أمن المعلومات. مسار المحاضرات Artemov A.V.
السؤال 3. نظام حماية المعلومات السرية
التنفيذ العملي لسياسة (مفهوم) أمن المعلومات الخاصة بالشركة هو نظام أمن المعلومات التكنولوجي. حماية المعلومات هي عملية تكنولوجية ديناميكية ومنظمة بشكل صارم تمنع انتهاك توافر موارد المعلومات القيمة وسلامتها وموثوقيتها وسريتها، وفي نهاية المطاف، تضمن أمن معلومات موثوق به بدرجة كافية في عملية أنشطة الإدارة والإنتاج للشركة.
نظام أمن المعلومات هو مجموعة عقلانية من التوجيهات والأساليب والوسائل والتدابير التي تقلل من تعرض المعلومات للخطر وتمنع الوصول غير المصرح به إلى المعلومات أو الكشف عنها أو تسربها. المتطلبات الرئيسية لتنظيم الأداء الفعال للنظام هي: المسؤولية الشخصية للمديرين والموظفين عن سلامة وسائل الإعلام وسرية المعلومات، وتنظيم تكوين المعلومات السرية والوثائق المراد حمايتها، وتنظيم إجراءات وصول الموظفين للمعلومات والوثائق السرية، وجود خدمة أمنية متخصصة تضمن التنفيذ العملي لنظام الحماية والدعم التنظيمي والمنهجي لأنشطة هذه الخدمة.
يحدد أصحاب موارد المعلومات، بما في ذلك الوكالات الحكومية والمنظمات والمؤسسات، بشكل مستقل (باستثناء المعلومات المصنفة على أنها أسرار الدولة) درجة أمان الموارد المطلوبة ونوع النظام وطرق ووسائل الحماية، بناءً على قيمة المعلومات. تعتمد قيمة المعلومات والموثوقية المطلوبة لحمايتها بشكل مباشر. من المهم ألا يغطي هيكل نظام الأمان أنظمة المعلومات الإلكترونية فحسب، بل يشمل مجمع الإدارة بأكمله للشركة في وحدة وحداتها الوظيفية والإنتاجية الحقيقية وعمليات التوثيق التقليدية. ليس من الممكن دائمًا التخلي عن المستندات الورقية وتكنولوجيا الإدارة الروتينية الراسخة تاريخيًا، خاصة إذا كان السؤال يتعلق بأمن المعلومات السرية القيمة.
السمة الرئيسية للنظام هي تعقيده، أي وجود عناصر إلزامية تغطي جميع مجالات حماية المعلومات. نسبة العناصر ومحتواها تضمن فردية بناء نظام أمن المعلومات لشركة معينة وتضمن تفرد النظام وصعوبة التغلب عليه. يمكن تصور نظام حماية محدد كجدار من الطوب يتكون من العديد من العناصر المختلفة (الطوب). عناصر النظام هي: القانونية والتنظيمية والهندسية والأجهزة والبرمجيات والتشفير.
العنصر القانونييعتمد نظام أمن المعلومات على معايير قانون المعلومات ويتضمن التوحيد القانوني للعلاقة بين الشركة والدولة فيما يتعلق بشرعية استخدام نظام أمن المعلومات، والشركة والموظفين فيما يتعلق بالتزام الموظفين بالامتثال للقيود التقييدية و تدابير الحماية التكنولوجية التي وضعها مالك المعلومات، وكذلك مسؤولية الموظفين عن انتهاك معلومات إجراءات الحماية. يتضمن هذا العنصر:
التواجد في الوثائق التنظيمية للشركة، ولوائح العمل الداخلية، والعقود المبرمة مع الموظفين، وفي الأوصاف الوظيفية وتعليمات العمل لأحكام والتزامات حماية المعلومات السرية؛
صياغة ولفت انتباه جميع موظفي الشركة (بما في ذلك أولئك الذين لا علاقة لهم بالمعلومات السرية) إلى أحكام تتعلق بالمسؤولية القانونية عن الكشف عن المعلومات السرية أو التدمير غير المصرح به أو تزوير المستندات؛
شرح للأشخاص المعينين للأحكام المتعلقة طوعية القيود التي يتحملونها فيما يتعلق بالوفاء بالتزامات حماية المعلومات.
العنصر التنظيمييحتوي نظام أمن المعلومات على تدابير ذات طبيعة إدارية وتقييدية (نظامية) وتكنولوجية تحدد أسس ومحتوى نظام الأمان، مما يشجع الموظفين على الالتزام بقواعد حماية المعلومات السرية للشركة. وتتعلق هذه التدابير بإنشاء نظام السرية في الشركة. يتضمن العنصر التنظيم:
تشكيل وتنظيم أنشطة خدمة الأمن وخدمة التوثيق السري (أو مدير الأمن، أو مساعد المدير الأول)، وتزويد أنشطة هذه الخدمات (الموظف) بالوثائق التنظيمية والمنهجية المتعلقة بتنظيم وتكنولوجيا أمن المعلومات؛
تجميع وتحديث تكوين (قائمة، قائمة، مصفوفة) المعلومات المحمية للشركة وتحديثها بانتظام، وتجميع والحفاظ على قائمة (جرد) من الأوراق المحمية للشركة والمستندات الإلكترونية والمقروءة آليًا؛
نظام التصاريح (المخطط الهرمي) لتقييد وصول الموظفين إلى المعلومات المحمية؛
طرق اختيار الموظفين للعمل مع المعلومات المحمية، وطرق تدريب وإرشاد الموظفين؛
توجيهات وأساليب العمل التعليمي مع الموظفين، ومراقبة امتثال الموظفين لإجراءات حماية المعلومات؛
تقنيات حماية ومعالجة وتخزين المستندات الورقية والمقروءة آليًا والإلكترونية الخاصة بالشركة (التقنيات الكتابية والآلية والمختلطة)؛ والتكنولوجيا خارج الآلة لحماية المستندات الإلكترونية؛
إجراءات حماية معلومات الشركة القيمة من التصرفات العرضية أو المتعمدة غير المصرح بها للموظفين؛
أوامر بجميع أنواع العمل التحليلي؛
إجراءات حماية المعلومات أثناء الاجتماعات والدورات والمفاوضات واستقبال الزوار والعمل مع ممثلي وكالات الإعلان ووسائل الإعلام؛
المعدات وإصدار الشهادات للمباني ومناطق العمل المخصصة للعمل مع المعلومات السرية، وترخيص الأنظمة التقنية ووسائل حماية المعلومات وأمنها، وإصدار الشهادات لأنظمة المعلومات المخصصة لمعالجة المعلومات المحمية؛
التحكم في الوصول إلى الأراضي، في مبنى ومباني الشركة، وتحديد هوية الموظفين والزوار؛
أنظمة الأمن للأراضي والمباني والمباني والمعدات ووسائل النقل وموظفي الشركة ؛
تصرفات الموظفين في الحالات القصوى؛
القضايا التنظيمية المتعلقة باقتناء وتركيب وتشغيل الوسائل التقنية لأمن المعلومات وأمنها؛
القضايا التنظيمية لحماية أجهزة الكمبيوتر الشخصية وأنظمة المعلومات والشبكات المحلية؛
العمل على إدارة نظام أمن المعلومات.
معايير وإجراءات إجراء أنشطة التقييم لتحديد درجة فعالية نظام أمن المعلومات.
عنصر الحماية التنظيمية هو جوهر، الجزء الرئيسي من النظام المعقد قيد النظر. وفقًا لمعظم الخبراء، تشكل تدابير أمن المعلومات التنظيمية ما بين 50 إلى 60٪ من هيكل معظم أنظمة أمن المعلومات. ويرجع ذلك إلى عدد من العوامل وأيضًا إلى حقيقة أن جزءًا مهمًا من أمن المعلومات التنظيمية هو اختيار وتنسيب وتدريب الموظفين الذين سيقومون بتنفيذ نظام أمن المعلومات في الممارسة العملية. يمكن أن يُطلق على وعي الموظفين وتدريبهم ومسؤوليتهم بحق حجر الزاوية في أي نظام لأمن المعلومات، حتى الأكثر تقدمًا من الناحية الفنية. تنعكس تدابير الحماية التنظيمية في الوثائق التنظيمية والمنهجية لخدمة الأمن، وخدمة التوثيق السرية للمؤسسة أو الشركة. وفي هذا الصدد، غالبًا ما يستخدم اسم واحد لعنصري نظام الأمان اللذين تمت مناقشتهما أعلاه - "عنصر الحماية التنظيمية والقانونية للمعلومات".
العنصر الهندسيتم تصميم أنظمة أمن المعلومات لمواجهة وسائل الاستطلاع التقنية بشكل سلبي وفعال وتشكيل خطوط أمنية للأراضي والمباني والمباني والمعدات باستخدام مجمعات الوسائل التقنية. عند حماية أنظمة المعلومات، يعد هذا العنصر مهمًا جدًا، على الرغم من ارتفاع تكلفة الحماية الفنية ومعدات الأمان. البند يشمل:
إنشاءات الحماية المادية (الهندسية) ضد اختراق الأشخاص غير المصرح لهم إلى الأراضي والمباني والمباني (الأسوار، والقضبان، والأبواب الفولاذية، والأقفال المجمعة، والمعرفات، والخزائن، وما إلى ذلك)؛
وسائل حماية القنوات التقنية لتسرب المعلومات التي تحدث أثناء تشغيل أجهزة الكمبيوتر والاتصالات وآلات النسخ والطابعات والفاكس وغيرها من الأجهزة والمعدات المكتبية، أثناء الاجتماعات والاجتماعات والمحادثات مع الزوار والموظفين، وإملاء المستندات، وما إلى ذلك؛
وسائل حماية المباني من أساليب الاستطلاع الفني البصرية؛
وسائل ضمان حماية الأراضي والمباني والمباني (وسائل المراقبة والإنذار والإنذار والمعلومات وتحديد الهوية)؛
معدات الحماية من الحرائق؛
وسائل الكشف عن أدوات وأجهزة الاستخبارات التقنية (أجهزة التنصت والبث، وأجهزة تسجيل الصوت والتلفزيون المصغرة المثبتة سرا، وما إلى ذلك)؛
وسائل التحكم الفنية التي تمنع الموظفين من إزالة العناصر والمستندات والأقراص المرنة والكتب وما إلى ذلك من المباني التي تحمل علامات خاصة. عنصر البرمجيات والأجهزةتم تصميم أنظمة أمن المعلومات لحماية المعلومات القيمة التي تتم معالجتها وتخزينها في أجهزة الكمبيوتر والخوادم ومحطات العمل للشبكات المحلية وأنظمة المعلومات المختلفة. ومع ذلك، يمكن استخدام أجزاء من هذه الحماية كوسيلة مصاحبة للحماية الهندسية والتقنية والتنظيمية. البند يشمل:
البرامج المستقلة التي توفر حماية المعلومات والتحكم في درجة أمانها؛
برامج أمن المعلومات التي تعمل جنبًا إلى جنب مع برامج معالجة المعلومات؛
برامج أمن المعلومات التي تعمل جنبًا إلى جنب مع أجهزة أمن المعلومات التقنية (الأجهزة) (مقاطعة تشغيل الكمبيوتر عند انتهاك نظام الوصول، ومحو البيانات في حالة الدخول غير المصرح به إلى قاعدة البيانات، وما إلى ذلك).
