Luottamuksellisten tietojen tyypit ja esitystavat. Tietoturvan varmistaminen

Käsitteen määritelmä

Luottamuksellisuus on joukko toimenpiteitä, joilla estetään tiettyjen tietojen vuotaminen ja paljastaminen. Tämän käsitteen ydin voidaan ymmärtää myös lukemalla sen käännös eri kielistä. Se kuulostaa "salaiselta" tai "luottamukselta". Joka vuosi tästä kategoriasta tulee yhä merkittävämpi eri aloilla. Luottamuksellisuutta voidaan pitää välttämättömänä edellytyksenä monentyyppisille toimille, mukaan lukien lääketieteellinen, juridinen, tilintarkastus ja muut.

Lainsäädäntö

Luottamuksellisuus on melko vakava aihe, joka koskee lähes kaikkia julkisen elämän alueita. Siksi tätä asiaa on säännelty pitkään lainsäädäntötasolla. Siten Venäjän federaation presidentin erityisen asetuksen mukaisesti seuraavan tyyppisiä tietoja pidetään luottamuksellisina:

  • kaikki henkilön tunnistavat henkilötiedot sekä hänen yksityiselämäänsä liittyvät seikat (poikkeuksia ovat tiedotusvälineille toimitetut tiedot sekä tiedon luovuttamiseen oikeuttavien asiakirjojen allekirjoitukset);
  • tutkinta- ja tuomioistuinasiakirjat sekä tiedot henkilöistä, jotka on suojattu hallituksen ohjelmilla;
  • virkasalaisuudet, jotka sisältävät tietoja valtion virastojen, tieteellisten laboratorioiden ja puolustusalan yritysten työstä;
  • tiedot sellaisista toimista kuin lääketieteellinen, oikeudellinen, tilintarkastus, oikeudellinen, tutkinta ja niin edelleen;
  • liikesalaisuus, joka koostuu tuotantoa ja teknologista prosessia koskevista yksityiskohdista sekä koko yrityksen organisaatiosta;
  • tiedot tieteellisestä kehityksestä patenttiasiakirjojen vastaanottamiseen tai ennen täytäntöönpanoa.

Missä tiedon luottamuksellisuutta tarvitaan

Mikä tahansa toiminta-ala vaatii tietyn määrän tietoa salassa pitämisen. Esimerkkinä voisi olla kaupallinen yritys. Sen työntekijöillä ei ole oikeutta luovuttaa tietoja tuotantotekniikasta, organisaatiorakenteesta ja muista seikoista, jotka on määritelty työsopimuksen asianomaisissa kohdissa. Tämän säännön rikkominen voi johtaa sakkoon tai irtisanomiseen.

Todennäköisesti kaikki ovat kuulleet sellaisen lauseen kuin valtiosalaisuus. Tämä on koko joukko tietoja, joita valtion laitokset ja lainvalvontaviranomaiset suojaavat. Puhumme tieteellisestä, sotilaallisesta, poliittisesta, tiedustelu- ja muun tyyppisestä toiminnasta. Julkaisemalla nämä tosiasiat yksilö voi paitsi aiheuttaa taloudellista vahinkoa valtiolle, myös vaarantaa sen turvallisuuden. Tällaisista rikoksista määrätään ankarat rangaistukset.

Myös lääketieteellisissä ja muissa tällaisissa laitoksissa on säilytettävä luottamuksellisuus. Henkilökunnalla ei ole oikeutta luovuttaa tietoja asiakkaista. Sama koskee tilintarkastusyrityksiä. Muussa tapauksessa vahinkoa kärsinyt osapuoli voi nostaa kanteen.

Mikä ei voi olla luottamuksellista tietoa

Tietosuojakäytäntö ei koske seuraavan tyyppisiä tietoja:

  • perustamisasiakirjoissa määritellyt tiedot;
  • yrityksen rekisteröintitodistuksen tiedot;
  • tiedot organisaation omaisuudesta;
  • tiedot turvallisuussääntöjen ja ympäristövastuustandardien noudattamisesta;
  • henkilöstön kokoonpanosta sekä tehdyn työn palkkausjärjestelmästä;
  • tosiasiat todetusta lain rikkomisesta;
  • tiedot kilpailuista, tarjouskilpailuista ja muista tapahtumista, joissa päätetään valtion omistuksessa olevien kohteiden kohtalosta;
  • voittoa tavoittelemattomien järjestöjen taloudellinen raportointi.

Yksityisyydensuoja

Omistaja voi suojata tietojen luottamuksellisuutta seuraavasti:

  • Aluksi kannattaa koota luettelo tiedoista, jotka kuuluvat lain mukaisesti "liikesalaisuuden" luokkaan;
  • luodaan sisäinen menettely tietojen suojaamiseksi rajoittamalla niiden henkilöiden määrää, joilla on pääsy tietoihin, sekä ottamalla käyttöön vastuu sääntöjen noudattamatta jättämisestä;
  • pitää kirjaa henkilöistä, joilla on pääsy luottamuksellisiin tietoihin;
  • turvaluokiteltujen tietojen levittämistä koskevan vastuulausekkeen sisällyttäminen työsopimukseen sekä kaupallisiin sopimuksiin urakoitsijoiden kanssa;
  • kaikkien tietojen selkeä tallentaminen digitaalisille ja paperisille tietovälineille niiden aitouden ja omistajuuden osoittamiseksi;
  • välittömästi rekisteröitävä asianomaisille viranomaisille suojattavat tiedot.

Tätä toimintoluetteloa voidaan täydentää yrittäjän harkinnan mukaan. Pääehto on heidän lainsäädäntönsä noudattaminen.

johtopäätöksiä

Luottamuksellisuus on objektiivinen välttämättömyys nykyaikaisissa olosuhteissa. Jokaisella henkilöllä, kuten myös organisaatiolla, on oikeus pitää tietyt tiedot luottamuksellisina. Tämän normin rikkomisesta seuraa hallinnollinen ja joissakin tapauksissa rikosoikeudellinen vastuu.

Luottamuksellisuuden ehdot riippuvat suurelta osin kyseessä olevan toiminnan tyypistä. Tätä sääntöä tulee noudattaa kaikessa kaupallisiin tai valtiosalaisuuksiin liittyvässä sekä yksilön yksityiselämässä hänen sosiaalisesta asemastaan ​​ja toimintatyypistä riippumatta.

Luottamukselliset tiedot kaikilla alueilla on huolellisesti suojattu lailla. Siksi niiden työntekijöiden velvollisuus, joilla on pääsy tietoihin, on suojella tietoja eikä sallia niiden julkistamista. Luottamuksellisten tietojen paljastamiseen liittyy erilaisia ​​vastuita. Henkilö voidaan jopa tuomita rikoslain pykälän mukaan, jos hän on syyllistynyt vakavaan rikkomukseen. Siksi on työntekijöiden itsensä edun mukaista, että heidän syytään tietoja ei vuoda kolmansille osapuolille.

