Проблемы защиты информации в деятельности органов государственной власти

ФСТЭК предлагает выделять персональные данные из информационных систем, содержащих информацию ограниченного доступа и защищаемых в режиме тайны, что во многих случаях не реализуемо. Выделение персональных данных из общего массива охраняемой информации создает для оператора проблему соотношения требований по технической защите информации, а также проблему соотношения прав и обязанностей субъектов в отношении защищаемой информации.

С 1 января 2008 года в силу вступила часть четвертая Гражданского кодекса Российской Федерации, регулирующая отношения по поводу результатов интеллектуальной деятельности. Введены понятия "секрет производства" (ст. 1465 ГК РФ: секретом производства (ноу-хау) признаются сведения любого характера (технические, производственные, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа, на законном основании, и в отношении которых обладателем таких сведений введен режим коммерческой тайны) и "служебные секреты производства" (ст. 1470 ГК РФ: исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю. Гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства).

Что касается служебных секретов производства, то исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя, принадлежит работодателю. Но существует и важная особенность: на работника возлагается обязанность сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства независимо от того, создал ли такой работник результат интеллектуальной деятельности или соответствующие сведения стали известны работнику лишь в связи с выполнением своих служебных обязанностей.

В контексте рассматриваемого вопроса нельзя обойти Федеральный закон "О коммерческой тайне" № 98-ФЗ, принятый 29 июля 2004 года и приведенный в соответствие с частью четвертой ГК РФ.

Федеральные законы "О коммерческой тайне", "Об информации, информационных технологиях и о защите информации" и часть 4 ГК РФ - ввели, как говорилось выше, и новые понятия, и изменили содержание некоторых прежних понятий, относящихся к данному вопросу. Ст. 139 ГК РФ, определявшая коммерческую тайну, отменена.

В ст. 3 Федерального Закона № 98-ФЗ "О коммерческой тайне" коммерческая тайна определяется как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Федеральные законы от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" и от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" - закон призван обеспечить защиту сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов (ст. 5 ФЗ № 184-ФЗ).

Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" - закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в свете обеспечения защиты конфиденциальной информации при осуществлении лицензирования отдельных видов деятельности.

Иные федеральные законы в том или ином аспекте также могут регулировать деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса РФ об административных правонарушениях № 195-ФЗ от 30 декабря 2001 г. устанавливает ответственность за административные правонарушения в области связи и информации.

В соответствии с Законом РФ "О средствах массовой информации", поиск, получение, производство и распространение массовой информации, учреждение ее средств, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных соответствующим законодательством РФ.

В числе нормативных правовых актов, частично регулирующих рассматриваемые отношения, следует назвать также Закон "Об архивном деле в Российской Федерации". Пользователь архивных документов имеет право использовать, передавать, распространять информацию, содержащуюся в них, а также копии архивных документов для любых законных целей и любым законным способом. Кроме того, приняты и иные нормативные правовые акты в данной области.

Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" - указ регламентирует меры обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей "Интернет". Особое внимание уделяется обеспечению безопасности "закрытой" информации.

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "Вопросы Федеральной службы по техническому и экспортному контролю" - указ призван обеспечить защиту информации путем создания Федеральной службой по техническому и экспортному контролю своих территориальных органов, Государственного научно-исследовательского испытательного института проблем технической защиты информации.

Указ Президента РФ от 20 января 1994 г. № 170 "Об основах государственной политики в сфере информатизации" (в ред. от 9 июля 1997 г.) установил, что основными направлениями государственной политики в сфере информатизации являются: обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям. Указ Президента Российской Федерации № 188 от 6 марта 1997 г. (в редакции Указа Президента РФ № 1111 от 23. сентября 2005 г.) установил перечень сведений конфиденциального характера.

Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" - данное постановление регламентирует порядок обращения и работы с конфиденциальной информацией федеральными органами исполнительной власти с целью предотвращения угрозы утечки информации и обеспечения защиты информации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" - данное Постановление утвердило Положение об обеспечении безопасности персональных данных в соответствии со ст. 19 ФЗ № 152-ФЗ. Положение содержит требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" - данное Постановление утвердило Положение об обязательной сертификации средств защиты информации, где отражен порядок сертификации средств защиты информации в Российской Федерации.

Постановления: Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" и Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности но разработке и (или) производству средств защиты конфиденциальной информации" призваны обеспечить защиту конфиденциальной информации путем обязательного лицензирования технических средств защиты.

Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления ее обеспечения и служит основой для формирования государственной политики и подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации, а также для разработки ее целевых программ.

К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств; языки, нравственные ценности и культурное наследие народностей Российской Федерации; объекты интеллектуальной собственности.

Российская Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. Общее число тайн превысило 40, а термин "конфиденциальность" встречается в 84 федеральных законах и 706 международных актах, в том числе в межправительственных соглашениях. В качестве примеров можно привести следующие документы: Европейская Конвенция об информации относительно иностранного законодательства (ETS № 62) (заключена в Лондоне 7 июня 1968 г.); Соглашение о межгосударственном обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 г.); Соглашение о сотрудничестве в области информации (заключено в Бишкеке 9 октября 1992 г.); Соглашение об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 г.); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена в Стамбуле, 6 марта 1993 г.); Соглашение о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств - участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 г.); Конвенция о преступности в сфере компьютерной информации (ETS N 185) (заключена в Будапеште 23 ноября 2001 г.); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных технологий и связи (заключено в Ганновере 11 апреля 2005 г.); Соглашение между Правительством Российской Федерации и Правительством Союза Мьянма о взаимной защите секретной информации (заключено в Москве 3 апреля 2006 г.) и др.

Подводя итог вышеизложенному материалу можно сделать вывод, что конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную, профессиональную или личную тайны, охраняющиеся её владельцем.

Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом. При этом информация как таковая и конфиденциальная информация являются предметом регулирования различных отраслей права и нормативных правовых актов РФ, важнейшее место среди которых занимает Конституция РФ. Россия также - субъект международных правоотношений по поводу информации.

2. Информационная безопасность и защита конфиденциальной информации

2.1 Угрозы и меры по предупреждению утечки конфиденциальной информации

Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.

Вместе с этим растут риски (угрозы) утечки информации, давление со стороны регулирующих органов и ожидания заинтересованных лиц в отношении защищенности информации.

Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных.

Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рис. 1.

Рисунок 1 - Угрозы информационной безопасности в России

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.

Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах.

Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:

- последствия для бизнеса, включая существенный ущерб для репутации и потерю конкурентных преимуществ;

- стоимость необходимых ресурсов и требуемого времени для воссоздания информации;

- юридические последствия, ответственность и иски, штрафы и санкции, отзыв лицензий;

- ликвидность информации - количество лиц, заинтересованных в получении информации, и внешние ограничения для ее распространения и использования;

- актуальность информации, влияние времени на ее ценность.

Основными источниками конфиденциальной информации являются:

- персонал предприятия, допущенный к конфиденциальной информации;

- носители конфиденциальной информации (документы, изделия);

- технические средства, предназначенные для хранения и обработки информации;

- средства коммуникации, используемые в целях передачи информации;

- передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (различных средств и систем связи).

Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:

- конфиденциальное делопроизводство (защищенный документооборот);

- совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;

- совещания (конференции), в ходе которых обсуждаются вопросы конфиденциального характера;

- рекламная и издательская (публикаторская) деятельность;

- различные мероприятия в области сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией;

- научные исследования, деятельность диссертационных и иных советов учреждений и организаций;

- передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.

Организационные каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.

Данное воздействие, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на недопущение ее утечки и несанкционированного распространения (утраты носителей конфиденциальной информации).

Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделяются следующим образом:

- по источникам угроз защищаемой информации (внешние и внутренние);

- по видам конфиденциальной информации или тайн (государственная, коммерческая, служебная или иная тайна; персональные данные сотрудников предприятия);

- по источникам конфиденциальной информации (персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или принимаемые сообщения и т.п.);

- по способам или средствам доступа к защищаемой информации (применение технических средств, непосредственная и целенаправленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем);

- по характеру взаимодействия с партнерами (каналы утечки, возникающие в отсутствие взаимодействия, при осуществлении взаимодействия, в условиях конкурентной борьбы);

- по продолжительности или времени действия (каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия);

- по направлениям деятельности предприятия (каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия);

- по причинам возникновения каналов утечки информации (действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства);

- по каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации (каналы утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по которому передается информация);

- по месту возникновения каналов утечки информации (каналы утечки, возникающие за пределами территории предприятия или на территории предприятия - в служебных помещениях, на объектах информатизации, объектах связи и в других местах);

- по используемым способам и методам защиты информации (каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов).

Рассмотрим более подробно угрозы защищаемой информации. Под угрозой защищаемой информации будем понимать некоторую ситуацию (или потенциально существующую возможность ее осуществления), которая может привести к нарушению установленного статуса информации.

В общем смысле понятие угрозы является комплексным и включает в себя несколько составляющих: источники угроз, виды угроз и способы их реализации.

В качестве источников угроз защищаемой информации могут выступать люди, средства обработки, передачи и хранения информации, другие технические средства и системы, не связанные непосредственно с обработкой защищаемой информации, стихийные бедствия и природные явления.

Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных). В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.

Западные специалисты считают, что для обеспечения информационной безопасности и сохранности конфиденциальной информации, необходим правильный подбор, расстановка и воспитание персонала.

Принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17 799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

Для предотвращения угрозы утечки конфиденциальной информации, рекомендуется при приеме на работу проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:

а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;

б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

Оформление допуска для работы с конфиденциальной информацией, которое также составляет основу планирования управления персоналом, производится на основании разграничения доступа к конфиденциальным документам.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы.

Разрешительная система допуска к конфиденциальным документам решает следующие задачи:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны компании (фирмы/организации), и работы с ценными документами;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- обеспечение сотрудника всем необходимым для выполнения своих служебных функций;

- исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

- рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.

Возникающая практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом документов и сведений называется доступом.

Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям.

Воздействие со стороны всех остальных источников угроз всегда носит случайный характер.

Средства обработки, передачи и хранения информации могут представлять для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме того, при обработке информации с помощью ЭВМ необходимо организовать защиту от возникающих в процессе Работы побочных электромагнитных излучений и наводок.

Технические средства и системы, непосредственно не связанные с обработкой защищаемой информации (электроснабжение, водоснабжение, отопление и пр.) также могут оказывать негативное воздействие на информацию, влияя на средства ее обработки. Так, при отключении электроэнергии временно отключаются и системы обработки информации, что может привести, например, к потере не сохраненных данных в памяти компьютера.

Стихийные бедствия и природные явления могут создавать аварийные ситуации, при которых средства вычислительной техники выходят из строя или временно находятся в нерабочем состоянии.

Информация, обрабатываемая с помощью средств вычислительной техники, может подвергаться следующим видам угроз:

- уничтожение информации и (или) ее носителя;

- несанкционированное получение и (или) распространение конфиденциальной информации;

- модификация информации, т. е. внесение в нее изменений;

- создание ложных сообщений;

- блокирование доступа к информации или ресурсам системы, том числе отказ в обслуживании;

- несанкционированное или ошибочное использование информационных ресурсов системы;

- отказ от получения или отправки информации.

Уничтожение информации и (или) ее носителя может нанести значительный ущерб собственнику (владельцу) данной информации, так как у него не будет достаточных сведения для принятия необходимых решений. Кроме того, если и существует возможность восстановления утраченной информации, то это потребует значительных затрат, А зачастую полное восстановление уничтоженных данных вообще невозможно, например, в случае уничтожения электронного архива организации за много лет работы или обширного банка данных.

Для предотвращения утечки конфиденциальной информации с помощью средств вычислительной техники, необходима техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:

Программные - персональные и корпоративные файрволы; антивирусы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.

Программно-аппаратные - маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.

Аппаратные - устройства обнаружения и ликвидации прослушивающей аппаратуры; сканеры радиоизлучения; генераторы радиопомех, устройства бесперебойного питания, и другие.

Решение проблем защиты электронной информации базируется, в том числе и на использовании криптографических методов. Суть криптографической защиты в том, чтобы информация в процессе передачи была защищена от искажения или от перехвата, или от того и другого сразу.

Обеспечение конфиденциальности при передаче сообщений по незащищенным каналам связи - традиционная задача криптографии. В общем случае данная задача решается при помощи криптографических преобразований, заранее согласованных между всеми легитимными участниками информационного обмена. Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование - расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.

Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность.

Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.

Несанкционированное получение злоумышленником конфиденциальной информации также может привести к значительному ущербу. Так, например, получив информацию, идентифицирующую пользователя; автоматизированной системы при входе в нее, злоумышленник получает право доступа к системе. При этом он становится обладателем всех прав санкционированного пользователя, т. е. пользователя, которому разрешена работа в данной системе. Также злоумышленник может перехватить информацию, которой обмениваются клиент и банковская система, и затем, используя эти сведения, осуществить кражу денег со счета данного клиента. Существует большое множество подобных примеров, когда утечка конфиденциальной информации наносила непоправимый урон ее собственнику.

Модификация информации означает внесение в информацию каких-либо изменений в интересах злоумышленника. Это представляет значительную опасность для собственника (владельца) информации, так как на основе измененных данных он может принять неправильное решение, что нанесет ему ущерб и (или) принесет выгоду злоумышленнику. Если же пользователю станет известно о возможных внесенных искажениях, он должен будет приложить дополнительные усилия по их выявлению, устранению и восстановлению истинных сведений. А это требует дополнительных затрат различных ресурсов (временных, денежных, кадровых).

Непосредственно к модификации информации примыкает и такой вид угроз, как создание ложных сообщений. Это означает, что злоумышленник преднамеренно посылает субъекту заведомо ложную информацию, получение и использование которой данным субъектом выгодно злоумышленнику. При этом такая информация снабжается всеми атрибутами и реквизитами, которые не позволяют получателю заподозрить, что эта информация ложная.

Блокирование доступа к информации или ресурсам системы может иметь негативные последствия в, случае, когда некоторая информация обладает реальной ценностью только на протяжении короткого отрезка времени. В этом случае блокирование нарушает требование своевременности получения информации. Также блокирование доступа к информации может привести к тому, что субъект не будет обладать всей полнотой сведений, необходимых для принятия решения. Одним из способов блокирования информации может быть отказ в обслуживании, когда система вследствие сбоев в работе или действий злоумышленника не отвечает на запросы санкционированного пользователя.

Несанкционированное или ошибочное использование ресурсов системы, с одной стороны, может служить промежуточным звеном для уничтожения, модификации или распространения информации. С другой стороны, оно имеет самостоятельное значение, так как, даже не касаясь пользовательской или системной информации, может нанести ущерб самой системе (например, вывести ее из строя).

Отказ от получения или отправки информации заключается в отрицании пользователем факта посылки или приема какого-либо сообщения. Например, при осуществлении банковской деятельности подобные действия позволяют одной из сторон расторгать так называемым "техническим" путем заключенные финансовые соглашения, т. е. формально не отказываясь от них. Это может нанести второй стороне значительный ущерб.

Перечисленные виды угроз могут реализовываться различными способами, которые зависят от источника и вида угрозы. Существует большое количество подобных способов (особенно в сфере безопасности компьютерных сетей), они постоянно совершенствуются и обновляются.

2.2 Организация систем защиты конфиденциальной информации

Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

- организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ "Об информации, информатизации и защите информации".

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.

Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

- предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

- предприятие обязано обеспечить сохранность конфиденциальной информации.

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

- Положение о сохранении конфиденциальной информации;

- Перечень сведений, составляющих конфиденциальную информацию;

- Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

- Положение о специальном делопроизводстве и документообороте;

- Перечень сведений, разрешенных к опубликованию в открытой печати;

- Положение о работе с иностранными фирмами и их представителями;

- Обязательство сотрудника о сохранении конфиденциальной информации;

- Памятка сотруднику о сохранении коммерческой тайны.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор - это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.

Эта мера носит скорее психологический характер. Дело в том, что даже полную материальную ответственность сотрудника ТК РФ ограничивает размером прямого ущерба, нанесенного работодателю (ст. 238 ТК РФ). Поэтому в лучшем случае со злоумышленника удастся взыскать лишь стоимость бумаги или дискеты, на которых содержались секретные сведения.

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

- защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

- защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

- защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

В отношении конфиденциальной информации целями защиты являются:

- предотвращение утечки, хищения, утраты, искажения информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению и копированию;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение конфиденциальности документированной информации.

Режим защиты в отношении конфиденциальной документированной информации устанавливается собственником информации или уполномоченным лицом на основании этого закона.

Владелец документов, массива документов, информационной системы обеспечивает уровень защиты информации в соответствии с законодательством.

В качестве собственников конфиденциальной информации могут выступать:

- государство (государственные органы и предприятия, учреждения, организации);

- юридические лица (организации, учреждения предприятия с негосударственной формой собственности);

- физические лица (граждане).

Организации, обрабатывающие конфиденциальную информацию, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Для защиты могут использоваться только сертифицированные средства защиты.

Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.

Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.

Правовой основой для допуска является:

- обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;

- нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.

Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны "обязательство" (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:

- не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;

- не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;

- выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;

- в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;

- сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет дело вые отношения;

- не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;

- в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;

- об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.

Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.

Сотрудники организации/предприятия должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.

За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации - это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.

При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.

3. Оценка защиты конфиденциальной информации в Администрации МО "Карагайский район" Пермский край

3.1 Организация работы по защите конфиденциальной информации и персональных данных в Администрации МО "Карагайский район"

Одним из органов местного самоуправления муниципального образования "Карагайский район" является Администрация муниципального образования "Карагайский район" Пермского края.

Районная Администрация является исполнительно-распорядительным органом местного самоуправления муниципального образования, наделённым Уставом полномочиями по решению вопросов местного значения и полномочиями для осуществления отдельных государственных полномочий, переданных органам местного самоуправления федеральными законами.

Согласно Уставу муниципального образования "Карагайский район" в структуру районной Администрации входят (см. Приложение 1):

1) Глава района - Глава районной Администрации;

2) заместители Главы районной Администрации;

3) управления, комитеты, отделы, службы районной Администрации;

4) иные структурные подразделения в соответствии с их полномочиями.

Администрация в своей деятельности руководствуется Конституцией Российской Федерации, Уставом МО "Карагайский район" Пермского края, правовыми актами местного самоуправления и Положением об Администрации муниципального образования "Карагайский район" Пермского края.

Деятельность Администрации строится на принципах законности, самостоятельности в решении вопросов, входящих в ее компетенцию, гласности и учета мнения населения, ответственности за принимаемые решения, отчетности и подконтрольности.

Администрация в пределах своих полномочий осуществляет исполнительно-распорядительные функции по решению вопросов местного значения и переданных федеральными законами отдельных государственных полномочий в интересах населения района, обеспечивает исполнение законодательства Российской Федерации, Устава МО "Карагайский район", нормативных правовых актов органов местного самоуправления, принятых в пределах их компетенции, осуществляет координацию и связь между органами государственной власти и местного самоуправления на территории района, способствует реализации прав граждан на участие в осуществлении местного самоуправления.

Рассмотрим защиту конфиденциальной информации в Администрации МО "Карагайский район". Организация работы с документами, содержащими государственную, коммерческую и служебную тайны, информацию о персональных данных, ведется пятью управлениями Администрации: общим отделом, управлением кадров и муниципальной службы, мобилизационным управлением, контрольно - правовым управлением, отдел автоматизированных систем.