عنصر التشفيرتم تصميم أنظمة أمن المعلومات لحماية المعلومات السرية باستخدام أساليب التشفير. البند يشمل:
تنظيم استخدام أساليب التشفير المختلفة في أجهزة الكمبيوتر والشبكات المحلية؛
تحديد شروط وطرق تشفير نص المستند عند إرساله عبر قنوات غير آمنة من البريد والتلغراف والمهاتفة والفاكس والاتصالات الإلكترونية؛
تنظيم استخدام وسائل التشفير في المفاوضات عبر قنوات الاتصال الهاتفية واللاسلكية غير الآمنة؛
تنظيم الوصول إلى قواعد البيانات والملفات والمستندات الإلكترونية بكلمات المرور الشخصية وأوامر التعريف وغيرها من الطرق؛
تنظيم وصول الموظفين إلى المباني المخصصة باستخدام رموز التعريف والشفرات.
يتم تطوير وتغيير مكونات الحماية التشفيرية والرموز وكلمات المرور وخصائصها الأخرى من قبل منظمة متخصصة. لا يُسمح للمستخدمين باستخدام أنظمة التشفير الخاصة بهم.
في كل عنصر من عناصر الحماية، لا يمكن تنفيذ سوى المكونات الفردية عمليًا، اعتمادًا على مهام الحماية المعينة في الشركات الكبيرة والمتوسطة الحجم من مختلف الملفات الشخصية والشركات الصغيرة. يعتمد هيكل النظام وتكوين العناصر ومحتواها وعلاقتها على حجم وقيمة المعلومات التي تتم حمايتها، وطبيعة التهديدات الناشئة لأمن المعلومات، والموثوقية المطلوبة للحماية وتكلفة الحماية. نظام. على سبيل المثال، في شركة صغيرة لديها كمية صغيرة من المعلومات المحمية، يمكنك قصر نفسك على تنظيم تقنية معالجة المستندات وتخزينها، ووصول الموظفين إلى المستندات والملفات. يمكنك بالإضافة إلى ذلك تحديد وتمييز المستندات الورقية والإلكترونية والمقروءة آليًا في مجموعة منفصلة، والاحتفاظ بجرد لها، ووضع إجراء للموظفين للتوقيع على التزام بعدم الكشف عن أسرار الشركة، وتنظيم تدريب وتعليمات منتظمة للموظفين، و إجراء الأعمال التحليلية والرقابية. إن استخدام أبسط طرق الحماية، كقاعدة عامة، يعطي تأثيرا كبيرا.
في شركات التصنيع والبحث الكبيرة التي لديها العديد من أنظمة المعلومات وكميات كبيرة من المعلومات المحمية، يتم تشكيل نظام أمن معلومات متعدد المستويات، يتميز بالوصول الهرمي إلى المعلومات. ومع ذلك، فإن هذه الأنظمة، مثلها مثل أبسط طرق الحماية، لا ينبغي أن تسبب إزعاجًا خطيرًا للموظفين في العمل، أي يجب أن تكون "شفافة".
يجب أن يتم تغيير محتوى مكونات عناصر وأساليب ووسائل حماية المعلومات في إطار أي نظام أمني بشكل منتظم لمنع الكشف عنها من قبل صاحب المصلحة. دائمًا ما يكون نظام أمن المعلومات الخاص بالشركة سريًا وسريًا تمامًا. عند استخدام النظام عمليًا، يجب أن نتذكر أن الأشخاص الذين يقومون بتصميم وتحديث النظام ومراقبة وتحليل تشغيله لا يمكن أن يكونوا مستخدمين لهذا النظام.
خاتمة: يعد أمن المعلومات في الظروف الحديثة لحوسبة عمليات المعلومات ذا أهمية أساسية لمنع الاستخدام غير القانوني والإجرامي في كثير من الأحيان للمعلومات القيمة. يتم تنفيذ مهام ضمان أمن المعلومات من خلال نظام شامل لحماية المعلومات، والذي، حسب الغرض المقصود منه، قادر على حل العديد من المشكلات التي تنشأ في عملية العمل مع المعلومات والمستندات السرية. الشرط الرئيسي لأمن الوصول المحدود إلى موارد المعلومات من أنواع مختلفة من التهديدات هو، أولاً وقبل كل شيء، تنظيم الأبحاث التحليلية في الشركة، المبنية على المستوى العلمي الحديث والسماح لنا بالحصول على معلومات ثابتة حول فعالية الحماية النظام والاتجاهات لتحسينه وفقًا للمشاكل الظرفية الناشئة.
من كتاب الدعم الفني لأمن الأعمال مؤلف ألشين ألكسندرالفصل 5 الوسائل التقنية لأمن المعلومات 5.1. حماية المعلومات يشير أمن المعلومات إلى أمن المعلومات والبنية التحتية الداعمة لها من أي تأثيرات عرضية أو ضارة قد تؤدي إلى ضرر
من كتاب الشاحنات. السلامة والصحة المهنية المؤلف ميلنيكوف ايليا5.4. طرق حماية المعلومات
من كتاب أمن المعلومات. دورة محاضرة المؤلف أرتيموف أ.ف.نظام معلومات المخاطر (HIS) يجب على السائقين والموظفين الآخرين في منظمات النقل بالسيارات المشاركين بشكل مباشر في تسجيل وإعداد وخدمة نقل البضائع الخطرة الالتزام بمتطلبات قواعد وزارة حالات الطوارئ، عندما
من كتاب المؤلفالسؤال 1. موارد المعلومات وسرية المعلومات وفقًا للقانون الاتحادي الحالي "بشأن المعلومات والمعلوماتية وحماية المعلومات" ، موارد المعلومات الخاصة بمؤسسة أو منظمة أو مؤسسة أو بنك أو شركة وغيرها
من كتاب المؤلفالسؤال 2. التهديدات التي تتعرض لها المعلومات السرية للمنظمة تتعرض جميع موارد المعلومات الخاصة بالشركة باستمرار لتهديدات موضوعية وذاتية بفقدان الوسائط أو قيمة المعلومات ويُفهم التهديد أو خطر فقدان المعلومات على أنه تهديد فردي أو
من كتاب المؤلفالسؤال 2. نموذج ومنهجية نظام أمن معلومات الشركة وفقًا للمادة. 20 من القانون الاتحادي "بشأن المعلومات والمعلوماتية وحماية المعلومات"، تتمثل أغراض حماية المعلومات، من بين أمور أخرى، في: منع التسرب والسرقة والخسارة والتشويه والتزوير
من كتاب المؤلفالمحاضرة الخامسة الأسس المفاهيمية لأمن المعلومات في الأنظمة الآلية أسئلة الدراسة:1. تحليل وتصنيف الهياكل التنظيمية والبرمجيات والأجهزة لأنظمة المؤسسات الآلية2. تحليل التهديدات المحتملة وخصوصيتها في أنواع مختلفة
من كتاب المؤلفالسؤال 3. تنظيم أنواع حماية المعلومات في الأنشطة العملية المتعلقة بتطبيق تدابير ووسائل حماية المعلومات، يتم تمييز المجالات المستقلة التالية، والتي يتم تحديدها وفقًا لهياكل الصناعة القائمة وأنواع المعلومات
من كتاب المؤلفالسؤال 3. ينبغي تطوير مبادئ حماية الأنظمة الآلية المصرفية لكل نظام لمعالجة المعلومات الأمنية بشكل فردي، مع مراعاة الميزات التالية:؟ الهيكل التنظيمي للبنك؛؟ حجم وطبيعة تدفقات المعلومات (داخل البنك في
من كتاب المؤلفالسؤال 2. المفهوم الموحد لحماية المعلومات سوف نطلق على المفهوم الموحد لأمن المعلومات (UKIS) الإطار الآلي والمنهجي الذي يضمن التنفيذ العملي لكل من استراتيجيات الحماية (الدفاعية، الهجومية،
من كتاب المؤلف من كتاب المؤلفالسؤال 2. النماذج الرسمية للحماية لنفكر في ما يسمى بنموذج المصفوفة للحماية، والذي يستخدم على نطاق واسع في الممارسة اليوم. فيما يتعلق بنموذج المصفوفة، يتم وصف حالة نظام الحماية بثلاثة أبعاد: (S، O ، M)، حيث S هي مجموعة المواضيع
من كتاب المؤلفالسؤال 1. الغرض من النماذج الرياضية لضمان أمن المعلومات في أنظمة التحكم الآلي، يجب أن يعتمد عمل نظام التحكم الآلي، الذي يضمن تنفيذ تكنولوجيا التحكم الآلي في العمليات المعقدة في نظام موزع، على بداية مخططة.
من كتاب المؤلفالسؤال 2. يعتمد التحليل المقارن والتعاريف الأساسية للنماذج الرياضية لضمان أمن المعلومات على التقنيات الحالية للوصف الرسمي لعمليات ضمان أمن المعلومات على مفاهيم نظرية أجهزة الحالة المحدودة، النظرية.
من كتاب المؤلفالسؤال 1. تدابير الحماية القانونية والتنظيمية تنحصر سبل الانتصاف القانونية أساسًا في المسؤولية الإدارية والجنائية عن الإنشاء المتعمد وتوزيع فيروس أو "أحصنة طروادة" بهدف التسبب في الضرر وصعوبة تطبيقها
من كتاب المؤلفالسؤال 2. أساليب ووسائل الحماية الخاصة بالبرمجيات والأجهزة تنفذ أجهزة الكمبيوتر الشخصية الحديثة مبدأ الفصل بين البرامج والأجهزة. ولذلك، لا يمكن لفيروسات البرامج وأحصنة طروادة أن تؤثر بشكل فعال على المعدات، إلا في الحالات التي يكون فيها
سنتحدث اليوم عن التسريبات ووسائل حماية المعلومات السرية.
مصطلح المعلومات السرية يعني سري، غير خاضع للدعاية، سري. ويمكن تصنيف الكشف عنها على أنه جريمة جنائية. ولا يحق لأي شخص لديه حق الوصول إلى هذه المعلومات الكشف عنها لأشخاص آخرين دون موافقة صاحب حقوق الطبع والنشر.
محتويات
يحدد مرسوم رئيس الاتحاد الروسي رقم 188 المؤرخ 6 مارس 1997 المعلومات السرية. وتشمل هذه:
السر التجاري هو المعلومات التي تتيح لصاحبها الحصول على ميزة تنافسية، أو الاستفادة من تقديم الخدمات أو بيع البضائع. معلومات داخلية عن الشركة (تغيير الإدارة، وما إلى ذلك) والتي يمكن أن تؤثر على سعر الأسهم.
السر الرسمي - المعلومات المتوفرة في الوثائق الحكومية تحمل علامة "للاستخدام الرسمي" ولا تخضع للكشف لأطراف ثالثة.
تشمل السرية المهنية سرية التحقيق والمحامي والقضائية والتوثيق وما إلى ذلك.
أي بيانات شخصية (الاسم الكامل، مكان العمل، العنوان، وما إلى ذلك)، معلومات عن الحياة الخاصة للمواطن.
قد يحدث تسرب لهذه المعلومات في الحالات التالية:
يمكن أن تكون تنظيمية وفنية.
القنوات التنظيمية:
القنوات الفنية:
يفترض نظام حماية المعلومات السرية ما يلي:
يجب أن تنظم خدمة أمن المؤسسة التنفيذ العملي لنظام أمن المعلومات، وتدريب الموظفين، ومراقبة الامتثال للمتطلبات التنظيمية.
الأساليب التنظيمية
الأساليب الفنية
تتضمن سياسة أمن المعلومات الخاصة بالشركة ما يلي:
يجب حماية أجهزة الكمبيوتر التي تعمل على شبكة محلية وخوادم وأجهزة توجيه بشكل موثوق من الإزالة غير المصرح بها للمعلومات. لهذا:
يضمن نظام العمل مع المعلومات السرية أمن معلومات المنظمة ويسمح لك بالحفاظ على المعلومات المهمة من التسريبات. وهذا يساهم في الأداء المستدام للمؤسسة لفترة طويلة.
لا توجد إدخالات مماثلة.
سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.
أحد أهم مكونات الأمن القومي لأي دولة يُطلق عليه الآن بالإجماع اسم أمن المعلومات. أصبحت مشاكل ضمان أمن المعلومات معقدة بشكل متزايد وذات أهمية من الناحية المفاهيمية بسبب التحول الهائل لتقنيات المعلومات في الإدارة إلى أساس آلي غير ورقي.
يرجع اختيار موضوع هذا العمل التأهيلي النهائي إلى حقيقة أنه في اقتصاد السوق الروسي الحديث، فإن الشرط الأساسي لنجاح رجل أعمال في مجال الأعمال وتحقيق الربح والحفاظ على سلامة الهيكل التنظيمي الذي أنشأه هو ضمان الأمن الاقتصادي لأنشطته. وأحد المكونات الرئيسية للأمن الاقتصادي هو أمن المعلومات.
يعتمد الإطار التنظيمي للعمل التأهيلي النهائي في المقام الأول على الدستور باعتباره القانون الأساسي للاتحاد الروسي) (1). تضمن المادة 23 من دستور الاتحاد الروسي الحق في الأسرار الشخصية والعائلية، وخصوصية المراسلات والمحادثات الهاتفية والبريدية والبرقية وغيرها من الاتصالات. ومع ذلك، لا يُسمح بتقييد هذا الحق إلا على أساس قرار من المحكمة. لا يسمح دستور الاتحاد الروسي (المادة 24) بجمع وتخزين واستخدام ونشر المعلومات المتعلقة بالحياة الخاصة لأي شخص دون موافقته (1).
في 27 يوليو 2006، تم اعتماد قانونين اتحاديين كانا الأكثر أهمية لحماية المعلومات السرية: رقم 149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" (8) ورقم 152-FZ "بشأن البيانات الشخصية" "(9). أنها توفر المفاهيم الأساسية للمعلومات وحمايتها. مثل "المعلومات" و"سرية المعلومات" و"البيانات الشخصية" وغيرها.
يتم عرض الأساس التنظيمي والمنهجي لإدارة السجلات السرية بالتفصيل في الفصل الثاني من هذا العمل. في العمل التأهيلي النهائي، تم استخدام أعمال كبار المتخصصين في الوثائق: I.V. كودرييفا (83)، أ. ألكسنتسيفا (31 ؛ 32) ، تلفزيون. كوزنتسوفا (45؛ 67؛ 102)، أ.ف. بشينكو (98)، إل.في. سانكينا (92)، إ.أ. ستيبانوفا (81 ؛ 96).
الفصل الأول: "أساسيات أمن المعلومات وحماية المعلومات" يحتوي على تاريخ الموضوع والمفاهيم الأساسية لأمن المعلومات. مثل قيمة المعلومات والسرية. تشير الفقرة 1.2 إلى قنوات التوزيع وتسرب المعلومات؛ ويناقش القسم التالي نظام التهديد ونظام حماية المعلومات السرية.
لقد كان يُعتقد منذ فترة طويلة أن من يملك المعلومات هو الذي يتحكم في الوضع. لذلك، حتى في فجر المجتمع البشري، تنشأ أنشطة الذكاء. لذلك، تظهر أسرار الدولة والتجارية (تكوين الخزف والحرير)، وأثناء الحروب - الأسرار العسكرية (التصرف في القوات والأسلحة). يبدو أن الرغبة في إخفاء ما يمنح الأفضلية والقوة عن الآخرين هي الدافع الرئيسي للناس في المنظور التاريخي. يقوم العديد من المالكين، من أجل حماية مصالحهم، بتصنيف المعلومات وحمايتها بعناية أو الحصول على براءة اختراع لها. يؤدي تصنيف المعلومات إلى التحسين المستمر لوسائل وأساليب الحصول على المعلومات المحمية؛ وتحسين وسائل وأساليب أمن المعلومات (89، ص45).
في الممارسة العالمية، تم استخدام مصطلحات "السر الصناعي" و"السر التجاري" و"سر العلاقات الائتمانية" لأول مرة، أي. كان اسم السر مرتبطًا بمجال نشاط معين. حاول المحامي الروسي V. Rosenberg دمج هذه الأسماء في اسم واحد - "السر التجاري" وحتى نشر كتابًا يحمل نفس الاسم في عام 1910. ومع ذلك، فإن هذا المصطلح لم يمسك. وفي الإمبراطورية الروسية وخارجها، تم أخيرًا إنشاء مصطلح "السر التجاري"، الذي توحيد سر أي نشاط يهدف إلى تحقيق الربح (46، ص 20).
من النصف الثاني من القرن التاسع عشر. تظهر أيضًا تعريفات مختلفة لمفهوم الأسرار التجارية، في المقام الأول في مجال التشريعات الجنائية والمدنية. على سبيل المثال، عرّف التشريع الألماني الأسرار التجارية بأنها سر العمليات الفنية لتصنيع المنتج وسر عمليات بيعه، أو، كما هو موضح باللغة العليا، سر إنتاج البضائع وسر توزيعها.
في النصف الثاني من الثمانينات. ويتطلب نشاط ريادة الأعمال تطوير الوثائق التنظيمية ذات الصلة، بما في ذلك تلك المتعلقة بالأسرار التجارية. بادئ ذي بدء، كان من الضروري صياغة تعريف للسر التجاري. تم تقديم هذا التعريف في قانون "المؤسسات في اتحاد الجمهوريات الاشتراكية السوفياتية". تقول: "يُفهم السر التجاري للمؤسسة على أنه معلومات ليست من أسرار الدولة، تتعلق بالإنتاج والمعلومات التكنولوجية والإدارة والتمويل والأنشطة الأخرى للمؤسسة، والتي قد يؤدي الكشف عنها (نقلها وتسربها) إلى الإضرار بها". الإهتمامات."
السرية - الحماية من الوصول غير المصرح به (83، ص 17). التعريف التالي للسرية مقدم في القانون الاتحادي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" (8) المادة 2.ص.7: السرية مطلب إلزامي للشخص الذي تمكن من الوصول إلى معلومات معينة بعدم نقل هذه المعلومات المعلومات إلى أطراف ثالثة دون موافقة صاحبها.
يُفهم أمن موارد المعلومات (المعلومات) على أنه أمن المعلومات في الزمان والمكان من أي تهديدات (مخاطر) موضوعية وذاتية تنشأ في ظل ظروف التشغيل العادية للشركة في المواقف القصوى: الكوارث الطبيعية، والأحداث الأخرى التي لا يمكن السيطرة عليها، والأحداث السلبية وغير المسيطر عليها. المحاولات النشطة من قبل مهاجم لخلق تهديد محتمل أو حقيقي للوصول غير المصرح به إلى المستندات والملفات وقواعد البيانات (61، ص 32).
يتم تحديد أمان المعلومات الموثقة القيمة (المستندات) من خلال درجة حمايتها من عواقب المواقف القصوى، بما في ذلك الكوارث الطبيعية، فضلاً عن المحاولات السلبية والإيجابية التي يقوم بها المهاجم لخلق تهديد (خطر) محتمل أو حقيقي الوصول إلى المستندات باستخدام القنوات التنظيمية والتقنية، ونتيجة لذلك ما يمكن أن يحدث هو سرقة المعلومات وإساءة استخدامها من قبل المهاجم لأغراضه الخاصة، وتعديلها، واستبدالها، وتزويرها، وتدميرها (68، ص 36).
هناك دائمًا وثائق إدارية، يكون تسرب محتوياتها غير مرغوب فيه أو ضارًا ببساطة، حيث يمكن استخدامها بشكل مباشر أو غير مباشر على حساب مؤلفيها. تعتبر هذه المعلومات، وبالتالي الوثائق التي تحتوي عليها، سرية (مغلقة، محمية). تنتمي المعلومات الموثقة ذات الوصول المحدود دائمًا إلى أحد أنواع الأسرار - الدولة أو غير الحكومية. ووفقا لهذا، يتم تقسيم الوثائق إلى سرية وغير سرية. الميزة الإلزامية (معيار الانتماء) للوثيقة السرية هي وجود معلومات تشكل سرًا من أسرار الدولة وفقًا للقانون. الوثائق غير السرية التي تتضمن معلومات مصنفة على أنها أسرار غير حكومية (رسمية، تجارية، مصرفية، مهنية، صناعية، إلخ) أو تحتوي على بيانات شخصية للمواطنين تسمى سرية.
الميزة الإلزامية للوثيقة السرية هي وجود المعلومات المراد حمايتها. تكمن خصوصية مثل هذه الوثيقة في أنها لا تمثل في الوقت نفسه المعلومات نفسها فحسب - وهي كائن إلزامي للحماية، ولكنها تمثل أيضًا وسيلة تخزين كبيرة للمعلومات، والمصدر الرئيسي لتراكم هذه المعلومات ونشرها، بما في ذلك تسربها. أي أن المعلومات سرية في المقام الأول، وعندها فقط تصبح المستندات التي يتم تسجيل هذه المعلومات فيها سرية. تشمل فئة المعلومات السرية جميع أنواع المعلومات المقيدة التي يحميها القانون - التجارية والرسمية والشخصية. باستثناء أسرار الدولة (94، ص78).
على سبيل المثال، في JSC ChZPSN - Profnastil، تكون المعلومات حول تفاصيل العقود المبرمة، وكذلك أي من الموظفين يبرمها، سرية. وفي الوقت نفسه، تتضمن المعلومات المفتوحة بيانات عن الموظفين وتوزيعهم بين الإدارات والمسؤوليات الرسمية للموظفين. على موقعهم الإلكتروني، تنشر الأخبار بانتظام تقارير عن الشركات (في أي ملف تعريف) التي تتفاوض معها الشركة، ومع من تنوي إبرام عقد، وما إلى ذلك. من الواضح أن المصادر الثلاثة المذكورة أعلاه للمعلومات المفتوحة مجتمعة (الموظفين، مسؤوليات الوظيفة، معلومات حول العقود المبرمة) يمكن أن تشكل معلومات سرية حول دخول الموظف في عقد معين.
يُطلب من المعلومات المدرجة الخاصة بالمؤسسة والأشخاص العاملين في أنشطة ريادة الأعمال ورؤساء الدولة والمؤسسات البلدية تقديمها بناءً على طلب السلطات والوكالات الإدارية والتنظيمية ووكالات إنفاذ القانون والكيانات القانونية الأخرى التي يحق لها ذلك وفقًا لتشريعات الدولة. الاتحاد الروسي، فضلا عن القوى العاملة في المؤسسة (21 ).
لا يمكن تصنيف المعلومات المتعلقة بالقضايا التي يشملها القانون في مفهوم أسرار الدولة على أنها سرية (12). أما بالنسبة لقضايا العمل مع الوثائق التي تحتوي على هذه المعلومات، وفقا لقانون الاتحاد الروسي "بشأن أسرار الدولة" (4)، فقد تقرر أن المواطنين والمسؤولين والمنظمات يجب أن يسترشدوا فقط بالقوانين التشريعية التي تنظم حماية أسرار الدولة.
وفقًا للقانون، المعلومات السرية هي معلومات موثقة، ويقتصر الوصول إليها وفقًا لتشريعات الاتحاد الروسي (11). تعتبر المعلومات السرية هي تلك المعلومات التي قد يؤدي الكشف عنها إلى الإضرار بمصالح الشركة (35، ص 6). ويمكن القول أيضًا أن التنازل عن السرية لبعض المعلومات، من بين أمور أخرى، يساهم في الحفاظ على الأسرار التجارية (8).
تشير مجموعة أخرى من المعلومات في القائمة إلى المعلومات المتعلقة بالأنشطة المهنية، والتي يقتصر الوصول إليها وفقًا لدستور الاتحاد الروسي (1، ص. 25) والقانون الاتحادي (الطب، كاتب العدل، المحامي (16)، سرية المراسلات والمحادثات الهاتفية والبريدية (10) والرسائل البرقية وغيرها (17) وما إلى ذلك).
يمكن أن تكون قيمة المعلومات فئة تكلفة تميز مقدارًا محددًا من الربح عند استخدامها أو مقدار الخسائر عند خسارتها. غالبًا ما تصبح المعلومات ذات قيمة نظرًا لأهميتها القانونية بالنسبة للشركة أو تطوير الأعمال، على سبيل المثال، المستندات التأسيسية والبرامج والخطط والاتفاقيات مع الشركاء والوسطاء وما إلى ذلك. وقد تعكس قيمة المعلومات أيضًا أهميتها العلمية أو التقنية أو التكنولوجية المستقبلية (58، ص 224).
يعد تحديد وتنظيم التكوين الفعلي للمعلومات ذات القيمة لرائد الأعمال والتي تشكل سرًا للشركة جزءًا أساسيًا من نظام أمن المعلومات. يتم تسجيل تكوين المعلومات القيمة في قائمة خاصة تحدد الفترة (المدة) والمستوى (الفئة) من سريتها (أي عدم إمكانية الوصول إليها للجميع)، وهي قائمة موظفي الشركة الذين يتم منحهم الحق في استخدام هذه المعلومات في حياتهم عمل. القائمة، التي تعتمد على التركيبة النموذجية للمعلومات المحمية من الشركات في هذا الملف، هي مادة عمل دائمة لإدارة الشركة وخدمات الأمن والوثائق السرية. إنها قائمة سرية من المعلومات القيمة النموذجية والمحددة حول العمل الذي يتم تنفيذه والمنتجات التي يتم تصنيعها والأفكار العلمية والتجارية والابتكارات التكنولوجية. تتضمن القائمة معلومات قيمة حقًا عن كل عمل من أعمال الشركة (51، الصفحات 45-51).
بالإضافة إلى ذلك، يمكن تجميع قائمة الوثائق التي تنعكس فيها هذه المعلومات (موثقة). تتضمن القائمة أيضًا المستندات التي لا تحتوي على معلومات محمية، ولكنها ذات قيمة للشركة وتخضع للحماية. يتم تجميع القوائم بشكل فردي من قبل كل شركة وفقًا لتوصيات لجنة خاصة وموافقة عليها من قبل الرئيس الأول للشركة. تقوم نفس اللجنة بانتظام بإجراء تغييرات حالية على القوائم وفقًا لديناميكيات أداء الشركة لعمل محدد.
ربما لا يكون مصطلح "تسرب المعلومات السرية" الأكثر بهجة، لكنه يعكس جوهر الظاهرة بشكل أكثر إيجازًا من المصطلحات الأخرى. لقد تم ترسيخه منذ فترة طويلة في الأدبيات العلمية والوثائق التنظيمية (99، ص 11). يشكل تسرب المعلومات السرية أمرًا غير قانوني، أي. النشر غير المصرح به لهذه المعلومات خارج المنطقة المحمية لعملها أو الدائرة المحددة للأشخاص الذين لديهم الحق في العمل معها، إذا أدى هذا النشر إلى تلقي المعلومات (التعرف عليها) من قبل الأشخاص الذين ليس لديهم حق الوصول المصرح به إلى هو - هي. لا يعني تسرب المعلومات السرية أن استلامها من قبل الأشخاص الذين لا يعملون في المؤسسة فحسب؛ بل إن الوصول غير المصرح به إلى المعلومات السرية من قبل أشخاص في مؤسسة معينة يؤدي أيضًا إلى التسرب (104، ص 75).
فقدان وتسرب المعلومات السرية الموثقة يكون سببه ضعف المعلومات. ينبغي فهم ضعف المعلومات على أنه عدم قدرة المعلومات على مقاومة التأثيرات المزعزعة للاستقرار بشكل مستقل، أي. مثل هذه التأثيرات التي تنتهك وضعها الراسخ (94، ص 89). يتكون انتهاك حالة أي معلومات موثقة من انتهاك سلامتها الجسدية (بشكل عام أو مع مالك معين كليًا أو جزئيًا)، والبنية المنطقية والمحتوى، وإمكانية الوصول للمستخدمين المصرح لهم. يتضمن انتهاك حالة المعلومات السرية الموثقة بالإضافة إلى ذلك انتهاك سريتها (الانغلاق على الأشخاص غير المصرح لهم). إن ضعف المعلومات الموثقة هو مفهوم جماعي. وهي غير موجودة على الإطلاق، ولكنها تظهر بأشكال مختلفة. وتشمل هذه: سرقة وسيلة التخزين أو المعلومات المعروضة عليها (السرقة)؛ فقدان وسائط التخزين (الخسارة)؛ التدمير غير المصرح به لوسيلة تخزين أو المعلومات المعروضة فيها (تدمير، تشويه المعلومات (تغيير غير مصرح به، تعديل غير مصرح به، تزوير، تزوير)؛ حجب المعلومات؛ الكشف عن المعلومات (التوزيع، الكشف).
يُستخدم مصطلح "التدمير" بشكل أساسي فيما يتعلق بالمعلومات الموجودة على الوسائط المغناطيسية. المتغيرات الحالية للأسماء: التعديل والتزوير والتزوير ليست مناسبة تمامًا لمصطلح "التشويه"؛ فهي تحتوي على فروق دقيقة، ولكن جوهرها هو نفسه - تغيير جزئي أو كامل غير مصرح به في تكوين المعلومات الأصلية (36، ص. 59).
يمكن تحقيق هذا الشكل أو ذاك من أشكال ضعف المعلومات الموثقة نتيجة لتأثيرات مزعزعة للاستقرار مقصودة أو عرضية بطرق مختلفة على حامل المعلومات أو على المعلومات نفسها من مصادر التأثير. يمكن أن تكون هذه المصادر أشخاصًا، ووسائل تقنية لمعالجة المعلومات ونقلها، ووسائل الاتصال، والكوارث الطبيعية، وما إلى ذلك. وتتمثل طرق التأثير المزعزع للاستقرار على المعلومات في نسخها (التصوير الفوتوغرافي)، وتسجيلها، ونقلها، وإزالتها، وإصابة برامج معالجة المعلومات بفيروس ، انتهاك تكنولوجيا معالجة وتخزين المعلومات، والسحب (أو الفشل) وتعطيل وضع التشغيل للوسائل التقنية لمعالجة المعلومات ونقلها، والتأثير المادي على المعلومات، وما إلى ذلك.
يحدث فقدان المعلومات الموثقة بسبب سرقة وسائط التخزين وفقدانها، أو التدمير غير المصرح به لوسائط التخزين أو المعلومات المعروضة عليها فقط، وتشويه المعلومات وحجبها. يمكن أن تكون الخسارة كاملة أو جزئية، لا رجعة فيها أو مؤقتة (عند حجب المعلومات)، ولكنها في جميع الأحوال تتسبب في ضرر لصاحب المعلومات.
ويؤدي الكشف عنها إلى تسرب معلومات سرية موثقة. وكما لاحظ بعض المؤلفين (77، ص 94؛ 94، ص 12) في الأدبيات وحتى في الوثائق التنظيمية، غالبًا ما يتم استبدال مصطلح "تسرب المعلومات السرية" أو تحديده بالمصطلحات التالية: "الكشف عن المعلومات السرية"، "نشر المعلومات السرية". وهذا الأسلوب غير قانوني من وجهة نظر المختصين. إن الكشف عن المعلومات السرية أو نشرها يعني تسليمها بشكل غير مصرح به إلى المستهلكين الذين لا يحق لهم الوصول إليها. علاوة على ذلك، يجب أن يتم هذا التسليم من قبل شخص ما، يأتي من شخص ما. ويحدث التسرب عند الكشف عن معلومات سرية (التوزيع غير المصرح به)، ولكنه لا يقتصر عليها. كما يمكن أن يحدث التسرب نتيجة فقدان وسيطة من المعلومات السرية الموثقة، وكذلك سرقة وسيطة المعلومات أو المعلومات المعروضة عليها مع الحفاظ على الوسيلة آمنة من قبل صاحبها (المالك). هذا لا يعني أنه سيحدث. قد تقع الناقلة المفقودة في الأيدي الخطأ، أو قد يتم "الاستيلاء عليها" بواسطة آلة جمع القمامة وتدميرها بالطريقة المحددة للقمامة. وفي الحالة الأخيرة، لا يحدث أي تسرب للمعلومات السرية. كما أن سرقة المعلومات السرية الموثقة لا ترتبط دائمًا باستلامها من قبل الأشخاص الذين لا يستطيعون الوصول إليها. هناك العديد من الأمثلة حيث تم تنفيذ سرقة ناقلات المعلومات السرية من زملاء العمل من قبل أشخاص لديهم إمكانية الوصول إلى هذه المعلومات بغرض "المساعدة" أو التسبب في ضرر لزميل. عادة ما تكون هذه الوسائط تم تدميرها على يد الأشخاص الذين اختطفواهم. ولكن على أية حال، فإن فقدان المعلومات السرية وسرقتها، إذا لم يؤدي ذلك إلى تسربها، يخلق دائمًا تهديدًا بالتسرب. ولذلك يمكننا القول أن تسرب المعلومات السرية يكون سببه الكشف عنها ويمكن أن يكون نتيجة للسرقة والضياع. تكمن الصعوبة في حقيقة أنه غالبًا ما يكون من المستحيل تقسيم، أولاً، حقيقة الكشف عن المعلومات السرية أو سرقتها بينما يظل حامل المعلومات آمنًا من قبل مالكه (المالك)، وثانيًا، ما إذا كانت المعلومات قد وصلت إلى أشخاص غير مصرح لهم نتيجة سرقتها أو فقدانها.
ويترتب على هذا التعريف، أولا، أن الأشياء المادية ليست فقط ما يمكن رؤيته أو لمسه، ولكن أيضا المجالات المادية، وكذلك الدماغ البشري، وثانيا، أن المعلومات في وسائل الإعلام لا يتم عرضها فقط عن طريق الرموز، أي. الحروف والأرقام والعلامات، ولكن أيضًا الصور على شكل صور ورسومات ورسوم بيانية ونماذج أيقونية أخرى وإشارات في المجالات المادية والحلول التقنية في المنتجات والعمليات الفنية في تكنولوجيا تصنيع المنتجات (39، ص 65).
تختلف أنواع الأشياء المادية كحاملات للمعلومات. يمكن أن تكون أشرطة مغناطيسية، وأقراص مغناطيسية وأقراص ليزر، وأشرطة صور وأفلام وفيديو وصوت، وأنواع مختلفة من المنتجات الصناعية، والعمليات التكنولوجية، وما إلى ذلك. ولكن النوع الأكثر انتشارًا هو الوسائط الورقية (46، ص 11). يتم تسجيل المعلومات الموجودة فيها بطرق مكتوبة بخط اليد، ومكتوبة، وإلكترونية، ومطبعية في شكل نص، ورسم، ورسم تخطيطي، وصورة، وصيغة، ورسم بياني، وخريطة، وما إلى ذلك. في هذه الوسائط، يتم عرض المعلومات في شكل رموز وصور. يتم تصنيف هذه المعلومات الواردة في القانون الاتحادي "بشأن المعلومات..." (8) على أنها معلومات موثقة وتمثل أنواعًا مختلفة من المستندات.
إن التهديدات التي تتعرض لها سلامة ونزاهة وسرية السرية) للمعلومات المقيدة الوصول تتحقق عمليًا من خلال خطر تشكيل قنوات للاستلام (الاستخراج) غير المصرح به للمعلومات والمستندات القيمة من قبل المهاجم. هذه القنوات عبارة عن مجموعة من التوجيهات غير المحمية أو ذات الحماية الضعيفة من قبل المنظمة لتسرب المعلومات المحتمل، والتي يستخدمها المهاجم للحصول على المعلومات الضرورية، والوصول المتعمد غير القانوني إلى المعلومات المحمية والمحمية.
إذا كنا نتحدث عن تسرب المعلومات بسبب خطأ الموظفين، يتم استخدام مصطلح "الكشف عن المعلومات". يمكن لأي شخص الكشف عن المعلومات شفهيًا، أو كتابيًا، من خلال الحصول على المعلومات باستخدام الوسائل التقنية (آلات النسخ، والماسحات الضوئية، وما إلى ذلك)، باستخدام الإيماءات، وتعبيرات الوجه، والإشارات التقليدية. ونقلها شخصيا، عبر وسطاء، عبر قنوات الاتصال، الخ. (56، ص458).
في هذه الحالة، يُفهم الطرف الثالث على أنه أي شخص خارجي حصل على معلومات بسبب ظروف خارجة عن سيطرة هذا الشخص، أو عدم مسؤولية الموظفين، الذي ليس له الحق في امتلاك المعلومات، والأهم من ذلك، هذا الشخص غير مهتم بهذه المعلومات (37، ص 5). ومع ذلك، يمكن بسهولة نقل المعلومات من طرف ثالث إلى المهاجم. في هذه الحالة، يقوم طرف ثالث، بسبب الظروف التي أنشأها المهاجم، بدور "الورقة" لاعتراض المعلومات الضرورية.
يتم إنشاء احتمالات واسعة للاستلام غير المصرح به للمعلومات ذات الوصول المحدود من خلال الدعم الفني لتقنيات تدفق المستندات المالية للمنظمة. يرتبط أي نشاط إداري ومالي دائمًا بمناقشة المعلومات في المكاتب أو عبر خطوط وقنوات الاتصال (إجراء مكالمات الفيديو والمكالمات الجماعية)، وإجراء الحسابات وتحليل المواقف على أجهزة الكمبيوتر، وإنتاج المستندات وإعادة إنتاجها، وما إلى ذلك.
الوثائق التنظيمية والإدارية. متطلبات التسجيل وإجراءات التعامل مع الوثائق السرية. طرق الحفاظ على إدارة السجلات السرية. المحفوظات السرية. ضمان أمن العمل المكتبي السري.
تمت إضافة أعمال الدورة في 15/01/2017
توجيهات لضمان أمن مصادر المعلومات. ملامح فصل الموظفين الذين يحملون معلومات سرية. وصول الموظفين إلى المعلومات والوثائق وقواعد البيانات السرية. حماية المعلومات أثناء الاجتماعات.
تمت إضافة الدورة التدريبية في 20/11/2012
مميزات العمل مع الأفراد الذين يمتلكون أسرارًا سرية. خصوصيات توظيف ونقل الموظفين إلى الوظائف المتعلقة بحيازة المعلومات السرية. وصول الموظفين إلى المعلومات والوثائق وقواعد البيانات السرية.
تمت إضافة الدورة التدريبية في 06/09/2011
تحليل نظام أمن المعلومات في المؤسسة. خدمة حماية المعلومات. تهديدات أمن المعلومات الخاصة بالمؤسسة. أساليب ووسائل أمن المعلومات. نموذج نظام المعلومات من منظور أمني.
تمت إضافة الدورة التدريبية في 02/03/2011
مميزات فصل الموظفين الذين يمتلكون معلومات سرية. - القيام بنقل الموظفين إلى العمل المتعلق بالمعلومات السرية. طرق إجراء شهادة الموظفين. إعداد الوثائق والأوامر للمؤسسة.
الملخص، تمت إضافته في 27/12/2013
مفهوم "المعلومات السرية". إجراءات تصنيف المعلومات التجارية باعتبارها سرًا تجاريًا. الخصائص العامة لشركة Svyaznoy Ural OJSC. تحسين آلية حماية المعلومات السرية في المؤسسة. تحليل فعالية التوصيات.
تمت إضافة الدورة التدريبية في 26/09/2012
مفهوم ونقل البيانات الشخصية. حماية المعلومات والسيطرة عليها. المسؤولية الجنائية والإدارية والتأديبية عن انتهاك قواعد العمل مع البيانات الشخصية. القواعد الأساسية لممارسة العمل المكتبي السري.
تمت إضافة الدورة التدريبية في 19/11/2014
جوهر المعلومات وتصنيفها. تحليل المعلومات المصنفة على أنها سر تجاري. البحث عن التهديدات المحتملة وقنوات تسرب المعلومات. تحليل التدابير الوقائية. تحليل ضمان موثوقية وحماية المعلومات في شركة Tism-Yugnefteprodukt LLC.
أطروحة، أضيفت في 23/10/2013
أمن المعلومات والبنية التحتية الداعمة لها من التأثيرات العرضية أو المتعمدة ذات الطبيعة الطبيعية أو الاصطناعية. حماية المعلومات أثناء المفاوضات وفي عمل إدارة شؤون الموظفين والتحضير لاجتماع سري.
الملخص، تمت إضافته في 27/01/2010
في حل مشكلة أمن المعلومات، يتم احتلال مكان خاص من خلال بناء نظام فعال لتنظيم العمل مع الموظفين الذين يمتلكون معلومات سرية. في هياكل الأعمال، يشمل الموظفون جميع الموظفين.
"ضابط شؤون الموظفين. قانون العمل لضباط شؤون الموظفين"، 2011، رقم 10
حماية المعلومات في المنظمة
يتناول المؤلف مشكلة ضمان أمن المعلومات للمنظمة. يتم إيلاء الاهتمام الرئيسي للأسرار التجارية والرسمية، فضلا عن خصوصيات العمل مع الموظفين الذين يمتلكون معلومات سرية.
يعد ضمان أمن معلومات المنظمة أحد مجالات نشاط إدارة الشركة ذات الأولوية في الوقت الحالي. من الواضح أن موثوقية حماية المعلومات تعتمد بشكل مباشر على قيمتها. لحماية معلومات الشركة، يتطلب الأمر مجموعة من الإجراءات التي تشكل نظامًا. من الناحية النظرية، يُفهم نظام أمن المعلومات على أنه مجموعة عقلانية من التوجيهات والأساليب والوسائل والتدابير التي تقلل من ضعف المعلومات وتمنع الوصول غير المصرح به إلى المعلومات أو الكشف عنها أو تسربها. عناصر هذا النظام هي تدابير ذات طبيعة قانونية وتنظيمية وتقنية وغيرها.
العنصر القانوني إلزامي لأي نوع من المؤسسات ولأي نظام، حتى أبسط نظام لأمن المعلومات. وفي غيابها، لن تتمكن المنظمة من حماية المعلومات السرية بشكل صحيح، فضلاً عن محاسبة المسؤولين عن الكشف عنها وفقدانها.
يهدف العنصر القانوني، أي التدابير ذات الطبيعة القانونية، بشكل أساسي إلى التنفيذ السليم للوثائق، وكذلك إلى العمل الكفء مع موظفي المنظمة، لأن أساس نظام أمن المعلومات هو العامل البشري. بشكل عام، في حل مشكلة أمن المعلومات في المنظمة، يتم احتلال مكان مهم من خلال اختيار الأساليب الفعالة للعمل مع الموظفين، ويتم تضمين قضايا إدارة شؤون الموظفين من بين القضايا الرئيسية في ضمان أمن المعلومات.
في علاقات العمل، يتبادل صاحب العمل والموظف كمية كبيرة من المعلومات بمختلف أنواعها، بما في ذلك المعلومات السرية. على سبيل المثال، يتمكن صاحب العمل من الوصول إلى البيانات الشخصية للموظف، ويصبح الموظف على علم بالمعلومات السرية لصاحب العمل. سوف تركز هذه المقالة بشكل خاص على المعلومات السرية لصاحب العمل.
طاقم المنظمة
ككائن وموضوع للتهديدات الأمنية
في الشركات الحديثة، يصبح أي موظف تقريبا حاملا للمعلومات القيمة التي تهم المنافسين وأحيانا الهياكل الإجرامية. يمكن أن يؤدي الكشف عن المعلومات السرية إلى أضرار اقتصادية كبيرة للمنظمة. من الواضح أن الجمع السري للمعلومات والمعلومات وسرقة المستندات والمواد والعينات التي تشكل أسرارًا تجارية وصناعية ورسمية يتم تنظيمه بهدف غزو السوق وتوفير اكتساب المعرفة وما إلى ذلك. ولسوء الحظ، فإنه ليس من غير المألوف أن يقوم موظف من نوع ما أو منظمة ما، يرغب في زيادة راتبه، بتقديم ترشيحه لشركة منافسة وفي نفس الوقت يعد بإحضار قواعد بيانات الشركة القديمة معه. وبحسب بيانات غير رسمية فإن نحو 80% من المنظمات تعاني من “التجسس الصناعي” بشكل أو بآخر.
لذلك، في حماية المعلومات السرية للمؤسسة من أنواع مختلفة من التهديدات، يحتل موظفو المؤسسة مكانًا مهمًا، والذين يمكن أن يصبحوا كائنًا وموضوعًا لهذه التهديدات. ومن الضروري تنفيذ نظام لإدارة شؤون الموظفين يساعد في ضمان أمن المعلومات ويلعب دورًا وقائيًا فيما يتعلق بهذه التهديدات.
تتنوع أشكال تنفيذ التهديدات التي يتعرض لها أمن معلومات المؤسسة في طبيعتها ومحتواها، مما يؤدي إلى تعقيد عملية مواجهتها بشكل موضوعي. وفي الوقت نفسه، قد يكون دافع الموظفين عند الكشف عن المعلومات السرية مختلفا. يتضمن تنفيذ تدابير الموارد البشرية لحماية معلومات الشركة تخطيط وتنظيم وتحفيز ومراقبة الموظفين من أجل إنشاء نظام لأمن المعلومات. يعتقد خبراء الأمن الاقتصادي الغربيون أن سلامة المعلومات السرية تعتمد بنسبة 80٪ على الاختيار الصحيح للموظفين وتنسيبهم وتدريبهم.
الأخطاء النموذجية للشركات
تقدم Melnikova E.I بيانات من دراسة حول موضوع "طرق ووسائل حماية الأسرار التجارية في المؤسسة" والتي أجريت في أوليانوفسك. وشاركت فيه 40 شركة في المدينة من بين الشركات الكبيرة والمتوسطة والصغيرة، وتم التوصل إلى أن نظام فعال لإدارة شؤون الموظفين من أجل ضمان أمن معلومات المؤسسة غير متوفر في كل مكان.
وفقًا لهذه الدراسة، فإن 65٪ من جميع المؤسسات لا تتحكم في دخول وإزالة المستندات الورقية والأقراص ومحركات الأقراص الإلكترونية ووسائط التخزين الأخرى، بالإضافة إلى معدات الفيديو والتصوير الفوتوغرافي من أراضي المؤسسة. في 33.5% من جميع الحالات في المؤسسات، لا تكون المباني التي توجد بها أجهزة الكمبيوتر محمية من الوصول غير المصرح به. في 55٪ من المؤسسات، عند الفصل، لا يحصل الموظفون على إيصال بعدم الكشف عن المعلومات السرية. في 55% من جميع المؤسسات، لم تقم الشركة بتعيين شخص مسؤول عن محاسبة الموظفين الذين لديهم إمكانية الوصول إلى المعلومات التي تحتوي على معلومات تشكل سرًا تجاريًا، والذي يضمن تخزين الوثائق وإصدارها للموظفين مقابل التوقيع والتحكم في الوقت المناسب. عودة الوثائق المذكورة للتخزين. 47.5% من جميع المؤسسات ليس لديها أماكن منظمة خصيصًا لاستقبال الزوار. في 3/4 من المؤسسات، تم تسجيل حالات الكشف عن المعلومات التي تشكل سرًا تجاريًا أثناء حركة الموظفين (الاستقبال، النقل، الفصل).
أنواع المعلومات السرية
لا شك أن المعلومات السرية تصنف على أنها معلومات مقيدة. بالمناسبة، النظام القانوني لهذا الأخير غير محدد بشكل كاف في الأفعال القانونية التنظيمية. ما هي المعلومات التي يمكن اعتبارها سرية في الأعمال التجارية؟ كيفية تسمية هذه المعلومات؟ كيف يتم توثيق التزام الموظف بالحفاظ على المعلومات السرية لصاحب العمل؟
لتعريف المعلومات السرية، يتم استخدام مصطلحات مختلفة، كل منها ليس دقيقًا وصحيحًا: "السر التجاري"، "السر الرسمي"، "المعلومات الداخلية"، "السر المهني"، وما إلى ذلك. وينبغي قول بضع كلمات عن كل منها. المفاهيم المذكورة أعلاه.
يمكن أن تكون رعاياها حصريًا موظفي الدولة أو البلدية؛
ولا يجوز أن تتضمن إلا المعلومات السرية التي تصبح معروفة للأشخاص بسبب أداء الواجبات المهنية المتعلقة بخدمة الدولة أو البلدية؛
لديها تركيبة خاصة عالية الجودة.
وتجدر الإشارة إلى أن التشريع الحالي لا يحتوي على مبادئ توجيهية واضحة لتحديد جوهر الأسرار الرسمية ويجب الاسترشاد بالمناهج العلمية.
هذا المصطلح غير مناسب للاستخدام عند تعريف المعلومات السرية لشركة تجارية، وكذلك مؤسسة حكومية لا يتم تقديم الخدمة العامة فيها.
مصطلح "المعلومات الداخلية" يعني حرفيًا المعلومات الداخلية للشركة.
قاموس قانون العمل. المطلع (داخل الإنجليزية - داخل) هو الشخص الذي لديه، بحكم منصبه الرسمي، معلومات سرية حول شؤون الشركة.
البند 1 من الفن. تُعرّف المادة 1 من التوجيه 2003/6/EC المعلومات الداخلية بأنها المعلومات التي لم يتم الكشف عنها علنًا، وذات قيمة معروفة، وتتعلق بواحد أو أكثر من مصدري الأدوات المالية أو بواحدة أو أكثر من هذه الأدوات، والتي، في حالة الكشف عنها، من المحتمل أن يكون لها تأثير كبير. على سعر الأدوات المالية أو المشتقات ذات الصلة.
وعلى النقيض من البلدان ذات أسواق الأوراق المالية المتقدمة، لم تقدم روسيا بعد مصطلح "المعلومات الداخلية" على المستوى التشريعي. تم رفض مشروع قانون "المعلومات الداخلية". لم يدخل هذا المصطلح في المفردات المعيارية. بدلاً من مفهوم "المعلومات الداخلية"، يكرس القانون الاتحادي الصادر في 22 أبريل 1996 N 39-FZ "في سوق الأوراق المالية" (بصيغته المعدلة في 11 يوليو 2011) مفهوم "المعلومات الرسمية". وهي تعترف بما يلي: 1) أي معلومات عن المُصدر والأوراق المالية ذات درجة الإصدار الصادرة عن ذلك والتي لا تكون متاحة للعامة. 2) المعلومات التي تمنح الأشخاص الذين، بحكم مناصبهم الرسمية أو واجبات العمل أو الاتفاقية المبرمة مع المُصدر، وضعًا أفضل مقارنة بالمواضيع الأخرى في سوق الأوراق المالية.
يشير V. I. Dobrovolsky إلى أن مفهوم "المعلومات الرسمية" يتوافق في الممارسة العالمية مع مفهوم "المعلومات الداخلية"، لأن هذا المفهوم هو الأكثر عالمية، بما في ذلك المعلومات الرسمية والتجارية والسرية وما إلى ذلك.
في روسيا، يشير مصطلح "معلومات الملكية" أيضًا إلى معلومات سرية، ولكنه يستخدم في سوق الأوراق المالية. يُستخدم مصطلح "المعلومات الداخلية" عمومًا بشكل غير رسمي.
هل تصنف المعلومات على أنها سرية؟
التعريف القانوني هو مفهوم "السر التجاري". هذا، أولاً، نظام سرية المعلومات، الذي يسمح لصاحبها، في ظل الظروف القائمة أو المحتملة، بزيادة الدخل، أو تجنب النفقات غير المبررة، أو الحفاظ على مكانة في سوق السلع أو الأعمال أو الخدمات أو الحصول على منافع تجارية أخرى؛ وثانيًا، هذه هي المعلومات نفسها، أي المعلومات أيًا كانت طبيعتها (إنتاجية أو فنية أو اقتصادية أو تنظيمية وغيرها) التي لها قيمة تجارية فعلية أو محتملة بسبب عدم معرفتها لأطراف ثالثة، والتي لا يحق لأطراف ثالثة الوصول إليها مجانًا الوصول إلى الأساس القانوني والذي بموجبه قام مالك هذه المعلومات بإدخال نظام الأسرار التجارية.
يحق لمالك المعلومات تصنيفها على أنها سر تجاري إذا كانت هذه المعلومات تستوفي المعايير المذكورة أعلاه ولم يتم تضمينها في قائمة المعلومات التي لا يمكن أن تشكل سرًا تجاريًا المنصوص عليه في المادة. 5 من القانون الاتحادي رقم 98-FZ المؤرخ 29 يوليو 2004 "بشأن الأسرار التجارية" (بصيغته المعدلة في 11 يوليو 2011، والمشار إليه فيما يلي باسم قانون الأسرار التجارية). هذه القائمة ليست مغلقة، لأنه فيما يتعلق بالمعلومات الأخرى الخاضعة للكشف، يشير قانون الأسرار التجارية إلى لوائح أخرى.
وبالتالي، إذا اشتكى موظف لشخص ما من تأخر راتبه، أو أخبر أحدا عن الوظائف الشاغرة المتاحة في المنظمة، فإن مثل هذه الإجراءات لن تكون بمثابة إفشاء للأسرار التجارية.
من أجل حماية المعلومات، عند إبرام عقد العمل، غالبًا ما يُطلب من الموظف الالتزام بشروط مثل عدم الكشف عن الأسرار التجارية للمنظمة. بالإضافة إلى شروط الأسرار التجارية في عقد العمل، لا يتم استبعاد إمكانية التوقيع على وثيقة منفصلة بشأن حماية المعلومات التي تشكل سرًا تجاريًا، وهو في جوهره الاستنتاج المنطقي لإضفاء الطابع الرسمي القانوني على حماية المعلومات على المستوى لكيان تجاري. يشير G. M. Koleboshin بحق إلى أنه يوجد في الأدبيات اقتراح محدد حول مدى استصواب إبرام اتفاقية عدم إفشاء إضافية مع الموظف، والتي يمكن إدراجها كشرط في عقد العمل أو وجودها في شكل وثيقة منفصلة. وبالتالي، قد يكون لدى المنظمة قانون تنظيمي محلي مخصص للأسرار التجارية - لائحة بشأن الأسرار التجارية (يشار إليها فيما يلي باسم اللوائح). عند تعيين موظف يمكنه الوصول إلى معلومات سرية، يجب على صاحب العمل، مقابل الاستلام، تعريفه باللوائح المحلية المعمول بها في المنظمة والتي ترتبط مباشرة بوظيفة عمل هذا الموظف (المادة 68 من قانون العمل في الاتحاد الروسي؛ المادة 11 من قانون الأسرار التجارية)، بما في ذلك اللوائح. وقد تحتوي على قائمة بالمعلومات السرية التي يحددها المدير بناءً على تفاصيل عمل الشركة. أي أنه يجب أن يكون الموظف على دراية بقائمة المعلومات التي تشكل السر التجاري لصاحب العمل، بالإضافة إلى نظام الأسرار التجارية المعمول به وعقوبات انتهاكه.
إذا لم تعتمد المنظمة لوائح محلية تحكم العمل بالمعلومات السرية، فإن الموظفين ليسوا على دراية بها، ولا يتم ضمان سلامة هذه المعلومات، ليست هناك حاجة للحديث عن الكشف عن الأسرار التجارية، مما يعني عدم وجود مطالبات قانونية يجوز رفعها ضد الموظف الذي كشف عن هذه المعلومات، إلا في الحالات التي يتم فيها جمع هذه المعلومات من خلال سرقة المستندات أو الرشوة أو التهديد.
الإدارة ملزمة أيضًا بتهيئة الظروف اللازمة للموظف للامتثال لنظام الأسرار التجارية (على سبيل المثال، توفير مكان آمن لتخزين المواد السرية).
لذا، يجب على الموظف أن يعرف بوضوح ما هو السر التجاري للمنظمة، وكيفية حمايته، وأن يكون قادرًا على الالتزام به.
مسؤولية الإفصاح
في الفن. تنص المادة 14 من قانون الأسرار التجارية على أن الشخص الذي استخدم معلومات تشكل سرًا تجاريًا ولم يكن لديه أسباب كافية لاعتبار استخدام هذه المعلومات غير قانوني، بما في ذلك الوصول إليها نتيجة لحادث أو خطأ، لا يجوز له، وفقًا مع قانون الأسرار التجارية يجب محاسبته. إذا حصل موظف ليس على دراية بقائمة المستندات السرية بطريق الخطأ على مستند، من حيث الشكل والنص ليس من الواضح له أن هذه المعلومات تتعلق بسر تجاري، فلن يتحمل أيضًا المسؤولية عن الكشف عنها.
ويجب ألا ننسى أنه لا ينبغي أن يكون هناك حرية الوصول إلى المعلومات السرية. على سبيل المثال، إذا قام أحد موظفي الشركة بإعطاء شخص ما معلومات حول أنشطة الشركة، والتي يمكن العثور عليها أيضًا على موقع الشركة على الويب، فهذا لا يعد جنحة.
يستلزم الكشف عن السر التجاري مسؤولية تأديبية أو مدنية أو إدارية أو جنائية وفقًا لتشريعات الاتحاد الروسي. إذا تم الكشف عن معلومات تشكل سرًا تجاريًا، يجوز فصل الموظف بمبادرة من صاحب العمل من جانب واحد، وفقًا للمادة. 81 قانون العمل في الاتحاد الروسي.
تعتبر النزاعات الناشئة فيما يتعلق بالكشف عن الأسرار التجارية، كقاعدة عامة، في إطار القانون المدني وعلاقات العمل ونادرا ما تؤدي إلى محاكمة جنائية. يعتمد القرار في النزاعات المدنية والعمالية على كيفية تنظيم صاحب العمل لحماية المعلومات السرية - الأسرار التجارية. الممارسة القضائية في هذه القضية نادرة للغاية.
إجراءات صاحب العمل لحماية المعلومات
يعتمد القرار في النزاعات المدنية والعمالية على كيفية تنظيم صاحب العمل لحماية المعلومات السرية - الأسرار التجارية. يجب على صاحب العمل:
وضع قائمة بالمعلومات المتعلقة بالأسرار التجارية؛
تقييد وتنظيم الوصول إلى وسائل الإعلام؛
تحديد دائرة الأشخاص الذين لهم الحق في الوصول إلى المعلومات؛
تطبيق نقش "المعلومات السرية" على المستندات التي تشكل سرًا تجاريًا (في هذه الحالة، من الضروري الإشارة إلى مالك المعلومات وموقعه واسمه)؛
تعريف الموظفين باللوائح المحلية المتعلقة بالأسرار التجارية؛
إدراج بند في عقود العمل، وخاصة مع الأشخاص المعينين حديثاً، ينص على التزام الموظف بعدم الكشف عن بعض المعلومات الخاصة بصاحب العمل.
عند صياغة اتفاقية (التزام تعاقدي) بشأن الالتزام بعدم الكشف عن المعلومات أو لوائح الأسرار التجارية، يمكن مراعاة تجربة الشركات الأمريكية، حيث يتم تضمين البنود التالية في الاتفاقية:
بيان تفصيلي لقواعد تحديد المعلومات المحددة التي تشكل سر الشركة؛
ملخص لإجراءات حماية المعلومات السرية؛
بيان بالإجراءات التي يجب على الموظف اتخاذها بنفسه لضمان سلامة هذه المعلومات؛
قائمة العقوبات التي قد تتبع الكشف عن المعلومات السرية.
من الواضح أن هذا الالتزام المكتوب بعدم الكشف عن أسرار الشركة لا يوفر ضمانات كاملة للحفاظ على هذه المعلومات، ومع ذلك، كما تظهر الممارسة، فإنه يقلل بشكل كبير من مخاطر كشف الموظفين لهذه المعلومات.
تتضمن المستندات أحيانًا بندًا ينص على التزام الموظف بإبلاغ جهاز أمن الشركة أو المشرف المباشر عن محاولة شخص خارجي الحصول على أي معلومات حول المنظمة، بما في ذلك المعلومات السرية، وكذلك حالات فقدان وسائط التخزين.
يمكن تقديم عدد من التوصيات فيما يتعلق بفصل الموظف الذي لديه معلومات سرية. عندما يكتب الموظف خطاب استقالة، من الضروري تنفيذ الخطوات التالية بالتتابع: قبول جميع المستندات وقواعد البيانات ووسائط التخزين وما إلى ذلك المملوكة للموظف، وقبول مرور الموظف (المعرف) والمفاتيح والأختام، وإجراء مقابلة مع الموظف المستقيل
وفي المقابلة، يجدر تذكير الشخص بأنه وقع على وثائق تلزمه بالحفاظ على أسرار الشركة. يوصي بعض المؤلفين بإبرام اتفاق آخر مع الشخص المستقيل بشأن عدم الكشف عن البيانات السرية بعد مغادرة المنظمة. إذا انتقلت مرة أخرى إلى تجربة الولايات المتحدة، فغالبا ما يتم إبرام اتفاق مع موظفين متقاعدين ذوي قيمة خاصة لتقديم خدمات استشارية لعدد من السنوات. خلال هذا الوقت، يحصل هذا الشخص على راتب. يُعتقد أن مثل هذا الارتباط المادي والمعنوي بمكان العمل السابق لا يمنح الشخص أي سبب للكشف عن معلومات سرية. في بلدنا، ولأسباب معروفة، من غير المرجح أن تنتشر هذه الممارسة على نطاق واسع ولن تنطبق إلا على كبار مديري الشركات الكبيرة.
وبالتالي، فإن اللوائح الحالية لا توفر حماية فعالة للمعلومات السرية الخاصة بالمنظمة. من أجل حماية المعلومات الداخلية، يجب على صاحب العمل أن يعتني بأسرار الشركة بنفسه، وأن يقوم بإضفاء الطابع الرسمي بشكل صحيح على كل من المعلومات السرية نفسها والعلاقة مع الموظف الذي لديه هذه المعلومات. عند تنفيذ الإجراءات المحددة في هذه المقالة، يمكن للمنظمة الاعتماد على القرار الذي يتم اتخاذه لصالحها في الإجراءات القانونية المحتملة.
فهرس
1. Korneev I.K.، Stepanov E.A. حماية المعلومات في المكتب. م: تي كيه فيلبي، بروسبكت، 2010.
2. Melnikova E.I. أشكال تسرب المعلومات التي تشكل سرًا تجاريًا وإدارة موظفي المؤسسة من أجل ضمان أمن المعلومات // العالم القانوني. 2009. ن 12. ص 40 - 43.
3. Sheverdyaev S. N. النظام الدستوري والقانوني لتقييد الوصول إلى المعلومات // القانون الدستوري والبلدي. 2007. ن 1.
4. Yakovets E. N.، Smirnova I. N. اللائحة التنظيمية لتداول المعلومات التي تشكل أسرارًا رسمية // قانون المعلومات. 2009. ن 4.
5. التوجيه رقم 2003/6/EC "بشأن التداول الداخلي والتلاعب بالسوق وإساءة استخدام السوق". التوجيه رقم 2003/6/EC الصادر عن البرلمان الأوروبي والمجلس بتاريخ 28 يناير 2003 بشأن التعامل من الداخل والتلاعب بالسوق (إساءة استخدام السوق). أوجل 096، 12/04/2003. ص 0016 - 0025.
6. Dobrovolsky V.I. المعلومات الداخلية في الممارسة العالمية والمعلومات الرسمية والأسرار التجارية في روسيا // قانون ريادة الأعمال. 2008. ن 4.
7. Koleboshin G. M. مسؤوليات الموظف فيما يتعلق بالأسرار التجارية لصاحب العمل // قانون العمل. 2007. ن 5.
8. Ishcheynov V. Ya. تكنولوجيا تحديد المعلومات المصنفة على أنها أسرار تجارية وعوامل خطر // العمل المكتبي. 2010. ن 2. ص 50.
أنا بوجودينا
رأس قسم
القانون المدني والعملية
ولاية فلاديمير
جامعة سميت باسم A. G. و N. G. ستوليتوف
وقعت للختم
تعد استطلاعات حماية المعلومات السرية ذات صلة بكل مؤسسة حديثة. يجب حماية بيانات الشركة السرية من التسريبات والخسائر والأنشطة الاحتيالية الأخرى، حيث يمكن أن يؤدي ذلك إلى عواقب وخيمة على الأعمال. من المهم فهم البيانات التي تحتاج إلى الحماية وتحديد طرق وأساليب تنظيم أمن المعلومات.
يجب أن يكون الوصول إلى المعلومات المهمة للغاية بالنسبة للأعمال محدودًا داخل المؤسسة، ويخضع استخدامها لتنظيم صارم. تشمل البيانات التي يجب حمايتها بعناية ما يلي:
غالبًا ما يتم انتهاك سرية المعلومات نتيجة للأعمال الاحتيالية التي يقوم بها الموظفون، وإدخال البرامج الضارة، والعمليات الاحتيالية التي يقوم بها مهاجمون خارجيون. لا يهم من أي جانب يأتي التهديد، فأنت بحاجة إلى تأمين البيانات السرية في مجمع يتكون من عدة كتل منفصلة:
تضع القوانين الفيدرالية متطلبات لتقييد الوصول إلى المعلومات السرية. ويجب استيفاء هذه المتطلبات من قبل الأشخاص الذين يصلون إلى هذه البيانات. ليس لديهم الحق في نقل هذه البيانات إلى أطراف ثالثة إذا لم يمنح مالكها موافقته (المادة 2، الفقرة 7 من القانون الاتحادي للاتحاد الروسي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات").
تتطلب القوانين الفيدرالية حماية أسس النظام الدستوري والحقوق والمصالح وصحة الناس والمبادئ الأخلاقية وضمان أمن الدولة والقدرة الدفاعية للبلاد. في هذا الصدد، من الضروري الامتثال لـ CI، والوصول إليها محدود بموجب القوانين الفيدرالية. تحدد هذه اللوائح:
يجب حماية المعلومات التي يتلقاها موظفو الشركات والمؤسسات العاملة في أنواع معينة من الأنشطة وفقًا لمتطلبات قانون حماية المعلومات السرية، إذا تم تكليفهم بهذه المسؤوليات وفقًا للقانون الاتحادي. يمكن تقديم البيانات المتعلقة بالأسرار المهنية لأطراف ثالثة إذا كان ذلك منصوصًا عليه في القانون الاتحادي أو كان هناك قرار من المحكمة (عند النظر في حالات الكشف عن المعلومات الخاصة، وتحديد حالات السرقة، وما إلى ذلك).
أثناء عملية العمل، يتبادل صاحب العمل والموظف كمية كبيرة من المعلومات ذات الطبيعة المختلفة، بما في ذلك المراسلات السرية، والعمل مع المستندات الداخلية (على سبيل المثال، البيانات الشخصية للموظف، تطورات الشركة).
تعتمد درجة موثوقية حماية المعلومات بشكل مباشر على مدى قيمتها بالنسبة للشركة. يتكون مجمع التدابير القانونية والتنظيمية والتقنية وغيرها من التدابير المقدمة لهذه الأغراض من وسائل وأساليب وأنشطة مختلفة. يمكنها تقليل نقاط ضعف المعلومات المحمية بشكل كبير ومنع الوصول غير المصرح به إليها وتسجيلها ومنع تسربها أو الكشف عنها.
ويجب تطبيق الأساليب القانونية من قبل كافة الشركات بغض النظر عن مدى بساطة نظام الحماية المستخدم. إذا كان هذا المكون مفقودًا أو لم تتم ملاحظته بشكل كامل، فلن تتمكن الشركة من ضمان حماية CI ولن تكون قادرة على محاسبة المسؤولين عن فقدانه أو الكشف عنه قانونيًا. تتعلق الحماية القانونية بشكل أساسي بإعداد الوثائق المختصة قانونيًا والعمل المناسب مع موظفي المنظمة. الأشخاص هم أساس نظام حماية المعلومات السرية القيمة. في هذه الحالة، من الضروري اختيار أساليب فعالة للعمل مع الموظفين. عندما تضع الشركات تدابير لضمان سلامة CIs، يجب أن تكون قضايا الإدارة ذات أولوية.
في حالة نشوء نزاعات في القانون المدني والعمالية بشأن الإفصاح أو السرقة أو غيرها من الإجراءات الضارة المتعلقة بالأسرار التجارية، فإن القرار المتعلق بإشراك أشخاص معينين سيعتمد على صحة إنشاء نظام لحماية هذه المعلومات في المنظمة.
وينبغي إيلاء اهتمام خاص لتحديد الوثائق التي تشكل سرًا تجاريًا، ووضع علامات عليها بالنقوش المناسبة التي تشير إلى مالك المعلومات واسمها وموقعها ودائرة الأشخاص الذين يمكنهم الوصول إليها.
يجب على الموظفين، عند تعيينهم وأثناء أنشطة عملهم عند تشكيل قاعدة CI، التعرف على القوانين المحلية التي تنظم استخدام الأسرار التجارية والالتزام الصارم بمتطلبات التعامل معها.
يجب أن تنص عقود العمل على بنود تتعلق بعدم إفشاء الموظف لبعض المعلومات التي يزوده بها صاحب العمل لاستخدامها في عمله، والمسؤولية عن مخالفة هذه المتطلبات.
يحتل توفير التدابير الفنية مكانًا مهمًا في حماية بيانات الكمبيوتر، لأنه في عالم المعلومات الحديث عالي التقنية، يتم التجسس على الشركات، والوصول غير المصرح به إلى بيانات المؤسسة، ومخاطر فقدان البيانات نتيجة للهجمات السيبرانية الفيروسية شائعة جدًا. اليوم، لا تواجه الشركات الكبيرة فقط مشكلة تسرب المعلومات، ولكن أيضًا الشركات المتوسطة والصغيرة تشعر بالحاجة إلى حماية البيانات السرية.
يمكن للمخالفين الاستفادة من أي خطأ يحدث في حماية المعلومات، على سبيل المثال، إذا تم اختيار وسائل التأكد منها بشكل غير صحيح، أو تم تثبيتها أو تكوينها بشكل غير صحيح.
إن القرصنة واختراق الإنترنت وسرقة المعلومات السرية، التي أصبحت اليوم أكثر قيمة من الذهب، تتطلب من أصحاب الشركات حمايتها بشكل موثوق ومنع محاولات سرقة هذه البيانات وإتلافها. يعتمد نجاح العمل بشكل مباشر على هذا.
تستخدم العديد من الشركات أنظمة دفاع إلكترونية حديثة وعالية الفعالية تؤدي مهام معقدة تتمثل في اكتشاف التهديدات ومنعها والحماية من التسربات. من الضروري استخدام عقد عالية الجودة وحديثة وموثوقة قادرة على الاستجابة بسرعة للرسائل الواردة من أنظمة حماية كتلة المعلومات. في المؤسسات الكبيرة، ونظرًا لتعقيد مخططات التفاعل والبنية التحتية متعددة المستويات والكميات الكبيرة من المعلومات، يكون من الصعب جدًا مراقبة تدفقات البيانات وتحديد عمليات الاختراق في النظام. هذا هو المكان الذي يمكن أن يأتي فيه نظام "ذكي" للإنقاذ، يمكنه تحديد وتحليل وتنفيذ الإجراءات الأخرى التي تنطوي على تهديدات من أجل منع عواقبها السلبية في الوقت المناسب.
لاكتشاف وتخزين وتحديد المصادر والمستلمين وطرق تسرب المعلومات، يتم استخدام تقنيات تكنولوجيا المعلومات المختلفة، ومن بينها تجدر الإشارة إلى أنظمة DLP وSIEM التي تعمل بشكل متكامل وشامل.
لمنع سرقة معلومات الشركة السرية، والتي يمكن أن تسبب ضررًا لا يمكن إصلاحه للأعمال (بيانات الاستثمارات، وقاعدة العملاء، والمعرفة، وما إلى ذلك)، من الضروري ضمان موثوقية سلامتها. (منع فقدان البيانات) هو أداة حماية موثوقة ضد سرقة CI. إنها تحمي المعلومات في وقت واحد من خلال عدة قنوات قد تكون عرضة للهجمات:
الغرض الرئيسي من نظام DLP هو التحكم في الموقف وتحليله وتهيئة الظروف للعمل الفعال والآمن. وتتمثل مهمتها في تحليل النظام دون إبلاغ موظفي الشركة باستخدام هذه الطريقة لتتبع العقد العاملة. الموظفون لا يدركون حتى وجود مثل هذه الحماية.
يتحكم نظام DLP في البيانات المرسلة عبر مجموعة متنوعة من القنوات. ويقوم بتحديثها وتحديد المعلومات حسب أهميتها من حيث السرية. بعبارات بسيطة، يقوم نظام DLP بتصفية البيانات ومراقبة سلامتها، وتقييم كل معلومة على حدة، واتخاذ قرار بشأن إمكانية تخطيها. إذا تم اكتشاف تسرب، سيقوم النظام بحظره.
يتيح لك استخدام هذا البرنامج ليس فقط حفظ البيانات، ولكن أيضًا تحديد من أرسلها. على سبيل المثال، إذا قرر أحد موظفي الشركة "بيع" المعلومات إلى طرف ثالث، فسيقوم النظام بتحديد مثل هذا الإجراء وإرسال هذه البيانات إلى الأرشيف للتخزين. سيسمح لك ذلك بتحليل المعلومات وأخذها من الأرشيف في أي وقت واكتشاف المرسل وتحديد مكان إرسال هذه البيانات ولأي غرض.
أنظمة DLP المتخصصة هي برامج معقدة ومتعددة الوظائف توفر درجة عالية من حماية المعلومات السرية. يُنصح باستخدامها لمجموعة واسعة من المؤسسات التي تتطلب حماية خاصة للمعلومات السرية:
يعتقد الخبراء أن الطريقة الفعالة لضمان أمن المعلومات هي برنامج (المعلومات الأمنية وإدارة الأحداث)، الذي يسمح لك بتلخيص ودمج كافة سجلات العمليات الجارية على مختلف الموارد والمصادر الأخرى (أنظمة DLP، البرمجيات، أجهزة الشبكة، IDS وسجلات نظام التشغيل وأجهزة التوجيه والخوادم ومحطات العمل وما إلى ذلك).
إذا لم يتم تحديد التهديد في الوقت المناسب، وعمل نظام الأمان الحالي على صد الهجوم (وهو ما لا يحدث دائمًا)، يصبح "تاريخ" مثل هذه الهجمات لاحقًا غير قابل للوصول. سيقوم SIEM بجمع هذه البيانات عبر الشبكة بالكامل وتخزينها لفترة زمنية معينة. يتيح لك هذا استخدام سجل الأحداث في أي وقت باستخدام SIEM لاستخدام بياناته للتحليل.
بالإضافة إلى ذلك، يتيح لك هذا النظام استخدام أدوات مدمجة ملائمة لتحليل ومعالجة الحوادث التي وقعت. فهو يحول تنسيقات المعلومات التي يصعب قراءتها حول الحوادث، ويفرزها، ويختار أهمها، ويزيل تلك غير المهمة.
تحدد قواعد SIEM الخاصة شروط تراكم الأحداث المشبوهة. وسوف يقوم بالإبلاغ عنهم عندما تتراكم هذه الكمية (ثلاثة أو أكثر) مما يشير إلى وجود تهديد محتمل. مثال على ذلك هو كلمة مرور غير صحيحة. إذا تم تسجيل حدث واحد لإدخال كلمة مرور غير صحيحة، فلن يقوم SIEM بالإبلاغ عن ذلك، حيث تحدث حالات أخطاء كلمة المرور لمرة واحدة أثناء تسجيل الدخول في كثير من الأحيان. لكن تسجيل المحاولات المتكررة لإدخال كلمة مرور غير صالحة أثناء تسجيل الدخول إلى نفس الحساب قد يشير إلى وصول غير مصرح به.
تحتاج أي شركة اليوم إلى مثل هذه الأنظمة إذا كان من المهم لها الحفاظ على أمن معلوماتها. توفر SIEM وDLP حماية معلومات كاملة وموثوقة للشركة، وتساعد على تجنب التسريبات وتسمح لك بتحديد من يحاول إيذاء صاحب العمل عن طريق سرقة المعلومات أو تدميرها أو إتلافها.