• Gizli bilgilerin yasal olarak korunması. Gizli bilgileri korumanın yolları

    • - ticari;
    • - resmi;
    • - devlet sırları hariç kişisel (kişisel) (Rusya Federasyonu Medeni Kanunu'nun 727, 771, 1032. maddeleri, Rusya Federasyonu Gümrük Kanunu'nun 16. maddesi, 6 Mart Rusya Federasyonu Cumhurbaşkanı Kararı, 1997 No. 188 "Gizli nitelikteki bilgi listesinin onaylanması üzerine").

    Gizli bilgilerin yasal işaretleri - belgeler, yasalara uygun olarak bilgilere erişimin kısıtlanması ve yasal olarak ücretsiz erişimin olmaması.

    "Ticari sır, sahibi tarafından ticari faaliyetinin herhangi bir alanında oluşturulan ve korunan, erişimi bilgi sahibinin çıkarları doğrultusunda sınırlı olan bilgileri içeren bir sır türüdür." Ticari sır, ana sır türlerinden biridir, çünkü bir işletmenin ürün veya hizmet üretimindeki başarısı, rekabet etme yeteneği ve dolayısıyla rakiplere kıyasla kârı nasıl artırabileceğinizi görebilme yeteneği ile belirlenir.

    Ticari sır oluşturan bilgiler, Rusya Federasyonu Hükümeti'nin 05.12.91 tarih ve 35 sayılı “Ticari sır olamayacak bilgiler listesinde” Kararnamesi'nin getirdiği kısıtlamalar dışında, her türlü ticari bilgiyi içerebilir.

    Rusya'da gizli ticari bilgi haklarının korunması alanındaki mevzuat yeni şekillenmeye başlıyor. Bu alandaki ilişkilerin düzenlenmesinde yeni olan, 29 Temmuz 2004 tarihli ve 98-FZ sayılı “Ticari Sırlar Hakkında” Federal Kanunun kabul edilmesiydi.

    Kanun metnini okuduktan sonra kalan genel izlenim çelişkili olarak tanımlanabilir. Bir yandan, ticari sır oluşturan bilgilerin korunmasına ilişkin rejimi ve prosedürü ayrıntılı olarak tanımlayan birleşik bir normatif kanun ortaya çıktı. Öte yandan Kanun mükemmel olmaktan uzaktır. Kanun koyucu, oluşturulduğunda, araştırmacıların görüşüne göre ticari sırların korunmasını ve ihlal edilen hakların geri getirilmesini zorlaştıran normlar getirdi.

    Kanun, Sanatta öngörülen ticari sırlara ilişkin genel kuralların uygulanmasını hariç tutmaz. Rusya Federasyonu Medeni Kanunu'nun 139'u ve Rusya Federasyonu Medeni Kanunu ve diğer federal yasaları kaynak olarak adlandırmaktadır. Dolayısıyla Kanun, mevcut düzenleyici çerçeveyi tamamlıyor ve yalnızca kısmen onun yerine geçiyor.

    Ancak zaten ticari sır tanımını okurken Kanun ile Rusya Federasyonu Medeni Kanunu arasındaki terminolojik tutarsızlıkları görüyoruz. Kanun, ticari sır kavramını bilginin mülkiyeti yoluyla tanımlar: Ticari sır, "bilginin gizliliğidir" (Kanun'un 1. maddesi, 3. maddesi) (İngilizce güven - gizlilik). Rusya Federasyonu Medeni Kanunu, ticari sırrı öncelikle "üçüncü şahıslar tarafından bilinmemesi nedeniyle ticari değeri olan" ve gizliliğini korumak için önlemlerin uygulandığı bir tür bilgi olarak görmektedir (Rusya Federasyonu Medeni Kanunu'nun 139. Maddesi). Rusya Federasyonu). Kavramlar arasındaki tutarsızlık ilk bakışta önemsiz gibi görünse de, hukuki gücü açısından birbiriyle yarışan iki farklı tanımla karşılaştık.

    Kanun, değerli bilgilerin mevcut olduğu biçim ile bilginin içeriği arasında ayrım yapmaktadır. "Üretim sırrını (know-how) oluşturanlar da dahil olmak üzere bilimsel-teknik, teknolojik, endüstriyel, mali-ekonomik veya diğer bilgileri" içerir (Kanun'un 3. maddesinin 2. fıkrası).

    Ticari değeri olabilecek bilgi türlerinin listesi açıktır.

    Kanun hâlâ bilginin sahibine (sahibine) onun değerini bağımsız olarak belirleme hakkını vermektedir.

    Kanunda yer alan ticari sır tanımı Kanun'un niteliğini yansıtmaktadır. Ticari bilgilerin korunmasına yönelik prosedürlere ağırlık verilmektedir. Kanuna göre, ihlal edilen hakkın mahkemede korunması için gerekli asgari şartların sağlanmasını mümkün kılan, ayrıca suçun unsuru olarak yasal ve yasa dışı erişim ayrımını da yapanlar onlardır.

    Bu bakımdan Kanun'da ticari sır niteliğindeki bilginin sahibi tanımının anlaşılması güçtür. Sanatın 4. paragrafı uyarınca. Kanunun 3'üncü maddesi bu tür bilgilerin "yasal olarak" sahibi olan kişidir. Bu nedenle, bir hakkın ihlal edildiği gerçeğini kanıtlamak için, mülkiyetin yasallığını tespit etmek gerekli olacaktır. Örneğin devlet tesciline (patentler, sertifikalar) tabi olmaları durumunda ticari sır haklarını belgelemek mümkündür. Bu durumda sahibinin çıkarları patent, telif hakkı ile korunmaktadır. Ticari sır, ses ortamında kaydedilen bir anlaşma ise veya bunlar patentsiz fikirler ise, bu tür bilgilerin bulundurulmasının önceliğini ve hukuka uygunluğunu kanıtlamak oldukça zor olacaktır.

    Açıkçası, bilginin sahibiyle nesnel bağlantısını doğrulamak gerekli olacaktır. Örneğin, sahibi kuruluş, işlemleri vb. hakkındaki bilgiler, sahibi kuruluşun bir göstergesini içermeli ve Sanatın 1. bölümünün 5. paragrafında belirtildiği gibi medyadaki özel gizlilik bağlantılarıyla korunmalıdır. Kanunun 10.

    Kanun, bilginin yalnızca somut bir ortamda (Kanun'un 3. maddesinin 6. maddesi) ve özel bir sözleşme hükümlerine göre aktarılmasını ifade etmektedir. Bu bölümde Kanun, Rusya Federasyonu Medeni Kanunu'nda Sanatta verilen tanıma kıyasla gizlilik rejiminde korunan bilgi miktarını sınırlandırmaktadır. 139'unun maddi taşıyıcılarından bahsedilmiyor ancak gizli bilgilerin korunmasıyla ilgili.

    Bu nedenle, Kanunun rehberliğinde, örneğin maddi medyaya kaydedilmemiş bilgilerin ifşa edilmesi gibi davalar yasal korumanın dışında tutulur. Özellikle bu, kuruluşun ürününü tanıtmak için aldığı kararlara ilişkin bilgiler ve benzeri bilgiler olabilir.

    Bu yaklaşım bir yandan ispat sürecini basitleştirirken diğer yandan bilgi sahibinin çıkarlarını koruma olanağını sınırlamaktadır.

    Kanun ilk kez "ticari gizli rejim" kavramına bir tanım getiriyor. Ticari sırların korunmasına ilişkin hukuki gerekçeler değerlendirilirken ticari sır rejimine özel dikkat gösterilmelidir. Uyulmaması, ihlal edilen ticari sır hakkını koruma fırsatının kaybedilmesini gerektirir (Kanun'un 7. maddesinin 1. kısmı ve 10. maddesinin 2. kısmı).

    Ticari sır rejimini oluşturan koşullar sistemi çok kapsamlıdır ve ticari sırrın sahibi veya alıcısı açısından önemli maliyetler gerektirir.

    Özellikle, Sanatın 1. Bölümü. Kanunun 10'uncu maddesi şunları öngörmektedir:

    • - ticari sır oluşturan bilgi listesinin belirlenmesi;
    • - bu bilgilerin işlenmesi ve bu prosedüre uygunluğun izlenmesi için bir prosedür oluşturularak ticari sır oluşturan bilgilere erişimin kısıtlanması;
    • - ticari sır oluşturan bilgilere erişim sağlayan kişilerin ve (veya) bu bilgilerin sağlandığı veya aktarıldığı kişilerin kaydı;
    • - ticari sır oluşturan bilgilerin iş sözleşmeleri temelinde çalışanlar ve medeni hukuk sözleşmeleri temelinde karşı taraflar tarafından kullanımına ilişkin ilişkilerin düzenlenmesi;
    • - ticari sır oluşturan bilgileri içeren maddi medya (belgeler) üzerinde işaretleme, bu bilgilerin sahibini belirten "Ticari sır" damgası (tüzel kişiler için - tam ad ve yer, için) bireysel girişimciler- bireysel girişimci olan bir vatandaşın soyadı, adı, soyadı ve ikamet yeri).

    Ticari sır sahibi, gizli bilgilerin dolaşımı için belirli bir prosedür oluşturmalı ve bu dolaşımı kontrol etmek için ek personel pozisyonları sağlamalıdır. Ayrıca, büyük bir iç düzenleyici belge paketinin yeniden uyumlu hale getirilmesi veya geliştirilmesi gerekmektedir.

    Ticari sır sahibi bir kuruluşun asgari olarak:

    • - ticari sırlara ve "Ticari Sırlar" olarak adlandırılan tüm bilgi taşıyıcılarının iş akışına ilişkin düzenlemeler geliştirmek;
    • - kuruluşa ticari sırların kabulü konusunda bir emir vermek;
    • - İş sözleşmesinde, çalışanın ticari sır rejimine uyma konusundaki gönüllü yükümlülüğüne ilişkin ek koşullar sağlamak.

    Böylece Kanun bir yandan devlet organlarının, kuruluşların ekonomik faaliyetlerini kontrol etme yetkilerini genişletti. Öte yandan bilgi sahiplerinin haklarının korunması süreci de çok daha karmaşık hale geldi.

    Özel bilgilerle ilgili bilgiler genellikle bağımsız işlemlerin konusu değildir, ancak bunların açıklanması kuruluşun maddi zarar görmesine ve ticari itibarının zedelenmesine neden olabilir.

    Sistemik ihtiyaç yasal düzenleme Resmi sırların kurumsallaşmasına aşağıdakiler de dahil olmak üzere çeşitli nedenler neden olmaktadır: mevzuatta ilgili kısıtlı bilgi kategorisine yönelik birleşik bir yaklaşımın bulunmaması; kamu otoritelerinde biriken ve bireylere veya ekonomik kuruluşların faaliyetlerine ilişkin bilgilerin yasa dışı dağıtımına (satışına) ilişkin çok sayıda örnek; Devlet yetkililerinin başkanları ve devlet (belediye) çalışanları tarafından vatandaşlara, kamu kuruluşlarına ve medyaya bilgi sağlanması konusunda kendi takdirlerine bağlı olarak getirilen bilgilerin yayılmasına ilişkin kısıtlamalar.

    Kurumu artık sosyalist dönemin resmi sırrının bir benzeri olarak algılanabilen resmi bilgilerin sınırlı dağıtımını ele alma prosedürünün normatif düzenleme düzeyi, bir dizi nedenden dolayı tatmin edici sayılamaz. Bu hukuki ilişkiler grubunu düzenleyen tek normatif kanun, 3 Kasım 1994 tarih ve 1233 (DSP) Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Federal yürütme organlarında kısıtlı resmi bilgilerin işlenmesi prosedürüne ilişkin Yönetmelik" tir. Bu Yönetmelik yalnızca federal yürütme makamlarının faaliyetleri için geçerlidir, ancak benzer bilgiler herhangi bir devlet makamı ve yerel yönetim tarafından oluşturulmakta ve alınmaktadır. Birçok önemli koşullar Bilgilerin gizli bilgi olarak sınıflandırılmasına ilişkin prosedürü belirleyen, Yönetmeliklerde belirlenmemiştir ve bilgiye erişimle ilgili kısıtlamaların yalnızca federal tarafından belirlenmesi gerektiğinden, doğru kabul edilemeyen federal yürütme organlarının başkanlarının insafına verilmiştir. kanun. Bu nedenle, yasal düzenleme düzeyi açıkça yetersizdir, ayrıca Rusya Federasyonu Hükümeti'nin kararnamesi düzeyinde, özellikle uzun saklama süresine sahip bilgilerin korunması için uzun vadeli ve istikrarlı bir sistem oluşturmak imkansızdır. bir dizi medeni hukuk normunun oluşturulması söz konusu olduğunda. Bilgilerin resmi sır olarak sınıflandırılması, korunması ve bu tür bilgilerin yasa dışı yayılmasına yönelik yaptırımların uygulanması alanında düzenleyici düzenlemelerin neredeyse tamamen bulunmamasına rağmen, bu kategori çok sayıda federal yasada (yaklaşık 40) mevcuttur: Federasyon ", "Rusya Federasyonu Hükümeti Hakkında" Federal Kanun, "Rusya Federasyonu Gümrük İdarelerinde Hizmete İlişkin Federal Kanun", "Rusya Federasyonu Merkez Bankası (Rusya Bankası)" Federal Kanunu, Federal Kanun " Rusya Federasyonu Belediye Hizmetlerinin Temelleri Hakkında", "Kredi Kurumlarının Yeniden Yapılandırılmasına İlişkin Federal Kanun", "Menkul Kıymetler Piyasası" Federal Kanunu vb. Resmi sırlar, mevzuatta yer alan çeşitli hukuki yaklaşımlara yol açtı. Bu nedenle, "Kredi Kurumlarının Yeniden Yapılandırılmasına İlişkin Federal Kanun" bir kredi kurumunun resmi gizliliğinden bahseder (Madde 41), "Rusya Federasyonu'nun Malların Dış Ticaretinde Ekonomik Çıkarlarının Korunmasına İlişkin Tedbirler Hakkında Federal Kanun" "gizli" olarak dolaşır yürütme makamlarında bilgi" (Madde 18), "Rusya Federasyonu Kamu Hizmetinin Temelleri Hakkında" Federal Yasası ve diğer bazı yasalarda "resmi bilgi" terimi, "Gümrük Tarifesine İlişkin Federal Yasa" kullanılmaktadır. " Ticari sır teşkil eden bilgileri ve gizli bilgileri gümrük idaresinde dolaştırır (Madde 14). 20 Ağustos 2004 tarih ve 119-FZ sayılı Federal Kanun "Mağdurların, Tanıkların ve Cezai İşlemlere Diğer Katılımcıların Devlet tarafından Korunması Hakkında", bir dizi güvenlik önlemiyle korunan bir kişi hakkındaki bilgilerin gizliliğini sağlar.

    İçeriğindeki bu bilgiler resmi bir sır teşkil etmektedir ve bu bilgilerin imhasına yönelik mekanizmaların yasal olarak güçlendirilmesi, söz konusu Federal Yasanın uygulanmasına yardımcı olacaktır. Bu örnekler, resmi bilgilerin korunması kurumunun sadece terminolojisinin değil içeriğinin de mevzuata açıkça yansımadığını göstermektedir.

    Gizli bilgilerin yapısı ve farklı sır türlerinin oranı sorunu mevzuatta farklı şekillerde çözülmektedir. Bu bağlamda, sistemik gerekçelerle ilgili bilgilerin pratik olarak ticari bir sır ile birleştirildiği Rusya Federasyonu Medeni Kanunu'nun 139. Maddesi normlarına "resmi sır" kategorisinin dahil edilmesi özellikle endişe vericidir; Sağlam bir hukuki mantık izlendiğinde, doğası gereği bilgiye erişimi kısıtlayan bu sistemlerin farklı olması gerekir. Ülkenin elektronik pazarlarında ve istenmeyen e-posta mesajları ("spam" olarak adlandırılan) gönderilerek, kişi ve kuruluşlara ilişkin bilgilerin yer aldığı veritabanlarını (DB) içeren CD'ler kontrolsüz bir şekilde dağıtılmaktadır. Örneğin, "Gümrük", trafik polisi, BTI (Teknik Envanter Bürosu), "Oturma izni", "Dış ekonomik faaliyet", EGRP (İşletmelerin birleşik devlet kaydı), "Apartman sahipleri", "Bireylerin geliri" veritabanı , "İçişleri Bakanlığı'nın kart dosyası" (mahkumiyet vb.), OVIR (kayıtlı pasaportlar), "DB" Adalet Bakanlığı "," Sirena "(bireylerin Rus demiryolu taşımacılığı ile taşınması), nakit dışı ödemelere ilişkin veri tabanı Tedarikçileri ve tüketicileri olan işletmelerin ve diğerlerinin.Bu tür bilgilerin devlet yetkililerinin katılımı olmadan pazara ulaşamayacağı açıktır.

    Şu anda yasa koyucular, bu tür bilgilerin korunmasını düzenleyen "Resmi Sırlar Hakkında" bir yasa tasarısı hazırladılar.

    Kişisel (kişisel) veriler; bireyin soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal durumu, mülkiyet durumu, eğitimi, mesleği, gelirini içerir. Kişisel verilerin bileşimi aynı zamanda bir işe (hizmete) girme, onun geçişi ve işten çıkarılmasına ilişkin bilgileri de içerecektir; sahibinin eşi, çocukları ve diğer aile üyelerine ilişkin veriler, memurun ikamet yerini, posta adresini, telefonunu ve diğer bireysel iletişim araçlarını ve ayrıca karısını (eşi), çocuklarını ve çocuklarını belirlemeye izin veren veriler ve Ailenin diğer üyeleri, bir memurun sahip olduğu veya kullandığı gayrimenkullerin konumunu belirlemeye olanak sağlayan veriler, gelir, mülk ve mülkiyet niteliğindeki yükümlülükler hakkında bilgiler, özel hayata ilişkin gerçekler, olaylar ve koşullar hakkında bilgiler kişiliğini tanımlamaya izin veren bir vatandaş, medeni durum kanununun devlet tescili ile bağlantılı olarak medeni durumu kayıt makamı çalışanı tarafından bilinen bilgiler, dil yeterliliği (ana dil, Rus dili, başka bir dil veya diğer diller), genel eğitim (ilköğretim genel, temel genel, orta (tam) genel) ve mesleki (ilköğretim mesleki, orta mesleki, yüksek mesleki, lisansüstü profesyonel), barınma koşulları (konut türü, evin yapım süresi, toplamın büyüklüğü ve yaşam alanı, oturma odası sayısı, konutun iyileştirme türleri), geçim kaynakları (işten veya diğer mesleklerden elde edilen gelir, engellilik aylığı dahil emeklilik, burs, ödenek, diğer tür devlet güvenliği, diğer geçim kaynakları). Kanun koyucu, kişisel verileri, sunum biçimine bakılmaksızın açık bir bilgi listesi olarak tanımlayarak, sahibinin yaşam yolunun belirli bir aşamasında sosyal statüsü değiştikçe bunları genişletme olasılığını korur.

    Kişisel veriler, gizli bilgi kategorisine aittir; bu, ona ücretsiz erişimin bulunmadığını ve korunması için etkili bir sistemin varlığını ima eder. Kişisel verilerin gizli bilgi kategorisine dahil edilmesi, bilgilerin yok edilmesine, değiştirilmesine, çarpıtılmasına, kopyalanmasına, engellenmesine yönelik yetkisiz eylemlerin önlenmesini ve bir vatandaşın mahremiyetine diğer yasa dışı müdahale biçimlerinin önlenmesini amaçlamaktadır.

    Kişisel veri koruma sistemi oluşturmanın yasal dayanağı, Rusya Federasyonu Anayasası hükümleridir. 22 ve 23. maddeler, bireyin özel hayata ilişkin temel haklarını ilan eden kuralları içermektedir. Mahremiyet, kişisel ve aile sırları hakkını korurlar. Bir kişinin özel hayatına ilişkin bilgilerin rızası olmadan toplanması, saklanması, kullanılması ve yayılması yasaktır.

    Kişisel verilerin işlenmesinin yasal temelini oluşturan yasa koyucu, işlenmesi sürecinde kişisel verilerle çalışmanın temel ilkelerini içeren uluslararası hukuk normlarını temel alır. Başlangıçta bu ilkeler, ilgili ulusal mevzuat için birleştirici ilke haline gelen ETS N 108 (28 Ocak 1981) sayılı "Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Uluslararası Sözleşme"de yer aldı. Daha sonra kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımına ilişkin bireylerin haklarının korunmasına ilişkin 24 Ekim 1995 tarih ve 95/46/EC sayılı Avrupa Birliği ve Parlamento Direktifi'nde kişisel veri koruma sistemi geliştirildi ve Telekomünikasyon sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin 15 Aralık 1997 tarih ve 97/66/EC sayılı Direktif. Bu belgeler, otomatik veritabanlarında biriken kişisel verilerin kazara veya yetkisiz imha veya kazara kaybolmanın yanı sıra yetkisiz erişim, değişiklik veya dağıtıma karşı korunmasına yönelik temel önlemlerin bir listesini içerir.

    Kişisel verilerin gizliliğini koruyan ana federal yasa, 27 Temmuz 2006'da kabul edilen "Kişisel Verilere İlişkin" yasadır.

    Kanun, kişisel verilerin işlenmesine ilişkin usul ve şartları belirlemektedir. Kişisel veri sahibinin rızası olmaksızın kişisel verilerin işlenmesine ilişkin genel bir yasak getiren Kanun, rızanın gerekli olmadığı halleri de düzenlemektedir.

    Özel nitelikli kişisel verilerin (ırk, tabiiyet, siyasi görüş, dini veya felsefi inanç, sağlık durumu, özel hayata ilişkin bilgiler) işlenmesine ilişkin ilişkiler ayrıca düzenlenmektedir. Kişisel verilerin kamuya açık olduğu durumlar haricinde, kişisel verilerin konusunun önceden izni olmadan bu bilgi kategorilerinin işlenmesine izin verilmez, verilerin işlenmesi kişinin yaşamını ve sağlığını sağlamak için gereklidir; işleme, adaletin idaresi ve diğer koşullarla bağlantılı olarak gerçekleştirilir.

    Kişisel verilerin konusunun haklarının en önemli garantisi, kişisel verilere erişim sağlayan operatörlerin ve üçüncü tarafların gizliliklerini sağlama yükümlülüğü (kişisellikten arındırma ve kamuya açık kişisel veriler hariç) ve aynı zamanda haktır. kişisel verilerin konusunun, adli bir işlemde zararlar ve (veya) manevi zararın tazmin edilmesi de dahil olmak üzere haklarını ve meşru çıkarlarını korumak için. Kişisel verilerin işlenmesine ilişkin kontrol ve denetim, bilgi teknolojisi ve iletişim alanında ilgili hak ve yükümlülüklerle donatılmış kontrol ve denetim işlevlerini yerine getiren federal yürütme organına verilmiştir. Özellikle yetkili organ, kişisel verilerin işlenmesine ilişkin bilgi sistemini kontrol etme, yanlış veya yasa dışı olarak elde edilen kişisel verilerin engellenmesi, silinmesi için gereklilikler getirme, kişisel verilerin işlenmesine ilişkin kalıcı veya geçici bir yasak koyma, süreçte soruşturma yapma hakkına sahiptir. Kanun ihlallerine ilişkin idari işlemler. Kişisel veri sahiplerinin haklarının yeterli düzeyde korunmasının sağlanması gereken sınır ötesi veri aktarımı ilkeleri oluşturulmuştur.

    Kanun koyucu, yukarıda sayılan kanunların yanı sıra, kişisel veriler alanına ilişkin diğer kanunları da mevzuat sistemine dahil etmektedir:

    Rusya Federasyonu İş Kanunu'nun 14. bölümünde, bir çalışanın kişisel verilerinin korunmasına ilişkin temel gereklilikler belirlenmiştir. Bir çalışanın iş nitelikleri için işe alınması, belirli bir pozisyonu işgal etmek için gerekli olan önceden belirlenmiş kriterleri yeterince tam olarak ortaya koyacak şekilde, çalışan hakkında belirli bilgi toplama yöntemlerinin kullanılmasını içerir; yani işveren, çalışanın kişisel verilerini fiilen toplar;

    Malların ve araçların gümrük sınırı boyunca hareketi ile ilgili faaliyetlerde bulunan veya gümrük alanında faaliyetlerde bulunan kişilerin kişisel verilerinin işlenmesine ilişkin prosedürü düzenleyen 28 Mayıs 2003 tarihli Rusya Federasyonu Gümrük Kanunu N 61-FZ gümrük kontrolünün yürütülmesi ve gümrük ödemelerinin tahsili amacıyla işler;

    27 Temmuz 2006 tarih ve 149-FZ sayılı Federal Kanun "Bilgi Hakkında, Bilişim teknolojisi Bilgilerin Korunması Hakkında Kanun, kişisel verilerin genel bir tanımını vermekte, kişisel verilere ilişkin faaliyetlerin hukuki düzenlenmesinin temel ilkelerini ortaya koymakta ve bunların gizliliğinin ihlali sorumluluğunun yanı sıra sivil toplum kuruluşlarına lisans verme yükümlülüğünü de getirmektedir. ve kişilerin kişisel verilerinin işlenmesi ve sağlanmasına ilişkin faaliyetler için;

    15 Kasım 1997 tarih ve 143-FZ sayılı Federal Kanun "Medeni statü eylemleri hakkında", medeni durum eylemlerinin kaydedilmesi sürecinde gizli bilgilerin korunmasına ilişkin prosedürü düzenler.

    Ayrıca, kişisel verilerle çalışmanın yasal düzenlenmesi konuları, 22 Ekim 2004 tarihli N 125-FZ "Rusya Federasyonu'nda Arşivleme Hakkında", 12 Ağustos 1995 N 144-FZ "Operasyonel Soruşturma Hakkında" Federal Kanunlarında ele alınmaktadır. Faaliyetler", 12 Haziran 2002 tarihli N 67-FZ "Seçim haklarının temel garantileri ve Rusya Federasyonu vatandaşlarının referanduma katılma hakkı hakkında", Rusya Federasyonu Vergi Kanunu, Rusya Federasyonu mevzuatının temelleri Rusya Federasyonu vatandaşların sağlığının korunmasına ilişkin 22 Temmuz 1993 N 5487-1, 21 Temmuz 1993 Rusya Federasyonu Kanunları N 5485-1 "Devlet Sırları Hakkında", 28 Mart 1998 N 53-FZ " Askerlik ve askerlik hizmeti hakkında", 1 Nisan 1996 tarihli Federal Kanunlar N 27-FZ "Zorunlu Emeklilik Sigortası Sisteminde Bireysel (Kişiselleştirilmiş) Muhasebe Hakkında", 8 Ağustos 2001 tarihli N 129-FZ "Yasal Devlet Tescili Hakkında" Kuruluşlar ve Bireysel Girişimciler" ve diğer birkaç kişi. Rusya Federasyonu Medeni Kanunu'nun 152. maddesi vatandaşın onurunu, haysiyetini ve ticari itibarını korur. Sanatta Rusya Federasyonu Ceza Kanunu'nda. 137, "bir kişinin kişisel veya aile sırrını oluşturan özel hayatı hakkındaki bilgilerin yasa dışı toplanması veya yayılması nedeniyle" cezai sorumluluk kurar.

    Günümüzde gizli verilere yetkisiz erişimle ilgili tehditler, bir kuruluşun faaliyetleri üzerinde önemli bir etkiye sahip olabilir. Kurumsal sırların ifşa edilmesinden kaynaklanabilecek olası zararlar, örneğin ticari bilgilerin rakiplere aktarılması ve ortaya çıkan sonuçların ortadan kaldırılmasının maliyeti gibi doğrudan mali kayıpları ve dolaylı olanları (kötü itibar ve kayıp) içerebilir. umut verici projeler arasında yer alıyor. Banka hesaplarına, mali planlara ve diğer özel belgelere erişim ayrıntılarının bulunduğu dizüstü bilgisayarı kaybetmenin sonuçları göz ardı edilemez.

    Günümüzün en tehlikeli tehditlerinden biri Yetkisiz Erişim. Enstitü tarafından yapılan bir araştırmaya göre bilgisayar Güvenliği Geçen yıl şirketlerin %65'i verilere yetkisiz erişimle ilgili olaylar kaydetti. Üstelik izinsiz erişim nedeniyle 2014-2015'te her firma zarara uğradı. ortalama 353 bin dolar ve 2012-2013 ile karşılaştırıldığında. Kayıplar altı kat arttı. Böylece, ankete katılan 600'den fazla firmanın uğradığı toplam kayıp yıl içinde 38 milyon doları aştı (tabloya bakınız).

    Sorun, gizli bilgilere yetkisiz erişimin sıklıkla hırsızlığa uğraması nedeniyle daha da kötüleşiyor. Son derece tehlikeli iki tehdidin bu şekilde bir araya gelmesi sonucunda şirketin kayıpları (çalınan verilerin değerine bağlı olarak) birkaç kat artabilir. Ayrıca firmalar sıklıkla fiziksel hırsızlıkla karşı karşıya kalıyor. mobil bilgisayarlar Bunun sonucunda hem yetkisiz erişim tehditleri hem de hassas bilgilerin çalınması gerçekleştirilir. Bu arada, maliyeti taşınabilir cihaz genellikle üzerine kaydedilen verilerin maliyetiyle karşılaştırılamaz.

    Bilgi sızıntısı durumunda işletmede ortaya çıkan sorunlar özellikle dizüstü bilgisayar hırsızlığının göstergesidir. Ernst & Young'dan birkaç ay içinde şirketin müşterilerinin (Cisco, IBM, Sun Microsystems, BP, Nokia, vb.) özel bilgilerini içeren beş dizüstü bilgisayarın çalındığı son olayları hatırlamak yeterli. ölçülmesi zor olan durum, en yüksek derecede imajda bozulma ve müşteri güveninde azalma olarak kendini gösterdi. Bu arada pek çok şirket de benzer sıkıntılar yaşıyor.

    Böylece, Mart 2006'da Fidelity, 200.000 HP çalışanının özel verilerinin bulunduğu bir dizüstü bilgisayarı kaybetti ve Şubat ayında bir denetim şirketi olan PricewaterhouseCoopers, bir Amerikan hastanesindeki 4.000 hastanın hassas bilgilerinin bulunduğu bir dizüstü bilgisayarı kaybetti. Listeye devam edersek Bank of America, Kodak, Ameritrade, Ameriprise, Verizon ve diğerleri gibi tanınmış şirketler bu listeye girecek.

    Bu nedenle, gizli bilgileri yetkisiz erişimden korumanın yanı sıra, gizli bilgileri de korumak gerekir. fiziksel ortam. Aynı zamanda böyle bir güvenlik sisteminin kesinlikle şeffaf olması ve hem kurumsal ortamda hem de uzaktan çalışırken (evde veya iş gezisinde) hassas verilere erişirken kullanıcıya zorluk çıkarmaması gerektiği unutulmamalıdır.

    Şimdiye kadar, bilgileri yetkisiz erişimden koruma alanında veri şifrelemeden daha etkili bir şey icat edilmedi. Kriptografik anahtarların korunması koşuluyla şifreleme, hassas verilerin güvenliğini garanti eder.

    Şifreleme teknolojileri

    Bilgiyi yetkisiz erişime karşı korumak için şifreleme teknolojileri kullanılır. Ancak şifreleme yöntemleri hakkında yeterli bilgiye sahip olmayan kullanıcılar, tüm hassas verilerin güvende olduğu yönünde yanlış bir izlenim edinebilir. Ana veri şifreleme teknolojilerini göz önünde bulundurun.

    • Dosya başına şifreleme. Kullanıcı şifrelenecek dosyaları seçer. Bu yaklaşım, şifreleme aracının sisteme derinlemesine entegrasyonunu gerektirmez ve dolayısıyla kriptografik araç üreticilerinin Windows, Linux, MAC OS X vb. için çoklu platform çözümü uygulamasına olanak tanır.
    • Dizin şifreleme. Kullanıcı, tüm verilerin otomatik olarak şifrelendiği klasörler oluşturur. Önceki yaklaşımın aksine, şifreleme kullanıcının isteği üzerine değil, anında gerçekleşir. Genel olarak, dizin şifrelemesi oldukça kullanışlı ve şeffaftır, ancak her dosya için aynı şifrelemeyi temel alır. Bu yaklaşım, işletim sistemiyle derin etkileşim gerektirir ve dolayısıyla kullanılan platforma bağlıdır.
    • Sanal disklerin şifrelenmesi. Sanal disk kavramı, Stacker veya Microsoft DriveSpace gibi bazı sıkıştırma yardımcı programlarında uygulanmaktadır. Sanal diskleri şifrelemek, büyük bir disk oluşturmayı içerir. gizli dosya sabit diskte. Bu dosya daha sonra kullanıcıya ayrı bir sürücü olarak sunulur (işletim sistemi onu yeni bir mantıksal sürücü olarak "görür"). Örneğin, X:\ sürücüsünü kullanın. Sanal diskte saklanan tüm bilgiler şifrelenir. Önceki yaklaşımlardan temel farkı, şifreleme yazılımının her dosyayı ayrı ayrı şifrelemesine gerek olmamasıdır. Burada veriler yalnızca yazıldığında otomatik olarak şifrelenir. sanal disk veya ondan okuyun. Bu durumda verilerle çalışma sektör düzeyinde (genellikle 512 bayt boyutunda) gerçekleştirilir.
    • Tüm disk şifrelemesi. Bu durumda kesinlikle her şey şifrelenir: Windows önyükleme sektörü, her şey sistem dosyaları ve diskteki diğer bilgiler.
    • İndirme işleminin korunması. Diskin tamamı şifrelenmişse, bazı mekanizmalar önyükleme dosyalarının şifresini çözene kadar işletim sistemi başlatılamayacaktır. Bu nedenle, diskin tamamının şifrelenmesi zorunlu olarak önyükleme işleminin korunması anlamına gelir. Tipik olarak, işletim sisteminin başlaması için kullanıcının bir şifre girmesi gerekir. Kullanıcı şifreyi doğru girerse, şifreleme programı şifreleme anahtarlarına erişebilecek ve diskten daha fazla veri okunabilmesine olanak tanıyacaktır.

    Bu nedenle verileri şifrelemenin birkaç yolu vardır. Bazıları daha az güvenilir, bazıları daha hızlı, bazıları ise hassas bilgilerin korunmasına hiç uygun değil. Belirli yöntemlerin uygunluğunu değerlendirebilmek için, bir şifreleme uygulamasının verileri korurken karşılaştığı sorunları göz önünde bulundurun.

    İşletim sistemlerinin özellikleri

    Tüm olumlu işlevlerine rağmen bazen yalnızca gizli bilgilerin güvenilir bir şekilde korunmasına müdahale eden işletim sistemlerinin bazı özellikleri üzerinde duralım. Aşağıdakiler, saldırgan için bir dizi "boşluk" bırakan ve hem dizüstü bilgisayarlar hem de PDA'lar için geçerli olan en yaygın sistem mekanizmalarıdır.

    • Geçici dosyalar. Birçok program (işletim sistemi dahil), çalışmaları sırasında ara verileri depolamak için geçici dosyalar kullanır. Çoğu zaman, program tarafından açılan dosyanın tam bir kopyası geçici bir dosyaya girilir, bu da şunları mümkün kılar: Tam iyileşme beklenmeyen arızalar durumunda veriler. Elbette geçici dosyaların yükü büyüktür, ancak şifrelenmemiş oldukları için bu tür dosyalar kurumsal sırlara doğrudan tehdit oluşturur.
    • Dosyaları değiştirin (veya dosyaları değiştirin). Modern işletim sistemlerinde çok popüler olan, herhangi bir uygulamaya neredeyse sınırsız miktarda RAM sağlamanıza olanak tanıyan takas dosyaları teknolojisidir. Dolayısıyla, işletim sistemi yeterli bellek kaynağına sahip değilse, verileri otomatik olarak RAM'den sabit diske (disk belleği dosyasına) yazar. Saklanan bilgilerin kullanılmasına ihtiyaç duyulduğu anda, işletim sistemi takas dosyasından verileri alır ve gerekirse diğer bilgileri bu depoya yerleştirir. Önceki durumda olduğu gibi, şifrelenmemiş gizli bilgiler kolayca takas dosyasına girebilir.
    • Dosya hizalaması. Dosya Windows sistemi Verileri 64 sektöre kadar yayılabilen kümelere yerleştirir. Dosya birkaç bayt uzunluğunda olsa bile kümenin tamamını kaplayacaktır. Dosya büyük beden her biri bir dosya sistemi kümesi boyutunda olan parçalara bölünecektir. Bölmenin geri kalanı (genellikle son birkaç bayt) yine de kümenin tamamını kaplayacaktır. Böylece dosyanın son sektörü, dosyanın diske yazıldığı sırada bilgisayarın RAM'inde bulunan bilgileri rastgele alır. Şifreler ve şifreleme anahtarları olabilir. Başka bir deyişle, herhangi bir dosyanın son kümesi, RAM'den gelen rastgele bilgilerden, e-postalardan gelen verilere kadar oldukça hassas bilgiler içerebilir. metin belgeleri daha önce bu konumda depolananlar.
    • Sepet. Kullanıcı bir dosyayı sildiğinde, Windows onu çöp kutusuna taşır. Geri dönüşüm kutusu boşaltılmadığı sürece dosya kolaylıkla geri yüklenebilir. Ancak Geri Dönüşüm Kutusu'nu boşaltsanız bile veriler fiziksel olarak diskte kalmaya devam eder. Başka bir deyişle, silinen bilgiler sıklıkla bulunup kurtarılabilmektedir (üzerine başka bir veri yazılmamışsa). Bunun için pek çok Uygulama programları, bazıları ücretsizdir ve İnternet üzerinden serbestçe dağıtılır.
    • Windows kayıt defteri. Windows sisteminin kendisi gibi çok sayıda uygulamalar, belirli verilerini sistem kayıt defterinde saklar. Örneğin, bir web tarayıcısı kayıt defterinde depolanır alan isimleri Kullanıcının ziyaret ettiği sayfalar. Eşit metin kelime editörü son açılan dosyanın adını kayıt defterine kaydeder. Bu durumda kayıt defteri, önyükleme sırasında işletim sistemi tarafından kullanılır. Buna göre, Windows başlatıldıktan sonra herhangi bir şifreleme yöntemi başlatılırsa, çalışmalarının sonuçları tehlikeye girebilir.
    • Windows NT dosya sistemi (NTFS). Yerleşik erişim kontrolüne sahip bir dosya sistemi (Windows NT'deki gibi) güvenli kabul edilir. Bir kullanıcının kişisel dosyalarına erişim sağlamak için şifre girmesi gerektiği gerçeği, kişisel dosya ve verilerin güvende olduğu yönünde yanlış bir izlenim bırakıyor. Bununla birlikte, NTFS gibi yerleşik Erişim Kontrol Listelerine (ACL'ler) sahip bir dosya sistemi bile, belirli bir bilgisayardaki sabit sürücüye veya yönetici haklarına fiziksel erişimi olan bir saldırgana karşı kesinlikle hiçbir koruma sağlamaz. Her iki durumda da suçlu hassas verilere erişebilir. Bunu yapmak için, fiziksel erişiminin olduğu diskteki metin bilgilerini okuyabilecek ucuz (veya genellikle ücretsiz) bir disk düzenleyicisine ihtiyacı olacaktır.
    • Uyku modu. Bu mod, bilgisayar açıkken ancak kullanılmadığında pil gücünden tasarruf sağladığı için dizüstü bilgisayarlarda çok popülerdir. Dizüstü bilgisayar uyku moduna geçtiğinde, işletim sistemi RAM'deki tüm verileri kesinlikle diske kopyalar. Böylece bilgisayar uyandığında işletim sistemi kolaylıkla eski durumuna dönebilir. Açıkçası, bu durumda hassas bilgiler sabit sürücüye kolayca girebilir.
    • Gizli Bölümler sabit disk. Gizli bölüm, işletim sisteminin kullanıcıya hiç göstermediği bir bölümdür. Bazı uygulamalar (dizüstü bilgisayarlarda güç tasarrufu yapmak için kullanılanlar gibi), verileri depolamak için normal bölümlerdeki dosyalar yerine gizli bölümleri kullanır. Bu yaklaşımla, yayınlanan bilgiler gizli bölüm, hiçbir şekilde korunmaz ve disk düzenleyici kullanan herkes tarafından kolaylıkla okunabilir.
    • Boş alan ve bölümler arasındaki boşluk. Diskin en ucundaki sektörler herhangi bir bölüme ait değildir, bazen boş olarak görüntülenirler. Korunmasız bir diğer yer ise bölümler arasındaki boşluktur. Ne yazık ki bazı uygulamalar ve virüsler verilerini burada saklayabilir. Sabit sürücüyü biçimlendirseniz bile bu bilgiler bozulmadan kalacaktır. Kolayca geri yüklenebilir.

    Bu nedenle verileri etkili bir şekilde korumak için yalnızca şifrelemek yeterli değildir. Gizli bilgilerin kopyalarının geçici ve takas dosyalarına ve ayrıca saldırganlara karşı savunmasız oldukları işletim sisteminin diğer "gizli yerlerine" "sızmamasını" sağlamak için dikkatli olunmalıdır.

    Çeşitli veri şifreleme yaklaşımlarının uygunluğu

    Veri şifrelemeye yönelik farklı yaklaşımların işletim sistemlerinin özelliklerini nasıl ele aldığına bakalım.

    Dosya başına şifreleme

    Bu yöntem esas olarak şifrelenmiş dosyaları e-posta veya İnternet üzerinden göndermek için kullanılır. Bu durumda kullanıcı, üçüncü taraflardan korunması gereken belirli bir dosyayı şifreleyerek alıcıya gönderir. Bu yaklaşım, özellikle büyük miktarda bilgi söz konusu olduğunda düşük hızdan muzdariptir (sonuçta, mektuba eklenen her dosyanın şifrelenmesi gerekir). Diğer bir sorun ise yalnızca orijinal dosyanın şifrelenmesi, geçici dosyaların ve takas dosyasının ise tamamen korumasız kalmasıdır; dolayısıyla koruma yalnızca İnternet'teki bir mesajı ele geçirmeye çalışan bir saldırgana karşı sağlanır, ancak dizüstü bilgisayar veya bilgisayar çalan bir suçluya karşı sağlanamaz. PDA. Dolayısıyla, dosya bazında şifrelemenin geçici dosyaları korumadığı ve önemli bilgileri korumak için kullanılmasının kabul edilemez olduğu sonucuna varabiliriz. Ancak bu kavram, ağ üzerinden bilgisayardan bilgisayara küçük miktardaki bilgilerin gönderilmesi için uygundur.

    Klasör şifreleme

    Dosya başına şifrelemenin aksine, bu yaklaşım, dosyaları otomatik olarak şifrelenecekleri bir klasöre aktarmanıza olanak tanır. Böylece korunan verilerle çalışmak çok daha uygundur. Klasör şifrelemesi dosya bazında şifrelemeye dayandığından, her iki yöntem de geçici dosyalar, disk belleği dosyaları için güvenilir koruma sağlamaz, verileri diskten fiziksel olarak silmez, vb. Üstelik dizin şifreleme, bellek ve işlemci kaynaklarının çok israfına neden olur. İşlemcinin sürekli olarak dosyaları şifrelemesi/şifresini çözmesi zaman alır ve korunan her dosya için ek disk alanı ayrılır (bazen 2 kb'den fazla). Bütün bunlar dizin şifrelemesini çok kaynak yoğun ve yavaş hale getirir. Özetle bu yöntem oldukça şeffaf olmasına rağmen hassas bilgilerin korunması açısından önerilmez. Özellikle saldırgan geçici dosyalara erişebiliyor veya dosyaları değiştirebiliyorsa.

    Sanal disklerin şifrelenmesi

    Bu konsept, sabit sürücüde bulunan büyük bir gizli dosyanın oluşturulmasını içerir. İşletim sistemi bunu ayrı bir dosya olarak ele alıyor mantıksal sürücü. Kullanıcı yazılımı böyle bir sürücüye yerleştirebilir ve yerden tasarruf etmek için onu sıkıştırabilir. Bu yöntemin avantajlarını ve dezavantajlarını düşünün.

    Her şeyden önce, sanal disklerin kullanımı işletim sisteminin kaynakları üzerinde artan bir yük oluşturur. Gerçek şu ki, işletim sistemi bir sanal diske her eriştiğinde, isteği başka bir fiziksel nesneye, bir dosyaya yönlendirmek zorundadır. Bu da elbette performansı olumsuz etkiliyor. Sistemin sanal diski fiziksel diskle tanımlamaması nedeniyle, geçici dosyaların ve disk belleği dosyasının korunmasında sorunlar ortaya çıkabilir. Dizin şifrelemeyle karşılaştırıldığında sanal disk kavramının hem artıları hem de eksileri vardır. Örneğin, şifrelenmiş bir sanal disk, sanal dosya tablolarında bulunan dosya adlarını korur. Ancak bu sanal disk normal bir klasör kadar kolay genişletilemez ve bu da oldukça sakıncalıdır. Özetle, sanal disk şifrelemenin önceki iki yönteme göre çok daha güvenilir olduğunu söyleyebiliriz ancak geliştiriciler özellikle bununla ilgilenmezse geçici dosyaları ve takas dosyalarını korumasız bırakabilir.

    Tüm disk şifreleme

    Bu kavram dosya bazında değil, sektör bazında şifrelemeye dayanmaktadır. Başka bir deyişle diske yazılan her dosya şifrelenecektir. Şifreleme programları, işletim sistemi verileri diske koymadan önce verileri şifreler. Bunu yapmak için, şifreleme programı işletim sisteminin veri yazmaya yönelik tüm girişimlerini engeller. fiziksel disk(sektör düzeyinde) ve şifreleme işlemlerini anında gerçekleştirir. Bu yaklaşım sayesinde geçici dosyalar, takas dosyası ve her şey de şifrelenecektir. silinen dosyalar. Bu yöntemin mantıksal sonucu, genel bilgisayar performansı düzeyinde önemli bir düşüş olmalıdır. Bu tür ürünlerin zaten birkaç başarılı uygulaması olmasına rağmen, birçok şifreleme aracı geliştiricisinin üzerinde çalıştığı sorun budur. Özetlemek gerekirse, tam disk şifreleme, önemli verilerin herhangi bir kısmının veya tam bir kopyasının diskin herhangi bir yerinde şifrelenmemiş halde kalması durumlarını önler.

    İndirme işleminin korunması. Daha önce de belirtildiği gibi, diskin tamamını şifrelerken önyükleme işleminin korunması tavsiye edilir. Bu durumda hiç kimse, önyükleme başlangıcında kimlik doğrulama prosedürünü uygulamadan işletim sistemini başlatamaz. Ve bunun için şifreyi bilmeniz gerekiyor. Bir saldırganın gizli verilere sahip bir sabit sürücüye fiziksel erişimi varsa, şifrelenmiş sistem dosyalarının nerede olduğunu ve nerede olduğunu hızlı bir şekilde belirleyemez. önemli bilgi. Şifreleme yazılımı tüm diski şifreliyor ancak önyükleme işlemini korumuyorsa sistem dosyalarını ve önyükleme sektörlerini şifrelemediğini unutmayın. Yani disk tam olarak şifrelenmemiştir.

    Bu nedenle, günümüzde dizüstü bilgisayarlardaki gizli verileri güvenilir bir şekilde korumak için, sanal diskler için veya diskin tamamı için şifreleme teknolojisini kullanmalısınız. Ancak ikinci durumda, şifreleme aracının bilgisayar kaynaklarını kullanıcıların çalışmasına müdahale edecek kadar fazla kullanmadığından emin olmanız gerekir. Batı pazarlarında bu tür birkaç ürün mevcut olmasına rağmen, Rus şirketlerinin henüz tam disk şifreleme araçları üretmediğini unutmayın. Ek olarak, bir PDA'daki verileri korumak biraz daha kolaydır, çünkü az miktarda depolanan bilgi nedeniyle, geliştiriciler genel olarak tüm verileri, örneğin bir flash kartta şifrelemeyi karşılayabilirler.

    Güçlü kimlik doğrulama kullanarak şifreleme

    Güvenilir veri depolama, yalnızca güçlü ve iyi uygulanmış şifreleme teknolojilerini değil, aynı zamanda kişiselleştirilmiş erişim sağlama araçlarını da gerektirir. Bu bağlamda, donanım anahtarlarına veya akıllı kartlara dayalı güçlü iki faktörlü kimlik doğrulamanın kullanılması, şifreleme anahtarlarını, parolaları, dijital sertifikaları vb. saklamanın en etkili yoludur. Güçlü kimlik doğrulama prosedürünü başarıyla geçmek için kullanıcının bir belirteç sunması gerekir. (USB anahtarı veya akıllı kart). kartı) işletim sistemine bağlayın (örneğin, onu bilgisayarın USB bağlantı noktalarından birine veya akıllı kart okuyucusuna takın) ve ardından bu elektronik anahtarın sahibi olduğunuzu kanıtlayın (yani, bir şifre). Bu nedenle, hassas verilere erişmeye çalışan bir saldırganın görevi son derece karmaşıktır: Yalnızca şifreyi bilmesi değil, aynı zamanda yalnızca yasal kullanıcıların sahip olduğu fiziksel bir ortama da sahip olması gerekir.

    Elektronik anahtarın iç yapısı, bir elektronik çipin ve az miktarda kalıcı belleğin varlığını varsayar. Elektronik çip yardımıyla veriler, cihaza gömülü şifreleme algoritmalarına göre şifrelenir ve şifreleri çözülür. Şifreler kalıcı hafızada saklanır elektronik anahtarlar, erişim kodları ve diğer gizli bilgiler. Donanım anahtarının kendisi bir PIN koduyla hırsızlığa karşı korunur ve anahtarın içine yerleştirilmiş özel mekanizmalar bu parolayı kaba kuvvete karşı korur.

    Sonuçlar

    Bu nedenle, etkili veri koruması, güçlü şifreleme araçlarının (sanal disk teknolojilerine dayalı veya tüm diski kapsayan) ve güçlü kimlik doğrulama araçlarının (belirteçler ve akıllı kartlar) kullanımını gerektirir. İnternet üzerinden dosya göndermek için ideal olan dosya bazında şifreleme araçları arasında, neredeyse tüm kullanıcı isteklerini karşılayabilen, iyi bilinen PGP programına dikkat etmek önemlidir.

    Toplumun gelişiminin şu anki aşamasında, en büyük değeri kazanan, yeni değil, her zaman bilgi adı verilen değerli bir kaynaktır. Bilgi bugün dünya toplumunun bilimsel, teknik ve sosyo-ekonomik gelişiminin ana kaynağı haline geliyor. Günümüz toplumunda hemen hemen her faaliyet, çeşitli bilgi akışlarının alınması, birikmesi, depolanması, işlenmesi ve kullanılmasıyla yakından ilgilidir. Modern dünyanın bir topluluk olarak bütünlüğü esas olarak yoğun bilgi alışverişi yoluyla sağlanmaktadır.

    Dolayısıyla yeni koşullarda, bir fikri mülkiyet türü olan ticari bilgilerin güvenliğinin ve gizliliğinin sağlanmasına ilişkin pek çok sorun ortaya çıkmaktadır.

    Kullanılan kaynakların ve literatürün listesi

    1. Lopatin V. N. Bilgi Güvenliği.
    2. Bilgi Güvenliğinin Temelleri: Ders Kitabı / V. A. Minaev , S. V. Skryl , A. P. Fisun , V. E. Potanin , S. V. Dvoryankin .
    3. GOST ST 50922-96. Veri koruması. Temel terimler ve tanımlar.
    4. www.intuit.ru

    Odnoklassniki'de

    İyi çalışmanızı bilgi tabanına göndermek basittir. Aşağıdaki formu kullanın

    İyi iş siteye">

    Bilgi tabanını çalışmalarında ve çalışmalarında kullanan öğrenciler, lisansüstü öğrenciler, genç bilim insanları size çok minnettar olacaklardır.

    • giriiş
      • 1.2 Bilginin değeri
      • 1.4 Tehditler ve gizli bilgi koruma sistemi
      • Bölüm 2. Gizli bilgi içeren belgelerle çalışmanın organizasyonu
      • 2.1 Gizli kayıt tutmaya ilişkin düzenleyici ve metodolojik çerçeve
      • 2.2 Personelin gizli bilgi, belge ve veritabanlarıyla çalışmasına yönelik erişim ve prosedürün organizasyonu
      • 2.3 Gizli belgelerin işlenmesinin teknolojik temeli
      • Bölüm 3
      • 3.1 JSC "ChZPSN - Profnastil"'in Özellikleri
      • 3.2 JSC "ChZPSN - Profnastil" bilgi güvenliği sistemi
      • 3.3 Kısıtlanmış bilgilerin güvenliğinin artırılması
      • Çözüm
      • Kullanılan kaynakların ve literatürün listesi

    giriiş

    En önemlilerinden biri oluşturan parçalar Artık herhangi bir ülkenin ulusal güvenliğine oybirliğiyle bilgi güvenliği deniyor. Yönetimde bilgi teknolojisinin kağıtsız otomatik temele büyük geçişi nedeniyle bilgi güvenliğini sağlama sorunları daha karmaşık ve kavramsal olarak önemli hale geliyor.

    Bu son yeterlilik çalışmasının konusunun seçimi, modern Rusya pazar ekonomisinin bir girişimcinin iş dünyasındaki başarısının ön koşulu olması, kar elde etmesi ve oluşturduğu organizasyon yapısının bütünlüğünü sürdürmesini sağlamaktır. ekonomik güvenlik onun faaliyetleri. Ekonomik güvenliğin ana bileşenlerinden biri de bilgi güvenliğidir.

    Bu makaledeki çalışmanın amacı, kuruluşun yönetim sistemindeki bilgi kaynaklarının oluşumu ve işleyişidir.

    Çalışmanın temeli JSC "ChZPSN - Profnastil"

    Çalışmanın konusu kuruluşun yönetim sistemindeki bilgi kaynaklarının güvenliğinin sağlanmasına yönelik faaliyettir.

    Çalışmanın amacı, bir işletmenin gizli bilgilerini korumanın modern teknolojilerini, yollarını, yöntemlerini ve araçlarını analiz etmektir.

    Çalışmanın amaçları, amaca uygun olarak şunları içermektedir:

    1. Bilgi güvenliğinin ana bileşenlerini ortaya koymak;

    2. Gizli olarak sınıflandırılması gereken bilgilerin bileşimini belirleyin;

    3. En yaygın tehditleri, dağıtım kanallarını ve gizlilik sızıntılarını belirleyin;

    4. Gizli bilgilerin korunmasına yönelik yöntem ve araçları değerlendirin;

    5. Gizli kayıt tutmaya ilişkin düzenleyici çerçeveyi analiz edin;

    6. Gizli bilgilere erişimin organizasyonundaki güvenlik politikasını ve gizli belgelere sahip personelin çalışma prosedürünü incelemek;

    7. Gizli belgelerin işlenmesine yönelik teknolojik sistemleri göz önünde bulundurun;

    8. JSC "ChZPSN - Profnastil" kuruluşunun bilgi güvenliği sistemini değerlendirin ve iyileştirilmesi için önerilerde bulunun.

    Çalışmada aşağıdaki araştırma yöntemleri kullanılmıştır: biliş yöntemleri (açıklama, analiz, gözlem, anket); genel bilimsel yöntemler (konuyla ilgili yayın dizisinin analizi) ve kurumsal belgelerin analizi gibi bir belge yönetimi yöntemi.

    Nihai yeterlilik çalışmasının hukuki dayanağı öncelikle Rusya Federasyonu'nun temel kanunu olan Anayasa'ya dayanmaktadır)(1). Rusya Federasyonu Anayasasının 23. maddesi kişisel, ailevi, yazışma, telefon görüşmeleri, posta, telgraf ve diğer iletişim haklarını garanti eder. Aynı zamanda bu hakkın kısıtlanmasına ancak mahkeme kararıyla izin verilmektedir. Rusya Federasyonu Anayasası, bir kişinin özel hayatına ilişkin bilgilerin rızası olmadan toplanmasına, saklanmasına, kullanılmasına ve yayılmasına (Madde 24) izin vermemektedir (1).

    Gizli bilgilerin işlenmesinden kaynaklanan ilişkileri düzenleyen kurallar aynı zamanda Rusya Federasyonu Medeni Kanunu'nda da yer almaktadır. Aynı zamanda, Rusya Federasyonu Medeni Kanunu'nda gizli bilgilerden maddi olmayan faydalar olarak bahsedilmektedir (Madde 150) (2).

    Bilginin resmi ve ticari sır olarak sınıflandırılmasına göre kriterler , Rusya Federasyonu Medeni Kanunu'nun 139. Maddesinde yer almaktadır. Aşağıdaki durumlarda bilgilerin resmi veya ticari sır olduğu ifade edilir:

    1. Bu bilgilerin üçüncü kişiler tarafından bilinmemesi nedeniyle fiili veya potansiyel değere sahip olması;

    2. Bu bilgilere yasal olarak ücretsiz erişim yoktur ve bilginin sahibi, gizliliğinin korunmasına yönelik önlemler alır (2).

    Ayrıca ticari bilgilerin gizliliğinin tanımı Rusya Federasyonu Medeni Kanunu'nun 727. maddesinde yer almaktadır (2).

    27 Temmuz 2006'da, gizli nitelikteki bilgilerin korunmasına yönelik en önemli iki federal yasa kabul edildi: No. 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" (8) ve No. 152-FZ "Kişisel Bilgiler Hakkında" Veri" (9). Bilginin ve korunmasının temel kavramlarını verirler. "Bilgi", "bilgilerin gizliliği", "kişisel veriler" vb.

    10 Ocak 2002'de Rusya Federasyonu Başkanı, yukarıdaki "Bilgi Hakkında ..." (8) yasasının hükümlerini geliştiren ve belirleyen çok önemli bir "Elektronik Dijital İmza Yasasını" (5) imzaladı.

    Rusya Federasyonu yasaları aynı zamanda gizli bilgi güvenliği alanındaki ana yasalardır:

    1. 22 Temmuz 2004 tarihli "Devlet Sırları Hakkında" (4);

    2. 29 Temmuz 2004 tarihli "Ticari Sır Hakkında" (ticari sır oluşturan bilgileri, ticari sır rejimini, ticari sır oluşturan bilgilerin açıklanmasını içerir) (6);

    3. "Gizli Bilgiler Listesinin Onaylanması Hakkında" (11);

    4. Ticari sır olamayacak bilgiler listesinin onaylanması üzerine" (13).

    Bilgi güvenliği alanında temel terim ve tanımları belirleyen standart GOST R 50922-96'dır (29).

    Gizli ofis çalışmalarına ilişkin düzenleyici ve metodolojik çerçeve, bu çalışmanın ikinci bölümünde ayrıntılı olarak anlatılmaktadır. Nihai eleme çalışmasında önde gelen belge uzmanlarının çalışmaları kullanıldı: I.V. Kudryaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pşenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).

    Bilgi güvenliği kavramı, ana bileşenleri V.A.'nın çalışmalarında anlatılmaktadır. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

    K. Ilyin (52) çalışmalarında elektronik belge yönetiminde bilgi güvenliği konularını ele almaktadır). Bilgi güvenliğinin yönleri V.Ya.'nın makalelerinde anlatılmaktadır. Ischeynova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

    Bilgi güvenliği sistemi E.A.'nın çalışmalarında anlatılmaktadır. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov ve V.M. Martinov (49).

    Aşağıdaki yazarların çalışmaları sınırlı erişim bilgilerinin yasal düzenlemesine ayrılmıştır: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). İkincisi, makalesinde bu alandaki mevzuatın kusurlarına dikkat çekiyor.

    Gizli belgelerin işlenmesine yönelik teknolojiler, R.N.'nin çalışmalarına adanmıştır. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksentsev (32).

    Çalışmanın hazırlanması sürecinde, A.I. gibi bu alanda önde gelen uzmanlar tarafından hazırlanan gizli bilgilerin korunmasının organizasyonuna ilişkin bilimsel, eğitici, pratik, metodolojik öneriler. Aleksentsev (31; 32) ve E.A. Stepanov (81; 96).

    I.L.'nin eserleri. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsov (51) kendini bilgi güvenliğinin tartışmalı yönlerine adamıştır.

    Genel olarak bilgi güvenliği sorununun kaynaklarla sağlandığını, kaynak tabanının görevleri öne çıkarmanıza olanak sağladığını söyleyebiliriz. Bu konudaki literatürün önemi büyüktür ve alaka düzeyine uygundur.

    Ancak ülkemizde gizli bilgi içeren belgelerin muhasebeleştirilmesi, saklanması ve kullanılmasına ilişkin birleşik bir prosedür oluşturacak düzenleyici bir yasal düzenleme bulunmamaktadır. Çalışmada makaleleri kullanılan analistlere göre E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurova (71) ve diğerleri için bu pek uygun değil.

    Çalışmada kullanılan yayınlanmamış kaynaklar arasında, işletmenin mevcut ofis çalışmalarına ilişkin belgeler olan "ChZPSN - Profnastil" JSC Şartından bir alıntı (Ek 11) bulunmaktadır.

    Nihai eleme çalışması bir giriş, üç bölüm, sonuç, kullanılan kaynak ve literatür listesi ve uygulamalardan oluşur.

    Giriş, konunun alaka düzeyini ve pratik önemini, çalışmanın amacını, görevleri, incelenen problemin gelişim derecesini, nesneyi, konuyu, araştırma temelini, araştırma araçlarını, nihai yeterlilik çalışmasının yapısını ve içeriğini formüle eder.

    Birinci bölüm: "Bilgi güvenliği ve bilgi korumasının temelleri" konunun tarihçesini ve bilgi güvenliğinin temel kavramlarını içermektedir. Bilginin değeri, gizlilik gibi. Paragraf 1.2'de dağıtım kanalları, bilgi sızıntıları belirtilmiş, aşağıda bir tehdit sistemi ve gizli bilgilerin korunmasına yönelik bir sistem ele alınmıştır.

    Bölüm "Gizli belgelerle işin organizasyonu". gizli ofis çalışmasının düzenleyici ve metodolojik temellerinden, ardından çalışanların çalışmalarına ve gizli bilgilere erişimlerinin organizasyonuna ilişkin prosedürden oluşur. Belirtilen bilgilerle çalışma teknolojisi ikinci bölümün son paragrafında anlatılmaktadır.

    Üçüncü bölümde, JSC "ChZPSN - Profnastil" kuruluşu örneğinde, sınırlı erişime sahip bilgilerin korunması sistemi, gizli belgelerle çalışmanın analizi ele alınmaktadır. İşletmede oluşturulan gizli ofis çalışmalarının teknolojisine ilişkin öneriler, değişiklikler ve eklemeler verilmektedir.

    Sonuç, nihai nitelikli çalışmaya ilişkin sonuçları içerir.

    Kullanılan kaynaklar ve literatür listesi 110 başlık içermektedir.

    Çalışma, aşağıdakileri içeren eklerle desteklenmektedir: hükümler, kuruluşta sınırlı erişim bilgileri içeren belgelerin işlenmesine ilişkin prosedürü düzenleyen talimatlar, örnek belge formları, kayıt formları, OJSC "ChZPSN - Profnastil" Şartından bir alıntı.

    Bölüm 1. Bilgi güvenliği ve bilgi korumasının temelleri

    1.1 "Bilgi güvenliği" teriminin ve gizlilik kavramının gelişimi

    Bilginin kime ait olduğu uzun zamandır düşünülüyor - durumun sahibi o. Bu nedenle insan toplumunun şafağında bile istihbarat faaliyeti ortaya çıkar. Bu nedenle, devlet ve ticari (porselen, ipek bileşimi) sırlar ortaya çıkar ve savaşlar sırasında - askeri (askerlerin, silahların düzeni) ortaya çıkar. Avantaj ve güç veren şeyleri başkalarından saklama arzusu, tarihsel açıdan bakıldığında insanların temel motivasyonu gibi görünmektedir. Birçok sahip, çıkarlarını korumak için bilgileri sınıflandırır ve dikkatlice korur veya patentini alır. Bilgilerin sınıflandırılması, korunan bilgilerin elde edilmesine yönelik araç ve yöntemlerin sürekli olarak iyileştirilmesine yol açar; ve bilgi koruma araç ve yöntemlerini geliştirmek (89, s.45).

    Dünya pratiğinde ilk kez "endüstriyel sır", "ticari sır", "kredi ilişkileri sırrı" terimleri kullanıldı, yani. sırrın adı belirli bir faaliyet alanıyla bağlantılıydı. Rus avukat V. Rozenberg, bu isimleri tek bir "ticari sır" altında birleştirme girişiminde bulundu ve hatta 1910'da aynı isimde bir kitap yayınladı. Ancak bu terim pek tutulmadı. Hem Rusya İmparatorluğu'nda hem de yurtdışında, kar elde etmeyi amaçlayan herhangi bir faaliyetin sırrını birleştiren "ticari sır" terimi nihayet kuruldu (46, s. 20).

    XIX yüzyılın ikinci yarısından itibaren. Ticari sır kavramının başta ceza hukuku ve medeni hukuk alanında olmak üzere çeşitli tanımları da bulunmaktadır. Örneğin Alman hukuku, ticari sırrı, ürünlerin imalatına ilişkin teknik süreçlerin sırrı ve bu ürünlerin satışına yönelik işlemlerin sırrı veya daha yüksek bir dille ifade edilirse, malların üretiminin ve dağıtımının sırrı olarak tanımladı.

    Rusya'da, 1903 Ceza Kanunu'na göre, ticari sırlar, kullanılan veya kullanılması amaçlanan özel üretim yöntemleri ve başka bir baskıda, üretim ve ticaret süreçlerinin bireysel özellikleri olarak anlaşılmaktaydı. Üretim süreçlerinin sırrı mülkiyet sırrı, ticaret ise ticari sır olarak sınıflandırıldı.

    Rusya'da Kasım 1917'de ticari sırlar kaldırıldı. NEP sırasında gayri resmi olarak "yeniden doğdu", ancak daha sonra yalnızca SSCB'nin dış ticaret kuruluşları tarafından diğer ülkelerle temaslarda kullanıldı, ancak bunun için yerel bir yasal dayanak yoktu. Bu alandaki bilimsel faaliyet de sona erdi (31, s. 78).

    80'lerin ikinci yarısında. Girişimcilik faaliyeti, ticari sırlarla ilgili olanlar da dahil olmak üzere ilgili düzenleyici belgelerin geliştirilmesini gerektiriyordu. Öncelikle ticari sır tanımının formüle edilmesi gerekiyordu. Böyle bir tanım "SSCB'deki İşletmeler Hakkında Kanun" da yapılmıştır. Şöyle diyor: "Bir işletmenin ticari sırrı, işletmenin üretim, teknolojik bilgi, yönetim, finans ve diğer faaliyetleri ile ilgili devlet sırrı olmayan, ifşa edilmesi (transfer, sızıntı) çıkarlarına zarar verebilecek bilgiler olarak anlaşılmaktadır. "

    Modern yoruma göre ticari sır, üçüncü şahıslar tarafından sahibinin çıkarlarına veya güvenliğine zarar verebilecek bilgi, veri, bilgi, nesne, ifşa, transfer veya sızdırmadır (32, s. 13).

    ISO/IEC 17799 standardı bilgi güvenliğini bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanması olarak tanımlamaktadır. (56, s. 212).

    Güvenlik, yalnızca cezai saldırılara karşı koruma değil, aynı zamanda (özellikle elektronik) belge ve bilgilerin korunmasının yanı sıra, kritik belgelerin korunmasına ve afet durumunda faaliyetlerin sürekliliğinin ve/veya restorasyonunun sağlanmasına yönelik önlemlerdir (71, s. 5). 8).

    Bilgi güvenliği, bilgi ilişkileri konularının korunması olarak anlaşılmalıdır. Ana bileşenleri gizlilik, bütünlük ve erişilebilirliktir (82, s.15).

    Rusya Federasyonu Bilgi Güvenliği Doktrininde (19), "bilgi güvenliği" terimi, bireyin, toplumun ve devletin dengeli çıkarlarının bütünlüğü tarafından belirlenen, bilgi alanındaki ulusal çıkarların korunma durumunu ifade eder.

    Gizlilik - yetkisiz erişime karşı koruma (83, s.17). Aşağıdaki gizlilik tanımı "Bilgi, bilgi teknolojileri ve bilginin korunmasına ilişkin" Federal Yasa (8) madde 2.p.7 tarafından verilmektedir: gizlilik, belirli bilgilere erişimi olan bir kişinin bu bilgileri aktarmaması için zorunlu bir gerekliliktir sahibinin rızası olmadan üçüncü kişilere.

    Bilgi kaynaklarının (bilgi) güvenliği, bir şirketin normal çalışma koşullarında aşırı durumlarda ortaya çıkan her türlü nesnel ve öznel tehditlerden (tehlikelerden) zaman ve mekanda bilginin korunması olarak anlaşılmaktadır: doğal afetler, diğer kontrol edilemeyen olaylar, pasif ve Bir saldırganın potansiyel yaratmaya yönelik aktif girişimleri veya gerçek tehdit belgelere, vakalara, veritabanlarına yetkisiz erişim (61, s.32).

    Gizlilik - veri ve bilgi aktarımının güvenliğine ilişkin kurallar ve koşullar. Personel arasında bilgilerin dış çevreye ve iç ortama ifşa edilmemesinin bir koşulu olarak dış gizlilik vardır.

    Değerli belgelenmiş bilgilerin (belgelerin) güvenliği, doğal afetler de dahil olmak üzere aşırı durumların sonuçlarına karşı korunma derecesinin yanı sıra bir saldırganın yetkisiz bir potansiyel veya gerçek tehdit (tehlike) yaratmaya yönelik pasif ve aktif girişimleri ile belirlenir. organizasyonel ve teknik kanalları kullanarak belgelere erişim, bunun sonucunda saldırganın bilgilerin çalınmasına ve kendi amaçları doğrultusunda kötüye kullanılmasına, değiştirilmesine, değiştirilmesine, tahrif edilmesine, imha edilmesine yol açabilir (68, s. 36).

    Gizlilik - bilgi nesnelerine erişim ve erişim için kurallar ve koşullar (89, s. 50).

    Dolayısıyla "bilgi güvenliği" ifadesi, bilgiye yetkisiz erişime karşı koruma ile sınırlı değildir.

    Bu temelde geniş bir kavramdır. Bilgi ilişkilerinin konusu, yalnızca yetkisiz erişimden değil, aynı zamanda işin kesintiye uğramasına neden olan bir sistem arızasından da zarar görebilir (kayıplara uğrayabilir ve / veya manevi zarar görebilir).

    Gizliliğin gizlilikle eşanlamlı olmasına rağmen, bu terim yalnızca devlet sırrı olarak sınıflandırılmayan sınırlı erişime sahip bilgi kaynaklarına atıfta bulunmak için yaygın olarak kullanılmaktadır.

    Gizlilik, bilgi sahibinin diğer kişilerin ona erişimine uyguladığı kısıtlamayı yansıtır; sahibi bu bilgilerin hukuki rejimini kanuna uygun olarak kurar (91, s. 208).

    1.2 Bilginin değeri

    Korunan bilgiler şunları içerir: gizli bilgiler (devlet sırları içeren bilgiler), gizli (ticari sırlar içeren bilgiler, vatandaşların kişisel yaşamı ve faaliyetlerine ilişkin sırlar) (100, s. 38).

    İçeriğinin sızması istenmeyen veya sadece zararlı olan yönetim belgeleri her zaman vardır, çünkü bunlar doğrudan veya dolaylı olarak yazarlarının zararına kullanılabilir. Bu tür bilgiler ve dolayısıyla bunları içeren belgeler gizli (kapalı, korumalı) olarak kabul edilir. Sınırlı erişime sahip belgelenmiş bilgiler her zaman devlet veya devlet dışı sır türlerinden birine aittir. Buna göre belgeler gizli ve sır olmayan olarak ikiye ayrılır. Gizli bir belgenin zorunlu bir özelliği (öncelik kriteri), yasaya göre devlet sırrı oluşturan bilgilerin içinde bulunmasıdır. Devlet sırrı olmayan (resmi, ticari, bankacılık, mesleki, endüstriyel vb.) olarak sınıflandırılan veya vatandaşların kişisel verilerini içeren, sınıflandırılmamış belgelere gizli denir.

    Bilgi - sunum biçiminden bağımsız olarak kişiler, nesneler, gerçekler, olaylar, olgular ve süreçler hakkında bilgi (8).

    Rusya Federasyonu mevzuatı, kanunen sınırlı erişim olarak sınıflandırılanlar hariç olmak üzere, belgelenmiş bilgilerin (belgelerin) kamuya açık olduğunu öngörmektedir (11).

    Aynı zamanda erişimi kısıtlı olan belgelenmiş bilgiler, devlet sırları ve gizli bilgiler olarak sınıflandırılan bilgiler olarak ikiye ayrılmaktadır. Bu tür bilgilerin her ikisi de yasa dışı dağıtıma (ifşa) karşı korumaya tabidir ve yasalarca korunan sırlar olarak sınıflandırılır.

    Gizli bir belgenin zorunlu bir özelliği, içinde korunması gereken bilgilerin bulunmasıdır. Böyle bir belgenin bir özelliği, aynı anda yalnızca bilginin kendisini - zorunlu bir koruma nesnesi değil, aynı zamanda bir toplu bilgi taşıyıcısı, sızıntısı da dahil olmak üzere bu bilginin birikiminin ve yayılmasının ana kaynağını temsil etmesidir. Yani her şeyden önce bilgiler gizlidir ve ancak o zaman bu bilgilerin kaydedildiği belgeler gizli hale gelir. Gizli bilgi kategorisi, ticari, resmi, kişisel olmak üzere kanunlarla korunan her türlü sınırlı erişim bilgisini içerir. Devlet sırları hariç (94, s. 78).

    Bilgi üç kategoriye ayrılabilir (82, s.33).

    Birincisi sınıflandırılmamış (veya açık), hem firma içinde hem de firma dışında kullanılması amaçlanıyor.

    İkincisi, yalnızca şirket içinde kullanılması amaçlanan resmi kullanım içindir. Ayrıca iki alt kategoriye ayrılmıştır:

    1. Şirketin tüm çalışanlarının erişimine açık;

    2. Belirli çalışan kategorileri için mevcuttur, ancak gerekli işi yapması için tamamen başka bir çalışana devredilebilir.

    Üçüncüsü, yalnızca şirketin özel yetkili çalışanları tarafından kullanılması amaçlanan ve tamamen veya kısmen diğer çalışanlara aktarılması amaçlanmayan gizli bilgilerdir (veya sınırlı erişime sahip bilgiler).

    İkinci ve üçüncü kategorideki bilgilere genellikle gizli denir (35, s.9).

    Gizli bilgiler aynı zamanda belirli bir dizi açık bilgi de olabilir, tıpkı resmi kullanıma yönelik belirli bir bilgi kümesinin kısıtlanmış bilgi olabileceği gibi. Bu nedenle bilginin güvenlik sınıflandırmasının artırılabileceği ve yükseltilmesi gereken koşulların açıkça tanımlanması gerekmektedir (55, s. 83).

    Örneğin, OJSC "ChZPSN - Profnastil"de, imzalanan sözleşmelerin ayrıntıları ve bunları hangi çalışanların imzaladığı hakkındaki bilgiler gizlidir. Açık bilgiler aynı zamanda personele ilişkin verileri, departmanlara göre dağılımını ve çalışanların resmi görevlerini de içerir. Web sitelerinde, şirketin hangi işletmelerle (hangi profilde) pazarlık yaptığı, kiminle sözleşme imzalamayı planladığı vb. Hakkında haberler düzenli olarak yayınlanmaktadır. Toplamda, üç açık bilgi kaynağının (personel, resmi görevler, imzalanan sözleşmelere ilişkin bilgiler) belirli bir sözleşme imzalayan bir çalışan hakkında gizli bilgiler oluşturabileceği açıktır.

    Bilgilerin gizli olarak sınıflandırılabileceği koşullar, Rusya Federasyonu Medeni Kanunu'nun 1. Kısmının 13. Maddesinde listelenmiştir (2). Bunlar şunları içerir:

    1. Bilginin üçüncü kişiler tarafından bilinmemesi nedeniyle fiili veya potansiyel ticari değeri;

    2. Bu bilgilere yasal olarak ücretsiz erişimin olmaması;

    3. Bilginin sahibi tarafından gizliliğinin korunması için gerekli önlemlerin alınması.

    Dolayısıyla, belgesel bilgilerin gizliliğinin sağlanması üç hususu içermektedir:

    1. Gizli olarak sınıflandırılması gereken bilgilerin bileşiminin belirlenmesi;

    2. Şu veya bu gizli bilgiye erişmesi gereken çalışan çevresinin belirlenmesi ve onlarla uygun ilişkilerin kaydedilmesi;

    3. Gizli belgelerle ofis çalışmalarının organizasyonu. (99, s.7-9).

    Bu koşullar yerine getirilmediği takdirde kuruluşun gizli bilgilerin ifşa edilmesinden dolayı kimseyi sorumlu tutması için hiçbir neden olmayacaktır.

    "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" Federal Yasa'ya (8) göre aşağıdakiler ticari sır teşkil edemez:

    1. Kurucu belgeler (bir işletmenin kurulmasına ilişkin karar veya kurucular sözleşmesi) ve Şart;

    2. Girişimci faaliyette bulunma hakkını veren belgeler (tescil sertifikaları, lisanslar, patentler);

    3. Rusya Federasyonu devlet bütçe sistemine vergi ve diğer zorunlu ödemelerin hesaplanması ve ödenmesinin doğruluğunu doğrulamak için gerekli mali ve ekonomik faaliyetlere ilişkin yerleşik raporlama biçimleri ve diğer bilgiler hakkında bilgi;

    4. Ödeme gücüne ilişkin belgeler;

    5. Çalışan sayısı, bileşimi, ücretleri ve çalışma koşulları ile boş kontenjanların varlığı hakkında bilgi;

    6. Vergi ödemelerine ve zorunlu ödemelere ilişkin belgeler;

    7. Çevre kirliliği, tekel karşıtı mevzuatın ihlali, güvenli çalışma koşullarına uyulmaması, halk sağlığına zararlı ürünlerin satışı, ayrıca Rusya Federasyonu mevzuatının diğer ihlalleri ve bundan kaynaklanan zararın miktarı hakkında bilgi dava;

    8. İşletme yetkililerinin kooperatiflere, küçük işletmelere, ortaklıklara, anonim şirketlere, derneklere ve girişimcilik faaliyetlerinde bulunan diğer kuruluşlara katılımı hakkında bilgi.

    Listelenen bilgi kuruluşları ve girişimcilik faaliyetlerinde bulunan kişiler, devlet başkanları ve belediye işletmeleri yetkililerin, yönetimin, kontrol ve denetim makamlarının talebi üzerine sunmaları gerekmektedir. kanun yaptırımı Rusya Federasyonu mevzuatına uygun olarak bunu yapma hakkına sahip diğer tüzel kişilerin yanı sıra işletmenin emek kolektifi (21).

    Kanunların devlet sırrı kavramına dahil ettiği konulara ilişkin bilgiler gizli olarak sınıflandırılamaz (12). Bu tür bilgileri içeren belgelerle çalışma konularına gelince, Rusya Federasyonu "Devlet Sırları" Kanunu (4) uyarınca vatandaşlara, yetkililere ve kuruluşlara yalnızca korunmasını düzenleyen yasal düzenlemelerle rehberlik edilmesi gerektiği belirlenmiştir. devlet sırları.

    Yasaya göre gizli bilgiler, Rusya Federasyonu mevzuatına göre erişimi kısıtlanan belgelenmiş bilgilerdir (11). Gizli bilgi, açıklanması şirketin çıkarlarına zarar verebilecek bilgilerdir (35, s.6). Ayrıca gizlilik damgasına belirli bilgilerin atanmasının ticari sırların korunmasına da katkı sağladığı söylenebilir (8).

    Genelleştirilmiş gizli bilgi kavramı büyük ölçüde "Gizli bilgiler listesi"nde belirtilmiştir (11). Ona göre gizli bilgiler birkaç ana kategoriye ayrılmaktadır.

    Birincisi, bir vatandaşın özel hayatına ilişkin gerçekler, olaylar ve koşullar hakkında, bir kişinin kimliğinin belirlenmesine olanak tanıyan bilgilerdir (kişisel veriler), Federal yasayla belirlenen durumlarda kitle iletişim araçlarında dağıtılacak bilgiler hariç.

    Belirtilen bilgilerin ikinci kategorisi, soruşturma ve hukuki işlemlerin sırrını oluşturan bilgilerdir. . Liste ayrıca, Rusya Federasyonu Medeni Kanunu (2, s. 52) ve federal yasa (resmi sır) uyarınca erişimi kamu yetkilileri tarafından sınırlandırılan bir grup resmi bilgiyi de tanımlamaktadır.

    Listedeki diğer bir bilgi grubu, Rusya Federasyonu Anayasası (1, s. 25) ve federal yasa (tıp, noter, avukat (16), yazışmaların gizliliği, telefon görüşmeleri, posta öğeleri(10), telgraf veya diğer mesajlar (17) vb.).

    Bir sonraki gizli bilgi grubu, Rusya Federasyonu Medeni Kanunu (2) ve federal yasalar (ticari sır) (6) uyarınca erişimi kısıtlanan ticari faaliyetlerle ilgili bilgileri içerir.

    Gizli bilgiler listesi buluşun özüne ilişkin bilgilerle sona ermektedir, faydalı model veya endüstriyel tasarım, resmi yayınlanmadan önce (53, s. 51; 82, s. 33).

    Bir girişimcinin bir işletmenin, kuruluşun, bankanın, şirketin veya başka bir yapının iş ve yönetiminde kullandığı belgelenmiş bilgiler, kendisi için önemli değere sahip olan kendi veya özel bilgileri, fikri mülkiyetidir.

    Bilginin değeri, kullanıldığında belirli bir kâr miktarını veya kaybolduğunda zarar miktarını karakterize eden bir maliyet kategorisi olabilir. Bilgiler genellikle kuruluş belgeleri, programlar ve planlar, ortaklar ve aracılarla yapılan anlaşmalar vb. gibi bir firma veya iş geliştirme açısından hukuki önemi nedeniyle değerli hale gelir. Bilginin değeri aynı zamanda onun ileriye dönük bilimsel, teknik veya teknolojik değerini de yansıtabilir (58, s. 224).

    Bir girişimci için entelektüel değeri olan bilgiler genellikle iki türe ayrılır:

    1. Teknik, teknolojik: ürün üretim yöntemleri, yazılım, üretim göstergeleri, kimyasal formüller, prototiplerin test sonuçları, kalite kontrol verileri vb. (53, s. 50);

    2. İş: maliyet göstergeleri, pazar araştırması sonuçları, müşteri listeleri, ekonomik tahminler, pazar stratejisi vb.

    Değerli bilgiler kanunlarla korunur (patent, telif hakkı, ilgili), ticari marka veya şirket sırrı oluşturan bilgiler kategorisine girer (58, s.54).

    Böylece, kural olarak, kuruluş içinde dolaşan tüm bilgiler açık ve gizli olmak üzere iki kısma ayrılabilir (65, s.5).

    Bilginin ticari değeri, kural olarak kısa ömürlüdür ve bir rakibin aynı fikri geliştirmesi veya onu çalıp çoğaltması, yayınlaması ve bilgiyi tanınmış kategorisine aktarması için geçen süre ile belirlenir. Bilginin değer derecesi ve korunmasının güvenilirliği doğrudan bağlıdır.

    Girişimci için değer taşıyan ve şirketin sırrını oluşturan bilgilerin gerçek bileşiminin belirlenmesi ve düzenlenmesi bilgi güvenliği sisteminin temel parçalarıdır. Değerli bilgilerin bileşimi, gizliliğinin süresini (süresini) ve düzeyini (bariyerini) (yani herkes tarafından erişilemezlik) belirleyen özel bir listeye, bu bilgileri kendi işlerinde kullanma hakkı verilen şirket çalışanlarının bir listesine kaydedilir. iş. Bu profildeki firmaların korunan bilgilerinin tipik bileşimine dayanan liste, şirketin yönetiminin, güvenlik hizmetlerinin ve gizli belgelerinin kalıcı bir çalışma materyalidir. Devam eden çalışmalar, ürünler, bilimsel ve iş fikirleri, teknolojik yenilikler hakkında tipik ve spesifik değerli bilgilerin sınıflandırılmış bir listesidir. Listede firmanın her çalışmasına ilişkin gerçekten değerli bilgiler yer alıyor (51, s.45-51).

    Ek olarak, bu bilgilerin yansıtıldığı (belgelendirildiği) bir belge listesi de hazırlanabilir. Listede ayrıca korumalı bilgi içermeyen ancak şirket açısından değer taşıyan ve korumaya tabi belgeler de yer alıyor. Listeler, özel bir komisyonun tavsiyeleri doğrultusunda her firma tarafından ayrı ayrı oluşturulmakta ve firmanın ilk başkanı tarafından onaylanmaktadır. Aynı komisyon, firmanın spesifik iş performansının dinamiklerine uygun olarak listelerde düzenli olarak güncel değişiklikler yapmaktadır.

    Değerli bilgiler içeren belgeler şirketin bilgi kaynaklarının bir parçasıdır ve bunlar: a) açık (personelin özel izin olmadan çalışması için kullanılabilir) ve b) personelin erişimiyle sınırlı (devlet veya gizli sır türlerinden biri olarak sınıflandırılır) olabilir. devlet).

    Gizli bilgi olarak sınıflandırılan bilgilerin listesi ve buna kabul edilen çalışanların listesi şirketin emriyle hazırlanır.

    1.3 Dağıtım kanalları ve gizli bilgilerin sızması

    Kaynak bilgisi her zaman dış ortama yayılır. Bilgi yayma kanalları objektif ve aktiftir ve şunları içerir: iş, yönetim, ticaret, bilimsel, iletişimsel olarak düzenlenmiş iletişimler; bilgi ağları; Doğal teknik kanallar.

    Bilgi yayma kanalı, değerli bilgilerin bir kaynaktan diğerine yetkili bir modda (izin verilen) veya nesnel yasalara veya nesnel yasalara göre taşınmasının bir yoludur (83, s. 48).

    "Gizli bilgilerin sızması" terimi muhtemelen en abartılı terim değildir, ancak olgunun özünü diğer terimlere göre daha kapsamlı bir şekilde yansıtmaktadır. Uzun zamandır bilimsel literatürde, düzenleyici belgelerde yerleşmiştir (99, s.11). Gizli bilgilerin sızması hukuka aykırıdır; bu tür bilgilerin, operasyonunun korunan bölgesi veya onunla çalışmaya yetkili yerleşik kişiler çevresi dışına izinsiz olarak serbest bırakılması, eğer bu çıkış, yetkili erişime sahip olmayan kişiler tarafından bilginin alınmasına (bilgiye aşina olunması) yol açmışsa. Gizli bilginin sızdırılması, yalnızca işletmede çalışmayan kişilerin eline geçmesi anlamına gelmez, aynı zamanda bu işletmedeki kişilerin gizli bilgilere yetkisiz erişimi de sızıntıya yol açar (104, s. 75).

    Gizli belgelenmiş bilgilerin kaybı ve sızıntısı, bilginin savunmasızlığından kaynaklanmaktadır. Bilginin savunmasızlığı, bilginin istikrarsızlaştırıcı etkilere bağımsız olarak direnememesi olarak anlaşılmalıdır; yerleşik statüsünü ihlal eden bu tür etkiler (94, s. 89). Herhangi bir belgelenmiş bilginin durumunun ihlali, fiziksel güvenliğinin (genel olarak veya bu sahibin tamamen veya kısmen), mantıksal yapısının ve içeriğinin, yetkili kullanıcılar için erişilebilirliğin ihlal edilmesinden oluşur. Gizli belgelenmiş bilginin statüsünün ihlali ayrıca gizliliğinin ihlalini de içerir (yetkisiz kişilere yakınlık). Belgelenmiş bilginin savunmasızlığı kolektif bir kavramdır. Hiç mevcut değil, ancak çeşitli biçimlerde kendini gösteriyor. Bunlar şunları içerir: bir bilgi taşıyıcısının veya içinde görüntülenen bilgilerin çalınması (hırsızlık); bilgi taşıyıcısının kaybı (kayıp); Bilgi taşıyıcının veya içinde görüntülenen bilgilerin izinsiz imhası (bilginin imhası, çarpıtılması (izinsiz değişiklik, yetkisiz değişiklik, sahtecilik, tahrifat); bilginin engellenmesi; bilginin ifşa edilmesi (dağıtım, ifşa).

    "Yıkım" terimi esas olarak manyetik ortamdaki bilgilerle ilgili olarak kullanılır. Mevcut Seçenekler isimler: değişiklik, sahtecilik, tahrifat "çarpıtma" terimi için tam olarak yeterli değildir, nüansları vardır, ancak özleri aynıdır - orijinal bilginin bileşiminde yetkisiz kısmi veya tam değişiklik (36, s. 59).

    Buradaki bilgilerin engellenmesi, saldırganların değil meşru kullanıcıların bu bilgilere erişiminin engellenmesi anlamına gelir.

    Bilginin ifşa edilmesi, yalnızca gizli bilgilerin güvenlik açığının bir tezahürüdür.

    Dokümante edilmiş bilginin şu veya bu şekildeki güvenlik açığı, kasıtlı veya kazara istikrarsızlaştırıcı bir etkinin sonucu olarak gerçekleşebilir. Farklı yollar Bilginin taşıyıcısı veya etki kaynaklarından gelen bilginin kendisi hakkında. Bu tür kaynaklar insanlar, bilgiyi işlemek ve iletmek için teknik araçlar, iletişim araçları, doğal afetler vb. olabilir. Bilgi üzerinde istikrarsızlaştırıcı etkinin yolları kopyalamak (fotoğraf çekmek), kaydetmek, aktarmak, yemek yemek, bilgi işleme programlarına virüs bulaştırmak, bilgilerin işlenmesi ve saklanması teknolojisinin ihlali, bilginin işlenmesi ve iletilmesi için teknik araçların yetersiz kalması (veya arızalanması) ve çalışma şeklinin ihlali, bilgi üzerinde fiziksel etki vb.

    Belgelenen bilgilerin güvenlik açığı, bilgi kaybına veya sızıntısına yol açar veya yol açabilir. (97, s.12).

    Bilgi taşıyıcılarının çalınması ve kaybı, bilgi taşıyıcıların veya yalnızca bunlarda görüntülenen bilgilerin izinsiz olarak imha edilmesi, bilgilerin bozulması ve engellenmesi, belgelenmiş bilgilerin kaybına neden olur. Kayıp tam veya kısmi olabilir, telafisi mümkün olmayan veya geçici (bilgi bloke edildiğinde) olabilir, ancak her durumda bilgi sahibinin zarar görmesine neden olur.

    Gizli belgelenmiş bilgilerin sızdırılması, bunların ifşa edilmesine yol açar. Bazı yazarların belirttiği gibi (77, s. 94; 94, s. 12), literatürde ve hatta düzenleyici belgelerde "gizli bilgilerin sızması" terimi sıklıkla "gizli bilgilerin ifşa edilmesi" terimleriyle değiştirilir veya tanımlanır. , "gizli bilgilerin yayılması". Uzmanlar açısından böyle bir yaklaşım yasa dışıdır. Gizli bilgilerin ifşa edilmesi veya yayılması, bu bilgilerin bu bilgilere erişim hakkı olmayan tüketicilere yetkisiz olarak iletilmesi anlamına gelir. Aynı zamanda böyle bir getirmenin biri tarafından yapılması, birinden gelmesi gerekir. Gizli bilgiler ifşa edildiğinde (yetkisiz dağıtım) bir sızıntı meydana gelir, ancak bununla sınırlı değildir. Sızıntı, gizli belgelenmiş bilgilerin taşıyıcısının kaybının yanı sıra, taşıyıcı sahibi (sahibi) tarafından tutulurken bilgi taşıyıcısının veya içinde görüntülenen bilgilerin çalınması sonucu da meydana gelebilir. Bu ne olacağı anlamına gelmiyor. Kaybedilen medya yanlış ellere düşebilir veya bir çöp kamyonu tarafından "yakalanıp" çöp için belirlenen şekilde imha edilebilir. İkinci durumda, gizli bilgilerin sızması söz konusu değildir. Gizli belgelenmiş bilgilerin çalınması, her zaman bu bilgilerin ona erişimi olmayan kişiler tarafından alınmasıyla da ilişkilendirilmez. Gizli bilgi taşıyıcılarının iş yerindeki meslektaşlarından çalınmasının, bu bilgileri "geçmek" amacıyla kabul edilen kişiler tarafından bir meslektaşına zarar vermek amacıyla gerçekleştirildiği birçok örnek vardır. Bu tür taşıyıcılar genellikle onları kaçıran kişiler tarafından yok edildi. Ancak her durumda, gizli bilgilerin kaybı ve çalınması, eğer sızıntıya yol açmıyorsa, her zaman sızıntı tehdidi oluşturur. Dolayısıyla gizli bilginin açıklanmasının onun sızdırılmasına, hırsızlık ve kaybın da buna yol açabileceği söylenebilir. Zorluk, ilk olarak, bilgi taşıyıcısı sahibi (sahibi) tarafından tutulurken gizli bilgilerin ifşa edilmesi veya çalınması gerçeğini ve ikinci olarak bilginin bir sonucu olarak elde edilip edilmediğini bölmenin çoğu zaman imkansız olmasıdır. yetkisiz kişilere çalınması veya kaybolması.

    Ticari sırrın sahibi, ticari sırrı oluşturan bilgilere ve bunlara ilişkin haklara tam olarak yasal olarak sahip olan gerçek veya tüzel kişidir (91, s. 123).

    Ticari sır niteliğindeki bilgiler tek başına mevcut değildir. Onu depolayabilen, biriktirebilen ve iletebilen çeşitli ortamlarda görüntülenir. Bilgiyi de kullanıyorlar. (8; 91, s. 123)

    Bilgi taşıyıcı - bilginin semboller, görüntüler, sinyaller, teknik çözümler ve süreçler şeklinde görüntülendiği, fiziksel bir alan da dahil olmak üzere bir birey veya maddi bir nesne (8; 68, s.37).

    Bu tanımdan ilk olarak, maddi nesnelerin yalnızca görülebilen veya dokunulabilen şeyler değil, aynı zamanda insan beyni gibi fiziksel alanlar olduğu ve ikinci olarak medyadaki bilgilerin yalnızca sembollerle değil, yani . harfler, sayılar, işaretler ve aynı zamanda çizimler, çizimler, diyagramlar vb. biçimindeki görüntüler. ikonik modeller, fiziksel alanlardaki sinyaller, teknik çözümlerürünlerde, ürünlerin imalat teknolojisindeki teknik süreçler (39, s. 65).

    Bilgi taşıyıcıları olarak maddi nesnelerin türleri farklıdır. Bunlar manyetik bantlar, manyetik ve lazer diskler, fotoğraf, film, video ve ses filmleri, çeşitli endüstriyel ürünler, teknolojik süreçler vb. olabilir. Ancak en yaygın tür kağıt bazlı medyadır (46, s. 11). İçlerindeki bilgiler el yazısı, daktilo, elektronik, tipografik yollarla metin, çizim, diyagram, çizim, formül, grafik, harita vb. şekillerde kaydedilir. Bu ortamlarda bilgiler semboller ve resimler şeklinde görüntülenir. "Bilgi hakkında ..." (8) Federal Kanununun bu tür bilgileri belgelenmiş bilgi olarak sınıflandırılır ve çeşitli belge türlerini temsil eder.

    Son zamanlarda, gizli bilgilerin resmi olmayan yollarla elde edilmesine ilişkin biçim ve araçlarda önemli düzenlemeler yapılmıştır. Elbette bu esas olarak gizli bilgilerin taşıyıcısı olarak bir kişi üzerindeki etkiyle ilgilidir.

    Etki nesnesi olarak bir kişi, şu anda belirli bir yasal güvensizlik, bireysel insani zayıflıklar ve yaşam koşulları nedeniyle teknik araçlara ve diğer gizli bilgi taşıyıcılarına göre resmi olmayan etkilere karşı daha hassastır (64, s. 82).

    Bu tür gayri resmi etki, kural olarak gizli, yasa dışı niteliktedir ve hem bireysel olarak hem de bir grup kişi tarafından gerçekleştirilebilir.

    Gizli bilgilerin taşıyıcısı olan bir kişi için aşağıdaki türde bilgi sızıntısı kanalları mümkündür: ses kanalı, fiziksel kanal ve teknik kanal.

    Sızıntı konuşma kanalı - bilgi, gizli bilginin sahibinden, bu bilgiyi almakla ilgilenen nesneye kişisel olarak kelimeler aracılığıyla iletilir (29).

    Sızıntının fiziksel kanalı - bilgi, gizli bilginin sahibinden (taşıyıcı) kağıt, elektronik, manyetik (şifreli veya açık) veya başka yollarla bu bilgiyi elde etmekle ilgilenen bir nesneye iletilir (36, s. 62).

    Teknik sızıntı kanalı - bilgi teknik yollarla iletilir (29).

    Korunan bilgilerin taşıyıcısı olan bir kişi üzerindeki etki biçimleri açık ve gizli olabilir (33).

    İlgili bir nesne tarafından elde edilen gizli bilgilerin sahibi (taşıyıcı) üzerinde açık bir etki, doğrudan temas anlamına gelir (101, s. 256).

    Gizli bilginin sahibi (taşıyıcısı) üzerinde, ilgili nesne tarafından alınmasına ilişkin gizli etki dolaylı (dolaylı olarak) gerçekleştirilir (101, s. 256).

    Gizli bilgilerin sahibinin (taşıyıcısının), açık bir konuşma kanalı aracılığıyla kendisinden belirli bilgileri elde etmek için gayri resmi etkisinin araçları, aşağıdakiler yoluyla etkileşime giren bir kişi veya bir grup insandır: bir şeyin vaatleri, talepler, öneri (107, s. 12) ).

    Sonuç olarak, gizli bilginin sahibi (taşıyıcısı) davranışını, resmi yükümlülüklerini değiştirmeye ve gerekli bilgileri aktarmaya zorlanır (91, s. 239).

    Gizli bilgilerin sahibi (taşıyıcısı) üzerinde konuşma kanalı yoluyla gizli etki, dolaylı zorlama yoluyla gerçekleştirilir - üçüncü bir taraf aracılığıyla şantaj, kasıtsız veya kasıtlı dinleme vb.

    Bahsedilen etki araçları, sonuçta, gizli bilginin sahibini (taşıyıcısını) kendisine uygulanan etkilere karşı hoşgörüsüne (hoşgörüsüne) alıştırır (85, s. 220).

    Gizli bilgilerin sahibi (taşıyıcısı) üzerinde fiziksel bir sızıntı kanalı yoluyla etki biçimleri de açık ve gizli olabilir.

    Açık darbe, bilgi alındıktan sonra kuvvetli (fiziksel) korkutma (dövme) veya zorla ölüm (dövme) veya zorla ölüm yoluyla gerçekleştirilir (95, s.78).

    Örtülü eylem, araçların uygulanması açısından daha incelikli ve kapsamlıdır. Bu, aşağıdaki etki yapısıyla temsil edilebilir (95, s. 79). İlgili nesne - gizli bilgilerin taşıyıcısının çıkarları ve ihtiyaçları.

    Sonuç olarak, ilgili nesne gizli bilgiye sahip olan kişinin çıkarlarını ve ihtiyaçlarını gizli (dolaylı olarak) etkiler.

    Bu tür gizli etki şunlara dayanabilir: korku, şantaj, gerçeklerin manipülasyonu, rüşvet, rüşvet, samimiyet, yolsuzluk, ikna, hizmet sunumu, gizli bilgilerin taşıyıcısı olan kişinin geleceği hakkında güvence. (94, s.87)

    Gizli bilgilerin sahibi (taşıyıcısı) üzerinde teknik kanallar aracılığıyla etki biçimi de açık ve gizli olabilir.

    Açık (doğrudan) anlamına gelir - faks, telefon (mobil sistemler dahil), İnternet, radyo iletişimi, telekomünikasyon, kitle iletişim araçları.

    Gizli yöntemler şunları içerir: teknik araçları kullanarak dinleme, ekrandan ve onu görüntülemenin diğer yollarından izleme, bir PC'ye, yazılım ve donanıma yetkisiz erişim.

    Dikkate alınan tüm etki araçları, biçimleri ne olursa olsun, gizli bilgilerin taşıyıcısı olan kişi üzerinde gayri resmi bir etkiye sahiptir ve gizli bilgilerin elde edilmesinin yasa dışı ve suç teşkil eden yöntemleriyle ilişkilidir (72).

    Gizli bilgilerin sahibinin (taşıyıcısının) bireysel özelliklerini, elde etmek için sosyal ihtiyaçları ile manipüle etme olasılığı, gizli bilgilerle çalışmayı organize ederken personeli yerleştirirken, seçerken ve personel politikasını yürütürken dikkate alınmalıdır.

    Bilginin belgelenmesinin (herhangi bir malzeme taşıyıcısına başvurularak) bilgi sızıntısı riskini arttırdığı her zaman unutulmamalıdır. Bir malzeme taşıyıcısının çalınması her zaman daha kolaydır ve bilginin sözlü olarak ifşa edilmesinde olduğu gibi, gerekli bilgilerin çarpıtılmaması yüksek derecede söz konusudur.

    Sınırlı erişime sahip bilgilerin güvenliğine, bütünlüğüne ve gizliliğine yönelik tehditler, pratikte, değerli bilgi ve belgelerin bir saldırgan tarafından yetkisiz olarak alınmasına (çıkarılmasına) yönelik kanalların oluşması riskiyle gerçekleştirilir. Bu kanallar, saldırganın gerekli bilgileri elde etmek için kullandığı, korunan ve korunan bilgilere kasıtlı olarak yasadışı erişim sağlayan, kuruluş tarafından korunmasız veya zayıf bir şekilde korunan olası bilgi sızıntısı talimatlarıdır.

    Her bir işletmenin, bilgiye yetkisiz erişim için kendi kanalları vardır; bu durumda ideal firmalar mevcut değildir.

    Bu birçok faktöre bağlıdır: Korunan ve korunan bilgilerin hacmi; korunan ve korunan bilgi türleri (devlet sırrı veya başka bir sır oluşturan - resmi, ticari, bankacılık vb.); personelin profesyonel düzeyi, binaların ve tesislerin konumu vb.

    Bilgiye yetkisiz erişim kanallarının işleyişi, mutlaka bilginin sızmasını ve taşıyıcısının ortadan kaybolmasını gerektirir.

    Personelin kusurundan dolayı bilgi sızması söz konusu olduğunda "bilginin ifşa edilmesi" tabiri kullanılmaktadır. Bir kişi, bilgileri teknik araçlarla (fotokopi makineleri, tarayıcılar vb.), jestleri, yüz ifadelerini ve koşullu sinyalleri kullanarak kaldırarak, sözlü veya yazılı olarak bilgiyi açıklayabilir. Ve bizzat, aracılar aracılığıyla, iletişim kanalları vb. aracılığıyla aktarın. (56, s. 458).

    Bilgi sızıntısı (açıklanması) iki durumla karakterize edilir:

    1. Bilgi doğrudan onunla ilgilenen kişiye, yani saldırgana gider;

    2. Bilgi rastgele bir üçüncü tarafa aktarılır.

    Bu durumda üçüncü kişi, kendi kontrolü dışındaki koşullar veya personelin sorumsuzluğu nedeniyle bilgi alan, bilgi edinme hakkına sahip olmayan ve en önemlisi, üçüncü kişiyi ifade etmektedir. bu kişi bu bilgiyle ilgilenmiyor (37, s. 5). Ancak üçüncü bir taraftan gelen bilgiler kolaylıkla saldırganın eline geçebilir. Bu durumda üçüncü taraf, saldırganın oluşturduğu koşullar nedeniyle gerekli bilgileri ele geçirmek için bir "kağıtçı" görevi görür.

    Bilginin üçüncü bir tarafa aktarılması oldukça sık görülen bir olay gibi görünmektedir ve bilginin ifşa edilmesi gerçeği gerçekleşse de buna kasıtsız, kendiliğinden denilebilir.

    Bilgilerin üçüncü bir tarafa kasıtsız olarak aktarılması aşağıdakilerin bir sonucu olarak ortaya çıkar:

    1. Herhangi bir ortamdaki bir belgenin, belge paketinin, dosyaların, gizli kayıtların kaybı veya uygunsuz şekilde imha edilmesi;

    2. Çalışanın belgelenmiş bilgilerin korunması gerekliliklerine göz ardı edilmesi veya kasıtlı olarak uymaması;

    3. Davetsiz misafirin yokluğunda çalışanların aşırı konuşkanlığı - iş arkadaşları, akrabalar, arkadaşlar, halka açık yerlerdeki diğer kişilerle: kafeler, ulaşım vb. (son zamanlarda mobil iletişimin yaygınlaşmasıyla bu durum fark edilir hale geldi);

    4. Yetkisiz kişilerle kuruluşa sınırlı erişimi olan, başka bir çalışana yetkisiz olarak aktarılan belgelenmiş bilgilerle çalışmak;

    5. Açık belgelerde, yayınlarda, röportajlarda, kişisel notlarda, günlüklerde vb. kısıtlı bilgilerin kullanılması;

    6. Belgelerde gizlilik (gizlilik) bilgisinin bulunmaması, teknik medyada ilgili damgalarla işaretlenmesi;

    7. Sınırlı erişime sahip, aşırı bilgi içeren açık belgelerin metinlerinde bulunması;

    8. Elektronik olanlar da dahil olmak üzere belgelerin bir çalışan tarafından resmi amaçlarla veya toplama amacıyla izinsiz kopyalanması (taranması).

    Üçüncü bir tarafın aksine, bir saldırgan veya suç ortağı kasıtlı olarak belirli bilgileri elde eder ve bu bilgilerin kaynağıyla kasıtlı olarak yasa dışı bir şekilde iletişim kurar veya nesnel dağıtım kanallarını, bilgilerin ifşa edilmesi veya sızdırılması için kanallara dönüştürür.

    Organizasyonel bilgi sızıntısı kanalları, çok çeşitli türlerle karakterize edilir ve saldırgan ile işletme veya işletmenin çalışanları arasında ilgilenilen bilgilere daha sonra yetkisiz erişim için yasal olanlar da dahil olmak üzere çeşitli ilişkilerin kurulmasına dayanır.

    Ana organizasyonel kanal türleri şunlar olabilir:

    1. Bir davetsiz misafir, genellikle teknik veya yardımcı bir pozisyonda (bilgisayar operatörü, nakliye komisyoncusu, kurye, temizlikçi, kapıcı, güvenlik görevlisi, sürücü vb.) bir kuruluş tarafından işe alınır;

    2. İşletmenin çalışmalarına ortak, aracı, müşteri olarak katılmak, çeşitli dolandırıcılık yöntemleri kullanmak;

    3. Saldırganın, bir organizasyonda çalışan ve suç ortağı haline gelen bir suç ortağını (inisiyatif asistanı) araması;

    4. Saldırganın bir kuruluşun bir çalışanıyla (ortak çıkarlara göre, ortak bir içki ve aşk ilişkisine kadar) veya düzenli bir ziyaretçiyle, saldırganın ilgisini çeken bilgilere sahip başka bir kuruluşun bir çalışanıyla güvene dayalı bir ilişki kurması;

    5. Kuruluşun iletişim bağlantılarının kullanılması - kuruluşla veya belirli çalışanlarıyla müzakerelere, toplantılara, sergilere, sunumlara, elektronik dahil yazışmalara vb. katılım;

    6. Personelin hatalı eylemlerinin kullanılması veya bu eylemlerin bir saldırgan tarafından kasıtlı olarak provokasyonu;

    7. İşletmenin tesislerine ve tesislerine gizli veya hayali giriş, bilgilere suç teşkil eden, zorla erişim, yani belgelerin, disketlerin, sabit disklerin (sabit diskler) veya bilgisayarların çalınması, bireysel çalışanlara şantaj yapma ve işbirliğini teşvik etme, rüşvet ve çalışanlara şantaj yapılması, aşırı durumların yaratılması vb.;

    8. Üçüncü (rastgele) bir kişiden gerekli bilgilerin alınması.

    Organizasyon kanalları, saldırganın mesleki becerilerine, belirli bir duruma göre bireysel olarak seçilir veya oluşturulur ve bunları tahmin etmek son derece zordur. Organizasyonel kanalların keşfi ciddi araştırma ve analitik çalışma gerektirir (75, s. 32).

    Sınırlı erişimle bilgilerin izinsiz olarak elde edilmesine yönelik geniş fırsatlar, kuruluşun mali belge yönetimi teknolojileri için teknik destek oluşturur. Herhangi bir idari ve mali faaliyet her zaman ofislerde veya iletişim hatları ve kanalları aracılığıyla (video ve konferans görüşmeleri yapmak), bilgisayarlarda hesaplamalar yapmak ve durumları analiz etmek, belgelerin hazırlanması ve çoğaltılması vb. yoluyla bilgilerin tartışılmasıyla ilişkilidir.

    Benzer Belgeler

      Organizasyonel ve idari belgeler. Kayıt gereklilikleri, gizli belgelerin işlenmesine ilişkin prosedür. Kayıtları gizli tutmanın yolları. Gizli arşivler. Gizli ofis çalışmalarının güvenliğinin sağlanması.

      dönem ödevi, eklendi 01/15/2017

      Bilgi kaynaklarının güvenliğini sağlamaya yönelik talimatlar. Gizli bilgiye sahip çalışanların işten çıkarılmasının özellikleri. Personelin gizli bilgi, belge ve veritabanlarına erişimi. Toplantılar sırasında bilgilerin korunması.

      Dönem ödevi, 20.11.2012 eklendi

      Gizli sırlara sahip personel ile çalışmanın özellikleri. Çalışanların gizli bilgilerin bulundurulmasıyla ilgili işe alınması ve devredilmesinin özellikleri. Personelin gizli bilgi, belge ve veritabanlarına erişimi.

      dönem ödevi, eklendi 06/09/2011

      İşletmedeki bilgi güvenliği sisteminin analizi. Bilgi Güvenliği Hizmeti. Kuruma özel bilgi güvenliği tehditleri. Bilgi koruma yöntemleri ve araçları. Güvenlik açısından bilgi sistemi modeli.

      dönem ödevi, eklendi 02/03/2011

      Gizli bilgiye sahip çalışanların işten çıkarılmasının özellikleri. İlgili işe personel transferinin uygulanması gizli bilgi. Personel belgelendirmesi yapma yöntemleri. İşletme için dokümantasyon ve siparişlerin hazırlanması.

      özet, 27.12.2013 eklendi

      "Gizli bilgi" kavramı. Ticari bilgilerin ticari sır olarak sınıflandırılmasına ilişkin prosedür. Genel özellikleri OAO Svyaznoy Ural. İşletmedeki gizli bilgilerin korunmasına yönelik mekanizmanın iyileştirilmesi. Önerilerin etkililiğinin analizi.

      dönem ödevi, eklendi: 26.09.2012

      Kişisel verilerin kavramı ve aktarımı. Bilginin korunması ve kontrolü. Kişisel verilerle çalışma kurallarının ihlali nedeniyle cezai, idari ve disiplin sorumluluğu. Gizli ofis işlerini yürütmek için genel kurallar.

      Dönem ödevi, eklendi: 11/19/2014

      Bilginin özü ve sınıflandırılması. Ticari sır olarak sınıflandırılan bilgilerin analizi. Olası tehditlerin ve bilgi sızıntısı kanallarının araştırılması. Koruma önlemlerinin analizi. LLC "Tism-Yugnefteprodukt"ta bilgilerin güvenilirliğinin ve korunmasının sağlanmasının analizi.

      tez, 23.10.2013 eklendi

      Bilginin ve destekleyici altyapının doğal ve yapay doğanın kazara veya kasıtlı etkilerine karşı güvenliği. Müzakereler sırasında ve personel servisinin çalışmaları sırasında bilgilerin korunması, gizli bir toplantının hazırlanması.

      özet, 27.01.2010 eklendi

      Bilgi güvenliği sorununun çözümünde, gizli bilgilere sahip personel ile çalışmayı organize etmek için etkili bir sistemin oluşturulması özel bir yer tutmaktadır. İşletme yapılarında personel tüm çalışanları kapsar.

    Gizlilik anketleri her modern kuruluş için geçerlidir. Gizli şirket verileri, kritik iş sonuçlarına yol açabileceğinden sızıntı, kayıp ve diğer sahtekarlık faaliyetlerine karşı korunmalıdır. Hangi verilerin korunması gerektiğini anlamak, bilgi güvenliğini düzenlemenin yol ve yöntemlerini belirlemek önemlidir.

    Korunması gereken veriler

    İş yapmak için son derece önemli olan bilgilere işletmede sınırlı erişim sağlanmalıdır ve bunların kullanımı açık düzenlemelere tabidir. Dikkatlice korunması gereken veriler şunları içerir:

    • meslek sırrı;
    • gizli nitelikteki üretim belgeleri;
    • şirketin bilgi birikimi;
    • müşteri tabanı;
    • çalışanların kişisel verileri;
    • Şirketin sızıntıya karşı korumak için gerekli gördüğü diğer veriler.

    Bilgilerin gizliliği, çalışanların hileli eylemleri, kötü amaçlı yazılımların tanıtılması, dış davetsiz misafirlerin hileli operasyonları sonucunda sıklıkla ihlal edilmektedir. Tehdidin hangi taraftan geldiği önemli değil; gizli verilerinizi birkaç ayrı bloktan oluşan bir komplekste güvence altına almanız gerekir:

    • korunacak varlıkların listesinin belirlenmesi;
    • şirket verilerine erişimi düzenleyen ve kısıtlayan belgelerin geliştirilmesi;
    • klinik araştırmanın sağlanacağı kişi çevresinin belirlenmesi;
    • müdahale prosedürlerini tanımlamak;
    • risk değerlendirmesi;
    • CI'nin korunmasına yönelik teknik araçların getirilmesi.

    Federal yasalar, gizli bilgilere erişimin kısıtlanmasına ilişkin gereklilikleri belirler. Bu gerekliliklerin bu verilere erişen kişiler tarafından karşılanması gerekmektedir. Sahibinin rızasını vermemesi durumunda bu verileri üçüncü şahıslara aktarma hakları yoktur (Rusya Federasyonu “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında Federal Kanunun 2. Maddesi, 7. Maddesi”).

    Federal yasalar, anayasal düzenin temellerini, hakları, çıkarları, halk sağlığını, ahlaki ilkeleri korumayı, devletin güvenliğini ve ülkenin savunma kabiliyetini sağlamayı talep eder. Bu bağlamda, erişimin federal yasalarla sınırlandırıldığı CI'ya uymak zorunludur. Bu düzenlemeler şunları tanımlar:

    • bilgilerin hangi koşullar altında resmi, ticari ve diğer sır olarak sınıflandırıldığı;
    • gizlilik koşullarına zorunlu olarak uyulması;
    • CI'nın ifşa edilmesi sorumluluğu.

    Belirli tür faaliyetlerde bulunan şirket ve kuruluşların çalışanları tarafından alınan bilgiler, Federal Yasa uyarınca bu tür görevlerin kendilerine verilmesi durumunda, gizli bilgilerin korunmasına ilişkin yasanın gereklerine uygun olarak korunmalıdır. Mesleki sırlarla ilgili veriler, Federal Yasa tarafından öngörülmesi veya mahkeme kararı olması durumunda (CI'nin ifşa edilmesi, hırsızlık vakalarının belirlenmesi vb. göz önüne alındığında) üçüncü şahıslara sağlanabilir.

    Uygulamada gizli bilgilerin korunması

    İş sürecinde işveren ve işçi bir alışverişte bulunur büyük miktar gizli yazışmalar, dahili belgelerle çalışma (örneğin, bir çalışanın kişisel verileri, bir işletmenin gelişmeleri) dahil olmak üzere farklı nitelikteki bilgiler.

    Bilgi korumasının güvenilirlik derecesi doğrudan şirket için ne kadar değerli olduğuna bağlıdır. Bu amaçlarla sağlanan yasal, organizasyonel, teknik ve diğer önlemler kompleksi çeşitli araç, yöntem ve önlemlerden oluşur. Korunan bilgilerin güvenlik açığını önemli ölçüde azaltabilir ve bu bilgilere yetkisiz erişimi önleyebilir, sızıntısını veya ifşa edilmesini düzeltebilir ve önleyebilirler.

    Kullanılan koruma sisteminin basitliğine bakılmaksızın tüm şirketler tarafından yasal yöntemler uygulanmalıdır. Bu bileşenin eksik olması veya tam olarak gözetilmemesi durumunda şirket, CI'yi koruyamayacak, kaybından veya ifşa edilmesinden sorumlu olanları yasal olarak sorumlu tutamayacaktır. Yasal koruma, temel olarak yasal olarak yetkin evrak işleri, kuruluş çalışanlarıyla uygun çalışmadır. İnsanlar değerli gizli bilgilerin korunması için sistemin temelidir. Bu durumda çalışanlarla etkili çalışma yöntemlerinin seçilmesi gerekir. İşletmeler tarafından kritik altyapı güvenliğinin sağlanmasına yönelik tedbirlerin geliştirilmesi sırasında yönetim hususları öncelikler arasında yer almalıdır.

    İşletmede bilgilerin korunması

    Ticari sırlarla ilgili ifşa, hırsızlık veya diğer zararlı eylemlerle ilgili hukuki ve iş uyuşmazlıkları durumunda, belirli kişilerin buna dahil olmasına ilişkin karar, kuruluşta bu bilgilerin korunmasına yönelik bir sistemin oluşturulmasının doğruluğuna bağlı olacaktır. .

    Ticari sır oluşturan belgelerin tanımlanmasına, bilginin sahibini, adını, yerini ve ona erişimi olan kişilerin çevresini belirten uygun yazıtlarla belirtilmesine özellikle dikkat edilmelidir.

    Çalışanlar, işe alırken ve çalışmaları sırasında, CI veritabanı oluşturulurken, ticari sırların kullanımını düzenleyen yerel yasalara aşina olmalı ve bunları ele alma gerekliliklerine kesinlikle uymalıdır.

    İş sözleşmeleri, işverenin kendisine işte kullanmak üzere sağladığı belirli bilgilerin çalışan tarafından ifşa edilmemesine ve bu gerekliliklerin ihlaline ilişkin sorumluluklara ilişkin hükümler içermelidir.

    BT bilgi güvenliği

    Modern yüksek teknoloji bilgi dünyasında kurumsal casusluk, işletmelerin CI'larına yetkisiz erişim, virüs siber saldırıları sonucu veri kaybı riskleri oldukça yüksek olduğundan, CI'nin korunmasında teknik önlemlerin sağlanması önemli bir yer tutmaktadır. yaygın. Günümüzde bilgi sızıntısı sorunuyla karşı karşıya kalan sadece büyük şirketler değil, aynı zamanda orta ve küçük işletmeler de gizli verileri koruma ihtiyacı duyuyor.

    İhlal edenler, bilgi korumasında yapılan herhangi bir hatadan (örneğin bilginin yanlış seçilmesinden, kurulmasından veya yanlış yapılandırılmasından) yararlanabilir.

    Günümüzde altından daha pahalı hale gelen bilgisayar korsanlığı, internet korsanlığı, gizli bilgilerin çalınması, şirket sahiplerinin bunları güvenli bir şekilde korumasını ve bu verilere zarar verme ve çalma girişimlerini engellemesini gerektirmektedir. İşin başarısı doğrudan buna bağlıdır.

    Pek çok şirket, tehditleri tespit etme, önleme ve sızıntıları koruma gibi karmaşık görevleri yerine getiren modern, son derece etkili siber savunma sistemlerini kullanıyor. Bilgi bloğu koruma sistemlerinden gelen mesajlara hızlı bir şekilde yanıt verebilen, yüksek kaliteli, modern ve güvenilir düğümlerin kullanılması gerekir. Büyük organizasyonlarda etkileşim şemalarının karmaşıklığı, çok seviyeli altyapı ve büyük miktarda bilgi nedeniyle veri akışlarını takip etmek ve sisteme yapılan izinsiz girişleri tespit etmek çok zordur. Burada, olumsuz sonuçlarının zamanında önlenmesi için tehditleri tanımlayabilen, analiz edebilen ve diğer eylemleri gerçekleştirebilen "akıllı" bir sistem kurtarmaya gelebilir.

    Kaynakları, hedefleri, bilgi sızıntısı yöntemlerini tespit etmek, depolamak, tanımlamak için çeşitli BT teknolojileri kullanılır; bunların arasında kapsamlı ve kapsamlı çalışan DLP ve SIEM sistemleri vurgulanmaya değer.

    Veri kaybını önlemek için DLP sistemleri

    İşletmeye onarılamaz zararlar verebilecek şirkete ait gizli bilgilerin (sermaye yatırımlarına ilişkin veriler, müşteri tabanı, teknik bilgi vb.) çalınmasını önlemek için güvenliğinin güvenilirliğinin sağlanması gerekmektedir. (Veri Kaybını Önleme), KI hırsızlığına karşı güvenilir bir koruyucudur. Bilgileri, saldırılara karşı savunmasız olabilecek çeşitli kanallar aracılığıyla aynı anda korurlar:

    • USB konektörleri;
    • yerel olarak çalışan ve ağa bağlı yazıcılar;
    • harici sürücüler;
    • İnternet;
    • posta hizmetleri;
    • hesaplar vb.

    DLP sisteminin temel amacı durumu kontrol etmek, analiz etmek ve verimli ve güvenli çalışma için koşullar yaratmaktır. Görevi, şirket çalışanlarını bu işçi düğümlerini izleme yönteminin kullanımı hakkında bilgilendirmeden sistemi analiz etmektir. Çalışanların böyle bir korumanın varlığından haberi bile yok.

    DLP sistemi çeşitli kanallar tarafından iletilen verileri kontrol eder. Bunların gerçekleştirilmesiyle meşgul olur, bilgileri gizlilik açısından önem derecesine göre tanımlar. Basit bir ifadeyle DLP, verileri filtreler ve güvenliğini izler, her bir bilgiyi değerlendirir ve bu bilgilerin atlanma olasılığına ilişkin bir karar verir. Bir sızıntı tespit edilirse sistem bunu engelleyecektir.

    Bu programı kullanmak yalnızca verileri kaydetmenize değil, aynı zamanda bunları kimin gönderdiğini de belirlemenize olanak tanır. Örneğin bir şirket çalışanı bilgileri üçüncü bir tarafa "satmaya" karar verirse, sistem bu tür bir eylemi tanımlayacak ve bu verileri saklanmak üzere arşive gönderecektir. Bu, bilgileri istediğiniz zaman arşivden alarak analiz etmenize, göndereni tespit etmenize ve bu verilerin nereye ve hangi amaçla gönderildiğini belirlemenize olanak tanır.

    Özel DLP sistemleri, gizli bilgilerin yüksek derecede korunmasını sağlayan karmaşık ve çok işlevli programlardır. Gizli bilgilerin özel olarak korunmasına ihtiyaç duyan çok çeşitli işletmeler için bunların kullanılması tavsiye edilir:

    • özel bilgi;
    • fikri mülkiyet;
    • finansal Veri;
    • tıbbi bilgi;
    • kredi kartı bilgileri vb.

    SIEM sistemleri

    Uzmanlar, bilgi güvenliğini sağlamanın etkili bir yolunun, çeşitli kaynaklarda ve diğer kaynaklarda (DLP sistemleri, yazılım, ağ cihazları, IDS) devam eden süreçlerin tüm günlüklerini özetlemenize ve birleştirmenize olanak tanıyan bir program (Güvenlik Bilgileri ve Olay Yönetimi) olduğuna inanıyor. , işletim sistemi günlükleri, yönlendiriciler, sunucular, iş istasyonları).kullanıcılar vb.).

    Tehdit zamanında tespit edilmezse, mevcut güvenlik sistemi saldırıyı püskürtmek için çalışırken (ki bu her zaman gerçekleşmez), bu tür saldırıların "geçmişi" daha sonra erişilemez hale gelir. SIEM bu verileri ağ genelinde toplayacak ve belirli bir süre boyunca saklayacaktır. Bu, SIEM'i kullanarak olay günlüğünü istediğiniz zaman verilerini analiz için kullanmak üzere kullanmanıza olanak tanır.

    Ayrıca bu sistem, meydana gelen olayları analiz etmek ve işlemek için kullanışlı yerleşik araçları kullanmanıza olanak tanır. Olaylarla ilgili okunması zor bilgi formatlarını dönüştürür, sıralar, en önemlilerini seçer ve önemsiz olanları filtreler.

    Özel SIEM kuralları, şüpheli olayların birikmesine ilişkin koşulları belirtir. Olası bir tehdide işaret eden bir sayı (üç veya daha fazla) topladığında onları rapor edecektir. Örnek - yanlış tanıtmaşifre. Tek bir yanlış şifre girişi olayı tespit edilirse, oturum açma sırasında tek seferlik şifre girişi hataları oldukça sık meydana geldiğinden SIEM bunu raporlamaz. Ancak aynı hesaba giriş yaparken tekrar tekrar geçersiz şifre girme girişimlerinin kaydedilmesi, yetkisiz erişime işaret edebilir.

    Bugün herhangi bir şirketin, varlığını sürdürmesi önemliyse bu tür sistemlere ihtiyacı vardır. bilgi Güvenliği. SIEM ve DLP, şirketin eksiksiz ve güvenilir bilgi korumasını sağlar, sızıntıların önlenmesine yardımcı olur ve bilgileri çalarak, yok ederek veya zarar vererek işverene zarar vermeye çalışan birini tanımlamanıza olanak tanır.

    Bugün sızıntılardan ve gizli bilgileri korumanın yollarından bahsedeceğiz.

    Gizli bilgi terimi gizli, kamuya açıklanmayan, sır anlamına gelir. Bunu ifşa etmek suç olarak nitelendirilebilir. Bu tür bilgilere erişimi olan herhangi bir kişinin, telif hakkı sahibinin izni olmadan bu bilgileri başka kişilere açıklama hakkı yoktur.

    İçerik

    Gizli Bilgiler ve Hukuk

    6 Mart 1997 tarih ve 188 sayılı Rusya Federasyonu Cumhurbaşkanı Kararı, gizli nitelikteki bilgileri tanımlamaktadır. Bunlar şunları içerir:

    1. Ticaretle ilgili bilgiler.
    2. Resmi faaliyetlerle ilgili bilgiler.
    3. Tıbbi, avukat, kişisel (yazışma, telefon görüşmeleri vb.) sır.
    4. Soruşturmanın gizliliği, hukuki işlemler, hükümlülere ilişkin bilgiler.
    5. Vatandaşların kişisel verileri, kişisel yaşamlarına ilişkin bilgiler.

    Ticari sır, sahibinin rekabet avantajı elde etmesini, hizmet sunumundan veya mal satışından faydalanmasını sağlayan bilgilerdir. Şirket hakkında hisselerin değerini etkileyebilecek içeriden öğrenilen bilgiler (yönetim değişikliği vb.).

    Resmi sır - devlet kurumlarında mevcut olan bilgiler, belgeler "Resmi kullanım için" olarak işaretlenmiştir ve üçüncü şahıslara ifşa edilmeye tabi değildir.

    Mesleki gizlilik, soruşturmanın, avukatın, yasal işlemlerin, noterliğin vb. sırlarını içerir.

    Her türlü kişisel veri (isim, iş yeri, adres vb.), vatandaşın özel hayatına ilişkin bilgiler.

    Bu tür bilgilerin sızması aşağıdaki durumlarda meydana gelebilir:

    1. Verimsiz depolama ve gizli bilgilere erişim, kötü sistem koruma.
    2. Sürekli personel değişimi, personel hataları, takımdaki zor psikolojik iklim.
    3. Bilgiyi korumanın etkili yolları konusunda personel eğitiminin yetersiz olması.
    4. Kuruluş yönetiminin, çalışanların çalışmalarını gizli bilgilerle kontrol edememesi.
    5. Yetkisiz kişilerin bilgilerin saklandığı tesislere kontrolsüz girme olasılığı.

    Bilgi sızıntısının yolları

    Organizasyonel ve teknik olabilirler.

    Organizasyon kanalları:

    1. Gizli bilgileri elde etmek amacıyla bir kuruluşta işe başvurmak.
    2. Aldatma, yanlış beyan yöntemlerini kullanarak ortaklardan, müşterilerden ilgi çekici bilgiler elde etmek.
    3. Bilgi edinmeye cezai erişim (belgelerin çalınması, bilgi içeren bir sabit sürücünün çalınması).

    Teknik kanallar:

    1. Gizli bilgilerin orijinal belgesinin veya elektronik versiyonunun kopyalanması.
    2. Gizli bir görüşmenin elektronik ortama kaydedilmesi (ses kaydedici, akıllı telefon ve diğer kayıt cihazları).
    3. Sınırlı erişime sahip bir belgenin içeriğinin, erişim hakkı olmayan üçüncü kişilere sözlü olarak iletilmesi.
    4. Suç, radyo yer imleri yardımıyla gizlice bilgi elde etmek yüklü mikrofonlar ve video kameralar.

    Bilgi güvenliği önlemleri

    Gizli bilgilerin korunmasına yönelik sistem şunları içerir:

    1. Yetkisiz erişimin önlenmesi.
    2. Sızıntı kanallarının tıkanması.
    3. Gizli bilgilerle çalışmaya ilişkin düzenlemeler.

    Kurumsal güvenlik hizmeti, bilgi güvenliği sisteminin pratik uygulamasını, personel eğitimini ve düzenleyici gerekliliklere uygunluğun kontrolünü organize etmelidir.

    Organizasyon Yöntemleri

    1. Gizli verilerin işlenmesi için bir sistemin geliştirilmesi.
    2. Firma personeline, gizli belgelerin ifşa edilmesi, kopyalanması veya tahrif edilmesi sorumluluğuna ilişkin bir hüküm getirilmesi.
    3. Sınırlı erişime sahip belgelerin bir listesinin derlenmesi, mevcut bilgilere erişime göre personelin farklılaştırılması.
    4. İşleme için personel seçimi gizli materyal, çalışanlara talimat vermek.

    Teknik Yöntemler

    1. Kriptografik araçların kullanımı e-posta, telefon konuşmalarının güvenli iletişim hatları üzerinden yürütülmesi.
    2. Radyo yer imlerinin, mikrofonların, video kameraların bulunmaması için müzakerelerin yapıldığı tesislerin kontrol edilmesi.
    3. Tanımlama araçları, kod ve şifre yardımıyla korunan tesislere personel erişimi.
    4. Bilgisayarlarda ve diğerlerinde kullanın elektronik aletler yazılım ve donanım koruma yöntemleri.

    Şirketin bilgi güvenliği politikası şunları içerir:

    1. Kuruluşta güvenlikten sorumlu bir kişinin atanması.
    2. Yazılım ve donanım koruma araçlarının kullanımı üzerinde kontrol.
    3. Bilgilerin korunmasını sağlama konusunda bölüm ve hizmet başkanlarının sorumluluğu.
    4. Çalışanlar ve ziyaretçiler için erişim kontrolünün tanıtılması.
    5. Kişilerin gizli bilgilere erişim listesinin derlenmesi.

    Bilgi güvenliği organizasyonu

    Yerel ağda çalışan bilgisayarlar, sunucular, yönlendiriciler, yetkisiz bilgi alımına karşı güvenli bir şekilde korunmalıdır. Bunun için:

    1. Her bilgisayarın çalışmasından sorumlu bir çalışan atanır.
    2. Sistem birimi BT hizmetinin bir çalışanı tarafından mühürlenmiştir.
    3. Herhangi bir programın kurulumu BT servis uzmanları tarafından gerçekleştirilir.
    4. Şifreler BT hizmetinin çalışanları tarafından oluşturulmalı ve imza karşılığında verilmelidir.
    5. Yasak kullanım Üçüncü Taraf Kaynaklar bilgilendirme, işaretleme tüm medyalara yapılır.
    6. Önemli belgeleri hazırlamak için yalnızca bir bilgisayar kullanın. Bir kullanıcı günlüğü tutar.
    7. Yazılım ve donanımın sertifikalı olması gerekir.
    8. Bilgi ortamının (harici sürücüler) yetkisiz erişime karşı korunması.

    Gizli bilgilerle çalışma sistemi, kuruluşun bilgi güvenliğini garanti eder, önemli bilgileri sızıntılardan korumanıza olanak tanır. Bu, işletmenin uzun süre sürdürülebilir işleyişine katkıda bulunur.

    İlgili yazı yok.

    Devamını oku: