumulées dans des bases de données automatisées, de destruction aléatoire ou non autorisée ou de perte aléatoire, ainsi que d'un accès non autorisé, de changements ou de distribution.
La loi principale fédérale qui protège la confidentialité des données à caractère personnel est la loi "sur les données à caractère personnel", adoptée le 27 juillet 2006.
La loi définit les principes et les conditions de traitement des données personnelles. En établissant une interdiction générale du traitement des données à caractère personnel sans le consentement de l'entité de données personnelles, la loi fournit des cas où un tel consentement est requis.
Relations pour le traitement de catégories spéciales de données à caractère personnel (informations sur la raciale, l'affiliation nationale, les vues politiques, les croyances religieuses ou philosophiques, l'état de santé, la vie intime) sont régulés séparément. Le traitement de ces catégories d'informations n'est pas autorisé sans le consentement préalable de l'entité de données personnelles, sauf dans les cas où les données à caractère personnel sont accessibles au public, le traitement des données est nécessaire pour assurer la vie et la santé. Le traitement est effectué dans le cadre de la mise en œuvre de la justice, ainsi que d'autres circonstances.
La garantie la plus importante des droits des données à caractère personnel est l'obligation des opérateurs et des tiers d'avoir accès à des données à caractère personnel afin de garantir leur confidentialité (à l'exception des cas de préoccupation et de données personnelles disponibles publiquement), ainsi que du droit de personnel personnel. données pour protéger leurs droits et leurs intérêts légitimes, y compris sur des dommages-intérêts et une indemnisation (ou) des dommages moraux devant le tribunal. Le suivi et la supervision du traitement des données à caractère personnel sont confiés à l'Organe exécutif fédéral qui exécute des fonctions de contrôle et de surveillance dans le domaine des technologies de l'information et des communications, qui est dotée de droits et d'obligations pertinents. En particulier, l'organisme autorisé a le droit de vérifier le système d'information du traitement des données à caractère personnel, d'imposer les exigences de blocage, de supprimer des données personnelles non fiables ou illégalement reçues, d'établir une interdiction constante ou temporaire du traitement des données à caractère personnel, d'enquêter sur dans l'ordre des procédures administratives sur les violations de la loi. Les principes de la transmission de données transfrontalières sont établis dans lesquels une protection adéquate des entités de données à caractère personnel devrait être assurée.
Outre les actes de législation mentionnés dans le domaine des données à caractère personnel, en plus de ces actes, le législateur comprend d'autres lois:
Le Code du travail de la Fédération de Russie, au chapitre 14, dont les exigences fondamentales pour la protection des données personnelles des employés sont inscrites. La réception du travailleur pour les qualités commerciales implique l'application de certaines techniques de collecte d'informations sur l'employé, de sorte qu'ils révélaient pleinement un cercle de critère prédéterminé nécessaire à une position donnée, c'est-à-dire que l'employeur recueille en fait des données personnelles des employés;
Code des douanes de la Fédération de Russie du 28 mai 2003 N 61-FZ, qui régule la procédure de traitement des données à caractère personnel des personnes engagées dans le mouvement liée au mouvement des biens et des véhicules par le biais de la frontière douanière ou de la réalisation d'activités dans le domaine de la douane, afin de mener le contrôle des douanes et l'escalade des paiements des douanes;
Droit fédéral du 27 juillet 2006 N 149-FZ "sur l'information, les technologies de l'information et la protection de l'information" donne une définition générale des données à caractère personnel, définit les principes de base de la réglementation juridique des activités liées aux données à caractère personnel. Il assume également la responsabilité de violer leur confidentialité, ainsi que de l'engagement des licences pour les organisations non gouvernementales et les individus liés au traitement et à la fourniture de données à caractère personnel;
La loi fédérale du 15 novembre 1997 N 143-FZ "sur des actes d'état civil" réglemente la procédure de protection des informations confidentielles dans le processus d'enregistrement des lois de l'état civil.
En outre, les questions de réglementation juridique du travail avec des données à caractère personnel sont touchées dans les lois fédérales du 22 octobre 2004 N 125-FZ "sur le district d'archives de la Fédération de Russie", datée du 12 août 1995 N 144-FZ "sur le fonctionnement- Activités d'enquête «, le 12 juin 2002 N 67-FZ» sur les principales garanties des droits électoraux et les droits de participer au référendum des citoyens de la Fédération de Russie », le code des impôts de la Fédération de Russie, la base de la législation de la Fédération de Russie sur la protection de la santé des citoyens du 22 juillet 1993 N 5487-1, des lois de la Fédération de Russie du 21 juillet 1993 N 5485-1 "sur les secrets d'État", le 28 mars 1998 n 53- FZ "sur le service militaire et le service militaire", législation fédérale du 1er avril 1996 n 27-FZ "sur une comptabilité individuelle (personnalisée) dans le système d'assurance pension obligatoire", daté du 8 août 2001 N129-FZ "sur l'enregistrement de l'État des entités juridiques et des entrepreneurs individuels »et un certain nombre d'autres. Dans le Code civil de la Fédération de Russie, l'article 152 protège l'honneur, la dignité et la réputation des affaires en tant que citoyen. Dans le Code criminel de la Fédération de Russie de l'art. 137 Il établit une responsabilité pénale "pour la collecte illégale ou la diffusion d'informations sur la vie privée de la personne qui fait son secret personnel ou familial."
introduction
Conclusion
Bibliographie
introduction
Au stade actuel du développement de notre société, de nombreuses ressources de progrès humains traditionnelles perdent progressivement leur importance initiale. Une nouvelle ressource vient à les remplacer, le seul produit ne diminue pas, mais les informations en croissance sont appelées informations. L'information est aujourd'hui la principale ressource du développement scientifique et technique et socio-économique de la communauté mondiale. Les informations plus rapides et de haute qualité sont introduites dans l'économie nationale et les applications spéciales, plus le niveau de vie du peuple, le potentiel économique, la défense et le potentiel politique du pays.
L'intégrité du monde moderne en tant que communauté est assurée principalement en raison de l'échange d'informations intensives. Suspension des flux d'informations mondiaux, même pendant une courte période, peut conduire à une ne pas moins de crise que l'écart des relations économiques entre états. Par conséquent, sur le nouveau marché et les conditions concurrentielles, il y a beaucoup de problèmes liés non seulement à assurer la sécurité des informations commerciales (entrepreneuriales) comme type de propriété intellectuelle, mais également d'individus et d'entités juridiques, de leur propriété immobilière et de leur sécurité personnelle.
Le but de ce travail est de considérer la sécurité des informations comme une partie intégrante de la sécurité nationale, ainsi que d'identifier sa sécurité au stade actuel, de l'analyse des menaces internes et externes, de la prise en compte des problèmes et des solutions pour les résoudre.
À cet égard, certaines tâches sont livrées:
.Déterminer le lieu et l'importance de la sécurité de l'information au stade actuel de développement; 2.Examiner le cadre réglementaire dans le domaine de la protection de l'information; .Supprimez les principaux problèmes et les menaces et les moyens de les résoudre. Chapitre 1. Problèmes et menaces de sécurité de l'information
1.1 Place de sécurité des informations dans le système de sécurité nationale de Russie
La sécurité nationale de la Fédération de Russie dépend de manière significative de la fourniture de la sécurité de l'information et du progrès technique, cette dépendance augmentera. Dans le monde moderne, la sécurité de l'information devient une condition essentielle pour assurer les intérêts de l'homme, de la société et de l'État et la tige la plus importante, le lien de l'ensemble du système de sécurité nationale du pays. Le cadre réglementaire de la protection des informations était la doctrine de la sécurité de l'information de la Fédération de Russie, approuvée par le président de la Fédération de Russie en 2001, elle représente une série de points de vue officiels sur les objectifs, les objectifs, les principes et les principales directions de assurer la sécurité de l'information de la Russie. La doctrine adresse: objets, menaces et sources de menaces de sécurité de l'information; conséquences possibles des menaces de sécurité de l'information; méthodes et moyens de prévention et de neutralisation des menaces de sécurité de l'information; caractéristiques de la sécurité de l'information dans diverses sphères de la vie de la société et de l'État; les principales dispositions de la politique d'État visant à assurer la sécurité des informations dans la Fédération de Russie. La doctrine examine tous les travaux de la sphère d'information sur la base de et dans l'intérêt du concept de sécurité nationale de la Fédération de Russie. Il attribue quatre composantes majeures des intérêts nationaux de la Russie dans la sphère de l'information. Le premier composant inclut le respect des droits et libertés constitutionnels d'une personne et d'un citoyen dans l'obtention et l'utilisation d'informations, assurant le renouvellement spirituel de la Russie, la préservation et le renforcement des valeurs morales de la société, des traditions du patriotisme et de l'humanisme, le potentiel culturel et scientifique du pays. Pour la mettre en œuvre, il est nécessaire: augmenter l'efficacité de l'utilisation des infrastructures d'information dans l'intérêt du développement social, de la consolidation de la société russe, de la renaissance spirituelle des populations multinationales du pays; améliorer le système de formation, de conservation et d'utilisation rationnelle des ressources d'information constituant la base du potentiel scientifique et technique et spirituel de la Russie; veiller à ce que les droits constitutionnels et les libertés d'une personne et d'un citoyen recherchent librement, recevez, transmettent, produisent et diffusent des informations de manière légitime, d'obtenir des informations fiables sur l'état de l'environnement; assurer les droits constitutionnels et libertés d'une personne et d'un citoyen sur les secrets personnels et familiaux, le secret de la correspondance, des conversations téléphoniques, des messages postaux, du télégraphe et d'autres messages, pour protéger leur honneur et leur bon nom; renforcer les mécanismes de la réglementation juridique des relations de protection de la propriété intellectuelle, afin de créer des conditions de conformité avec les limitations établies par la législation fédérale pour accéder à des informations confidentielles; garantir la liberté d'information de masse et de la censure de la masse; empêcher la propagande et l'agitation qui contribuent à l'incitation de la haine et de l'hostilité sociales, raciales, nationales ou religieuses; informations confidentielles Protection Russie fournir une interdiction de la collecte, du stockage, de l'utilisation et de la diffusion d'informations sur la vie privée de la personne sans son consentement et d'autres informations, l'accès à laquelle la législation fédérale est limitée. La deuxième composante des intérêts nationaux dans la sphère d'information comprend le soutien de l'information de la politique d'État du pays associé à la mise en place du public russe et international d'informations fiables sur sa position officielle sur des événements socialement importants de la vie russe et internationale, avec la fourniture de Accès des citoyens aux ressources d'information sur l'état ouvert. Cela nécessite: renforcer les médias de l'État, élargir leurs possibilités de crise en temps voulu d'informations fiables aux citoyens russes et étrangers; intensifier la formation de ressources d'information appartenant à l'État ouvert, accroître l'efficacité de leur utilisation économique. La troisième composante des intérêts nationaux dans la sphère d'information comprend l'élaboration de technologies de l'information modernes, y compris de l'industrie de l'industrie de l'informatisation, des télécommunications et des communications, garantissant ainsi les besoins du marché intérieur avec ce produit et sa sortie sur le marché mondial, ainsi que assurer l'accumulation, la sécurité et l'utilisation efficace des ressources d'information nationales. Pour obtenir le résultat dans cette direction, il est nécessaire: développer et améliorer l'infrastructure de l'espace d'information unifié de la Russie; développer les services d'information sur l'industrie nationale et améliorer l'efficacité de l'utilisation des ressources d'information de l'État; développer la production de fonds et de systèmes d'informatisation concurrentiels, de télécommunications et de communications, afin d'élargir la participation de la Russie à la coopération internationale des producteurs de ces fonds et systèmes; assurer le soutien de l'État à la recherche fondamentale et appliquée, au développement dans les domaines de l'informatisation, des télécommunications et des communications. La quatrième composante des intérêts nationaux dans la sphère d'information comprend la protection des ressources d'information provenant d'un accès non autorisé, garantissant la sécurité des systèmes d'information et de télécommunication. À cette fin, il est requis: augmenter la sécurité des systèmes d'information (y compris les réseaux de communication), tout d'abord, les principaux réseaux de communication et les systèmes d'information des organismes gouvernementaux, des sphères financières et de crédit et bancaire, la sphère d'activité économique, des systèmes et des moyens d'information sur les armes et les équipements militaires , systèmes de contrôle des troupes et des armes, une production respectueuse de l'environnement et économiquement importante; intensifier le développement de la production nationale de matériel et de logiciels pour la protection de l'information et les méthodes de contrôle de leur efficacité; assurer la protection des informations constituant le secret de l'État; développer la coopération internationale en Russie dans le domaine de l'utilisation sûre des ressources d'information, contrecarrez la menace de confrontation dans la sphère de l'information. 1.2 Principaux problèmes de sécurité de l'information et de moyens de les résoudre
Assurer la sécurité des informations nécessite de résoudre tout un complexe de tâches. La tâche la plus importante pour assurer la sécurité des informations de la Russie est la mise en œuvre de la comptabilité intégrée des intérêts de l'individu, de la société et de l'État dans ce domaine. Doctrine Ces intérêts définissent comme suit: les intérêts de l'individu dans la sphère d'information sont de mettre en œuvre les droits constitutionnels de l'homme et des citoyens à accéder aux informations, d'utiliser des informations dans l'intérêt de la mise en œuvre des activités non interdites par la loi, le développement physique, spirituel et intellectuel, ainsi que dans la protection des informations fournissant une sécurité personnelle; les intérêts de la société dans la sphère d'information consistent à assurer les intérêts de la société dans ce domaine, à renforcer la démocratie, à créer un État social juridique, à atteindre et à maintenir le consentement public, dans le renouvellement spirituel de la Russie; les intérêts de l'État dans la sphère d'information sont de créer des conditions pour le développement harmonieux de l'infrastructure de l'information russe, la mise en œuvre des droits constitutionnels et libertés d'une personne (citoyen) pour obtenir des informations. Dans le même temps, l'utilisation de cette sphère n'est requise que pour assurer l'inviolabilité du système constitutionnel, la souveraineté et l'intégrité territoriale de la Russie, de la stabilité politique, économique et sociale, dans la fourniture inconditionnelle de légalité et de droit et d'ordre, le développement de la coopération internationale égale et mutuellement bénéfique. Méthodes générales de résolution des tâches clés pour assurer la sécurité des informations de la doctrine se combine en trois groupes: légal; organisationnel et technique; Économique. Les méthodes légales comprennent l'élaboration d'actes juridiques réglementaires régissant les relations dans la sphère de l'information et les documents de réglementation sur les questions de sécurité de l'information de la Fédération de Russie (elles sont discutées en détail dans GL.4 de ce manuel). Les méthodes organisationnelles et techniques pour la fourniture de la sécurité de l'information sont les suivantes: créer et améliorer les systèmes de sécurité de l'information; renforcement de l'application de la loi des autorités, y compris la prévention et la suppression des infractions dans la sphère de l'information; création de systèmes et moyens de prévention de l'accès non autorisé à l'information et aux impacts qui causent la destruction, la destruction, la distorsion des informations, l'évolution des modes standard de fonctionnement des systèmes et des moyens d'informatisation et de communication; certification des outils de protection de l'information, activités de licence dans le domaine de la protection des secrets d'État, de la normalisation des méthodes et des moyens de protection de l'information; contrôler les actions du personnel dans les systèmes d'information, la formation dans le domaine de la sécurité de l'information; formation du système de surveillance des indicateurs et des caractéristiques de la sécurité de l'information dans les domaines de la vie et des activités les plus importants de la société et de l'État. Les méthodes de sécurité de l'information économique comprennent: développement des programmes de sécurité de l'information et déterminer la procédure de financement; améliorer le système de financement des travaux liés à la mise en œuvre de méthodes juridiques et organisationnelles et techniques pour la protection des informations, créant un système d'assurance des risques d'information des individus et des entités morales. Selon la doctrine, l'État dans le processus de mise en œuvre de ses caractéristiques de sécurité de l'information: effectue une analyse objective et globale et la prévision des menaces de sécurité de l'information, élabore des mesures pour garantir; organise le travail des autorités à mettre en œuvre le complexe de mesures visant à prévenir, à réfléchir et à neutraliser les menaces de sécurité de l'information; Soutient les activités des associations publiques destinées à l'information objective de la population sur des phénomènes socialement importants de la vie publique, la protection de la société d'informations déformées et peu fiables; Surveille le développement, la création, le développement, l'utilisation, l'exportation et l'importation d'outils de protection de l'information grâce à leur certification et à la licence d'activités de protection de l'information; Organisent la politique protectionniste nécessaire contre les fabricants de l'informatisation et de la protection de l'information sur le territoire de la Fédération de Russie et prend des mesures pour protéger le marché intérieur de la pénétration de produits d'information et de produits d'information de mauvaise qualité; aide à fournir aux particuliers et aux personnes morales d'accéder aux ressources mondiales de l'information, aux réseaux d'information mondiaux; Formulaires et implémente la politique d'information de l'État de la Russie; organise l'élaboration d'un programme de sécurité de l'information fédérale, qui unit les efforts des organisations étatiques et non gouvernementales dans ce domaine; Favorise l'internationalisation des réseaux et des systèmes d'information mondiaux, ainsi que d'entrer en Russie à la communauté mondiale de l'information sur les termes d'un partenariat égal. Lors de la résolution des principales tâches et de la mise en œuvre des mesures prioritaires de la politique de l'État visant à assurer la sécurité des informations, le désir de résoudre principalement des problèmes de réglementation et technique est dominé. Nous parlons le plus souvent de "développer et mettre en œuvre des normes juridiques" "," renforcer la culture juridique et l'alphabétisation informatique des citoyens "," Créer des technologies de l'information sécuritaires "," fournir une indépendance technologique ", etc. Le développement de la formation de personnel utilisé dans le domaine de la sécurité de l'information utilisée dans le domaine de la sécurité de l'information est également prévu, c'est-à-dire la préparation de la formation dans le domaine des communications, du traitement de l'information, des moyens techniques de sa protection. La formation de spécialistes dans le domaine des activités d'information et d'analyse, de l'information sociale, de la sécurité des informations de l'individu est une moindre mesure. Malheureusement, de nombreuses institutions d'État considèrent le côté technique le plus important du problème, perdant de vue les aspects sociaux et psychologiques. 1.3 Sources de menaces de sécurité de l'information
Les menaces de sécurité de l'information sont l'utilisation de divers types d'informations à l'encontre de celles-ci ou de ce social (économique, militaire, scientifique et technique, etc.) de l'objet afin de modifier sa fonctionnalité ou une défaite complète. Compte tenu de la direction générale de la doctrine, les menaces de sécurité de l'information sur les types suivants sont les subdivishes: menaces des droits constitutionnels et des libertés d'une personne et d'un citoyen dans le domaine des activités de vie spirituelle et d'information, de la conscience individuelle, du groupe et du public, la renaissance spirituelle de la Russie; menaces pour l'appui de l'information de la politique de l'État de la Fédération de Russie; menaces au développement de l'industrie de l'information nationale, y compris le secteur de l'informatisation, des télécommunications et des communications, garantissant les besoins du marché intérieur de ses produits et la sortie de ces produits sur le marché mondial, ainsi que de garantir l'accumulation, la sécurité et utilisation efficace des ressources d'information nationales; menaces à la sécurité des informations et des télécommunications et des systèmes, déjà déployés et créés en Russie. Menaces des droits constitutionnels et des libertés de l'homme et des citoyens dans le domaine des activités de vie spirituelle et d'information, de la conscience individuelle, du groupe et du public, la renaissance spirituelle de la Russie peut être: l'adoption par les autorités des actes juridiques infraction aux droits constitutionnels et libertés des citoyens dans le domaine des activités de la vie spirituelle et de l'information; création de monopoles sur la formation, obtenant et diffusion d'informations dans la Fédération de Russie, y compris l'utilisation de systèmes de télécommunication; contre-laaction, y compris des structures criminelles, mettant en œuvre des citoyens de leurs droits constitutionnels aux secrets personnels et familiaux, le secret de la correspondance, des conversations téléphoniques et d'autres messages; restriction excessive d'accès aux informations nécessaires; utilisation illégale de moyens d'impact particuliers sur la conscience individuelle, du groupe et du public; non-accomplissement par les autorités de l'État et l'autonomie locale, les organisations et les citoyens des exigences de la législation régissant les relations dans la sphère de l'information; restriction illégale des citoyens accès aux ressources de l'information des autorités de l'État et de l'autonomie locale, à ouvrir des documents d'archives, à une autre information socialement ouverte; désorganisation et destruction de l'accumulation et de la préservation des biens culturels, y compris des archives; violation des droits constitutionnels et libertés de l'homme et des citoyens dans le domaine des médias; déplacement des agences de presse russes, des médias du marché de l'information interne et de renforcer la dépendance des sphères spirituelles, économiques et politiques de la vie sociale de la Russie des structures d'information étrangère; dévaluation des valeurs spirituelles, propagande d'échantillons de culture de masse basés sur le culte de la violence, sur des valeurs spirituelles et morales qui contredisent les valeurs adoptées dans la société russe; réduire le potentiel spirituel, moral et créatif de la population de la Russie; manipuler des informations (désinformation, dissimulation ou distorsion des informations). Les menaces pour l'appui de l'information de la politique d'État de la Fédération de Russie peuvent être: monopolisation du marché de l'information de la Russie, ses secteurs individuels des structures d'information nationales et étrangères; bloquer les activités des médias publics pour informer le public russe et étranger; faible rendement de l'information Soutien à la politique de l'État de la Fédération de Russie en raison d'une pénurie de personnel qualifié, l'absence de système de formation et de mise en œuvre de la politique d'information de l'État. Les menaces pour le développement de l'industrie de l'information nationale peuvent être: contre-sens pour accéder aux dernières technologies de l'information, la participation mutuellement bénéfique et équitable des fabricants russes dans la division mondiale du travail dans l'industrie des services d'information, les produits d'information, les télécommunications et la communication, les produits d'information, la création de conditions de renforcement de la dépendance technologique de la Russie dans la domaine de la technologie de l'information; achat par les autorités de l'État des moyens importés d'informatique, de télécommunications et de communication en présence d'analogues nationaux; déplacement du marché intérieur des fabricants russes d'informatique, de télécommunications et de communications; l'utilisation de technologies d'information nationales et étrangères non certifiées, outils de protection des informations, informatisation, télécommunications et communications; les sorties à l'étranger des spécialistes et des titulaires de propriété intellectuelle de la propriété intellectuelle. Toutes les sources des menaces des subdivences de sécurité des informations doctrines sur externe et interne. Les sources externes de menaces de la doctrine comprennent: activités des structures étrangères politiques, économiques, militaires, d'intelligence et d'information contre les intérêts de la Fédération de Russie; le désir d'un certain nombre de pays de dominer l'espace d'information mondial, déplaçant la Russie des marchés de l'information; activités d'organisations terroristes internationales; une augmentation de la séparation technologique des principaux pouvoirs du monde et de renforcer leurs possibilités de contrer la création de technologies de l'information russe concurrentielles; activités de l'exploration et d'autres moyens techniques cosmiques, aériens, marins et terrestres d'une exploration d'États étrangers; développer un certain nombre d'états de concepts de guerre de l'information prévoyant la création d'impacts dangereux sur les sphères d'information d'autres pays, violation du fonctionnement des systèmes d'information et de télécommunication, en leur obtenant un accès non autorisé. Les sources de menaces internes, selon la doctrine, citons: l'état critique d'un certain nombre d'industries nationales; un criminrogeniste défavorable, accompagné de tendances dans l'épissage des structures d'État et criminelles dans la sphère d'information, obtenant des structures criminelles d'accès à des informations confidentielles, renforçant l'influence du crime organisé sur la vie de la société, réduisant ainsi le degré de sécurité des intérêts légitimes de citoyens, société et état dans la sphère de l'information; coordination insuffisante des activités des autorités de tous les niveaux sur la mise en œuvre de la politique d'État unifiée dans le domaine de la sécurité de l'information; inconvénients du cadre réglementaire régissant la relation dans la sphère d'information et la pratique des forces de l'ordre; sous-développement des institutions de la société civile et contrôle insuffisant de l'État sur le développement du marché de l'information en Russie; financement insuffisant des mesures de sécurité de l'information; nombre insuffisant de personnel qualifié dans le domaine de la sécurité de l'information; activité insuffisante des autorités fédérales pour informer la Société de ses activités, en expliquant les décisions prises, formant des ressources d'État ouvertes et développant un système d'accès aux citoyens; le décalage russe des principaux pays au niveau de l'informatisation des autorités et de l'autonomie locale, du crédit et de la sphère financière, de l'industrie, de l'agriculture, de l'éducation, des soins de santé, des services et de la vie des citoyens. Chapitre 2. Protection des informations confidentielles
2.1 Classification des informations à protéger
Actuellement, une quantité importante de (plus de 40) espèces nécessitant une protection supplémentaire est indiquée dans divers documents réglementaires. Pour la commodité de l'examen du mode légal des ressources d'information sur la base de l'accès, ils peuvent être associés classiquement en quatre groupes: secrétaire de l'état; secret de commerce; nature confidentielle; propriété intellectuelle. Secrétaire de l'état. La loi de la Fédération de Russie «sur le secret de l'État» donne la définition suivante des secrets de l'État: ce sont des informations protégées par l'État dans le domaine de l'armée, de la politique étrangère, de l'économie, de l'intelligence, de la lutte contre la religité et des enquêtes opérationnelles, la diffusion de la sécurité de la Russie (article 2). L'article 5 de la présente loi définit une liste d'informations assignées au secret de l'État: informations dans le domaine militaire - sur le contenu des plans stratégiques et opérationnels, sur les plans de construction des forces armées, le développement, la technologie, la production, sur les installations de production, le stockage, sur la cession de munitions nucléaires, sur les caractéristiques tactiques et techniques et Les possibilités de lutte contre l'utilisation d'équipements d'armement et militaires, sur le déploiement de la fusée et des objets particulièrement importants, etc. informations dans le domaine de l'économie, de la science et de la technologie - sur le contenu des planificateurs de la préparation de la Fédération de Russie et de ses régions individuelles à d'éventuelles actions militaires, sur les volumes de production, les plans de l'ordre d'État, la libération et la fourniture de armes, équipement militaire, réalisations de la science et de la technologie ayant une importance capitale importante, etc. informations dans le domaine de la politique étrangère et de l'économie - sur la politique étrangère et l'activité économique étrangère de la Fédération de Russie, dont la répartition prématurée peut endommager la sécurité de l'État, etc. forces et moyens d'activités nommées, ses sources, ses plans et ses résultats; les personnes coopèrent ou collaborent de manière confidentielle avec des organismes effectuant les noms; système de présidence, gouvernement, crypté, y compris la communication codée et classée; chiffres et systèmes d'information et d'analyse d'usage spécial, de méthodes et de moyens de protection des informations secrètes, etc. Un secret commercial peut être des informations utiles dans les affaires et l'avantage des concurrents qui ne possèdent pas de telles informations. Dans de nombreux cas, le mystère commercial est une forme de propriété intellectuelle. Selon l'article 139, partie 1 du Code civil de la Fédération de Russie, des informations qui rendent un secret commercial incluent des informations qui ont une valeur commerciale valide ou potentielle en raison de l'incertitude de ses tiers et à laquelle il n'y a pas d'accès libre sur le légal. base. Il peut inclure diverses idées, inventions et autres informations commerciales. Décret du gouvernement de la Fédération de Russie du 5 décembre 1991 n ° 35 "sur la liste des informations qui ne peuvent être un secret commercial." Ces informations comprennent: informations organisationnelles (charte et documents constitutifs de l'entreprise, certificats d'enregistrement, licences, brevets); informations financières (documents sur le calcul des taxes et les taxes payantes, d'autres paiements prévus par la loi, des documents sur l'état de solvabilité); informations sur l'état et les conditions d'activité (nombre et composition du travail, leurs salaires, la disponibilité des lieux libres, l'impact de la production sur l'environnement naturel, la vente de produits, qui cause la santé de la population, la participation de fonctionnaires des activités commerciales, violation des lois antitrust); informations sur la propriété (taille de la propriété, espèces, investissement de paiements dans des titres, obligations, prêts, fonds statutaires de coentreprises). Information confidentielle. La confidentialité des informations est la caractéristique des informations indiquant la nécessité d'introduire des restrictions sur un cercle de sujets avec accès à ces informations. La confidentialité implique de maintenir des droits à l'information, sa non-divulgation (secret) et une invariance dans tous les cas, en plus de l'utilisation éligible. Décret du président de la Fédération de Russie du 6 mars 1997 no 188 a approuvé une liste d'informations confidentielles. Cette liste comprend: informations sur les faits, événements et circonstances de la vie privée d'un citoyen qui peut identifier son identité (données personnelles); informations constituant le secret des enquêtes et des procédures; informations officielles, accès auxquelles est limitée par les autorités de l'État conformément au Code civil de la Fédération de Russie et des lois fédérales (Secrets de service); informations professionnelles (médecine, notaire, secret d'avocat, correspondance secrète, etc.); informations sur l'essence de l'invention ou des échantillons industriels à la publication officielle des informations sur eux. La liste des informations confidentielles est complétée par d'autres actes réglementaires: la base de la législation de la Fédération de Russie "sur la protection de la santé des citoyens", les lois de la Fédération de Russie "sur les soins psychiatriques et les garanties des droits des citoyens dans sa disposition "," sur le notaire "," sur le barreau "," sur la base garantit des droits électoraux des citoyens de la Fédération de Russie "," sur les banques et activités bancaires ", ainsi que le code des impôts de la Fédération de Russie, Code de la famille de la Fédération de Russie, etc. En conséquence, plusieurs groupes d'informations confidentielles générant certains "secrets" peuvent être distingués: mystère médical (médical); secret bancaire; secret fiscal; notaire mystère; assurance secrète; avocat mystère; mystère des relations avec la religion et des aveux secrets; Mystère du vote; Secrets de service, etc. Les informations déterminées par le concept de propriété intellectuelle peuvent être attribuées à la plupart des informations ci-dessus de nature scientifique et technologique, ainsi que des œuvres de littérature et d'art, de produits d'activités de l'invention et de rationalisation, d'autres types de créativité. Conformément à la loi de la Fédération de Russie «sur la protection juridique des programmes de machines informatiques et de bases de données» du 23 septembre 1992, les programmes de Copyright et de bases de données sont également les objets de droit d'auteur, dont la violation implique civile, pénale et Responsabilité administrative conformément à la loi RF. La définition de la propriété intellectuelle et une certaine partie des informations relatives aux chutes des mystères d'État et commerciales. 2.2 Organisation de la protection de l'information
Les efforts les plus raisonnables dans cette direction la plupart des spécialistes considèrent les événements "protecteurs" suivants: définition adéquate d'une liste d'informations à protéger; identifier la disponibilité et la prévision des zones vulnérables possibles dans l'accès à l'information; prendre des mesures pour limiter l'accès à l'information ou à l'objet; organisation de la protection des locaux et du contrôle continu de la sécurité des informations (en particulier de la nécessité de la présence d'armoires de fermeture, de coffres-forts, d'armoires, de chambres de télévision de suivi, etc.); la présence de règles claires pour la manipulation de documents et leur reproduction. Comme on le sait, l'invention de plusieurs véhicules a littéralement causé une éclaboussure d'espionnage industriel; disponibilité sur les documents «Secret», «À usage officiel», et sur les portes - «Les étrangers sont interdits». Chaque support d'informations (document, disque, etc.) doit avoir une désignation et une localisation de stockage correspondantes (chambre, coffre-fort, boîte en métal); signature avec les employés de l'organisation, la société de la non-divulgation de secrets. Le principal moyen de protéger les informations reste actuellement régime visant à prévenir les fuites d'informations spécifiques. L'adoption de ces mesures dépend surtout des propriétaires d'informations qui se développent dans leur domaine d'activité de l'environnement concurrentiel, la valeur que la production ou les informations commerciales est présente pour eux est d'autres facteurs. Parmi les mesures de sécurité de l'information, vous pouvez allouer externe et interne. Les activités extérieures comprennent: l'étude des partenaires, des clients avec lesquelles des activités commerciales consistaient à collecter des informations sur leur fiabilité, leur solvabilité et d'autres données, ainsi que de prédire les actions attendues des concurrents et des éléments criminels. Si possible, des personnes présentant un intérêt pour les activités de l'Organisation (entreprise), au personnel travaillant dans l'organisation. Les mesures de sécurité internes comprennent les problèmes de sélection et d'inspection des personnes entrant dans le travail: leurs données personnelles, le comportement du lieu de résidence et dans l'ancien travail, les qualités personnelles et commerciales, la compatibilité psychologique avec les employés sont étudiées; Les causes de soins du lieu de travail précédent, la présence de cas pénaux, etc. dans le processus de travail, l'étude et l'analyse des actions de l'employé affectant les intérêts de l'organisation se poursuit, l'analyse de ses relations extérieures est effectuée. Les employés sont l'élément le plus important du système de sécurité. Ils peuvent jouer un rôle important dans la protection des secrets commerciaux, mais en même temps, il peut y avoir la principale cause de ses fuites. Souvent, cela arrive à cause de l'inattention, de l'analphabétisme. Par conséquent, la formation régulière et intelligible du personnel dans les problèmes de secrétation est la condition la plus importante pour le maintien des secrets. Cependant, il est impossible d'exclure des cas de transfert intentionnel (ventes) par un employé des secrets de la société. La base motivante de telles actions constitue le roi, soit la vengeance, par exemple par l'employé licencié. La pratique de telles actions va ses racines dans une antiquité profonde. La protection des informations implique l'utilisation de moyens techniques spéciaux, des appareils électroniques, ce qui permet non seulement de les restreindre de fuir, mais également d'arrêter un tel type d'activité comme un espionnage industriel (commercial). La plupart d'entre eux sont les moyens techniques de détection et de moyens de contrer des dispositifs d'audition: neutralisation téléphonique (pour supprimer le fonctionnement de la mini-émetteur et neutralisation de la suppression des informations audio); dispositifs d'écoute du suppresseur téléphonique; détecteur professionnel (utilisé pour la localisation "grossière" des couches radio); mini-détecteur d'émetteurs (utilisés pour une localisation précise des couches radio); générateur de bruit. Les organisations ayant des informations précieuses devraient le stocker dans des armoires ou des coffres-forts spéciaux non aggravés, prévenir la perte de la clé de leur part ou le transfert au stockage à d'autres personnes, même parmi notamment parmi particulièrement approuvées. L'une des méthodes courantes de protection de la propriété intellectuelle est un brevet, c'est-à-dire le certificat délivré par l'inventeur ou son successeur pour le droit d'utilisation exclusive de l'invention faite par elle. Le brevet est conçu pour protéger l'inventeur (auteur) de la reproduction, des ventes et de l'utilisation de son invention par d'autres personnes. La mise en œuvre de mesures internes et externes spéciales pour protéger des systèmes d'information précieuses devrait être supposée sur des personnes spécialement formées. À cette fin, l'entrepreneur peut demander de l'aide de sociétés de détective privées spécialisées dans la protection et la protection de la propriété. Les propres services de sécurité peuvent être créés. Étant donné que les événements protecteurs nécessitent des coûts considérables, l'entrepreneur lui-même doit décider de ce qu'il est plus rentable pour lui: supporter les fuites d'informations ou impliquer des services spécialisés pour sa protection. Conclusion
L'état actuel de la sécurité de l'information de la Russie est l'état d'un nouveau, établi uniquement, en tenant compte de la période de l'institut public de la ville. Une grande partie de sa formation a déjà été faite, mais encore plus de problèmes ici nécessitant la décision la plus chirurgicale. Ces dernières années, un certain nombre de mesures ont été mises en œuvre dans la Fédération de Russie pour améliorer la sécurité de l'information, à savoir: La formation du soutien juridique de la sécurité de l'information a commencé. Un certain nombre de lois régissant les relations publiques dans ce domaine ont été adoptées, les travaux sur la création de mécanismes de mise en œuvre ont été déployés. Le résultat spécifié et le cadre réglementaire pour la résolution ultérieure dans ce domaine a été approuvé par le président de la Fédération de Russie en septembre 2001. Les doctrines de la sécurité de l'information de la Fédération de Russie; La sécurité de l'information contribue à la création: système de protection du système d'état; système d'activités de licence dans le domaine de la protection des secrets d'État; le système de certification pour la protection de l'information. Dans le même temps, une analyse de l'état de la sécurité de l'information montre qu'il existe encore un certain nombre de problèmes qui entravent sérieusement la comptabilisation complète de la sécurité de l'information humaine, de la société et de l'État. La doctrine appelle les principaux problèmes suivants de cette sphère. Les conditions actuelles du développement politique et socio-économique du pays conservent toujours la contradiction aiguë entre les besoins de la société dans l'élargissement du libre échange d'informations et la nécessité de l'action des restrictions réglementées individuelles sur sa distribution. L'incohérence et la réglementation juridique non développée des relations sociales dans le domaine de l'information rendent de manière significative difficile à maintenir l'équilibre nécessaire des intérêts de l'individu, de la société et de l'État dans ce domaine. L'amélioration de la réglementation juridique réglementaire ne permet pas de compléter la formation d'agences d'information russes et de médias concurrentielles sur le territoire de la Fédération de Russie. L'insécurité des droits des citoyens à l'information, la manipulation d'informations provoquent une réaction négative de la population, ce qui entraîne dans certains cas une déstabilisation de la situation sociopolitique dans la société. Les droits des citoyens attachés à l'inviolabilité de la vie privée, du secret personnel et de la famille dans la Constitution de la Fédération de Russie, le secret de la correspondance n'a pratiquement aucun soutien juridique, organisationnel et technique suffisant. La protection des autorités de l'État collectées par les autorités fédérales, les autorités des entités constitutives de la Fédération de Russie, les autorités locales des données sur les particuliers (données à caractère personnel) ont été organisées. Il n'y a aucune clarté dans la conduite de la politique publique dans le domaine de la formation de l'espace d'information russe, ainsi que l'organisation de l'échange international d'informations et l'intégration de l'espace d'information de la Russie dans l'espace d'information mondial, qui crée les conditions du déplacement. des agences de presse russes, les médias du marché de l'information interne, conduisent à la déformation de la structure échange internationale. Les activités des agences de presse russes sont insuffisantes pour promouvoir leurs produits sur le marché de l'information d'outre-mer. La situation n'est pas améliorée pour assurer la sécurité des informations constituant le secret de l'État. Des dommages graves sont causés par les ressources humaines des équipes scientifiques et de production opérant dans le domaine de la création de l'informatisation, des télécommunications et des communications, à la suite d'une masse qui quitte ces équipes des spécialistes les plus qualifiés. Bibliographie
1.La doctrine de la sécurité de l'information de la Fédération de Russie (approuvée par le président de la Fédération de Russie du 09.09.2000 № PR-1895) .RF Law "sur la sécurité" 2010 .La loi RF "sur le secret de l'État", adoptée le 21 juillet 1993 (ed. Du 08.11.2011) .La loi de la Fédération de Russie "sur le droit d'auteur et les droits connexes" est entrée en vigueur le 3 août 1993 (tel que modifié), .Droit fédéral "sur les principes fondamentaux de la fonction publique", adopté le 31 juillet 1995, .Code criminel de la Fédération de Russie 2013
introduction
Chapitre 1. Principes fondamentaux de la sécurité de l'information et de la protection de l'information
1.1 Evolution du terme "Sécurité de l'information" et politique de confidentialité
1.2 Valeur de l'information
1.3 Canaux de distribution et de fuites d'informations confidentielles
1.4 Menaces et système de protection de l'information confidentielle
Chapitre 2. Organisation des travaux avec des documents contenant des informations confidentielles
2.1 Base de réglementation et méthodologique des travaux de bureau confidentiels
2.2 Organisation d'accès et de procédures de personnel avec des informations confidentielles, des documents et des bases de données
2.3 Principes de base technologiques du traitement des documents confidentiels
Chapitre 3. Protection des informations d'accès limité à l'OAO "CHHPSN - Professional"
3.1 Caractéristiques de l'OJSC "CHZPSN - Professionnel"
3.2 Système de protection des informations à OJSC "CHZPSN - Professeur"
3.3 Améliorer le système de sécurité d'informations à accès limité
Conclusion
Liste des sources d'occasion et de la littérature
introduction
L'un des éléments les plus importants de la sécurité nationale de tout pays est actuellement appelé à l'unanimité sa sécurité de l'information. Les problèmes de sécurité de l'information deviennent de plus en plus complexes et conceptuellement significatifs en raison de la transition de masse des technologies de l'information dans la gestion du cadre automatisé sans papier.
Le choix du sujet de ce travail de qualification final est due au fait que l'économie de marché russe moderne est une condition préalable à la réussite d'un entrepreneur en entreprise, de profit et de préservation dans l'intégrité de la structure organisationnelle créée par lui est de garantir la sécurité économique de ses activités. Et l'un des principaux composants de la sécurité économique est la sécurité de l'information.
L'objet de la recherche sur cet article est la formation et le fonctionnement des ressources d'information dans le système de gestion de l'organisation.
La base de l'étude est OJSC "CHHPSN - Professeur"
Le sujet de l'étude - activités visant à assurer la sécurité des ressources d'information dans le système de gestion de l'organisation.
Le but de l'étude est une analyse des technologies, méthodes, méthodes et moyens modernes de protection des informations confidentielles d'entreprise.
Les objectifs de l'étude, conformément à l'objectif, comprennent:
1. révéler les principaux composants de la sécurité de l'information;
2. Déterminez la composition des informations qu'il est conseillé d'attribuer à la catégorie de confidentialité;
3. Identifier les menaces les plus courantes, les canaux de distribution et les fuites de confidentialité;
4. envisager des méthodes et des moyens de protéger des informations confidentielles;
5. Analyser le cadre réglementaire des travaux de bureau confidentiels;
6. Examiner les politiques de sécurité dans l'organisation de l'accès à des informations confidentielles et au fonctionnement du personnel avec des documents confidentiels;
7. envisager des systèmes technologiques de traitement de documents confidentiels;
8. Évaluer le système de protection des informations de l'entreprise OJSC "CHHPSN - professeur" et apporter des recommandations pour son amélioration.
Les méthodes de recherche suivantes ont été utilisées dans le document: Méthodes de connaissances (description, analyse, observation, enquête); Méthodes scientifiques générales (analyse de la matrice de publication sur le sujet), ainsi qu'un tel document de document comme analyse de la documentation de l'entreprise.
Le cadre réglementaire des travaux de qualification finaux repose principalement sur la Constitution en tant que loi principale de la Fédération de Russie) (1). L'article 23 de la Constitution de la Fédération de Russie garantit le droit à des secrets personnels, familiaux, secrets de la correspondance, des conversations téléphoniques, des postes, du télégraphe et d'autres communications. Dans le même temps, la restriction de ce droit n'est autorisée que sur la base d'une décision judiciaire. La Constitution de la Fédération de Russie n'est pas autorisée (article 24) Collecte, stockage, utilisation et diffusion d'informations sur la personne sans son consentement (1).
Les normes de réglementation des relations découlant de contacter des informations confidentielles sont également contenues dans le Code civil de la Fédération de Russie. Dans le même temps, des informations confidentielles font référence au Code civil de la Fédération de Russie aux avantages incorporels (article 18) (2).
Critères pour lesquels des informations relatives aux secrets de service et commerciaux , Contenue à l'article 139 du Code civil de la Fédération de Russie. Elle dit que l'information est un service ou un secret commercial dans le cas où:
1. Ces informations ont une valeur valide ou potentielle en raison de l'incertitude de ses tiers;
2. Ces informations n'ont pas d'accès libre sur la base légitime et le propriétaire de l'information prend des mesures pour protéger sa confidentialité (2).
En outre, la définition de la confidentialité des informations commerciales figure à l'article 727 du Code civil de la Fédération de Russie (2).
Le 27 juillet 2006, deux informations les plus importantes ont été adoptées pour la SPHERE de la protection de l'information du caractère confidentiel de la loi fédérale: n ° 149-FZ "sur l'information, les technologies de l'information et la protection de l'information" (8) et n ° 152- FZ "sur les données personnelles" (9). Ils donnent les concepts de base de l'information et de sa protection. Comme des "informations", "confidentialité des informations", "données personnelles", etc.
Le 10 janvier 2002, le président de la Fédération de Russie a signé une loi très importante "sur la signature numérique électronique" (5), qui développe et concrétisant les dispositions de la loi susmentionnée "sur l'information ..." (8).
La principale sécurité des informations confidentielles est également la législation de la Fédération de Russie:
2. "Secret commercial" daté du 29 juillet 2004 (il contient des informations qui constitue un régime secrète commercial, de secrétaire commercial, la divulgation d'informations constituant un secret commercial) (6);
3. "sur l'approbation d'une liste d'informations confidentielles" (11);
4. Sur l'approbation d'une liste d'informations qui ne peuvent pas être un secret commercial »(13).
Standard, Ensaching Termes de base et définitions de la sécurité de l'information - GOST R 50922-96 (29).
Une base méthodologique réglementaire détaillée des travaux de bureau confidentiels est définie dans le deuxième chapitre de ce travail. Dans le travail de qualification de graduation, les œuvres de premier plan spécialistes - documentaires ont été utilisés: I.v. KUDRYADEVA (83), A.I. Alexantseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pschenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).
Le concept de sécurité de l'information, ses principaux composants, sont énoncés dans les travaux de V.A. Galatenko (82), V.N. Bright (56), Zotov (66).
K. Ilin (52) Dans ses œuvres envisage des problèmes de sécurité de l'information avec le flux de documents électroniques). Les aspects de la sécurité de l'information sont décrits dans les articles V.ya. Ichovnova (76; 77), M.V. Messenatunyan (77), A.A. Malyuk (74), V.K. Senchagova (93), E.A. Stepanova (96).
Le système de protection des informations est décrit dans les travaux de E.A. Stepanova (81), Z. Bogatarenko (74), Ta Korolkova (69), G.G. Aralbaeva (100), A.A. Shivel (103), V.N. Martynova et V.M. Martynova (49).
Les œuvres d'auteurs sont consacrées à la réglementation légale des informations d'accès limitées: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Ce dernier, dans son article indique l'imperfection de la législation dans le secteur à l'étude.
Technologies pour traiter les documents confidentiels consacrés à leurs travaux R.n. MOSEV (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), a.i. Alexantseva (32).
Dans le processus de préparation du travail, des scientifiques, de la formation, de la pratique, des recommandations méthodologiques pour l'organisation d'informations confidentielles ont été utilisées pour être utilisées par de tels experts dans ce domaine, comme.I. Alexandre (31; 32) et E.A. Stepanov (81; 96).
Travaille i.l. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Chramtsovskaya (48), v.m. Kravtsova (51) est consacré aux aspects controversés de la sécurité de l'information.
En général, on peut dire que le problème de la sécurité de l'information est généralement fourni avec des sources, la base source vous permet de mettre en évidence les tâches. L'importance de la littérature sur cette question est excellente et correspond à sa pertinence.
Mais dans notre pays, il n'existe aucun acte juridique réglementaire, qui établirait une seule procédure comptable, stockage, utilisant des documents contenant des informations confidentielles. Et selon les analystes, dont les articles ont été utilisés dans le travail, E.A. Loadnisa (40), ta Particules (57), V.A. Mazurov (71) Et d'autres, il n'est guère approprié.
Les travaux de qualification de graduation consistent en introduction, trois chapitres, conclusion, la liste des sources et la littérature d'occasion, des applications.
Dans l'introduction, la pertinence et la signification pratique du sujet, le but de l'étude, des tâches, du degré de développement du problème à l'étude, de l'objet, du sujet, de la base d'étude, de la structure de la boîte à outils de recherche et du contenu des travaux de qualification finaux
Le premier chapitre: "Principes de base de la sécurité de l'information et de la protection de l'information" contient des antécédents de la question et des concepts de base de la sécurité de l'information. Tels que la valeur de l'information, la confidentialité. Au paragraphe 1.2, les canaux de distribution, les fuites d'informations, dans ce qui suit, considèrent le système de menace et un système de protection des informations confidentielles.
Chapitre "Organisation du travail avec des documents confidentiels". Il comprend les fondements réglementaires et méthodologiques des procédures de bureau confidentielles, puis la procédure de travail des employés et l'organisation de leur accès à des informations confidentielles sont données. La technologie de travail avec des informations désignées est décrite dans le dernier paragraphe du deuxième chapitre.
Dans le troisième chapitre, sur l'exemple de l'entreprise de OJSC "CHHPSN-Professor", un système de protection des informations d'accès limitées, l'analyse des documents confidentiels est considérée. Les recommandations, modifications et ajouts aux travaux de bureau confidentiels formés à l'entreprise sont donnés.
Aujourd'hui, les menaces associées à un accès non autorisé à des données confidentielles peuvent avoir un impact significatif sur les activités de l'organisation. Les dommages possibles de la divulgation des secrets d'entreprise peuvent inclure à la fois des pertes financières directes, par exemple, à la suite du transfert d'informations commerciales aux concurrents et au coût de l'élimination des conséquences, de la réputation indirecte et une mauvaise réputation et une perte de projets prometteurs. Les conséquences de la perte d'un ordinateur portable avec des détails pour accéder aux comptes bancaires, les plans financiers et autres documents privés sont difficiles à sous-estimer.
L'une des menaces les plus dangereuses d'aujourd'hui est un accès non autorisé. Selon l'étude de l'Institut de sécurité informatique, 65% des entreprises ont enregistré des incidents liés à un accès non abordable aux données. De plus, en raison de l'accès non autorisé, chaque entreprise a perdu en 2014-2015. En moyenne, 353 000 $ et comparé au 2012-2013. Les pertes ont augmenté six fois. Ainsi, les pertes totales qui ont subi plus de 600 répondants, au cours de l'année ont dépassé 38 millions de dollars (voir diagramme).
Le problème est exacerbé par le fait qu'il suit souvent son vol pour un accès non autorisé à des informations confidentielles. À la suite d'une telle combinaison de deux menaces extrêmement dangereuses, les pertes de la société peuvent augmenter plusieurs fois (en fonction de la valeur des données enlevées). De plus, les entreprises sont souvent rencontrées avec les alarmes physiques des ordinateurs mobiles, à la suite desquelles elles sont mises en œuvre à la fois des menaces d'accès non autorisé et de vol d'informations sensibles. En passant, le coût de l'appareil le plus portable est souvent incomparable avec le coût des données enregistrées dessus.
Les problèmes découlant de l'entreprise en cas de fuite d'informations sont particulièrement indicatifs sur l'exemple du vol d'ordinateurs portables. Il suffit de se rappeler les incidents récents lorsque la société Ernst & Young a été kidnappée par cinq ordinateurs portables contenant la vie privée des clients de la société: Cisco, IBM, Sun Microsystems, BP, Nokia, etc. Les entreprises, etc. une détérioration de l'image et une diminution de la confiance des clients. Pendant ce temps, des difficultés similaires connaissent de nombreuses entreprises.
Ainsi, en mars 2006, Fidelity a perdu un ordinateur portable avec des données privées de 200 000 employés de HP et, en février, la société d'audit PricewaterhouseCoopers a perdu un ordinateur portable avec des informations sensibles de 4 000 patients d'un hôpital américain. Si vous continuez la liste, il y aura des sociétés si bien connues telles que la banque d'Amérique, Kodak, Ameritrade, Ameriprise, Verizon et d'autres.
Ainsi, en plus de protéger des informations confidentielles de l'accès non autorisé, les supports physiques eux-mêmes doivent être protégés. Il convient de garder à l'esprit qu'un tel système de sécurité doit être absolument transparent et non livré à l'utilisateur de difficultés lors de l'accès à des données sensibles dans un environnement d'entreprise, ni avec des travaux à distance (à la maison ou à la maison ou sur un voyage d'affaires).
Il n'y a toujours rien de plus efficace dans le domaine de la sécurité de l'information à partir d'un accès non autorisé que le cryptage des données n'est pas inventé. Sous réserve de la sécurité des clés cryptographiques, le cryptage assure une sécurité de données sensible.
Technologies de cryptage
Afin de protéger les informations provenant d'un accès non autorisé, des technologies de cryptage s'appliquent. Cependant, les utilisateurs qui n'ont pas la bonne connaissance des méthodes de cryptage peuvent survenir un faux sentiment que toutes les données sensibles sont sécurisées. Considérez les principales technologies de cryptage de données.
- Cryptage de correctif. L'utilisateur choisit les fichiers à chiffrer. Cette approche n'exige pas une intégration profonde du cryptage sur le système et permet donc aux fabricants d'outils cryptographiques d'implémenter une solution multiplateform pour Windows, Linux, Mac OS X, etc.
- Annuaires de cryptage. L'utilisateur crée des dossiers, toutes les données dans lesquelles sont cryptés automatiquement. Contrairement à l'approche précédente, le cryptage a lieu à la volée et non à la demande de l'utilisateur. En général, le cryptage des répertoires est assez pratique et transparent, bien qu'il soit basé sur tout le même cryptage d'enquête. Cette approche nécessite une interaction profonde avec le système d'exploitation. Cela dépend donc de la plate-forme utilisée.
- Cryptage des disques virtuels. Le concept de disques virtuels est mis en œuvre dans certains utilitaires de compression, tels que Stacker ou Microsoft Drivespace. Le cryptage des disques virtuels implique la création d'un grand fichier caché sur le disque dur. Ce fichier est ultérieurement disponible sur l'utilisateur sous forme de disque séparé (le système d'exploitation "voit" comme neuf disque logique). Par exemple, disque x: \\. Toutes les informations stockées sur un disque virtuel sont cryptées. La principale différence entre les approches précédentes est que le logiciel cryptographique n'a pas besoin de chiffrer chaque fichier séparément. Ici, les données sont chiffrées automatiquement uniquement lorsqu'elles sont enregistrées sur un disque virtuel ou de la lecture. Dans le même temps, travailler avec des données est effectué au niveau des secteurs (généralement en taille 512 octets).
- Cryptage de l'ensemble du disque. Dans ce cas, tout est crypté: Secteur de démarrage de Windows, tous les fichiers système et toute autre information sur le disque.
- Protection du processus de téléchargement. Si l'ensemble du disque est crypté, le système d'exploitation ne sera pas en mesure de démarrer tant que aucun mécanisme décrypte les fichiers de téléchargement. Par conséquent, le cryptage de l'ensemble du disque implique nécessairement et protéger le processus de démarrage. Habituellement, l'utilisateur doit entrer un mot de passe afin que le système d'exploitation puisse commencer. Si l'utilisateur entre correctement le mot de passe, le programme de cryptage recevra l'accès aux touches de cryptage, ce qui permettra de lire des données supplémentaires sur le disque.
Ainsi, il existe plusieurs façons de chiffrer les données. Certains d'entre eux sont moins fiables, certains sont fermement rapides et certains ne conviennent pas du tout pour protéger des informations importantes. Afin de pouvoir évaluer l'adéquation de certaines méthodes, examinez les problèmes que l'application cryptographique est confrontée lorsque la protection des données.
Caractéristiques des systèmes d'exploitation
Donnez-nous sur certaines caractéristiques des systèmes d'exploitation qui, malgré toutes leurs fonctions positives, interfèrent parfois avec une protection fiable des informations confidentielles. Ce qui suit a présenté les mécanismes système les plus courants laissant une série de «laseichs» pour un attaquant et pertinent pour les ordinateurs portables et les PDA.
- Fichiers temporaires. De nombreux programmes (y compris le système d'exploitation) utilisent des fichiers temporaires pour stocker des données intermédiaires pendant leur travail. Souvent, une copie précise du fichier ouvert du fichier est entrée dans un fichier temporaire, ce qui permet d'assurer la possibilité d'une récupération complète de données en cas de défaillance inattendue. Bien entendu, la charge utile de fichiers temporaires est importante, cependant, non cryptée, de tels dossiers portent une menace directe pour les secrets d'entreprise.
- Switch Files (ou Swap Files). La technologie des fichiers de swap est très populaire dans les systèmes d'exploitation modernes, ce qui vous permet de fournir une application à une quantité presque illimitée de RAM. Ainsi, si le système d'exploitation manque de ressources de mémoire, il enregistre automatiquement les données de la RAM sur un disque dur (dans le fichier de pagination). Une fois que le besoin est nécessaire d'utiliser les informations sauvegardées, le système d'exploitation récupère les données du fichier d'échange et, si nécessaire, place d'autres informations dans ce stockage. Tout comme dans le cas précédent, les informations secrètes du formulaire non crypté peuvent facilement entrer dans le fichier de pagination.
- Alignant des fichiers. Le système de fichiers Windows place des données dans des clusters pouvant occuper jusqu'à 64 secteurs. Même si le fichier a une longueur de plusieurs octets, cela prendra toujours un cluster entier. Le fichier volumineux sera divisé en portions, chaque taille avec une grappe du système de fichiers. Le solde de la partition (généralement les derniers octets) occupera toujours un groupe complet. Ainsi, le dernier secteur du fichier entre des informations aléatoires, qui était dans RAM RAM au moment de la rédaction d'un fichier sur le disque. Il peut y avoir des mots de passe et des clés de cryptage. En d'autres termes, le dernier groupe d'un fichier peut contenir des informations assez sensibles, allant des informations aléatoires de la RAM et se terminant par des données de messages électroniques et de documents texte précédemment stockés à cet endroit.
- Panier. Lorsque l'utilisateur supprime le fichier, Windows le déplace dans le panier. Pendant que le panier n'est pas effacé, le fichier peut être facilement restauré. Cependant, même si vous nettoyez le panier, les données resteront toujours physiquement sur le disque. En d'autres termes, des informations à distance peuvent être trouvées très souvent et restaurées (s'il n'y avait pas d'autres données sur le dessus). Pour ce faire, il existe un grand nombre de programmes d'application, certains d'entre eux sont libres et librement distribués via Internet.
- Windows de registre. Le système Windows lui-même, comme un grand nombre d'applications, stocke ses données spécifiques dans le registre du système. Par exemple, un navigateur Web enregistre les noms de domaine de ces pages visitées par l'utilisateur. Même le mot éditeur de texte enregistre le nom du fichier ouvert dans le registre. Dans ce cas, le registre est utilisé lors du chargement. En conséquence, si une méthode de cryptage commence après le chargement de Windows, les résultats de son fonctionnement peuvent être compromis.
- Système de fichiers Windows NT (NTFS). On pense que le système de fichiers avec contrôle d'accès intégré (comme dans Windows NT) est sûr. Le fait que l'utilisateur doit entrer un mot de passe pour accéder à ses fichiers personnels laisse un faux sentiment que les fichiers et les données personnels sont sécurisés. Néanmoins, même le système de fichiers avec des listes de contrôle d'accès intégrées (liste de contrôle d'accès - ACL), telle que NTFS, ne fournit absolument aucune protection contre un attaquant ayant un accès physique au disque dur ou à l'administrateur directement sur cet ordinateur. Dans les deux cas, le délinquant peut accéder aux données secrètes. Pour ce faire, il aura besoin d'un éditeur de disque peu coûteux (ou gratuit gratuit) pour lire des informations de texte sur le disque auquel il a un accès physique.
- Mode de couchage. Ce mode est très populaire sur les ordinateurs portables, car il enregistre la batterie à l'heure actuelle lorsque l'ordinateur est activé, mais non utilisé. Lorsque l'ordinateur portable passe dans l'état de veille, le système d'exploitation copie absolument toutes les données en RAM. Ainsi, lorsque l'ordinateur "se réveille", le système d'exploitation peut facilement restaurer son état précédent. De toute évidence, dans ce cas, des informations sensibles peuvent facilement obtenir sur le disque dur.
- Sections de disque dur cachées. La section cachée est une telle partition que le système d'exploitation ne montre pas du tout l'utilisateur. Certaines applications (par exemple, celles qui sont engagées dans une économie d'énergie sur les ordinateurs portables) utilisent des partitions cachées pour stocker des données en eux au lieu de fichiers sur des sections ordinaires. Avec cette approche, les informations publiées sur une section cachée ne sont pas protégées du tout et peuvent facilement être lues par n'importe qui avec un éditeur de disque.
- Espace libre et espace entre les sections. Les secteurs à la fin du disque ne s'appliquent à aucune partition, parfois ils sont affichés comme gratuits. Un autre endroit non protégé est l'espace entre les sections. Malheureusement, certaines applications, ainsi que les virus peuvent stocker leurs données. Même si vous formatez le disque dur, ces informations seront intactes. Il peut facilement être restauré.
Ainsi, afin de protéger efficacement les données, elles ne suffisent pas pour être assez cryptées. Il est nécessaire de veiller à ce que des copies d'informations secrètes «fuite» dans des fichiers temporaires et échangés, ainsi que d'autres "places secrets" du système d'exploitation, où ils sont vulnérables à un attaquant.
La pertinence de diverses approches du cryptage de données
Examinez comment différentes approches de cryptage de données Copbler avec les caractéristiques des systèmes d'exploitation.
Cryptage de fichier
Cette méthode est principalement utilisée afin d'envoyer des fichiers cryptés par e-mail ou via Internet. Dans ce cas, l'utilisateur crypte un fichier spécifique à protéger des tiers et l'envoie au destinataire. Cette approche souffre de faible vitesse, notamment lorsqu'il s'agit de grandes quantités d'informations (après tout, il est nécessaire de chiffrer chaque fichier attaché à la lettre). Un autre problème est que seul le fichier d'origine est crypté et que des fichiers temporaires et des fichiers de pagination restent complètement non protégés. La protection n'est fournie que de l'attaquant qui tente d'intercepter le message sur Internet, mais pas contre le criminel qui a volé un ordinateur portable ou PDA. Ainsi, nous pouvons conclure: le cryptage d'entrée ne protège pas les fichiers temporaires, son utilisation pour protéger les informations importantes est inacceptable. Cependant, ce concept convient à l'envoi de petites quantités d'informations via le réseau à partir de l'ordinateur à l'ordinateur.
Cryptage des dossiers
Contrairement au cryptage d'entrée, cette approche vous permet de transférer des fichiers dans le dossier où ils seront cryptés automatiquement. Travailler ainsi avec des données sécurisées est beaucoup plus pratique. Étant donné que le cryptage des dossiers est basé sur le cryptage des dossiers, les deux méthodes ne fournissent pas une protection fiable des fichiers temporaires, des fichiers de pagination, ne suppriment pas les données physiquement du disque, etc. De plus, le cryptage des répertoires affecte très économiquement les ressources de la mémoire et du processeur. Du processeur, le temps est requis pour le chiffrement constant de chiffrement / fichier, également pour chaque fichier sécurisé sur le disque, un lieu supplémentaire est donné (parfois plus de 2 Ko). Tout cela rend le cryptage de catalogue très ressources intensives et lentes. Si vous résumez, bien que cette méthode soit assez transparente, elle ne peut être recommandée de protéger des informations importantes. Surtout si l'attaquant peut accéder aux fichiers temporaires ou aux fichiers de pagination.
Cryptage de disque virtuel
Ce concept implique la création d'un fichier de grande taille caché sur le disque dur. Le système d'exploitation fonctionne avec un disque logique séparé. L'utilisateur peut placer le logiciel sur un tel disque et comprimer pour économiser de l'espace. Considérez les avantages et les inconvénients de cette méthode.
Tout d'abord, l'utilisation de disques virtuels crée une charge accrue sur les ressources du système d'exploitation. Le fait est que chaque fois que vous vous tournez vers le disque virtuel par le système d'exploitation, vous devez rediriger la demande à un autre objet physique - le fichier. Ceci est définitivement affectant négativement la performance. En raison du fait que le système n'identifie pas un disque virtuel avec les problèmes physiques, peut survenir avec la protection des fichiers temporaires et du fichier de pagination. Par rapport au cryptage du catalogue, le concept de disques virtuels a à la fois des avantages et des inconvénients. Par exemple, un disque virtuel crypté protège les noms de fichiers publiés dans des tables de fichiers virtuels. Cependant, ce disque virtuel ne peut pas être étendu aussi simple qu'un dossier ordinaire, qui est très inconfortable. Résumé, nous pouvons dire que le cryptage des disques virtuels est beaucoup plus fiable que les deux méthodes précédentes, mais cela peut laisser des fichiers temporaires sans fichiers de protection et de pagination si les développeurs ne s'en occupent pas de cela.
Cryptage de l'ensemble du disque
La base de ce concept n'est pas un cryptage postal, mais sectoriel. En d'autres termes, tout fichier enregistré sur le disque sera crypté. Les programmes cryptographiques chiffrent les données avant que le système d'exploitation les place sur le disque. Pour ce faire, le programme cryptographique intercepte toutes les tentatives d'écriture de données sur le disque physique (au niveau des secteurs) et produit des opérations de cryptage à la volée. Grâce à cette approche, les fichiers temporaires, le fichier de pagination et tous les fichiers supprimés seront cryptés. La conséquence logique de cette méthode devrait être une réduction significative du niveau global des performances du PC. Il s'agit de ce problème que de nombreux développeurs d'outils de cryptage fonctionnent, bien qu'il existe déjà des implémentations réussies de ces produits déjà. Vous pouvez résumer: le cryptage de l'ensemble du disque vous permet d'éviter ces situations où une partie des données importantes ou de leur copie exacte reste quelque part sur le disque sur le formulaire non crypté.
Protection du processus de téléchargement. Comme on l'a déjà noté, il est conseillé de protéger le processus de démarrage lorsqu'il est crypté tout le disque. Dans ce cas, personne ne peut exécuter le système d'exploitation sans passer la procédure d'authentification au début du téléchargement. Et pour cela, vous devez connaître le mot de passe. Si un attaquant a un accès physique à un disque dur avec des données secrètes, il ne sera pas en mesure de déterminer rapidement où les fichiers système cryptés sont cryptés et où sont les informations importantes. Attention doit être payée: si le logiciel cryptographique crypte tout le disque, mais ne protège pas le processus de démarrage, cela signifie qu'il ne chiffre pas les fichiers système et les secteurs de démarrage. C'est-à-dire que le disque n'est pas complètement crypté.
Ainsi, aujourd'hui, pour une protection fiable des données confidentielles sur les ordinateurs portables, utilisez la technologie de cryptage ou les disques virtuels, ou tout le disque entier. Cependant, dans ce dernier cas, il est nécessaire de veiller à ce que l'outil cryptographique ne prenne pas de ressources informatiques qu'elle interfère avec le travail des utilisateurs. Notez que les entreprises russes ne produisent pas encore des outils de cryptage de disque entièrement, bien que plusieurs produits existants existent déjà sur les marchés occidentaux. De plus, pour protéger les données sur le PDA est un peu plus facile, car, compte tenu des petits volumes d'informations stockées, les développeurs peuvent se permettre de chiffrer toutes les données, par exemple sur une carte flash.
Cryptage utilisant une authentification forte
Non seulement des technologies cryptographiques puissantes et compétentes sont nécessaires pour économiser des données fiables, mais également pour fournir un accès personnalisé. À cet égard, l'utilisation d'une authentification stricte à deux facteurs basée sur des clés matérielles ou des cartes à puce est le moyen le plus efficace de stocker des touches de cryptage, des mots de passe, des certificats numériques, etc. Pour réussir la procédure d'authentification forte, l'utilisateur doit montrer Système d'exploitation à jeton (clé USB ou carte intelligente) (par exemple, insérez-le dans l'un des ports USB de l'ordinateur ou dans un lecteur de carte à puce), puis prouvez votre propre propriété de cette clé électronique (c'est-à-dire entrer dans la le mot de passe). Ainsi, la tâche d'un attaquant qui tente d'accéder à des données sensibles est grandement compliquée: il a besoin de non seulement connaître le mot de passe, mais aussi avoir un média physique que seuls les utilisateurs légaux possèdent.
Le dispositif interne de la clé électronique implique la présence d'une puce électronique et une petite quantité de mémoire non volatile. Avec l'aide d'une puce électronique, de cryptage et de déchiffrement des données basées sur les algorithmes cryptographiques incorporés dans l'appareil. Les mots de passe, les clés électroniques, les codes d'accès et d'autres informations secrètes sont stockés dans la mémoire non volatile. La clé matérielle elle-même est protégée contre le détournement de fonds de code PIN et des mécanismes spéciaux incorporés à l'intérieur de la clé protège ce mot de passe de l'éclatage.
RÉSULTATS
Ainsi, une protection efficace des données implique l'utilisation d'outils de cryptage fiables (basés sur des technologies de disque virtuel ou sur l'ensemble du disque de l'ensemble du disque) et des moyens d'authentification forte (jetons et cartes à puce). Parmi les toilettes de chiffrement des toilettes, idéalement adapté à l'envoi de fichiers sur Internet, il convient de noter le programme PGP bien connu qui peut satisfaire à presque toutes les demandes des utilisateurs.
À l'étape actuelle du développement de la société, pas une nouvelle, mais toujours une ressource précieuse appelée information devient la plus grande valeur. L'information est aujourd'hui la principale ressource du développement scientifique et technique et socio-économique de la communauté mondiale. Pratiquement toute activité dans la société actuelle est étroitement liée à la réception, à l'accumulation, au stockage, au traitement et à l'utilisation de divers flux d'informations. L'intégrité du monde moderne en tant que communauté est fournie principalement en raison de l'échange d'informations intensives.
Par conséquent, dans les nouvelles conditions, il existe des problèmes de masse associés à la sécurité et à la confidentialité des informations commerciales en tant que type de propriété intellectuelle.
Liste des sources d'occasion et de la littérature
- Lopatin V. N. Sécurité de l'information.
- Informations Security Basics: manuel / V. A. MINAEV , S. V. Hidry , A. P. Fisun , V. E. Potanin , S. V. DVILAKIN .
- Gost st 50922-96. Protection des informations. Termes de base et définitions.
- www.intuit.ru.
Dans les camarades de classe
La position principale décrit une seule approche de la confidentialité et est le principal lien directeur, qui est obligatoire pour l'exécution de tous les employés:
- Liste des données qui constituent un mystère commercial. Liste des données confidentielles, liste des données personnelles des employés et ainsi
- Restriction de l'accès libre à ces informations
- Documents sur l'utilisation et le transfert d'informations confidentielles
- Restriction de copier des informations confidentielles sur les médias
- Si nécessaire, l'utilisation de mesures techniques / organisationnelles / de programme pour protéger les informations confidentielles qui ne violent pas la législation du pays
- La responsabilité devrait être déterminée pour le non-respect de la confidentialité
Règlements
- Droit fédéral du 20 février 1995. №24-03 "sur l'information, l'informatisation et la protection des informations"
- Loi de la Fédération de Russie du 29 juillet 2004 №98-F3 "sur le secret commercial"
- Loi de la Fédération de Russie du 10 janvier 2002. №1-F3 "sur la signature numérique électronique"
- Droit fédéral de la Fédération de Russie du 30 décembre 2001. №197-F3 "Code du travail de la Fédération de Russie"
termes
Mode de confidentialité - Mesures organisationnelles, juridiques et techniques prises par l'entreprise.
Données confidentielles - Données sur des objets, des visages, des faits, des processus, quel que soit le formulaire, qui sont des secrets commerciaux protégés par la législation du pays et des actes de réglementation et des documents de l'entreprise.
Transfert d'informations confidentielles - Le propriétaire d'une forme documentée apporte des informations confidentielles aux employés, de la manière prescrite des lois. Document confidentiel - informations confidentielles fixes avec des détails sur le support de matériau, ce qui lui permet d'identifier.
Politique de la vie privée - sont les suivants:
- Mystère commercial - type de griffon de confidentialité pour des documents contenant des données et constitue une entreprise secrète commerciale
- Données personnelles - Type de grille sur les documents contenant des données personnelles des employés
- Pour une utilisation interne - un type de griffon de confidentialité pour des documents ayant d'autres informations protégées
Marques restrictives: marques qui limitent l'accès aux données.
Diagramme des informations d'attribut à la catégorie de confidentialité
Les entreprises d'information confidentielles peuvent consister en:
- données de la détermination des secrets commerciaux
- données personnelles des employés de l'entreprise
- autres données sur lesquelles la vie privée est imposée
Les informations confidentielles peuvent être attribuées à:
- données d'événement, faits de vie de l'employé qui sont autorisés à identifier son identité
- les données automatisées sous la législation du pays entre les mains de l'entreprise
- informations techniques, organisationnelles ou autres entrepreneurs:
- qui peut avoir une valeur commerciale potentielle ou réelle
- ce qui n'est pas disponible en public
- en ce qui concerne lesquels le propriétaire voit la valeur
L'information a vraiment de valeur si elle:
- contient des informations sur l'augmentation des revenus
- en évitement des pertes
- autre avantage
- contenu dans des registres de l'État
- données sur les activités de l'entrepreneur, des licences et d'autres documents indiquant ce type d'activité
- Tout ce qui est lié au budget fédéral et que ces éléments ont été dépensés
- Sur l'état de la sécurité incendie, de l'environnement, etc.
- Sur le nombre d'employés, sur la présence de lieux libres
- Sur la dette sur les salaires et autres paiements
- sur la violation des lois du pays et de leurs conséquences
- Sur les conditions de privatisation des objets appartenant à l'État, les participants élaborent des accords de privatisation
- à propos de la liste des personnes qui ont sans possibilité d'avocat parlent au nom d'une entité juridique
Le niveau de confidentialité des données doit correspondre à la gravité des dommages pouvant être infligés ou à ses employés. Le chien comprend les coûts qui dépenseront: la restauration des droits violés, des pertes et des dommages non reçus.
Schéma d'accès pour les documents et informations confidentielles
L'admission d'employés d'entreprise à des données confidentielles est mise en œuvre à l'aide de l'ordre du directeur principal de la sécurité de l'entreprise. L'admission d'employés à des informations confidentielles n'est possible qu'après la signature du contrat de travail.
Droits des personnes admises à des informations confidentielles
Les employés qui ont admis que des informations confidentielles devraient:
- mettre en œuvre le mode de confidentialité
- ne divulguez pas d'informations confidentielles dans les trois ans suivant la fin du contrat de travail
- informer immédiatement les principales lignes directrices sur le fait de la divulgation ou de la menace bien connue pour la divulgation d'informations confidentielles
- Si l'employé est coupable dans le fait de la divulgation, devrait compenser les pertes
- Donnez à tous les transporteurs matériels à l'entreprise avec des informations confidentielles après la résiliation du contrat de travail
Employés admis à des informations confidentielles Interdit:
- parlez concernant des informations confidentielles sur des canaux de communication non protégés, utilisez des moyens de protection non documentés
- utilisez des informations confidentielles dans des articles ouverts, des performances
- réalisez des photos ou des tournages vidéo dans les chambres où des informations confidentielles sont organisées
Algorithme d'adresse de l'information confidentielle
- Comptabilisation des documents confidentiels
- Enregistrement de documents confidentiels
Le mode de confidentialité Lorsque vous travaillez dans le système d'information est déterminé par le règlement sur la procédure et l'organisation des travaux sur la protection des informations confidentielles. Lors de la mise en place d'informations confidentielles sur un support portable, une poêle à confidentialité est indiquée sur une étiquette de papier. Les documents imprimés et signés sont transmis à l'enregistrement. Chernivics sont détruits. Chaque copie du document confidentiel a la même signification que l'original. La copie est également enregistrée, a son propre numéro dans la liste globale.
La préservation des informations confidentielles devrait être mise en œuvre. Il doit être placé dans des salles spéciales d'accès limité.
Informations confidentielles Algorithme de transport à d'autres entreprises
Transférer des informations confidentielles aux contreparties est possible lors de la signature de leur "contrat de confidentialité". Si l'agent manque d'informations, il fait référence au gène. Directeur de la sécurité de l'entreprise.
Contrôle de la maintenance de la maintenance de la confidentialité
Le contrôle de la mise en œuvre du régime de confidentialité à l'entreprise est créé pour étudier et évaluer le statut de protection des données confidentielles, identifier les lacunes et identifier les violations du régime. La mise en œuvre de la mise en œuvre du mode prend en charge le gène substituant. Directeur de la sécurité de la société.
La vérification de l'exécution du régime est effectuée par la Commission (personnes individuelles) nommé gène. Directeur de l'entreprise. La Commission a le droit de connecter des spécialistes tiers en coordination avec le directeur. La vérification a le droit de respecter tous les documents, d'organiser des consultations. La division dans laquelle le chèque a été effectué met en œuvre un plan visant à éliminer les lacunes identifiées. Le plan est cohérent avec le député. gène. Directeur de la sécurité des entreprises.
Tenir une enquête de service sur les faits de la divulgation d'informations confidentielles
Pour mener une enquête de service, au plus tard le lendemain après le fait de détecter les fuites par ordre du gène. Le directeur est créé par la Commission d'au moins 3 personnes. La commission des membres a droit:
- mettre en œuvre l'inspection de la salle et des endroits où il y avait Conf. Documentation
- recueillir des employés
- attirer des personnes supplémentaires qui ne sont pas intéressées par le résultat de l'affaire en coordination du gène. Directeurs
Une enquête de service doit être effectuée autant que possible dans une courte période.