Mitä on luottamuksellinen tieto

Luottamukselliset tiedot ovat henkilötietoja, joihin on rajoitettu pääsy. Tällaisia ​​tietoja on erilaisia, mutta ne kaikki on suojattu lailla. Työntekijät, joilla on pääsy niihin, ovat velvollisia pitämään salassa eivätkä salli julkisuutta. Lisäksi he eivät itse saa paljastaa tällaisia ​​tietoja edes perhepiirissä.

Luottamuksellisten tietojen tyypit:

  1. Yksityishenkilön henkilötiedot. Niihin kuuluu kaikki tapahtumiin ja yksityiselämän tosiasiat liittyvät asiat.
  2. Virallinen salaisuus. Vain tietyssä asemassa olevilla valtion työntekijöillä on pääsy siihen. Tämä voi sisältää verosalaisuuksia, tietoja adoptiosta jne.
  3. Ammatillinen salaisuus. Sitä suojelee Venäjän perustuslaki, ja siitä tietää rajallinen määrä ammattitehtäviään suorittavia henkilöitä.
  4. Rikoksista tuomittujen henkilötiedot.
  5. Kauppasalaisuus. Nämä tiedot on säilytettävä oikeushenkilön suojelemiseksi kilpailulta tai etujen saamiseksi.
  6. Tietoa oikeuden päätöksistä ja niiden täytäntöönpanosta oikeudenkäynnin puitteissa.
  7. Tutkinnan ja oikeudenkäyntien salassapito. Tämä voi sisältää tietoja uhreista ja todistajista, jotka tarvitsevat valtion suojelua. Myös tiedot tuomareista ja lainvalvontaviranomaisista pidetään salassa.

Nämä tiedot ovat luottamuksellisia eikä niitä luovuteta. Tällaisten tietojen luottamuksellisuus on välttämätöntä yksityishenkilöiden ja oikeushenkilöiden etujen suojelemiseksi. Salassapito on välttämätöntä, koska julkisuus voi johtaa vakaviin seurauksiin. Esimerkiksi yrityksen konkurssiin, henkilön julkiseen tuomitsemiseen, todistajille ja uhreille aiheutuneeseen vaaraan. Jos työntekijä sallii tiedon levittämisen, hänellä on oikeus saada rangaistus rikkomuksen vakavuudesta riippuen.

Salassapitosopimus

Jotta työntekijä pääsee käsiksi turvaluokiteltuihin tietoihin, sinun on allekirjoitettava salassapitosopimus. Koska tämän asiakirjan perusteella voidaan joutua vastuuseen, jos työntekijä ei täytä tietoturvallisuuteen liittyviä velvoitteitaan. Sopimukseen ei ole erillistä mallia, mutta kaikki tärkeät asiat, kuten osapuolten velvollisuudet ja tiedonantovelvollisuudet, tulee olla läsnä.

Mutta sinun on myös ymmärrettävä, että ilman sitä et voi käyttää turvaluokiteltuja tietoja. Joka tapauksessa nykytilanteesta kannattaa keskustella henkilökohtaisesti esimiestesi kanssa, jotta asia voidaan ratkaista sopimuksella.

Kuinka todistaa henkilötietojen paljastaminen

Rangaistus, esimerkiksi salassapitosopimuksen mukainen sakko, määrätään vain, jos rikkomuksen tosiasia voidaan vahvistaa. Kaikki todisteet kelpaavat tähän. Pääsääntöisesti niitä ei ole vaikea saada, jos onnistut tunnistamaan häikäilemättömän työntekijän.

Ensin sinun on kuitenkin vahvistettava se tosiasia, että salaisia ​​tietoja todella oli ja tietyllä henkilöllä oli pääsy siihen. Tätä varten sinun on käytettävä asiakirjoja, esimerkiksi salassapitosopimusta. Todisteita vaaditaan joka tapauksessa, jopa kurinpitotoimia varten. Lisäksi niitä tarvitaan oikeudenkäyntiä varten, koska tämän artiklan mukaiseen vastuuseen vaaditaan painavia syitä ja todisteita.

Mitä vastuita tarjotaan?

Työntekijän tulee tietää, mitkä tiedot luokitellaan ja mitkä ovat julkisesti saatavilla. Siksi hän ei voi julkistaa luottamuksellisia tietoja vain siksi, ettei hän ollut tietoinen rajoitetusta pääsystä niihin. Useimmissa tapauksissa työntekijät paljastavat tarkoituksella suojattuja tietoja. Tämä tehdään henkilökohtaisista syistä tai itsekkäistä syistä.

Rangaistus riippuu rikkomuksen luonteesta. Tarkastellaanpa tyyppejä riippuen siitä, minkä vastuun piiriin syyllinen voidaan asettaa.

Mikä voi olla rangaistus:

  1. Kurinpitorangaistus. Organisaation johto nimittää hänet sisäisen tarkastelun ja tutkimuksen jälkeen. Työntekijää voidaan nuhdella, varoittaa tai jopa irtisanoa. Konkreettinen ratkaisu riippuu tilanteesta.
  2. Hallinnollinen vastuu. Se voi tapahtua, kun henkilötietoja luovutetaan, sekä silloin, kun tietosuojaa rikotaan valtiosalaisuuksien lisäksi. Syyllinen voi saada jopa 10 000 ruplan sakon.
  3. Rikosvastuu. Rikokset ovat varsin erilaisia ​​ja ne määritetään yksilöllisesti. Jos rikkomus on luonteeltaan rikollista, heiltä voidaan jopa riistää vapaus.
  4. Siviilivelvollisuus. Uhri voi periä henkisen vahingon.

Ukrainassa suunnilleen samat säännöt koskevat rangaistuksia turvaluokiteltujen tietojen paljastamisesta. Vastuu voidaan välttää vain tietyissä tapauksissa.

Organisaatioilla on aina hallintoasiakirjoja, joiden sisällön vuotaminen on ei-toivottua tai yksinkertaisesti haitallista, koska sitä voidaan käyttää suoraan tai välillisesti tekijöiden vahingoksi.

Tällaiset tiedot ja vastaavasti niitä sisältävät asiakirjat otetaan huomioon luottamuksellinen (suljettu, suojattu).

Rajoitetun pääsyn dokumentoitu tieto kuuluu aina johonkin salaisuuksien tyypeistä - valtion tai ei-valtion.

Tämän mukaisesti asiakirjat jaetaan salaisuus Ja luokittelematon.

Salaisen asiakirjan pakollinen piirre (kuulumiskriteeri) on, että siinä on lain mukaan valtiosalaisuutta muodostavaa tietoa.

Luokittelemattomat asiakirjat Luottamuksellisiksi kutsutaan tietoja, mukaan lukien tiedot, jotka on luokiteltu ei-valtion salaisuudeksi (virallinen, kaupallinen, pankki-, ammatti-, teollinen jne.) tai jotka sisältävät kansalaisten henkilötietoja.

Venäjän federaation lainsäädännössä säädetään, että dokumentoidut tiedot (asiakirjat) ovat julkisesti saatavilla, lukuunottamatta lain mukaan luokiteltu rajoitettu pääsy.

Jossa dokumentoituja tietoja, joihin pääsy on rajoitettu jaettu:

1) valtiosalaisuudeksi luokitelluista tiedoista,

2) luottamukselliset tiedot.

Molemmat tämän tyyppiset tiedot ovat suojan kohteena laittomalta levittämiseltä (paljastumiselta) ja ne luokitellaan lain suojaamiksi salaisuuksiksi.

Pakollinen ominaisuus luottamuksellinen asiakirja on suojattavan tiedon läsnäolo.

Toisin sanoen tiedot ovat ensinnäkin luottamuksellisia, ja vasta sitten asiakirjat, joihin nämä tiedot on tallennettu, muuttuvat luottamuksellisiksi.

Siirry luokkaan luottamuksellista tietoa sisältää kaikentyyppisiä lailla suojattuja rajoitettuja tietoja - kaupallisia, virallisia, henkilökohtaisia. Valtionsalaisuuksia lukuun ottamatta.

Tiedot voidaan jakaa kolmeen kategoriaan.

1. Luokittelematon (tai avoin), joka on tarkoitettu käytettäväksi sekä yrityksen sisällä että sen ulkopuolella.

2. Hallinnolliseen käyttöön, joka on tarkoitettu vain sisäiseen käyttöön. Se on puolestaan ​​jaettu kahteen alaluokkaan:

Kaikkien yrityksen työntekijöiden käytettävissä;

Saatavilla tietyille työntekijäryhmille, mutta voidaan siirtää kokonaan toiselle työntekijälle suorittamaan tarvittavat työt.

3. Salainen tieto(tai rajoitettu tieto), joka on tarkoitettu vain yhtiön erikseen valtuutettujen työntekijöiden käyttöön eikä sitä ole tarkoitettu siirrettäväksi kokonaan tai osittain muille työntekijöille.



Toisen ja kolmannen luokan tietoja kutsutaan yleensä luottamuksellisiksi.

Siksi luottamuksellisia tietoja- tiedot, joiden saatavuutta on rajoitettu lain ja tietolähteen saatavuuden tason mukaisesti.

Luottamukselliset tiedot asetetaan saataville tai luovutetaan vain valtuutetuille henkilöille, yhteisöille tai prosesseille.

Venäjän lainsäädännössä erotetaan useita luottamuksellisia tietoja.

Venäjän federaation presidentin 6. maaliskuuta 1997 annetulla asetuksella nro 188 (sellaisena kuin se on muutettuna 23. syyskuuta 2005) hyväksyttiin luottamuksellisten tietojen luettelo:

1. Älykkyys tosiasioista, tapahtumista ja olosuhteista yksityisyyttä kansalainen, joka mahdollistaa hänen henkilöllisyytensä tunnistamisen (henkilötiedot).

2. Tiedot, jotka muodostavat tutkinnan ja oikeudenkäynnin salaisuuden, sekä tiedot suojelluista henkilöistä ja valtion suojelutoimenpiteistä, jotka on toteutettu liittovaltion 20. elokuuta 2004 annetun lain nro 119-FZ "Uhrien, todistajien ja muiden rikosoikeudenkäyntiin osallistujien valtion suojelusta" ja muiden säädösten mukaisesti. Venäjän federaatiosta.

3. Palvelun tiedot, johon pääsyä valtion viranomaiset rajoittavat Venäjän federaation siviililain ja liittovaltion lakien mukaisesti (viralliset salaisuudet).

4. Ammatilliseen toimintaan liittyvät tiedot, johon pääsy on rajoitettu Venäjän federaation perustuslain ja liittovaltion lakien mukaisesti (lääketieteen, notaarin, asianajajan ja asiakkaan luottamuksellisuus, kirjeenvaihdon, puhelinkeskustelujen, postilähetysten, sähkeiden tai muiden viestien luottamuksellisuus ja niin edelleen).

5. Kaupalliseen toimintaan liittyvät tiedot, johon pääsy on rajoitettu Venäjän federaation siviililain ja liittovaltion lakien (liikesalaisuudet) mukaisesti.



6. Tietoa keksinnön olemuksesta, hyödyllisyysmalli tai teollinen malli ennen kuin niitä koskevat tiedot julkaistaan ​​virallisesti.

Tietojen luottamuksellisuus sisältää sen suojaamisen luvattomalta käytöltä.

Luottamuksellisuus

Luottamuksellisuus.(Englanti) luottamusta- luottamus) - tarve estää tietojen vuotaminen (paljastaminen).

Angloamerikkalaisen perinteen mukaan luottamuksellisuutta on kaksi päätyyppiä: vapaaehtoinen (yksityisyys) ja pakotettu (salaisuus). (Katso Edward Shiles - Salassapidon kärsimys: Amerikan turvallisuuspolitiikan tausta ja seuraukset (Chicago: Dee) Ensimmäisessä tapauksessa tarkoitamme yksilön oikeuksia, toisessa tapauksessa tietoja viralliseen käyttöön, joka on saatavilla rajoitettu joukko virkamiehiä, yhtiö, valtion virasto, julkinen tai poliittinen organisaatio. Vaikka yksityisyys ja salassapito ovat sisällöltään samanlaisia, ne ovat käytännössä ristiriidassa keskenään: lisääntynyt salassapito johtaa yksityisyyden loukkaamiseen ja vähentämiseen totalitaarisissa ja autoritaarisissa valtioissa. luottamuksellisuutta tarkoitetaan yleensä vain salassa.

Määritelmät

Luottamuksellisuus tiedotus -tarkastusperiaate, joka koostuu siitä, että tilintarkastajat ovat velvollisia varmistamaan tarkastustoiminnan yhteydessä vastaanottamiensa tai kokoamiensa asiakirjojen turvallisuuden, eikä heillä ole oikeutta luovuttaa näitä asiakirjoja tai niiden jäljennöksiä kolmansille osapuolille, tai luovuttaa niiden sisältämiä tietoja suullisesti ilman taloudellisen yksikön omistajan suostumusta, paitsi säädöksissä säädetyissä tapauksissa.

Luottamuksellisuus tiedot - pakollinen vaatimus henkilölle, joka on saanut pääsyn tiettyihin tietoihin, ei saa siirtää näitä tietoja kolmansille osapuolille ilman niiden omistajan suostumusta.

Luottamuksellista tietoa- tiedot, joihin pääsy on rajoitettu Venäjän federaation lainsäädännön mukaisesti ja jotka ovat niiden omistajan suojaamia kaupallisia, virka- tai henkilökohtaisia ​​salaisuuksia.

Virallinen salaisuus- lailla suojatut luottamukselliset tiedot, jotka ovat tulleet valtion elinten ja paikallishallinnon elinten tietoon vain laillisin perustein ja heidän edustajiensa suorittaman virkatehtäviensä vuoksi, sekä virallisia tietoja valtion elinten toiminnasta, pääsy johon liittovaltion laki tai virallinen tarve rajoittaa. Venäjän federaation nykyisessä lainsäädännössä ei ole selkeää määritelmää "virallisen salaisuuden" käsitteelle. Virallinen salaisuus on yksi Venäjän federaation siviililainsäädännön mukaisista kansalaisoikeuksien kohteista. Virallisten salaisuuksien suojelujärjestelmä on yleensä samanlainen kuin liikesalaisuuksien suojajärjestelmä. Useissa tapauksissa laissa säädetään rikosoikeudellisesta vastuusta virkasalaisuuksien paljastamisesta (esimerkiksi adoptiosalaisuuksien paljastamisesta tai liike-, vero- tai pankkisalaisuuden muodostavien tietojen paljastamisesta sellaisen henkilön toimesta, jolle tällaiset tiedot tulivat tunnetuksi palvelussa).

Virallinen salaisuus- rajoitetusti saatavilla oleva tieto, lukuun ottamatta valtiosalaisuudeksi luokiteltuja tietoja ja henkilötietoja, jotka sisältyvät valtion (kuntien) tietoresursseihin, on kerätty valtion (kunnan) budjetin kustannuksella ja jotka ovat valtion omaisuutta, joka toteutetaan valtion etujen mukaisesti.

Luottamuksellisuuden suojaaminen on yksi tietoturvan kolmesta tavoitteesta (tietojen eheyden ja saatavuuden turvaamisen ohella).

Tietosuojan merkitys

Tietotekniikan käytön alusta lähtien kaikilla ihmisen toiminnan alueilla on ilmennyt monia luottamuksellisuuden suojaamiseen liittyviä ongelmia. Tämä johtuu pääasiassa asiakirjojen käsittelystä tietotekniikkaa käyttäen. Monet hallinnolliset toimenpiteet henkilöiden ja organisaatioiden luottamuksellisuuden suojelemiseksi ovat menettäneet voimansa asiakirjavirran siirtymisen vuoksi täysin uuteen ympäristöön.

Vastaanottaessaan henkilökohtaisia ​​kirjeitä, tehdessään sopimuksia, liikekirjeenvaihdossa, puhelinkeskusteluissa tuttujen ja tuntemattomien kanssa henkilö käytti erilaisia ​​​​tunnistuskeinoja. Henkilökohtaisia ​​kirjeitä lähetettiin, joissa ilmoitettiin olemassa oleva postiosoite tai niissä oli leima täsmällisistä postitoimistoista, joissa kirjeitä käsiteltiin. Sopimuksia tehtäessä käytettiin painotaloissa valmistettuja lomakkeita, joille painettiin tekstiä kirjoituskoneilla yksilöllisillä sarjanumeroilla, jotka sitten virkamies allekirjoitti ja organisaation sinetillä varmennettiin. Puhelimessa puhuttaessa tiedettiin luotettavasti, että keskustelua käytiin juuri sen henkilön kanssa, jonka ääni oli aiemmin tunnettu. Monien satojen hallinnollisten toimenpiteiden tarkoituksena on suojella ihmisten viestinnän yksityisyyttä.

Kun tietotekniikka on tullut ihmisten elämään, paljon on muuttunut. Esimerkiksi sähköpostia käytettäessä tuli mahdolliseksi määrittää olematon palautusosoite tai simuloida kirjeen vastaanottamista ystävältä. Jokapäiväisessä Internetin välityksellä kommunikoinnissa monet merkit, jotka tunnistavat henkilön jokapäiväisessä elämässä (sukupuoli, ikä, koulutusaste), ovat lakanneet olemasta sellaisia. Niin kutsuttu "virtuaalinen todellisuus" on ilmestynyt.

Yksityisyyden suojaamiseen liittyviä ongelmia tietokonejärjestelmissä on mahdotonta ratkaista nopeasti ja tehokkaasti. Näiden ongelmien ratkaisemiseksi tarvitaan integroitu lähestymistapa. Tämän lähestymistavan tulisi sisältää organisatoristen, oikeudellisten ja ohjelmistotoimien käyttö, jotka suojaavat luottamuksellisuutta, eheyttä ja saatavuutta.

Nykyään organisaatioilla on joukko standardeja varmistaakseen luottamuksellisten tietojen oikeanlaisen käytön. Organisaation johtaja allekirjoittaa luettelon luottamuksellisista tiedoista. Työntekijän ja työnantajan allekirjoittamassa sopimuksessa on lauseke, joka puhuu vastuusta luottamuksellisten tietojen kanssa tehdystä virheellisestä työstä, jonka seurauksena, jos sopimuksessa määriteltyjä näillä tiedoilla työskentelyn sääntöjä ei noudateta, on oikeusperusta tällaisten työntekijöiden saattamiseksi hallinnolliseen tai rikosoikeudelliseen vastuuseen. Organisaatioilla on myös joukko toimenpiteitä, joilla varmistetaan luottamuksellisten tietojen suoja. Tällaisia ​​toimenpiteitä voivat olla esimerkiksi: pätevän henkilöstön valinta, mahdollisten uhkien ennustaminen ja toimenpiteiden toteuttaminen niiden ehkäisemiseksi, henkilöstön eritasoisten tiedonsaantimahdollisuuksien hyödyntäminen vaihtelevalla salassapitovelvollisuudella.

Koska tätä aluetta on mahdotonta tutkia yksityiskohtaisesti lyhyessä ajassa, otettiin käyttöön suunta tietoturva-alan asiantuntijoiden kouluttamiseksi.

Eri valmistajien ohjelmistojen ja laitteistojen tietoturvatyökalujen avulla voidaan saavuttaa korkeampia tehokkuusindikaattoreita, jos niitä käytetään kokonaisvaltaisesti. Tällaisia ​​työkaluja ovat puheinformaation salaussuojauslaitteet, tekstin tai muun tiedon salaussuojausohjelmat, sähköpostiviestien autentikoinnin varmistavat ohjelmat sähköisen digitaalisen allekirjoituksen avulla, virustorjuntaohjelmat, verkkotunkeutumiselta suojaavat ohjelmat, ohjelmat tunkeutumisen havaitsemiseen, ohjelmat käänteisen sähköpostin lähettäjän osoitteen piilottamiseen.

Tällaisen ohjelmisto- ja laitteistotyökaluluettelon ovat pääsääntöisesti kehittäneet tietoturva-alan asiantuntijat ottaen huomioon monet tekijät, esimerkiksi automatisoidun järjestelmän ominaisuudet, tämän järjestelmän käyttäjien lukumäärä, erot näiden käyttäjien käyttöoikeustaso jne.

Venäjän lainsäädännön luottamuksellisuus

Huomautuksia

Kirjallisuus

  • Suuri lainopillinen sanakirja. 3. painos, lisää. ja käsitelty /Toim. prof. A. Ja Sukhareva. - M.: INFRA-M, 2007. - VI, 858 s. - (Sanastojen B-k "INFRA-M")

Linkit

  • Luottamuksellisia tietoja Venäjän lainsäädännössä

Katso myös


Wikimedia Foundation. 2010.

Synonyymit:

Antonyymit:

Katso, mitä "luottamuksellisuus" tarkoittaa muissa sanakirjoissa:

    Salaisuus, salassapito, luottamuksellisuus, salaisuus. Muurahainen. avoimuus, glasnost Venäjän synonyymien sanakirja. luottamuksellisuus katso salaisuus Venäjän kielen synonyymien sanakirja. Käytännön opas. M.: Venäjän kieli... Synonyymien sanakirja

    luottamuksellisuus- Tietojen ominaisuus, että luvattomat käyttäjät ja/tai prosessit eivät voi nähdä niitä. Kriittisen tiedon salassa pitäminen; pääsy siihen on rajoitettu kapealle käyttäjäpiirille (yksityishenkilöt... ... Teknisen kääntäjän opas

    LUOTTAMUKSELLINEN [de], aya, oe; pellava, pellava (kirja). Salainen, luottamuksellinen. K. keskustelu. Ilmoita luottamuksellisesti (adv.). Ožegovin selittävä sanakirja. SI. Ožegov, N. Yu. Shvedova. 1949 1992… Ožegovin selittävä sanakirja

    Luottamuksellisuus- Eettinen vaatimus, joka koskee sekä kokeellista tutkimusta että psykoterapiaa. Tämän vaatimuksen mukaan osallistujilla tai potilailla on oikeus saada tietoja, jotka on kerätty tutkimuksen tai hoidon aikana, ei... ... Suuri psykologinen tietosanakirja

    luottamuksellisuus- 2.6 luottamuksellisuus: Tiedon ominaisuus, joka ei ole luvattoman henkilön, yhteisön tai prosessin ulottuvilla ja suljettu. [ISO/IEC 7498-2] Lähde... Normatiivisen ja teknisen dokumentaation termien sanakirja-viitekirja

    luottamuksellisuus- ▲ rajoitettu pääsy (aihe), tietojen luottamuksellisuus. luottamuksellisia, joita ei julkisteta laajasti; kapealle ihmisjoukolle (# keskustelu). luottamuksellisesti. luottamus. luottamuksellinen (# ääni). luottamuksellisesti. luottamus (#… … Venäjän kielen ideografinen sanakirja

Bibliografinen kuvaus:

Nesterov A.K. Tietoturvan varmistaminen [Sähköinen resurssi] // Koulutustietosanakirjasivusto

Samalla tietotekniikan kehittymisen ja tietoresurssien merkityksen lisääntymisen kanssa organisaatioille niiden tietoturvaan kohdistuvien uhkien määrä ja mahdolliset sen rikkomuksista aiheutuvat vahingot kasvavat. On olemassa objektiivinen tarve varmistaa yrityksen tietoturva. Tässä suhteessa edistyminen on mahdollista vain tietoturvauhkien kohdistetun torjunnan olosuhteissa.

Tietoturvatyökalut

Tietoturva varmistetaan kahdella eri tavalla:

  • ohjelmistot ja laitteistot
  • turvallisia viestintäkanavia

Ohjelmisto- ja laitteistotyökalut tietoturvan varmistamiseksi nykyaikaisissa tietotekniikan kehityksen olosuhteissa ovat yleisimpiä kotimaisten ja ulkomaisten organisaatioiden työssä. Katsotaanpa tarkemmin tärkeimpiä tietoturvan laitteistoja ja ohjelmistoja.

Ohjelmisto- ja laitteistosuojaus luvattomalta käytöltä sisältää toimenpiteitä tietojärjestelmän tunnistamiseen, todentamiseen ja kulunvalvontaan.

Tunnistus – yksilöllisten tunnisteiden määrittäminen pääsykohteille.

Tämä sisältää radiotaajuustunnisteet, biometriset tekniikat, magneettikortit, yleiset magneettiavaimet, järjestelmän kirjautumiset jne.

Authentication – tarkastetaan, että pääsykohde kuuluu esitettyyn tunnisteeseen ja varmistetaan sen aitous.

Todennusmenettelyihin kuuluvat salasanat, pin-koodit, älykortit, USB-avaimet, digitaaliset allekirjoitukset, istuntoavaimet jne. Tunnistus- ja todennustyökalujen proseduuriosa on yhteydessä toisiinsa ja on itse asiassa kaikkien ohjelmistojen ja laitteistojen tietoturvatyökalujen perusperusta, koska kaikki muut palvelut on suunniteltu palvelemaan tiettyjä tietojärjestelmän oikein tunnistamia aiheita. Yleisesti ottaen tunnistaminen mahdollistaa kohteen tunnistamisen tietojärjestelmään, ja autentikoinnin avulla tietojärjestelmä vahvistaa, että kohde on todella se, joka hän väittää olevansa. Tämän toiminnon suorittamisen perusteella suoritetaan toiminto pääsyn saamiseksi tietojärjestelmään. Kulunvalvontamenettelyt antavat valtuutetuille mahdollisuuden suorittaa määräysten sallimia toimia, ja tietojärjestelmä valvoo näitä toimia saadun tuloksen oikeellisuuden ja oikeellisuuden varalta. Pääsynhallinnan avulla järjestelmä voi estää tietoja käyttäjiltä, ​​joihin heillä ei ole valtuuksia.

Seuraava ohjelmisto- ja laitteistosuojauskeino on tiedon kirjaaminen ja auditointi.

Kirjaaminen sisältää tiedon keräämisen, keräämisen ja tallentamisen tapahtumista, toimista, tietojärjestelmän toiminnan aikana tapahtuneista tuloksista, yksittäisistä käyttäjistä, prosesseista sekä kaikista yrityksen tietojärjestelmään kuuluvista ohjelmistoista ja laitteista.

Koska jokaisella tietojärjestelmän komponentilla on ennalta määrätty joukko mahdollisia tapahtumia ohjelmoitujen luokittimien mukaisesti, tapahtumat, toimet ja tulokset jaetaan:

  • ulkoinen, joka johtuu muiden komponenttien toiminnasta,
  • sisäinen, itse komponentin toimien aiheuttama,
  • asiakaspuolella käyttäjien ja järjestelmänvalvojien toimista.
Tietojen auditointi koostuu operatiivisen analyysin tekemisestä reaaliajassa tai tietyn ajanjakson sisällä.

Analyysin tulosten perusteella joko luodaan raportti tapahtuneista tapahtumista tai käynnistetään automaattinen reagointi hätätilanteeseen.

Kirjaamisen ja tarkastuksen toteuttaminen ratkaisee seuraavat ongelmat:

  • käyttäjien ja järjestelmänvalvojien saattaminen vastuuseen;
  • varmistamalla mahdollisuus rekonstruoida tapahtumien järjestys;
  • tietoturvaloukkausyritysten havaitseminen;
  • tietojen tarjoaminen ongelmien tunnistamiseksi ja analysoimiseksi.

Tietojen suojaaminen on usein mahdotonta ilman kryptografisten keinojen käyttöä. Niitä käytetään tarjoamaan salaus-, eheys- ja todennuspalveluita, kun todennusvälineet tallennetaan salatussa muodossa käyttäjälle. On olemassa kaksi pääsalausmenetelmää: symmetrinen ja epäsymmetrinen.

Eheyden hallinnan avulla voit määrittää kohteen, joka on tietojoukko, yksittäiset tietokappaleet, tietolähde, aitouden ja identiteetin sekä varmistaa, että järjestelmässä suoritettua toimintoa ei voida merkitä tietojoukolla. Eheysvalvonnan toteuttamisen perustana ovat salausta ja digitaalisia varmenteita käyttävät tiedonmuunnostekniikat.

Toinen tärkeä näkökohta on suojauksen käyttö, teknologia, joka mahdollistaa rajoittamalla subjektien pääsyn tietoresursseihin hallita kaikkia tietovirtoja yrityksen tietojärjestelmän ja ulkoisten objektien, tietoryhmien, subjektien ja vasta-aiheiden välillä. Virtojen ohjaus koostuu niiden suodattamisesta ja tarvittaessa siirrettyjen tietojen muuntamisesta.

Suojauksen tarkoitus on suojata sisäistä tietoa mahdollisesti vihamielisiltä ulkoisilta tekijöiltä ja kokonaisuuksilta. Pääasiallinen suojauksen toteutusmuoto ovat palomuurit tai erityyppiset ja arkkitehtuuriset palomuurit.

Koska yksi tietoturvan merkkejä on tietoresurssien saatavuus, korkean käytettävyyden varmistaminen on tärkeä suunta ohjelmisto- ja laitteistotoimenpiteiden toteutuksessa. Erityisesti kaksi suuntaa on jaettu: vikasietoisuuden varmistaminen, ts. neutraloi järjestelmävikoja, toimintakykyä virheiden sattuessa ja varmistaa turvallisen ja nopean toipumisen häiriöistä, ts. järjestelmän huollettavuus.

Päävaatimus tietojärjestelmille on, että ne toimivat aina tietyllä tehokkuudella, minimi epäkäytettävyydellä ja reagointinopeudella.

Tämän mukaisesti tietoresurssien saatavuus varmistetaan:

  • rakennearkkitehtuurin käyttö, mikä tarkoittaa, että yksittäiset moduulit voidaan tarvittaessa poistaa käytöstä tai vaihtaa nopeasti vaurioittamatta tietojärjestelmän muita osia;
  • Vikasietokyvyn varmistaminen seuraavilla tavoilla: tukiinfrastruktuurin autonomisten elementtien käyttö, ylikapasiteetin lisääminen laitteisto- ja ohjelmistokokoonpanoon, laitteiston redundanssi, tietoresurssien replikointi järjestelmän sisällä, tietojen varmuuskopiointi jne.
  • huollettavuuden varmistaminen vähentämällä vikojen ja niiden seurausten diagnosointiin ja poistamiseen kuluvaa aikaa.

Toinen tietoturvavälinetyyppi on suojatut viestintäkanavat.

Tietojärjestelmien toimivuus liittyy väistämättä tiedonsiirtoon, joten myös yritysten on varmistettava välitettävien tietoresurssien suojaus turvallisia viestintäkanavia käyttäen. Mahdollisuus luvatta pääsyyn tietoihin siirrettäessä liikennettä avoimia viestintäkanavia pitkin johtuu niiden yleisestä saatavuudesta. Koska "viestintää on mahdotonta fyysisesti suojata koko niiden pituudelta, on siksi parempi lähteä aluksi olettamaan niiden haavoittuvuutta ja tarjoamaan suojaus sen mukaisesti." Tätä varten käytetään tunnelointiteknologioita, joiden ydin on tietojen kapseloiminen, ts. pakata tai kääri lähetetyt datapaketit, mukaan lukien kaikki palveluattribuutit, omiin kirjekuoriinsa. Näin ollen tunneli on suojattu yhteys avoimien viestintäkanavien kautta, jonka kautta kryptografisesti suojattuja datapaketteja siirretään. Tunnelointia käytetään liikenteen luottamuksellisuuden varmistamiseen piilottamalla palvelutiedot ja varmistamalla siirrettyjen tietojen luottamuksellisuus ja eheys, kun sitä käytetään yhdessä tietojärjestelmän salauselementtien kanssa. Tunneloinnin ja salauksen yhdistäminen mahdollistaa virtuaalisen yksityisen verkon toteuttamisen. Tässä tapauksessa virtuaalisia yksityisiä verkkoja toteuttavien tunnelien päätepisteet ovat palomuurit, jotka palvelevat organisaatioiden liittämistä ulkoisiin verkkoihin.

Palomuurit virtuaalisten yksityisten verkkopalvelujen toteutuspisteinä

Näin ollen tunnelointi ja salaus ovat lisämuunnoksia, jotka suoritetaan verkkoliikenteen suodatusprosessissa osoitteenmuunnoksen ohella. Tunnelien päät voivat yritysten palomuurien lisäksi olla työntekijöiden henkilökohtaiset ja mobiilit tietokoneet, tarkemmin sanottuna heidän henkilökohtaiset palomuurinsa ja palomuurinsa. Tämä lähestymistapa varmistaa turvallisten viestintäkanavien toiminnan.

Tietoturvamenettelyt

Tietoturvamenettelyt jaetaan yleensä hallinto- ja organisaatiotasoille.

  • Hallintomenettelyihin kuuluvat organisaation johdon yleiset toimenpiteet kaiken tietoturvan varmistamiseen ja ylläpitoon liittyvien töiden, toimenpiteiden, toimintojen säätelemiseksi, jotka toteutetaan osoittamalla tarvittavat resurssit ja seuraamalla toimenpiteiden tehokkuutta.
  • Organisaation taso edustaa menettelyjä tietoturvan varmistamiseen, mukaan lukien henkilöstöhallinta, fyysinen suojaus, ohjelmisto- ja laitteistoinfrastruktuurin toimivuuden ylläpitäminen, tietoturvaloukkausten nopea eliminointi ja kunnostustöiden suunnittelu.

Toisaalta hallinnollisten ja organisatoristen menettelytapojen erottelu on merkityksetöntä, koska yhden tason menettelyt eivät voi olla erillään toisesta tasosta, mikä rikkoo tietoturvakäsitteen fyysisen tason suojan, henkilökohtaisen ja organisaation suojan välistä suhdetta. Käytännössä organisaation tietoturvan varmistamisessa ei unohdeta hallinnollisia tai organisatorisia menettelyjä, joten on loogisempaa tarkastella niitä kokonaisuutena, koska molemmat tasot vaikuttavat tietoturvan fyysiseen, organisatoriseen ja henkilökohtaiseen tasoon.

Kokonaisvaltaisten menettelytapojen perusta tietoturvallisuuden varmistamiseksi on turvallisuuspolitiikka.

Tietoturvapolitiikka

Tietoturvapolitiikka organisaatiossa se on joukko dokumentoituja päätöksiä, jotka organisaation johto tekee ja joiden tarkoituksena on suojata tietoa ja siihen liittyviä resursseja.

Tietoturvapolitiikka voi organisatorisesti ja hallinnollisesti olla yksi asiakirja tai se on laadittu useana itsenäisenä asiakirjana tai määräyksenä, mutta sen tulee joka tapauksessa kattaa seuraavat organisaation tietojärjestelmän suojaamisen näkökohdat:

  • tietojärjestelmäobjektien, tietoresurssien suojaaminen ja suora toiminta niiden kanssa;
  • kaikkien järjestelmän tietojenkäsittelyyn liittyvien toimintojen suojaaminen, mukaan lukien ohjelmistojen käsittelytyökalut;
  • viestintäkanavien, mukaan lukien langallinen, radio, infrapuna, laitteisto jne., suojaus;
  • laitteistokompleksin suojaaminen ei-toivotulta sähkömagneettiselta säteilyltä;
  • turvajärjestelmän hallinta, mukaan lukien ylläpito, päivitykset ja hallinnolliset toimet.

Jokainen näkökohta on kuvattava yksityiskohtaisesti ja dokumentoitava organisaation sisäisissä asiakirjoissa. Sisäiset asiakirjat kattavat kolme suojausprosessin tasoa: ylä-, keski- ja alaosa.

Huipputason tietoturvapolitiikka-asiakirjat heijastavat organisaation peruslähtökohtaa oman tiedon suojaamiseen sekä valtion ja/tai kansainvälisten standardien noudattamista. Käytännössä organisaatiolla on vain yksi huipputason dokumentti, nimeltään ”Tietoturvakonsepti”, ”Tietoturvasäännökset” jne. Muodollisesti nämä asiakirjat eivät edusta luottamuksellista arvoa, niiden jakelua ei ole rajoitettu, mutta ne voidaan luovuttaa toimittajille sisäiseen käyttöön ja avoimeen julkaisuun.

Keskitason asiakirjat ovat ehdottoman luottamuksellisia ja liittyvät organisaation tietoturvan tiettyihin osa-alueisiin: käytettyihin tietoturvatyökaluihin, tietokantaturvallisuuteen, viestintään, salaustyökaluihin ja muihin organisaation tieto- ja talousprosesseihin. Dokumentointi toteutetaan sisäisten teknisten ja organisatoristen standardien muodossa.

Alemman tason asiakirjat jaetaan kahteen tyyppiin: työmääräykset ja käyttöohjeet. Työsäännöt ovat ehdottoman luottamuksellisia ja tarkoitettu vain henkilöille, jotka osana tehtäviään suorittavat yksittäisten tietoturvapalveluiden hallinnointityötä. Käyttöohjeet voivat olla joko luottamuksellisia tai julkisia; ne on tarkoitettu organisaation henkilöstölle ja kuvaavat menettelytapaa organisaation tietojärjestelmän yksittäisten elementtien kanssa työskentelyssä.

Maailman kokemus osoittaa, että tietoturvapolitiikka dokumentoidaan aina vain suurissa yrityksissä, joilla on kehittynyt tietojärjestelmä ja keskisuurilla yrityksillä on useimmiten vain osittain dokumentoitu tietoturvapolitiikka; Älä välitä turvallisuuspolitiikan dokumentoinnista. Riippumatta asiakirjan muodosta, kokonaisvaltaisesta tai hajautetusta, perusnäkökohta on turvajärjestelmä.

On olemassa kaksi erilaista lähestymistapaa, jotka muodostavat perustan tietoturvakäytännöt:

  1. "Kaikki mikä ei ole kiellettyä on sallittua."
  2. "Kaikki mikä ei ole sallittua on kiellettyä."

Ensimmäisen lähestymistavan perustavanlaatuinen puute on, että käytännössä on mahdotonta ennakoida kaikkia vaarallisia tapauksia ja estää niitä. Epäilemättä vain toista lähestymistapaa tulisi käyttää.

Tietoturvan organisaatiotaso

Tietosuojan näkökulmasta organisatoriset menettelytavat tietoturvan varmistamiseksi esitetään "tuotantotoiminnan ja esiintyjien välisten suhteiden säätelynä sellaisella oikeusperustalla, joka sulkee pois tai merkittävästi vaikeuttaa luottamuksellisen tiedon laittoman hankinnan sekä sisäisten ja ulkoisia uhkia."

Henkilöstöjohtamisen toimenpiteitä, joilla pyritään organisoimaan työskentely henkilöstön kanssa tietoturvan varmistamiseksi, ovat tehtävien eriyttäminen ja oikeuksien minimointi. Tehtävien erottelu edellyttää sellaista osaamisen ja vastuun jakautumista, jossa yksi henkilö ei pysty häiritsemään organisaation kannalta kriittistä prosessia. Tämä vähentää virheiden ja väärinkäytösten todennäköisyyttä. Vähiten etuoikeus edellyttää, että käyttäjille annetaan vain heidän työtehtäviensä suorittamiseen tarvittava käyttöoikeustaso. Tämä vähentää tahattomien tai tahallisten virheellisten toimien aiheuttamia vahinkoja.

Fyysisellä suojauksella tarkoitetaan toimenpiteiden kehittämistä ja käyttöönottoa suoraan suojelemaan rakennuksia, joissa sijaitsevat organisaation tietoresurssit, lähialueet, infrastruktuurielementit, tietokonelaitteet, tiedontallennusvälineet ja laitteiston viestintäkanavat. Näitä ovat fyysinen kulunvalvonta, palontorjunta, tukiinfrastruktuurin suojaus, suojaus tietojen sieppaukselta ja mobiilijärjestelmien suojaus.

Laitteisto- ja ohjelmistoinfrastruktuurin toimivuuden ylläpito sisältää stokastisten virheiden estämisen, jotka uhkaavat vahingoittaa laitteistoa, ohjelmien häiriöitä ja tietojen katoamista. Pääsuunnat tässä suhteessa ovat käyttäjä- ja ohjelmistotuki, konfiguraatioiden hallinta, varmuuskopiointi, mediahallinta, dokumentointi ja ylläpito.

Turvallisuusrikkomusten nopealla poistamisella on kolme päätavoitetta:

  1. Tapahtuman lokalisointi ja aiheutuneiden haittojen vähentäminen;
  2. Rikkojan tunnistaminen;
  3. Toistuvien rikkomusten ehkäisy.

Lopuksi toipumissuunnittelun avulla voit varautua onnettomuuksiin, vähentää niistä aiheutuvia vahinkoja ja ylläpitää toimintakykyä vähintään minimissään.

Ohjelmistojen ja laitteistojen sekä suojattujen viestintäkanavien käyttö on toteutettava organisaatiossa integroidun lähestymistavan pohjalta kaikkien tietoturvan varmistamiseen liittyvien hallinnollisten ja organisaation sääntelymenettelyjen kehittämisessä ja hyväksymisessä. Muutoin yksittäisten toimenpiteiden toteuttaminen ei takaa tietojen suojaa, vaan usein päinvastoin aiheuttaa luottamuksellisten tietojen vuotamista, kriittisten tietojen katoamista, laitteistoinfrastruktuurin vahingoittumista ja organisaation tietojärjestelmän ohjelmistokomponenttien häiriöitä.

Tietoturvamenetelmät

Nykyaikaisille yrityksille on ominaista hajautettu tietojärjestelmä, jonka avulla ne voivat ottaa huomioon yrityksen hajautetut toimistot ja varastot, talouskirjanpidon ja johdon valvonnan, asiakaskunnan tiedot, indikaattoreiden otantamisen ja niin edelleen. Tietojen määrä on siis erittäin merkittävä, ja valtaosa on yritykselle kaupallisesti ja taloudellisesti ensisijaisen tärkeää tietoa. Itse asiassa kaupallista arvoa omaavien tietojen luottamuksellisuuden varmistaminen on yksi yrityksen tietoturvan päätavoitteista.

Tietoturvan varmistaminen yrityksessä on säänneltävä seuraavilla asiakirjoilla:

  1. Tietoturvasäännökset. Sisältää selvityksen tietoturvan varmistamisen päämääristä ja tavoitteista, luettelon tietoturvatyökalujen sisäisistä määräyksistä sekä yhtiön hajautetun tietojärjestelmän hallinnon määräykset. Pääsy sääntöihin on rajoitettu organisaation johdolle ja automaatioosaston johtajalle.
  2. Tietoturvan teknisen tuen määräykset. Asiakirjat ovat luottamuksellisia, pääsy on rajoitettu automaatioosaston työntekijöille ja ylimmälle johdolle.
  3. Hajautetun tietoturvajärjestelmän hallinnon määräykset. Pääsy sääntöihin on rajoitettu tietojärjestelmän hallinnasta vastaavan automaatioosaston työntekijöille ja ylimmälle johdolle.

Samaan aikaan sinun ei pitäisi rajoittua näihin asiakirjoihin, vaan myös työskennellä alemmilla tasoilla. Muussa tapauksessa, jos yrityksellä ei ole muita tietoturvan varmistamiseen liittyviä asiakirjoja, tämä osoittaa tietoturvan hallinnollisen tuen riittämättömyyttä, koska alemman tason dokumentteja, erityisesti ohjeita tietojärjestelmän yksittäisten osien käyttöön, ei ole.

Pakollisia organisatorisia menettelyjä ovat mm.

  • tärkeimmät toimenpiteet henkilöstön eriyttämiseksi tietoresurssien saatavuuden mukaan,
  • yrityksen toimistojen fyysinen suojaaminen suoralta tunkeutumiselta ja tietojen tuhoamisen, katoamisen tai sieppaamisen uhalta,
  • laitteisto- ja ohjelmistoinfrastruktuurin toimivuuden ylläpito on järjestetty automaattisten varmuuskopioiden muodossa, tallennusvälineiden etävarmennus, käyttäjä- ja ohjelmistotuki tarjotaan pyynnöstä.

Tähän tulisi sisältyä myös säännellyt toimenpiteet tietoturvaloukkauksiin reagoimiseksi ja niiden poistamiseksi.

Käytännössä on usein havaittu, että yritykset eivät kiinnitä asiaan riittävästi huomiota. Kaikki tähän suuntaan liittyvät toimet suoritetaan yksinomaan rutiininomaisesti, mikä lisää aikaa rikkomustapausten poistamiseen eikä takaa toistuvien tietoturvaloukkausten estämistä. Lisäksi onnettomuuksien, tietovuotojen, tietojen katoamisen ja kriittisten tilanteiden jälkeisten seurausten eliminoimiseen tähtäävien toimenpiteiden suunnittelussa on täydellinen puute. Kaikki tämä heikentää merkittävästi yrityksen tietoturvaa.

Ohjelmisto- ja laitteistotasolla tulee ottaa käyttöön kolmitasoinen tietoturvajärjestelmä.

Tietoturvan vähimmäisvaatimukset:

1. Kulunvalvontamoduuli:

  • Tietojärjestelmään on toteutettu suljettu sisäänkäynti, järjestelmään ei voi kirjautua varmennettujen työpaikkojen ulkopuolella;
  • Työntekijöille on toteutettu pääsy rajoitetulla toiminnallisuudella kannettavista henkilökohtaisista tietokoneista;
  • valtuutus suoritetaan järjestelmänvalvojien luomilla kirjautumistunnuksilla ja salasanoilla.

2. Salauksen ja eheyden ohjausmoduuli:

  • käytetään epäsymmetristä menetelmää lähetetyn datan salaamiseksi;
  • kriittisten tietojen joukkoja on tallennettu tietokantoihin salatussa muodossa, mikä ei mahdollista pääsyä niihin, vaikka yrityksen tietojärjestelmään hakkeroidaan;
  • eheyden valvonta varmistetaan kaikkien tietojärjestelmään tallennettujen, käsiteltyjen tai siirrettyjen tietoresurssien yksinkertaisella digitaalisella allekirjoituksella.

3. Suojausmoduuli:

  • palomuuriin on toteutettu suodatinjärjestelmä, jonka avulla voit hallita kaikkia tietovirtoja viestintäkanavien kautta;
  • ulkoiset yhteydet globaaleihin tietoresursseihin ja julkisiin viestintäkanaviin voidaan muodostaa vain rajoitetun joukon varmennettuja työasemia kautta, joilla on rajoitettu yhteys yrityksen tietojärjestelmään;
  • Työntekijöiden työasemien suojattu pääsy virkatehtäviin on toteutettu kaksitasoisen välityspalvelinjärjestelmän kautta.

Lopuksi tunnelointiteknologioiden avulla yrityksen tulee toteuttaa tyypillisen suunnittelumallin mukainen virtuaalinen yksityinen verkko turvallisten viestintäkanavien tarjoamiseksi yrityksen eri osastojen, kumppaneiden ja yrityksen asiakkaiden välillä.

Huolimatta siitä, että viestintä tapahtuu suoraan verkkojen kautta, joilla on mahdollisesti alhainen luottamus, tunnelointitekniikat salauksen avulla mahdollistavat kaikkien siirrettyjen tietojen luotettavan suojauksen.

johtopäätöksiä

Kaikkien tietoturva-alalla toteutettavien toimenpiteiden päätavoitteena on suojella yrityksen etuja tavalla tai toisella, jotka liittyvät sen hallussa oleviin tietoresursseihin. Vaikka yrityksen edut eivät rajoitu tiettyyn alueeseen, ne kaikki keskittyvät tietojen saatavuuteen, eheyteen ja luottamuksellisuuteen.

Tietoturvan varmistamisen ongelma selittyy kahdella pääsyyllä.

  1. Yrityksen keräämät tietoresurssit ovat arvokkaita.
  2. Kriittinen riippuvuus tietoteknologioista määrittää niiden laajan käytön.

Ottaen huomioon olemassa olevien tietoturvauhkien laaja kirjon, kuten tärkeiden tietojen tuhoaminen, luottamuksellisten tietojen luvaton käyttö, tietojärjestelmän toiminnan häiriöistä johtuvat yrityksen toiminnan keskeytykset, voidaan päätellä, että kaikki tämä objektiivisesti aiheuttaa suuria aineellisia menetyksiä.

Tietoturvan varmistamisessa merkittävä rooli on tietokonekokonaisuuksien ohjaamiseen tarkoitetuilla ohjelmistoilla ja laitteistoilla, ts. laitteet, ohjelmistoelementit, tiedot, jotka muodostavat tietoturvan viimeisen ja korkeimman prioriteetin rivin. Tiedonsiirron tulee myös olla turvallista sen luottamuksellisuuden, eheyden ja käytettävyyden kannalta. Siksi nykyaikaisissa olosuhteissa tunnelointiteknologiaa yhdessä salaustyökalujen kanssa käytetään turvallisten viestintäkanavien tarjoamiseen.

Kirjallisuus

  1. Galatenko V.A. Tietoturvastandardit. – M.: Internet University of Information Technologies, 2006.
  2. Partyka T.L., Popov I.I. Tietoturva. – M.: foorumi, 2012.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä