الفصل 5 الوسائل التقنية لأمن المعلومات 5.1. حماية المعلومات يشير أمن المعلومات إلى أمن المعلومات والبنية التحتية الداعمة لها من أي تأثيرات عرضية أو ضارة قد تؤدي إلى ضرر

5.4. طرق حماية المعلومات

نظام معلومات المخاطر (HIS) يجب على السائقين والموظفين الآخرين في منظمات النقل بالسيارات المشاركين بشكل مباشر في تسجيل وإعداد وخدمة نقل البضائع الخطرة الالتزام بمتطلبات قواعد وزارة حالات الطوارئ، عندما

السؤال 1. موارد المعلومات وسرية المعلومات وفقًا للقانون الاتحادي الحالي "بشأن المعلومات والمعلوماتية وحماية المعلومات" ، موارد المعلومات الخاصة بمؤسسة أو منظمة أو مؤسسة أو بنك أو شركة وغيرها

السؤال 2. التهديدات التي تتعرض لها المعلومات السرية للمنظمة تتعرض جميع موارد المعلومات الخاصة بالشركة باستمرار لتهديدات موضوعية وذاتية بفقدان الوسائط أو قيمة المعلومات ويُفهم التهديد أو خطر فقدان المعلومات على أنه تهديد فردي أو

السؤال 2. نموذج ومنهجية نظام أمن معلومات الشركة وفقًا للمادة. 20 من القانون الاتحادي "بشأن المعلومات والمعلوماتية وحماية المعلومات"، تتمثل أغراض حماية المعلومات، من بين أمور أخرى، في: منع التسرب والسرقة والخسارة والتشويه والتزوير

المحاضرة الخامسة الأسس المفاهيمية لأمن المعلومات في الأنظمة الآلية أسئلة الدراسة:1. تحليل وتصنيف الهياكل التنظيمية والبرمجيات والأجهزة لأنظمة المؤسسات الآلية2. تحليل التهديدات المحتملة وخصوصيتها في أنواع مختلفة

السؤال 3. تنظيم أنواع حماية المعلومات في الأنشطة العملية المتعلقة بتطبيق تدابير ووسائل حماية المعلومات، يتم تمييز المجالات المستقلة التالية، والتي يتم تحديدها وفقًا لهياكل الصناعة القائمة وأنواع المعلومات

السؤال 3. ينبغي تطوير مبادئ حماية الأنظمة الآلية المصرفية لكل نظام لمعالجة المعلومات الأمنية بشكل فردي، مع مراعاة الميزات التالية:؟ الهيكل التنظيمي للبنك؛؟ حجم وطبيعة تدفقات المعلومات (داخل البنك في

السؤال 2. المفهوم الموحد لحماية المعلومات سوف نطلق على المفهوم الموحد لأمن المعلومات (UKIS) الإطار الآلي والمنهجي الذي يضمن التنفيذ العملي لكل من استراتيجيات الحماية (الدفاعية، الهجومية،

السؤال 2. النماذج الرسمية للحماية لنفكر في ما يسمى بنموذج المصفوفة للحماية، والذي يستخدم على نطاق واسع في الممارسة اليوم. فيما يتعلق بنموذج المصفوفة، يتم وصف حالة نظام الحماية بثلاثة أبعاد: (S، O ، M)، حيث S هي مجموعة المواضيع

السؤال 1. الغرض من النماذج الرياضية لضمان أمن المعلومات في أنظمة التحكم الآلي، يجب أن يعتمد عمل نظام التحكم الآلي، الذي يضمن تنفيذ تكنولوجيا التحكم الآلي في العمليات المعقدة في نظام موزع، على بداية مخططة.

السؤال 2. يعتمد التحليل المقارن والتعاريف الأساسية للنماذج الرياضية لضمان أمن المعلومات على التقنيات الحالية للوصف الرسمي لعمليات ضمان أمن المعلومات على مفاهيم نظرية أجهزة الحالة المحدودة، النظرية.

السؤال 1. تدابير الحماية القانونية والتنظيمية تنحصر سبل الانتصاف القانونية أساسًا في المسؤولية الإدارية والجنائية عن الإنشاء المتعمد وتوزيع فيروس أو "أحصنة طروادة" بهدف التسبب في الضرر وصعوبة تطبيقها

السؤال 2. أساليب ووسائل الحماية الخاصة بالبرمجيات والأجهزة تنفذ أجهزة الكمبيوتر الشخصية الحديثة مبدأ الفصل بين البرامج والأجهزة. ولذلك، لا يمكن لفيروسات البرامج وأحصنة طروادة أن تؤثر بشكل فعال على المعدات، إلا في الحالات التي يكون فيها

سنتحدث اليوم عن التسريبات ووسائل حماية المعلومات السرية.

مصطلح المعلومات السرية يعني سري، غير خاضع للدعاية، سري. ويمكن تصنيف الكشف عنها على أنه جريمة جنائية. ولا يحق لأي شخص لديه حق الوصول إلى هذه المعلومات الكشف عنها لأشخاص آخرين دون موافقة صاحب حقوق الطبع والنشر.

محتويات

المعلومات السرية والقانون

يحدد مرسوم رئيس الاتحاد الروسي رقم 188 المؤرخ 6 مارس 1997 المعلومات السرية. وتشمل هذه:

1. المعلومات المتعلقة بالتجارة.
2. المعلومات المتعلقة بأنشطة العمل.
3. السرية الطبية والمحامية والشخصية (المراسلات والمحادثات الهاتفية وغيرها).
4. سرية التحقيق والإجراءات القانونية والمعلومات المتعلقة بالمدانين.
5. البيانات الشخصية للمواطنين، معلومات عن حياتهم الشخصية.

السر التجاري هو المعلومات التي تتيح لصاحبها الحصول على ميزة تنافسية، أو الاستفادة من تقديم الخدمات أو بيع البضائع. معلومات داخلية عن الشركة (تغيير الإدارة، وما إلى ذلك) والتي يمكن أن تؤثر على سعر الأسهم.

السر الرسمي - المعلومات المتوفرة في الوثائق الحكومية تحمل علامة "للاستخدام الرسمي" ولا تخضع للكشف لأطراف ثالثة.

تشمل السرية المهنية سرية التحقيق والمحامي والقضائية والتوثيق وما إلى ذلك.

أي بيانات شخصية (الاسم الكامل، مكان العمل، العنوان، وما إلى ذلك)، معلومات عن الحياة الخاصة للمواطن.

قد يحدث تسرب لهذه المعلومات في الحالات التالية:

1. تخزين غير فعال والوصول إلى المعلومات السرية، وضعف نظام الأمان.
2. التغيير المستمر للموظفين وأخطاء الموظفين والمناخ النفسي الصعب في الفريق.
3. ضعف تدريب الموظفين على تقنيات أمن المعلومات الفعالة.
4. عدم قدرة إدارة المنظمة على التحكم في عمل الموظفين بالمعلومات السرية.
5. الاحتمال غير المنضبط لدخول أشخاص غير مصرح لهم إلى المبنى حيث يتم تخزين المعلومات.

مسارات تسرب المعلومات

يمكن أن تكون تنظيمية وفنية.

القنوات التنظيمية:

1. التقدم للعمل لدى إحدى المنظمات للحصول على معلومات سرية.
2. الحصول على المعلومات ذات الأهمية من الشركاء والعملاء باستخدام أساليب الخداع والتضليل.
3. الوصول الإجرامي للحصول على المعلومات (سرقة المستندات، سرقة القرص الصلب بالمعلومات).

القنوات الفنية:

1. نسخ الوثيقة الأصلية للمعلومات السرية أو نسختها الإلكترونية.
2. تسجيل محادثة سرية على الوسائط الإلكترونية (الدكتافون والهاتف الذكي وأجهزة التسجيل الأخرى).
3. النقل الشفهي لمحتويات مستند مقيد إلى أطراف ثالثة ليس لها الحق في الوصول إليها.
4. الحصول الإجرامي على المعلومات باستخدام إشارات الراديو والميكروفونات وكاميرات الفيديو المثبتة سرًا.

تدابير حماية المعلومات

يفترض نظام حماية المعلومات السرية ما يلي:

1. منع الوصول غير المصرح به إليه.
2. إغلاق قنوات التسرب.
3. قواعد التعامل مع المعلومات السرية.

يجب أن تنظم خدمة أمن المؤسسة التنفيذ العملي لنظام أمن المعلومات، وتدريب الموظفين، ومراقبة الامتثال للمتطلبات التنظيمية.

الأساليب التنظيمية

1. تطوير نظام لمعالجة البيانات السرية.
2. إعلام العاملين في الشركة بمسؤولية الكشف عن المستندات السرية أو نسخها أو تزويرها.
3. إعداد قائمة بوثائق الوصول المقيد، وتحديد الموظفين وفقًا للوصول إلى المعلومات المتاحة.
4. اختيار الموظفين لمعالجة المواد السرية، وإرشاد الموظفين.

الأساليب الفنية

1. استخدام وسائل التشفير في المراسلات الإلكترونية، وإجراء المحادثات الهاتفية عبر خطوط اتصال آمنة.
2. التحقق من الغرفة التي تجري فيها المفاوضات للتأكد من عدم وجود قنابل الراديو والميكروفونات وكاميرات الفيديو.
3. وصول الموظفين إلى المباني المحمية باستخدام وسائل التعريف والرمز وكلمة المرور.
4. استخدام أساليب حماية البرامج والأجهزة على أجهزة الكمبيوتر والأجهزة الإلكترونية الأخرى.

تتضمن سياسة أمن المعلومات الخاصة بالشركة ما يلي:

1. تعيين شخص مسؤول عن الأمن في المنظمة.
2. مراقبة استخدام أدوات حماية البرامج والأجهزة.
3. مسؤولية رؤساء الأقسام والخدمات في ضمان أمن المعلومات.
4. مقدمة للتحكم في الوصول للموظفين والزوار.
5. إعداد قائمة بوصول الأشخاص إلى المعلومات السرية.

منظمة أمن المعلومات

يجب حماية أجهزة الكمبيوتر التي تعمل على شبكة محلية وخوادم وأجهزة توجيه بشكل موثوق من الإزالة غير المصرح بها للمعلومات. لهذا:

1. يتم تعيين موظف مسؤول لتشغيل كل جهاز كمبيوتر.
2. يتم إغلاق وحدة النظام بواسطة موظف خدمة تكنولوجيا المعلومات.
3. يتم تثبيت أي برامج بواسطة متخصصين في خدمات تكنولوجيا المعلومات.
4. يجب أن يتم إنشاء كلمات المرور بواسطة موظفي خدمة تكنولوجيا المعلومات وإصدارها مقابل التوقيع.
5. يُحظر استخدام مصادر معلومات تابعة لجهات خارجية؛ ويتم وضع علامة على جميع وسائط المعلومات.
6. استخدم جهاز كمبيوتر واحدًا فقط لإعداد المستندات المهمة. فإنه يحتفظ بسجل للمستخدمين.
7. يجب أن تكون البرامج والأجهزة معتمدة.
8. حماية وسائط المعلومات (محركات الأقراص الخارجية) من الوصول غير المصرح به.

يضمن نظام العمل مع المعلومات السرية أمن معلومات المنظمة ويسمح لك بالحفاظ على المعلومات المهمة من التسريبات. وهذا يساهم في الأداء المستدام للمؤسسة لفترة طويلة.

لا توجد إدخالات مماثلة.

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

• مقدمة
• 1.2 قيمة المعلومات
• 1.4 التهديدات ونظام حماية المعلومات السرية
• الفصل 2. تنظيم العمل مع الوثائق التي تحتوي على معلومات سرية
• 2.1 الأساس التنظيمي والمنهجي لإدارة السجلات السرية
• 2.2 تنظيم الوصول والإجراءات للموظفين للتعامل مع المعلومات والوثائق وقواعد البيانات السرية
• 2.3 الأساس التكنولوجي لمعالجة الوثائق السرية
• الفصل 3. حماية معلومات الوصول المقيد في JSC "ChZPSN - Profnastil"
• 3.1 خصائص الشركة المساهمة "ChZPSN - Profnastil"
• 3.2 نظام أمن المعلومات في شركة JSC "ChZPSN - Profnastil"
• 3.3 تحسين نظام الأمان للمعلومات المقيدة الوصول
• خاتمة
• قائمة المصادر والأدب المستخدم

مقدمة

أحد أهم مكونات الأمن القومي لأي دولة يُطلق عليه الآن بالإجماع اسم أمن المعلومات. أصبحت مشاكل ضمان أمن المعلومات معقدة بشكل متزايد وذات أهمية من الناحية المفاهيمية بسبب التحول الهائل لتقنيات المعلومات في الإدارة إلى أساس آلي غير ورقي.

يرجع اختيار موضوع هذا العمل التأهيلي النهائي إلى حقيقة أنه في اقتصاد السوق الروسي الحديث، فإن الشرط الأساسي لنجاح رجل أعمال في مجال الأعمال وتحقيق الربح والحفاظ على سلامة الهيكل التنظيمي الذي أنشأه هو ضمان الأمن الاقتصادي لأنشطته. وأحد المكونات الرئيسية للأمن الاقتصادي هو أمن المعلومات.

الهدف من البحث في هذا العمل هو تكوين وتشغيل موارد المعلومات في نظام إدارة المنظمة.

قاعدة البحث هي OJSC "ChZPSN - Profnastil"

موضوع الدراسة هو أنشطة ضمان أمن موارد المعلومات في نظام إدارة المنظمة.

الغرض من الدراسة هو تحليل التقنيات والأساليب والأساليب والوسائل الحديثة لحماية المعلومات السرية للمؤسسة.

أهداف الدراسة وفقا للهدف تشمل:

1. الكشف عن المكونات الرئيسية لأمن المعلومات.

2. تحديد تركيبة المعلومات التي ينبغي تصنيفها على أنها سرية.

3. تحديد التهديدات الأكثر شيوعًا وقنوات التوزيع وتسريبات الخصوصية؛

4. النظر في أساليب ووسائل حماية المعلومات السرية.

5. تحليل الإطار التنظيمي لإدارة السجلات السرية.

6. دراسة السياسة الأمنية في تنظيم الوصول إلى المعلومات السرية وإجراءات الموظفين العاملين مع الوثائق السرية.

7. النظر في الأنظمة التكنولوجية لمعالجة الوثائق السرية؛

8. تقييم نظام أمن المعلومات الخاص بالمؤسسة JSC ChZPSN - Profnastil وتقديم توصيات لتحسينه.

تم استخدام طرق البحث التالية في العمل: الأساليب المعرفية (الوصف، التحليل، الملاحظة، المسح)؛ الأساليب العلمية العامة (تحليل المنشورات حول هذا الموضوع)، وكذلك طريقة وثائقية مثل تحليل وثائق المؤسسة.

يعتمد الإطار التنظيمي للعمل التأهيلي النهائي في المقام الأول على الدستور باعتباره القانون الأساسي للاتحاد الروسي) (1). تضمن المادة 23 من دستور الاتحاد الروسي الحق في الأسرار الشخصية والعائلية، وخصوصية المراسلات والمحادثات الهاتفية والبريدية والبرقية وغيرها من الاتصالات. ومع ذلك، لا يُسمح بتقييد هذا الحق إلا على أساس قرار من المحكمة. لا يسمح دستور الاتحاد الروسي (المادة 24) بجمع وتخزين واستخدام ونشر المعلومات المتعلقة بالحياة الخاصة لأي شخص دون موافقته (1).

قواعد تنظيم العلاقات الناشئة عند التعامل مع المعلومات السرية واردة أيضًا في القانون المدني للاتحاد الروسي. وفي الوقت نفسه، تُصنف المعلومات السرية على أنها فوائد غير ملموسة في القانون المدني للاتحاد الروسي (المادة 150) (2).

المعايير التي بموجبها تعتبر المعلومات سرا رسميا وتجاريا , وترد في المادة 139 من القانون المدني للاتحاد الروسي. وتنص على أن المعلومات تشكل سرًا رسميًا أو تجاريًا في الحالة عندما:

1. أن لهذه المعلومات قيمة فعلية أو محتملة بسبب عدم معرفتها للغير؛

2. لا توجد حرية الوصول إلى هذه المعلومات على أساس قانوني ويتخذ صاحب المعلومات التدابير اللازمة لحماية سريتها (2).

بالإضافة إلى ذلك، يرد تعريف سرية المعلومات التجارية في المادة 727 من القانون المدني للاتحاد الروسي (2).

في 27 يوليو 2006، تم اعتماد قانونين اتحاديين كانا الأكثر أهمية لحماية المعلومات السرية: رقم 149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" (8) ورقم 152-FZ "بشأن البيانات الشخصية" "(9). أنها توفر المفاهيم الأساسية للمعلومات وحمايتها. مثل "المعلومات" و"سرية المعلومات" و"البيانات الشخصية" وغيرها.

في 10 يناير 2002، وقع رئيس الاتحاد الروسي قانونًا مهمًا للغاية "بشأن التوقيع الرقمي الإلكتروني" (5)، لتطوير وتحديد أحكام القانون المذكور أعلاه "بشأن المعلومات..." (8).

تعتبر القوانين التالية للاتحاد الروسي أساسية أيضًا في مجال أمن المعلومات السرية:

1. "بشأن أسرار الدولة" بتاريخ 22 يوليو 2004 (4)؛

2. "بشأن الأسرار التجارية" بتاريخ 29 يوليو 2004 (يحتوي على معلومات تشكل سرًا تجاريًا ونظام الأسرار التجارية والكشف عن معلومات تشكل سرًا تجاريًا) (6)؛

3. "عند الموافقة على قائمة المعلومات السرية" (11)؛

4. عند الموافقة على قائمة المعلومات التي لا يمكن أن تشكل سرًا تجاريًا" (13).

المعيار الذي يحدد المصطلحات والتعاريف الأساسية في مجال أمن المعلومات هو GOST R 50922-96 (29).

يتم عرض الأساس التنظيمي والمنهجي لإدارة السجلات السرية بالتفصيل في الفصل الثاني من هذا العمل. في العمل التأهيلي النهائي، تم استخدام أعمال كبار المتخصصين في الوثائق: I.V. كودرييفا (83)، أ. ألكسنتسيفا (31 ؛ 32) ، تلفزيون. كوزنتسوفا (45؛ 67؛ 102)، أ.ف. بشينكو (98)، إل.في. سانكينا (92)، إ.أ. ستيبانوفا (81 ؛ 96).

تم توضيح مفهوم أمن المعلومات ومكوناته الرئيسية في أعمال V.A. جالاتينكو (82) ف.ن. ياروشكينا (56)، ج.زوتوفا (66).

K. Ilyin (52) يدرس في أعماله قضايا أمن المعلومات في إدارة المستندات الإلكترونية). تم وصف جوانب أمن المعلومات في مقالات كتبها V.Ya. إيشينوفا (76 ؛ 77) ، م. ميتساتونيان (77)، أ.أ. ماليوكا (74)، ف.ك. سينتشاجوفا (93)، إ.أ. ستيبانوفا (96).

تم وصف نظام أمن المعلومات في أعمال E.A. ستيبانوفا (81)، ز. بوجاتيرينكو (74)، ت. كورولكوفا (69 عامًا)، ج.ج. أرالبيفا (100)، أ.أ. شيفرسكوغو (103)، ف.ن. مارتينوف وفي. مارتينوفا (49).

أعمال المؤلفين التاليين مخصصة للتنظيم القانوني للمعلومات المقيدة الوصول: أ.أ. أنتوبولسكي (33)، إ.أ. ستيبانوفا (81)، إل. باتشيلو (37، 38)، أو جافريلوفا (41). ويشير الأخير في مقالته إلى النقص في التشريعات في المجال قيد النظر.

كرس ر.ن.أعماله لتقنيات معالجة المستندات السرية. موسيف (75)، م. بيتروف (89)، ف. أندريفا (34)، ف. جالاخوف (44)، أ. ألكسينتسيفا (32).

في عملية إعداد العمل، تم إعداد توصيات علمية وتعليمية وعملية ومنهجية بشأن تنظيم حماية المعلومات السرية من قبل كبار الخبراء في هذا المجال مثل A.I. ألكسينتسيف (31 ؛ 32) وإ. ستيبانوف (81 ؛ 96).

أعمال آي إل. باتشيلو (38)، ك.ب. جيلمان فينوغرادوفا (43)، ن.أ. خرامتسوفسكايا (48) ف.م. كرافتسوفا (51 عامًا) مكرسة للجوانب المثيرة للجدل لأمن المعلومات.

بشكل عام، يمكننا القول أن مشكلة أمن المعلومات، بشكل عام، يتم توفيرها من خلال المصادر؛ قاعدة المصدر تجعل من الممكن تسليط الضوء على المهام الموكلة. إن أهمية الأدبيات المتعلقة بهذه القضية كبيرة وتتوافق مع أهميتها.

ولكن في بلدنا لا يوجد قانون تنظيمي من شأنه أن يحدد إجراء موحد لتسجيل وتخزين واستخدام الوثائق التي تحتوي على معلومات سرية. وبحسب المحللين الذين استخدمت مقالاتهم في العمل، فإن إ.أ. فوينيكانيس (40 عامًا)، ت.أ. بارتيكي (57)، ف.أ. مازوروف (71) وآخرون، هذا غير مستحسن.

تتضمن المصادر غير المنشورة المستخدمة في العمل مقتطفًا من ميثاق OJSC "ChZPSN - Profnastil" (الملحق 11)، ووثائق العمل المكتبي الحالي للمؤسسة.

يتكون العمل التأهيلي النهائي من مقدمة وثلاثة فصول وخاتمة وقائمة بالمصادر والأدبيات المستخدمة والتطبيقات.

تصوغ المقدمة أهمية الموضوع وأهميته العملية، والغرض من البحث، والأهداف، ودرجة تطور المشكلة قيد الدراسة، والموضوع، والموضوع، وأساس الدراسة، وأدوات البحث، وهيكل ومحتوى النتيجة النهائية. العمل التأهيلي

الفصل الأول: "أساسيات أمن المعلومات وحماية المعلومات" يحتوي على تاريخ الموضوع والمفاهيم الأساسية لأمن المعلومات. مثل قيمة المعلومات والسرية. تشير الفقرة 1.2 إلى قنوات التوزيع وتسرب المعلومات؛ ويناقش القسم التالي نظام التهديد ونظام حماية المعلومات السرية.

الفصل "تنظيم العمل بالوثائق السرية". يتكون من الأسس التنظيمية والمنهجية للعمل المكتبي السري، تليها إجراءات العمل للموظفين وتنظيم وصولهم إلى المعلومات السرية. تم وصف تقنية العمل مع المعلومات المشار إليها في الفقرة الأخيرة من الفصل الثاني.

في الفصل الثالث، باستخدام مثال المؤسسة JSC ChZPSN - Profnastil، يتم النظر في نظام حماية المعلومات ذات الوصول المحدود وتحليل العمل مع المستندات السرية. يتم تقديم التوصيات والتغييرات والإضافات إلى تكنولوجيا العمل المكتبي السري الذي تم تشكيله في المؤسسة.

يحتوي الاستنتاج على استنتاجات بشأن العمل المؤهل النهائي.

تتضمن قائمة المصادر والأدبيات المستخدمة 110 عنوانًا.

يتم استكمال العمل بالملاحق التي تقدم: اللوائح والتعليمات التي تنظم إجراءات التعامل مع المستندات التي تحتوي على معلومات ذات وصول محدود في المؤسسة، ونماذج المستندات النموذجية، ونماذج التسجيل، ومقتطف من ميثاق OJSC "ChZPSN - Profnastil".

الفصل الأول. أساسيات أمن المعلومات وحماية المعلومات

1.1 تطور مصطلح "أمن المعلومات" ومفهوم السرية

لقد كان يُعتقد منذ فترة طويلة أن من يملك المعلومات هو الذي يتحكم في الوضع. لذلك، حتى في فجر المجتمع البشري، تنشأ أنشطة الذكاء. لذلك، تظهر أسرار الدولة والتجارية (تكوين الخزف والحرير)، وأثناء الحروب - الأسرار العسكرية (التصرف في القوات والأسلحة). يبدو أن الرغبة في إخفاء ما يمنح الأفضلية والقوة عن الآخرين هي الدافع الرئيسي للناس في المنظور التاريخي. يقوم العديد من المالكين، من أجل حماية مصالحهم، بتصنيف المعلومات وحمايتها بعناية أو الحصول على براءة اختراع لها. يؤدي تصنيف المعلومات إلى التحسين المستمر لوسائل وأساليب الحصول على المعلومات المحمية؛ وتحسين وسائل وأساليب أمن المعلومات (89، ص45).

في الممارسة العالمية، تم استخدام مصطلحات "السر الصناعي" و"السر التجاري" و"سر العلاقات الائتمانية" لأول مرة، أي. كان اسم السر مرتبطًا بمجال نشاط معين. حاول المحامي الروسي V. Rosenberg دمج هذه الأسماء في اسم واحد - "السر التجاري" وحتى نشر كتابًا يحمل نفس الاسم في عام 1910. ومع ذلك، فإن هذا المصطلح لم يمسك. وفي الإمبراطورية الروسية وخارجها، تم أخيرًا إنشاء مصطلح "السر التجاري"، الذي توحيد سر أي نشاط يهدف إلى تحقيق الربح (46، ص 20).

من النصف الثاني من القرن التاسع عشر. تظهر أيضًا تعريفات مختلفة لمفهوم الأسرار التجارية، في المقام الأول في مجال التشريعات الجنائية والمدنية. على سبيل المثال، عرّف التشريع الألماني الأسرار التجارية بأنها سر العمليات الفنية لتصنيع المنتج وسر عمليات بيعه، أو، كما هو موضح باللغة العليا، سر إنتاج البضائع وسر توزيعها.

في روسيا، وفقا للقانون الجنائي لعام 1903، تم فهم الأسرار التجارية على أنها طرق إنتاج خاصة تستخدم أو تهدف إلى استخدامها، وفي طبعة أخرى - الخصائص الفردية لعمليات الإنتاج والتجارة. تم تصنيف سر عمليات الإنتاج على أنه سر ملكية، والتجارة - على أنها سر تجاري.

في روسيا، في نوفمبر 1917، ألغيت الأسرار التجارية. خلال السياسة الاقتصادية الجديدة، "ولدت من جديد" بشكل غير رسمي، ولكن في وقت لاحق تم استخدامها فقط من قبل مؤسسات التجارة الخارجية لاتحاد الجمهوريات الاشتراكية السوفياتية في اتصالات مع بلدان أخرى، ولكن لم يكن هناك أساس تشريعي محلي لذلك. كما توقف النشاط العلمي في هذا المجال (31، ص 78).

في النصف الثاني من الثمانينات. ويتطلب نشاط ريادة الأعمال تطوير الوثائق التنظيمية ذات الصلة، بما في ذلك تلك المتعلقة بالأسرار التجارية. بادئ ذي بدء، كان من الضروري صياغة تعريف للسر التجاري. تم تقديم هذا التعريف في قانون "المؤسسات في اتحاد الجمهوريات الاشتراكية السوفياتية". تقول: "يُفهم السر التجاري للمؤسسة على أنه معلومات ليست من أسرار الدولة، تتعلق بالإنتاج والمعلومات التكنولوجية والإدارة والتمويل والأنشطة الأخرى للمؤسسة، والتي قد يؤدي الكشف عنها (نقلها وتسربها) إلى الإضرار بها". الإهتمامات."

السر التجاري في التفسير الحديث هو المعلومات والبيانات والمعلومات والأشياء التي قد يؤدي الكشف عنها أو نقلها أو تسربها من قبل أطراف ثالثة إلى الإضرار بمصالح المالك أو سلامته (32، ص 13).

يُعرّف المعيار ISO/IEC 17799 أمن المعلومات بأنه ضمان سرية المعلومات وسلامتها وتوافرها. (56، ص212).

لا يقتصر الأمن على الحماية من الهجمات الإجرامية فحسب، بل يشمل أيضًا ضمان سلامة المستندات والمعلومات (خاصة الإلكترونية)، فضلاً عن التدابير اللازمة لحماية المستندات الهامة وضمان استمرارية و/أو استعادة الأنشطة في حالة الكوارث (71، ص. 5 8).

يجب أن يُفهم أمن المعلومات على أنه حماية لموضوعات علاقات المعلومات. ومكوناته الرئيسية هي السرية والنزاهة والإتاحة (82، ص 15).

في عقيدة أمن المعلومات للاتحاد الروسي (19)، يشير مصطلح "أمن المعلومات" إلى حالة حماية المصالح الوطنية في مجال المعلومات، والتي يحددها مجمل المصالح المتوازنة للفرد والمجتمع والدولة.

السرية - الحماية من الوصول غير المصرح به (83، ص 17). التعريف التالي للسرية مقدم في القانون الاتحادي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" (8) المادة 2.ص.7: السرية مطلب إلزامي للشخص الذي تمكن من الوصول إلى معلومات معينة بعدم نقل هذه المعلومات المعلومات إلى أطراف ثالثة دون موافقة صاحبها.

يُفهم أمن موارد المعلومات (المعلومات) على أنه أمن المعلومات في الزمان والمكان من أي تهديدات (مخاطر) موضوعية وذاتية تنشأ في ظل ظروف التشغيل العادية للشركة في المواقف القصوى: الكوارث الطبيعية، والأحداث الأخرى التي لا يمكن السيطرة عليها، والأحداث السلبية وغير المسيطر عليها. المحاولات النشطة من قبل مهاجم لخلق تهديد محتمل أو حقيقي للوصول غير المصرح به إلى المستندات والملفات وقواعد البيانات (61، ص 32).

السرية - قواعد وشروط سلامة نقل البيانات والمعلومات. هناك فرق بين السرية الخارجية - كشرط لعدم الكشف عن المعلومات للبيئة الخارجية، والسرية الداخلية - بين الموظفين.

يتم تحديد أمان المعلومات الموثقة القيمة (المستندات) من خلال درجة حمايتها من عواقب المواقف القصوى، بما في ذلك الكوارث الطبيعية، فضلاً عن المحاولات السلبية والإيجابية التي يقوم بها المهاجم لخلق تهديد (خطر) محتمل أو حقيقي الوصول إلى المستندات باستخدام القنوات التنظيمية والتقنية، ونتيجة لذلك ما يمكن أن يحدث هو سرقة المعلومات وإساءة استخدامها من قبل المهاجم لأغراضه الخاصة، وتعديلها، واستبدالها، وتزويرها، وتدميرها (68، ص 36).

السرية هي قواعد وشروط الوصول والوصول إلى كائنات المعلومات (89، ص 50).

وبالتالي، فإن عبارة "أمن المعلومات" لا تقتصر على الحماية من الوصول غير المصرح به إلى المعلومات.

وهذا مفهوم واسع في الأساس. قد يعاني موضوع المعلومات (يعاني من خسائر و/أو يتعرض لأضرار معنوية) ليس فقط من الوصول غير المصرح به، ولكن أيضًا من انهيار النظام الذي يؤدي إلى انقطاع العمل.

على الرغم من أن السرية مرادفة للسرية، إلا أن المصطلح يستخدم على نطاق واسع حصريًا للإشارة إلى موارد المعلومات المقيدة التي لا تصنف على أنها أسرار دولة.

تعكس السرية القيد الذي يفرضه مالك المعلومات على وصول الأشخاص الآخرين إليها، أي الأشخاص الآخرين. ويحدد المالك النظام القانوني لهذه المعلومات وفقا للقانون (91، ص 208).

1.2 قيمة المعلومات

تشمل المعلومات المحمية: المعلومات السرية (المعلومات التي تحتوي على أسرار الدولة)، السرية (المعلومات التي تحتوي على أسرار تجارية، الأسرار المتعلقة بالحياة الشخصية والأنشطة للمواطنين) (100، ص 38).

هناك دائمًا وثائق إدارية، يكون تسرب محتوياتها غير مرغوب فيه أو ضارًا ببساطة، حيث يمكن استخدامها بشكل مباشر أو غير مباشر على حساب مؤلفيها. تعتبر هذه المعلومات، وبالتالي الوثائق التي تحتوي عليها، سرية (مغلقة، محمية). تنتمي المعلومات الموثقة ذات الوصول المحدود دائمًا إلى أحد أنواع الأسرار - الدولة أو غير الحكومية. ووفقا لهذا، يتم تقسيم الوثائق إلى سرية وغير سرية. الميزة الإلزامية (معيار الانتماء) للوثيقة السرية هي وجود معلومات تشكل سرًا من أسرار الدولة وفقًا للقانون. الوثائق غير السرية التي تتضمن معلومات مصنفة على أنها أسرار غير حكومية (رسمية، تجارية، مصرفية، مهنية، صناعية، إلخ) أو تحتوي على بيانات شخصية للمواطنين تسمى سرية.

المعلومات - معلومات عن الأشخاص والأشياء والحقائق والأحداث والظواهر والعمليات، بغض النظر عن شكل عرضها (8).

ينص تشريع الاتحاد الروسي على أن المعلومات الموثقة (الوثائق) متاحة للجمهور، باستثناء تلك التي يصنفها القانون على أنها مقيدة الوصول (11).

وفي هذه الحالة، يتم تقسيم المعلومات الموثقة ذات الوصول المحدود إلى معلومات مصنفة على أنها أسرار دولة ومعلومات سرية. يخضع كلا النوعين من المعلومات للحماية من النشر (الإفشاء) غير القانوني ويتم تصنيفهما على أنهما أسرار يحميها القانون.

الميزة الإلزامية للوثيقة السرية هي وجود المعلومات المراد حمايتها. تكمن خصوصية مثل هذه الوثيقة في أنها لا تمثل في الوقت نفسه المعلومات نفسها فحسب - وهي كائن إلزامي للحماية، ولكنها تمثل أيضًا وسيلة تخزين كبيرة للمعلومات، والمصدر الرئيسي لتراكم هذه المعلومات ونشرها، بما في ذلك تسربها. أي أن المعلومات سرية في المقام الأول، وعندها فقط تصبح المستندات التي يتم تسجيل هذه المعلومات فيها سرية. تشمل فئة المعلومات السرية جميع أنواع المعلومات المقيدة التي يحميها القانون - التجارية والرسمية والشخصية. باستثناء أسرار الدولة (94، ص78).

يمكن تقسيم المعلومات إلى ثلاث فئات (82، ص 33).

الأول غير مصنف (أو مفتوح)، وهو مخصص للاستخدام داخل الشركة وخارجها.

والثاني للاستخدام الرسمي، وهو مخصص للاستخدام داخل الشركة فقط. وهي مقسمة بدورها إلى فئتين فرعيتين:

1. متاح لجميع العاملين في الشركة.

2. متاح لفئات معينة من الموظفين ولكن يمكن نقله بالكامل إلى موظف آخر للقيام بالأعمال اللازمة.

والثالث هو معلومات سرية (أو معلومات مقيدة)، وهي مخصصة للاستخدام فقط من قبل موظفي الشركة المصرح لهم بشكل خاص وليس المقصود نقلها إلى موظفين آخرين كليًا أو جزئيًا.

عادة ما تسمى معلومات الفئتين الثانية والثالثة بالسرية (35، ص 9).

قد تشكل المعلومات السرية أيضًا مجموعة معينة من المعلومات المفتوحة، تمامًا كما قد تشكل مجموعة معينة من المعلومات للاستخدام الرسمي معلومات وصول مقيدة. لذلك، من الضروري أن نحدد بوضوح الشروط التي بموجبها يمكن ويجب زيادة تصنيف المعلومات (55، ص.83).

على سبيل المثال، في JSC ChZPSN - Profnastil، تكون المعلومات حول تفاصيل العقود المبرمة، وكذلك أي من الموظفين يبرمها، سرية. وفي الوقت نفسه، تتضمن المعلومات المفتوحة بيانات عن الموظفين وتوزيعهم بين الإدارات والمسؤوليات الرسمية للموظفين. على موقعهم الإلكتروني، تنشر الأخبار بانتظام تقارير عن الشركات (في أي ملف تعريف) التي تتفاوض معها الشركة، ومع من تنوي إبرام عقد، وما إلى ذلك. من الواضح أن المصادر الثلاثة المذكورة أعلاه للمعلومات المفتوحة مجتمعة (الموظفين، مسؤوليات الوظيفة، معلومات حول العقود المبرمة) يمكن أن تشكل معلومات سرية حول دخول الموظف في عقد معين.

الشروط التي يمكن بموجبها تصنيف المعلومات على أنها سرية مدرجة في المادة 13، الجزء 1 من القانون المدني للاتحاد الروسي (2). وتشمل هذه:

1. القيمة التجارية الفعلية أو المحتملة للمعلومات بسبب عدم معرفتها لدى الغير.

2. عدم حرية الوصول إلى هذه المعلومات على أساس قانوني.

3. يتخذ صاحب المعلومات الإجراءات اللازمة لحماية سريتها.

ومن ثم فإن ضمان سرية معلومات الوثيقة يتضمن ثلاثة جوانب:

1. تحديد تركيبة المعلومات التي ينبغي تصنيفها على أنها سرية.

2. تحديد دائرة الموظفين الذين ينبغي لهم الوصول إلى هذه المعلومات السرية أو تلك وإقامة العلاقات المناسبة معهم؛

3. تنظيم العمل المكتبي بالوثائق السرية. (99، ص 7-9).

إذا لم يتم استيفاء هذه الشروط، فلن يكون لدى المنظمة أسباب لمساءلة أي شخص بسبب الكشف عن معلومات سرية.

وفقًا للقانون الاتحادي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" (8)، لا يمكن أن يشكل ما يلي سرًا تجاريًا:

1. الوثائق التأسيسية (قرار إنشاء المؤسسة أو اتفاقية المؤسسين) والميثاق؛

2. الوثائق التي تمنح الحق في ممارسة أنشطة ريادة الأعمال (شهادات التسجيل والتراخيص وبراءات الاختراع)؛

3. معلومات عن الأشكال المحددة لإعداد التقارير عن الأنشطة المالية والاقتصادية وغيرها من المعلومات اللازمة للتحقق من صحة حساب ودفع الضرائب والمدفوعات الإلزامية الأخرى لنظام ميزانية الدولة في الاتحاد الروسي؛

4. وثائق الملاءة المالية.

5. معلومات عن عدد وتكوين الموظفين وأجورهم وظروف عملهم، وكذلك مدى توفر الوظائف.

6. وثائق دفع الضرائب والمدفوعات الإلزامية؛

7. معلومات حول التلوث البيئي، وانتهاك تشريعات مكافحة الاحتكار، وعدم الامتثال لظروف العمل الآمنة، وبيع المنتجات الضارة بالصحة العامة، فضلاً عن الانتهاكات الأخرى لتشريعات الاتحاد الروسي ومدى الضرر الناجم؛

8. معلومات عن مشاركة مسؤولي المؤسسات في التعاونيات والمؤسسات الصغيرة والشراكات والشركات المساهمة والجمعيات والمنظمات الأخرى العاملة في الأنشطة التجارية.

يُطلب من المعلومات المدرجة الخاصة بالمؤسسة والأشخاص العاملين في أنشطة ريادة الأعمال ورؤساء الدولة والمؤسسات البلدية تقديمها بناءً على طلب السلطات والوكالات الإدارية والتنظيمية ووكالات إنفاذ القانون والكيانات القانونية الأخرى التي يحق لها ذلك وفقًا لتشريعات الدولة. الاتحاد الروسي، فضلا عن القوى العاملة في المؤسسة (21 ).

لا يمكن تصنيف المعلومات المتعلقة بالقضايا التي يشملها القانون في مفهوم أسرار الدولة على أنها سرية (12). أما بالنسبة لقضايا العمل مع الوثائق التي تحتوي على هذه المعلومات، وفقا لقانون الاتحاد الروسي "بشأن أسرار الدولة" (4)، فقد تقرر أن المواطنين والمسؤولين والمنظمات يجب أن يسترشدوا فقط بالقوانين التشريعية التي تنظم حماية أسرار الدولة.

وفقًا للقانون، المعلومات السرية هي معلومات موثقة، ويقتصر الوصول إليها وفقًا لتشريعات الاتحاد الروسي (11). تعتبر المعلومات السرية هي تلك المعلومات التي قد يؤدي الكشف عنها إلى الإضرار بمصالح الشركة (35، ص 6). ويمكن القول أيضًا أن التنازل عن السرية لبعض المعلومات، من بين أمور أخرى، يساهم في الحفاظ على الأسرار التجارية (8).

تم تحديد المفهوم المعمم للمعلومات السرية إلى حد كبير في "قائمة المعلومات السرية" (11). ووفقا لذلك، يتم تجميع المعلومات السرية في عدة فئات رئيسية.

أولا: هذه معلومات عن وقائع وأحداث وظروف الحياة الخاصة للمواطن، مما يسمح بتحديد هوية الفرد (البيانات الشخصية)، باستثناء المعلومات الخاضعة للنشر في وسائل الإعلام في الحالات التي يحددها القانون الاتحادي.

الفئة الثانية من المعلومات المحددة هي المعلومات التي تشكل سر التحقيق والإجراءات القانونية. . تحدد القائمة أيضًا مجموعة من المعلومات الرسمية، والتي يقتصر الوصول إليها من قبل السلطات الحكومية وفقًا للقانون المدني للاتحاد الروسي (2، ص 52) والقانون الفيدرالي (الأسرار الرسمية).

تشير مجموعة أخرى من المعلومات في القائمة إلى المعلومات المتعلقة بالأنشطة المهنية، والتي يقتصر الوصول إليها وفقًا لدستور الاتحاد الروسي (1، ص. 25) والقانون الاتحادي (الطب، كاتب العدل، المحامي (16)، سرية المراسلات والمحادثات الهاتفية والبريدية (10) والرسائل البرقية وغيرها (17) وما إلى ذلك).

تتضمن المجموعة التالية من المعلومات السرية المعلومات المتعلقة بالأنشطة التجارية، والتي يقتصر الوصول إليها وفقًا للقانون المدني للاتحاد الروسي (2) والقوانين الفيدرالية (الأسرار التجارية) (6).

وتنتهي قائمة المعلومات السرية بمعلومات عن جوهر الاختراع، نماذج المنفعة أو التصميم الصناعي قبل النشر الرسمي عنها (53، ص 51؛ 82، ص 33).

المعلومات الموثقة التي يستخدمها رائد الأعمال في الأعمال التجارية وإدارة مؤسسة أو منظمة أو بنك أو شركة أو أي هيكل آخر هي معلومات خاصة به أو خاصة ذات قيمة كبيرة بالنسبة له، أو ملكيته الفكرية.

يمكن أن تكون قيمة المعلومات فئة تكلفة تميز مقدارًا محددًا من الربح عند استخدامها أو مقدار الخسائر عند خسارتها. غالبًا ما تصبح المعلومات ذات قيمة نظرًا لأهميتها القانونية بالنسبة للشركة أو تطوير الأعمال، على سبيل المثال، المستندات التأسيسية والبرامج والخطط والاتفاقيات مع الشركاء والوسطاء وما إلى ذلك. وقد تعكس قيمة المعلومات أيضًا أهميتها العلمية أو التقنية أو التكنولوجية المستقبلية (58، ص 224).

المعلومات التي لها قيمة فكرية بالنسبة لرجل الأعمال تنقسم عادة إلى نوعين:

1. التقنية والتكنولوجية: طرق تصنيع المنتجات، والبرمجيات، ومؤشرات الإنتاج، والصيغ الكيميائية، ونتائج اختبار النماذج الأولية، وبيانات مراقبة الجودة، وما إلى ذلك. (53، ص 50)؛

2. الأعمال: مؤشرات التكلفة، نتائج أبحاث السوق، قوائم العملاء، التوقعات الاقتصادية، استراتيجية السوق، إلخ.

المعلومات القيمة محمية بموجب القانون (براءة الاختراع، حقوق الطبع والنشر، القانون ذي الصلة)، أو العلامة التجارية، أو يتم تضمينها في فئة المعلومات التي تشكل سر الشركة (58، ص 54).

وبالتالي، كقاعدة عامة، يمكن تقسيم جميع المعلومات المتداولة داخل المنظمة إلى قسمين - مفتوحة وسرية (65، ص.5).

إن القيمة التجارية للمعلومات، كقاعدة عامة، قصيرة الأجل وتتحدد بالوقت الذي يحتاجه المنافس لتطوير نفس الفكرة أو سرقتها وإعادة إنتاجها ونشرها وجعل المعلومات معروفة للعامة. تعتمد درجة قيمة المعلومات وموثوقية حمايتها بشكل مباشر.

يعد تحديد وتنظيم التكوين الفعلي للمعلومات ذات القيمة لرائد الأعمال والتي تشكل سرًا للشركة جزءًا أساسيًا من نظام أمن المعلومات. يتم تسجيل تكوين المعلومات القيمة في قائمة خاصة تحدد الفترة (المدة) والمستوى (الفئة) من سريتها (أي عدم إمكانية الوصول إليها للجميع)، وهي قائمة موظفي الشركة الذين يتم منحهم الحق في استخدام هذه المعلومات في حياتهم عمل. القائمة، التي تعتمد على التركيبة النموذجية للمعلومات المحمية من الشركات في هذا الملف، هي مادة عمل دائمة لإدارة الشركة وخدمات الأمن والوثائق السرية. إنها قائمة سرية من المعلومات القيمة النموذجية والمحددة حول العمل الذي يتم تنفيذه والمنتجات التي يتم تصنيعها والأفكار العلمية والتجارية والابتكارات التكنولوجية. تتضمن القائمة معلومات قيمة حقًا عن كل عمل من أعمال الشركة (51، الصفحات 45-51).

بالإضافة إلى ذلك، يمكن تجميع قائمة الوثائق التي تنعكس فيها هذه المعلومات (موثقة). تتضمن القائمة أيضًا المستندات التي لا تحتوي على معلومات محمية، ولكنها ذات قيمة للشركة وتخضع للحماية. يتم تجميع القوائم بشكل فردي من قبل كل شركة وفقًا لتوصيات لجنة خاصة وموافقة عليها من قبل الرئيس الأول للشركة. تقوم نفس اللجنة بانتظام بإجراء تغييرات حالية على القوائم وفقًا لديناميكيات أداء الشركة لعمل محدد.

تعد المستندات التي تحتوي على معلومات قيمة جزءًا من موارد المعلومات الخاصة بالشركة، والتي يمكن أن تكون: أ) مفتوحة (متاحة للموظفين دون إذن خاص) و ب) محدودة لوصول الموظفين (تصنف كأحد أنواع الأسرار - الدولة أو غير الدولة) .

يتم إعداد قائمة المعلومات المصنفة على أنها معلومات سرية، وكذلك قائمة الموظفين المقبولين فيها، بأمر من الشركة.

1.3 قنوات توزيع وتسريب المعلومات السرية

تنتشر معلومات المصدر دائمًا إلى البيئة الخارجية. قنوات نشر المعلومات موضوعية بطبيعتها وتتميز بالنشاط وتشمل: الأعمال التجارية والإدارة والتجارة والاتصالات العلمية والمنظمة؛ شبكات المعلومات؛ القنوات التقنية الطبيعية.

قناة نشر المعلومات هي طريق لنقل المعلومات القيمة من مصدر إلى آخر بطريقة مصرح بها (مسموح بها) أو بسبب قوانين موضوعية أو بسبب قوانين موضوعية (83، ص 48).

ربما لا يكون مصطلح "تسرب المعلومات السرية" الأكثر بهجة، لكنه يعكس جوهر الظاهرة بشكل أكثر إيجازًا من المصطلحات الأخرى. لقد تم ترسيخه منذ فترة طويلة في الأدبيات العلمية والوثائق التنظيمية (99، ص 11). يشكل تسرب المعلومات السرية أمرًا غير قانوني، أي. النشر غير المصرح به لهذه المعلومات خارج المنطقة المحمية لعملها أو الدائرة المحددة للأشخاص الذين لديهم الحق في العمل معها، إذا أدى هذا النشر إلى تلقي المعلومات (التعرف عليها) من قبل الأشخاص الذين ليس لديهم حق الوصول المصرح به إلى هو - هي. لا يعني تسرب المعلومات السرية أن استلامها من قبل الأشخاص الذين لا يعملون في المؤسسة فحسب؛ بل إن الوصول غير المصرح به إلى المعلومات السرية من قبل أشخاص في مؤسسة معينة يؤدي أيضًا إلى التسرب (104، ص 75).

فقدان وتسرب المعلومات السرية الموثقة يكون سببه ضعف المعلومات. ينبغي فهم ضعف المعلومات على أنه عدم قدرة المعلومات على مقاومة التأثيرات المزعزعة للاستقرار بشكل مستقل، أي. مثل هذه التأثيرات التي تنتهك وضعها الراسخ (94، ص 89). يتكون انتهاك حالة أي معلومات موثقة من انتهاك سلامتها الجسدية (بشكل عام أو مع مالك معين كليًا أو جزئيًا)، والبنية المنطقية والمحتوى، وإمكانية الوصول للمستخدمين المصرح لهم. يتضمن انتهاك حالة المعلومات السرية الموثقة بالإضافة إلى ذلك انتهاك سريتها (الانغلاق على الأشخاص غير المصرح لهم). إن ضعف المعلومات الموثقة هو مفهوم جماعي. وهي غير موجودة على الإطلاق، ولكنها تظهر بأشكال مختلفة. وتشمل هذه: سرقة وسيلة التخزين أو المعلومات المعروضة عليها (السرقة)؛ فقدان وسائط التخزين (الخسارة)؛ التدمير غير المصرح به لوسيلة تخزين أو المعلومات المعروضة فيها (تدمير، تشويه المعلومات (تغيير غير مصرح به، تعديل غير مصرح به، تزوير، تزوير)؛ حجب المعلومات؛ الكشف عن المعلومات (التوزيع، الكشف).

يُستخدم مصطلح "التدمير" بشكل أساسي فيما يتعلق بالمعلومات الموجودة على الوسائط المغناطيسية. المتغيرات الحالية للأسماء: التعديل والتزوير والتزوير ليست مناسبة تمامًا لمصطلح "التشويه"؛ فهي تحتوي على فروق دقيقة، ولكن جوهرها هو نفسه - تغيير جزئي أو كامل غير مصرح به في تكوين المعلومات الأصلية (36، ص. 59).

حظر المعلومات هنا يعني منع الوصول إليها من قبل المستخدمين المصرح لهم، وليس من قبل المهاجمين.

الإفصاح عن المعلومات هو شكل من أشكال إظهار ضعف المعلومات السرية فقط.

يمكن تحقيق هذا الشكل أو ذاك من أشكال ضعف المعلومات الموثقة نتيجة لتأثيرات مزعزعة للاستقرار مقصودة أو عرضية بطرق مختلفة على حامل المعلومات أو على المعلومات نفسها من مصادر التأثير. يمكن أن تكون هذه المصادر أشخاصًا، ووسائل تقنية لمعالجة المعلومات ونقلها، ووسائل الاتصال، والكوارث الطبيعية، وما إلى ذلك. وتتمثل طرق التأثير المزعزع للاستقرار على المعلومات في نسخها (التصوير الفوتوغرافي)، وتسجيلها، ونقلها، وإزالتها، وإصابة برامج معالجة المعلومات بفيروس ، انتهاك تكنولوجيا معالجة وتخزين المعلومات، والسحب (أو الفشل) وتعطيل وضع التشغيل للوسائل التقنية لمعالجة المعلومات ونقلها، والتأثير المادي على المعلومات، وما إلى ذلك.

إن ضعف المعلومات الموثقة يؤدي أو قد يؤدي إلى فقدان المعلومات أو تسربها. (97، ص12).

يحدث فقدان المعلومات الموثقة بسبب سرقة وسائط التخزين وفقدانها، أو التدمير غير المصرح به لوسائط التخزين أو المعلومات المعروضة عليها فقط، وتشويه المعلومات وحجبها. يمكن أن تكون الخسارة كاملة أو جزئية، لا رجعة فيها أو مؤقتة (عند حجب المعلومات)، ولكنها في جميع الأحوال تتسبب في ضرر لصاحب المعلومات.

ويؤدي الكشف عنها إلى تسرب معلومات سرية موثقة. وكما لاحظ بعض المؤلفين (77، ص 94؛ 94، ص 12) في الأدبيات وحتى في الوثائق التنظيمية، غالبًا ما يتم استبدال مصطلح "تسرب المعلومات السرية" أو تحديده بالمصطلحات التالية: "الكشف عن المعلومات السرية"، "نشر المعلومات السرية". وهذا الأسلوب غير قانوني من وجهة نظر المختصين. إن الكشف عن المعلومات السرية أو نشرها يعني تسليمها بشكل غير مصرح به إلى المستهلكين الذين لا يحق لهم الوصول إليها. علاوة على ذلك، يجب أن يتم هذا التسليم من قبل شخص ما، يأتي من شخص ما. ويحدث التسرب عند الكشف عن معلومات سرية (التوزيع غير المصرح به)، ولكنه لا يقتصر عليها. كما يمكن أن يحدث التسرب نتيجة فقدان وسيطة من المعلومات السرية الموثقة، وكذلك سرقة وسيطة المعلومات أو المعلومات المعروضة عليها مع الحفاظ على الوسيلة آمنة من قبل صاحبها (المالك). هذا لا يعني أنه سيحدث. قد تقع الناقلة المفقودة في الأيدي الخطأ، أو قد يتم "الاستيلاء عليها" بواسطة آلة جمع القمامة وتدميرها بالطريقة المحددة للقمامة. وفي الحالة الأخيرة، لا يحدث أي تسرب للمعلومات السرية. كما أن سرقة المعلومات السرية الموثقة لا ترتبط دائمًا باستلامها من قبل الأشخاص الذين لا يستطيعون الوصول إليها. هناك العديد من الأمثلة حيث تم تنفيذ سرقة ناقلات المعلومات السرية من زملاء العمل من قبل أشخاص لديهم إمكانية الوصول إلى هذه المعلومات بغرض "المساعدة" أو التسبب في ضرر لزميل. عادة ما تكون هذه الوسائط تم تدميرها على يد الأشخاص الذين اختطفواهم. ولكن على أية حال، فإن فقدان المعلومات السرية وسرقتها، إذا لم يؤدي ذلك إلى تسربها، يخلق دائمًا تهديدًا بالتسرب. ولذلك يمكننا القول أن تسرب المعلومات السرية يكون سببه الكشف عنها ويمكن أن يكون نتيجة للسرقة والضياع. تكمن الصعوبة في حقيقة أنه غالبًا ما يكون من المستحيل تقسيم، أولاً، حقيقة الكشف عن المعلومات السرية أو سرقتها بينما يظل حامل المعلومات آمنًا من قبل مالكه (المالك)، وثانيًا، ما إذا كانت المعلومات قد وصلت إلى أشخاص غير مصرح لهم نتيجة سرقتها أو فقدانها.

مالك السر التجاري هو فرد أو كيان قانوني يمتلك بشكل قانوني المعلومات التي تشكل سرًا تجاريًا والحقوق المقابلة لها بالكامل (91، ص 123).

المعلومات التي تشكل سرًا تجاريًا لا توجد في حد ذاتها. يتم عرضه في وسائط مختلفة يمكنها حفظه وتجميعه ونقله. وبمساعدتهم، يتم استخدام المعلومات أيضًا. (8 ؛ 91 ، ص 123)

ناقل المعلومات هو فرد أو شيء مادي، بما في ذلك المجال المادي، حيث تنعكس المعلومات في شكل رموز وصور وإشارات وحلول وعمليات تقنية (8؛ 68، ص 37).

ويترتب على هذا التعريف، أولا، أن الأشياء المادية ليست فقط ما يمكن رؤيته أو لمسه، ولكن أيضا المجالات المادية، وكذلك الدماغ البشري، وثانيا، أن المعلومات في وسائل الإعلام لا يتم عرضها فقط عن طريق الرموز، أي. الحروف والأرقام والعلامات، ولكن أيضًا الصور على شكل صور ورسومات ورسوم بيانية ونماذج أيقونية أخرى وإشارات في المجالات المادية والحلول التقنية في المنتجات والعمليات الفنية في تكنولوجيا تصنيع المنتجات (39، ص 65).

تختلف أنواع الأشياء المادية كحاملات للمعلومات. يمكن أن تكون أشرطة مغناطيسية، وأقراص مغناطيسية وأقراص ليزر، وأشرطة صور وأفلام وفيديو وصوت، وأنواع مختلفة من المنتجات الصناعية، والعمليات التكنولوجية، وما إلى ذلك. ولكن النوع الأكثر انتشارًا هو الوسائط الورقية (46، ص 11). يتم تسجيل المعلومات الموجودة فيها بطرق مكتوبة بخط اليد، ومكتوبة، وإلكترونية، ومطبعية في شكل نص، ورسم، ورسم تخطيطي، وصورة، وصيغة، ورسم بياني، وخريطة، وما إلى ذلك. في هذه الوسائط، يتم عرض المعلومات في شكل رموز وصور. يتم تصنيف هذه المعلومات الواردة في القانون الاتحادي "بشأن المعلومات..." (8) على أنها معلومات موثقة وتمثل أنواعًا مختلفة من المستندات.

في الآونة الأخيرة، حدثت تعديلات كبيرة على أشكال ووسائل الحصول على المعلومات السرية من خلال وسائل غير رسمية. بالطبع، يتعلق الأمر بشكل أساسي بالتأثير على الشخص كحامل للمعلومات السرية.

يكون الشخص كموضوع للتأثير أكثر عرضة للتأثيرات غير الرسمية من الوسائل التقنية وغيرها من شركات نقل المعلومات السرية، بسبب ضعف قانوني معين في الوقت الحالي، ونقاط الضعف البشرية الفردية وظروف الحياة (64، ص 82).

عادة ما يكون هذا التأثير غير الرسمي مخفيًا وغير قانوني بطبيعته ويمكن تنفيذه إما بشكل فردي أو بواسطة مجموعة من الأشخاص.

الأنواع التالية من قنوات تسرب المعلومات ممكنة للشخص الذي يحمل معلومات سرية: قناة الكلام والقناة المادية والقناة الفنية.

قناة تسرب الكلام - تنتقل المعلومات من صاحب المعلومات السرية عبر الكلمات شخصيًا إلى الكائن المهتم بتلقي هذه المعلومات (29).

القناة المادية للتسرب - تنتقل المعلومات من صاحب المعلومات السرية (الناقل) عبر الورق أو الإلكتروني أو المغناطيسي (المشفر أو المفتوح) أو وسائل أخرى إلى جهة مهتمة بتلقي هذه المعلومات (36، ص 62).

قناة التسرب الفني - يتم نقل المعلومات عبر الوسائل التقنية (29).

يمكن أن تكون أشكال التأثير على الشخص الذي ينقل المعلومات المحمية مفتوحة ومخفية (33).

التأثير المفتوح على المالك (الناقل) للمعلومات السرية لاستلامها من قبل الجهة المعنية يعني الاتصال المباشر (101، ص 256).

يتم التأثير الخفي على المالك (الناقل) للمعلومات السرية لاستلامها من قبل الجهة المعنية بشكل غير مباشر (101، ص 256).

وسائل التأثير غير الرسمية لصاحب (الحامل) للمعلومات السرية للحصول على معلومات معينة منه عبر قناة كلامية مفتوحة هي شخص أو مجموعة أشخاص يتفاعلون من خلال: وعود بشيء، طلبات، اقتراحات (107، ص 12). ).

ونتيجة لذلك يضطر صاحب (الناقل) للمعلومات السرية إلى تغيير سلوكه والتزاماته الرسمية ونقل المعلومات المطلوبة (91، ص 239).

يتم التأثير الخفي من خلال قناة الكلام على المالك (الناقل) للمعلومات السرية من خلال الإكراه غير المباشر - الابتزاز من خلال طرف ثالث، والتنصت غير المقصود أو المتعمد، وما إلى ذلك.

إن وسائل التأثير المذكورة، في النهاية، تعوّد صاحب (الناقل) للمعلومات السرية على تحمله (تسامحه) مع التأثيرات التي تمارس عليه (85، ص 220).

يمكن أيضًا أن تكون أشكال التأثير على المالك (الناقل) للمعلومات السرية من خلال قناة التسرب المادية مفتوحة ومخفية.

يتم التأثير المفتوح من خلال التخويف بالقوة (الجسدية) (الضرب) أو القوة بنتيجة مميتة، بعد تلقي (الضرب) أو القوة بنتيجة مميتة، بعد تلقي معلومات (95، ص 78).

التأثير الخفي أكثر دقة واتساعًا من حيث استخدام الأموال. ويمكن تمثيل ذلك في شكل بنية التأثير التالية (95، ص 79). الكائن المهتم - مصالح واحتياجات حامل المعلومات السرية.

وبالتالي فإن الجهة المعنية تعمل بشكل سري (بشكل غير مباشر) على مصالح واحتياجات الشخص الذي يملك المعلومات السرية.

يمكن أن يعتمد هذا التأثير الخفي على: الخوف، والابتزاز، والتلاعب بالحقائق، والرشوة، والرشوة، والعلاقة الحميمة، والفساد، والإقناع، وتقديم الخدمات، والضمانات بشأن مستقبل الشخص الذي يحمل معلومات سرية. (94، ص.87)

يمكن أيضًا أن يكون شكل التأثير على المالك (الناقل) للمعلومات السرية من خلال القنوات التقنية مفتوحًا ومخفيًا.

الوسائل المفتوحة (المباشرة) - الفاكس والهاتف (بما في ذلك أنظمة الهاتف المحمول) والإنترنت والاتصالات اللاسلكية والاتصالات والوسائط.

تشمل الوسائل المخفية: الاستماع باستخدام الوسائل التقنية، والمشاهدة من شاشة العرض وغيرها من وسائل عرضها، والوصول غير المصرح به إلى جهاز كمبيوتر شخصي وبرامج وأجهزة.

جميع وسائل التأثير المعتبرة، بغض النظر عن أشكالها، لها تأثير غير رسمي على الشخص الذي يحمل المعلومات السرية، وترتبط بالطرق غير القانونية والإجرامية للحصول على المعلومات السرية (72).

يجب أن تؤخذ في الاعتبار إمكانية التلاعب بالخصائص الفردية للمالك (الناقل) للمعلومات السرية مع احتياجاته الاجتماعية من أجل الحصول عليها عند تعيين واختيار الموظفين وتنفيذ سياسات شؤون الموظفين عند تنظيم العمل بالمعلومات السرية.

يجب أن تتذكر دائمًا أن حقيقة توثيق المعلومات (تطبيقها على أي وسيلة ملموسة) تزيد من خطر تسرب المعلومات. من السهل دائمًا سرقة الوسيط المادي، وهناك درجة عالية من عدم تشويه المعلومات الضرورية، كما يحدث عندما يتم الكشف عن المعلومات شفهيًا.

إن التهديدات التي تتعرض لها سلامة ونزاهة وسرية السرية) للمعلومات المقيدة الوصول تتحقق عمليًا من خلال خطر تشكيل قنوات للاستلام (الاستخراج) غير المصرح به للمعلومات والمستندات القيمة من قبل المهاجم. هذه القنوات عبارة عن مجموعة من التوجيهات غير المحمية أو ذات الحماية الضعيفة من قبل المنظمة لتسرب المعلومات المحتمل، والتي يستخدمها المهاجم للحصول على المعلومات الضرورية، والوصول المتعمد غير القانوني إلى المعلومات المحمية والمحمية.

ولكل مؤسسة محددة مجموعتها الخاصة من القنوات للوصول غير المصرح به إلى المعلومات؛ وفي هذه الحالة، لا توجد شركات مثالية.

ويعتمد ذلك على عوامل كثيرة: حجم المعلومات المحمية والمحمية؛ أنواع المعلومات المحمية والمحمية (التي تشكل سرًا من أسرار الدولة، أو بعض الأسرار الأخرى - الرسمية والتجارية والمصرفية وما إلى ذلك)؛ المستوى المهني للموظفين وموقع المباني والمباني وما إلى ذلك.

إن عمل قنوات الوصول غير المصرح به إلى المعلومات يستلزم بالضرورة تسرب المعلومات، فضلا عن اختفاء حاملها.

إذا كنا نتحدث عن تسرب المعلومات بسبب خطأ الموظفين، يتم استخدام مصطلح "الكشف عن المعلومات". يمكن لأي شخص الكشف عن المعلومات شفهيًا، أو كتابيًا، من خلال الحصول على المعلومات باستخدام الوسائل التقنية (آلات النسخ، والماسحات الضوئية، وما إلى ذلك)، باستخدام الإيماءات، وتعبيرات الوجه، والإشارات التقليدية. ونقلها شخصيا، عبر وسطاء، عبر قنوات الاتصال، الخ. (56، ص458).

ويتميز تسرب (إفشاء) المعلومات بشرطين:

1. تذهب المعلومات مباشرة إلى الشخص المعني بها، أي المهاجم؛

2. تنتقل المعلومات إلى طرف ثالث عشوائي.

في هذه الحالة، يُفهم الطرف الثالث على أنه أي شخص خارجي حصل على معلومات بسبب ظروف خارجة عن سيطرة هذا الشخص، أو عدم مسؤولية الموظفين، الذي ليس له الحق في امتلاك المعلومات، والأهم من ذلك، هذا الشخص غير مهتم بهذه المعلومات (37، ص 5). ومع ذلك، يمكن بسهولة نقل المعلومات من طرف ثالث إلى المهاجم. في هذه الحالة، يقوم طرف ثالث، بسبب الظروف التي أنشأها المهاجم، بدور "الورقة" لاعتراض المعلومات الضرورية.

يبدو أن نقل المعلومات إلى طرف ثالث أمر شائع إلى حد ما، ويمكن أن يطلق عليه غير مقصود، عفوي، على الرغم من أن حقيقة الكشف عن المعلومات تحدث.

يحدث النقل غير المقصود للمعلومات إلى طرف ثالث نتيجة لما يلي:

1. فقدان مستند أو إتلافه بشكل غير صحيح على أي وسيط، أو حزمة من المستندات، أو ملف، أو سجلات سرية؛

2. التجاهل أو الفشل المتعمد من قبل الموظف في الالتزام بمتطلبات حماية المعلومات الموثقة.

3. الثرثرة المفرطة للعمال في حالة عدم وجود دخيل - مع زملاء العمل والأقارب والأصدقاء والأشخاص الآخرين في الأماكن العامة: المقاهي ووسائل النقل وما إلى ذلك. (وقد أصبح هذا ملحوظاً مؤخراً مع انتشار الاتصالات المتنقلة)؛

4. العمل مع المعلومات الموثقة مع وصول محدود إلى المنظمة بحضور أشخاص غير مصرح لهم، ونقلها بشكل غير مصرح به إلى موظف آخر؛

5. استخدام المعلومات ذات الوصول المحدود في المستندات المفتوحة والمنشورات والمقابلات والمذكرات الشخصية والمذكرات وما إلى ذلك؛

6. عدم وجود طوابع سرية (سرية) على المعلومات الموجودة في المستندات، ووضع علامات مع الطوابع المقابلة على الوسائط التقنية؛

7. وجود معلومات غير ضرورية في نصوص المستندات المفتوحة مع إمكانية وصول محدودة؛

8. النسخ (المسح الضوئي) غير المصرح به للمستندات، بما في ذلك المستندات الإلكترونية، من قبل الموظف لأغراض رسمية أو تحصيلية.

على عكس الطرف الثالث، يحصل المهاجم أو شريكه عمدًا على معلومات محددة ويقوم عمدًا بإجراء اتصال غير قانوني بمصدر هذه المعلومات أو تحويل قنوات نشرها الموضوعية إلى قنوات الكشف عنها أو تسربها.

تتميز القنوات التنظيمية لتسرب المعلومات بمجموعة واسعة من الأنواع وتستند إلى إنشاء علاقات مختلفة، بما في ذلك العلاقات القانونية، بين المهاجم والمؤسسة أو موظفي المؤسسة للوصول اللاحق غير المصرح به إلى المعلومات ذات الأهمية.

الأنواع الرئيسية للقنوات التنظيمية يمكن أن تكون:

1. يتم تعيين المهاجم من قبل مؤسسة ما، وعادة ما يكون في منصب فني أو دعم (مشغل كمبيوتر، وكيل شحن، ساعي، منظف، بواب، حارس أمن، سائق، وما إلى ذلك)؛

2. المشاركة في عمل المنشأة كشريك أو وسيط أو عميل واستخدام أساليب الاحتيال المختلفة.

3. بحث المهاجم عن شريك (مساعد مبادر) يعمل في التنظيم، والذي يصبح شريكاً له؛

4. إنشاء المهاجم لعلاقة ثقة مع موظف في المنظمة (للمصالح المشتركة، حتى علاقات الشرب والحب المشتركة) أو زائر منتظم، موظف في منظمة أخرى لديه معلومات تهم المهاجم؛

5. استخدام روابط الاتصال الخاصة بالمنظمة - المشاركة في المفاوضات والاجتماعات والمعارض والعروض التقديمية والمراسلات، بما في ذلك المراسلات الإلكترونية، مع المنظمة أو موظفيها المحددين، وما إلى ذلك؛

6. استخدام تصرفات خاطئة للأفراد أو إثارة هذه التصرفات عمدًا من قبل مهاجم؛

7. الدخول السري أو الوهمي إلى مباني المؤسسة ومبانيها، والوصول الإجرامي والقوي إلى المعلومات، أي سرقة المستندات أو الأقراص المرنة أو محركات الأقراص الثابتة (محركات الأقراص الثابتة) أو أجهزة الكمبيوتر نفسها، والابتزاز والتحريض على التعاون من جانب الموظفين الأفراد، والرشوة و ابتزاز الموظفين، وخلق المواقف القصوى، وما إلى ذلك؛

8. الحصول على المعلومات اللازمة من شخص ثالث (عشوائي).

يتم اختيار القنوات التنظيمية أو تشكيلها من قبل المهاجم بشكل فردي وفقًا لمهاراته المهنية ووضعه المحدد، ومن الصعب للغاية التنبؤ بها. يتطلب الكشف عن القنوات التنظيمية بحثًا جادًا وعملًا تحليليًا (75، ص 32).

يتم إنشاء احتمالات واسعة للاستلام غير المصرح به للمعلومات ذات الوصول المحدود من خلال الدعم الفني لتقنيات تدفق المستندات المالية للمنظمة. يرتبط أي نشاط إداري ومالي دائمًا بمناقشة المعلومات في المكاتب أو عبر خطوط وقنوات الاتصال (إجراء مكالمات الفيديو والمكالمات الجماعية)، وإجراء الحسابات وتحليل المواقف على أجهزة الكمبيوتر، وإنتاج المستندات وإعادة إنتاجها، وما إلى ذلك.

وثائق مماثلة

الوثائق التنظيمية والإدارية. متطلبات التسجيل وإجراءات التعامل مع الوثائق السرية. طرق الحفاظ على إدارة السجلات السرية. المحفوظات السرية. ضمان أمن العمل المكتبي السري.

تمت إضافة أعمال الدورة في 15/01/2017


توجيهات لضمان أمن مصادر المعلومات. ملامح فصل الموظفين الذين يحملون معلومات سرية. وصول الموظفين إلى المعلومات والوثائق وقواعد البيانات السرية. حماية المعلومات أثناء الاجتماعات.

تمت إضافة الدورة التدريبية في 20/11/2012


مميزات العمل مع الأفراد الذين يمتلكون أسرارًا سرية. خصوصيات توظيف ونقل الموظفين إلى الوظائف المتعلقة بحيازة المعلومات السرية. وصول الموظفين إلى المعلومات والوثائق وقواعد البيانات السرية.

تمت إضافة الدورة التدريبية في 06/09/2011


تحليل نظام أمن المعلومات في المؤسسة. خدمة حماية المعلومات. تهديدات أمن المعلومات الخاصة بالمؤسسة. أساليب ووسائل أمن المعلومات. نموذج نظام المعلومات من منظور أمني.

تمت إضافة الدورة التدريبية في 02/03/2011


مميزات فصل الموظفين الذين يمتلكون معلومات سرية. - القيام بنقل الموظفين إلى العمل المتعلق بالمعلومات السرية. طرق إجراء شهادة الموظفين. إعداد الوثائق والأوامر للمؤسسة.

الملخص، تمت إضافته في 27/12/2013


مفهوم "المعلومات السرية". إجراءات تصنيف المعلومات التجارية باعتبارها سرًا تجاريًا. الخصائص العامة لشركة Svyaznoy Ural OJSC. تحسين آلية حماية المعلومات السرية في المؤسسة. تحليل فعالية التوصيات.

تمت إضافة الدورة التدريبية في 26/09/2012


مفهوم ونقل البيانات الشخصية. حماية المعلومات والسيطرة عليها. المسؤولية الجنائية والإدارية والتأديبية عن انتهاك قواعد العمل مع البيانات الشخصية. القواعد الأساسية لممارسة العمل المكتبي السري.

تمت إضافة الدورة التدريبية في 19/11/2014


جوهر المعلومات وتصنيفها. تحليل المعلومات المصنفة على أنها سر تجاري. البحث عن التهديدات المحتملة وقنوات تسرب المعلومات. تحليل التدابير الوقائية. تحليل ضمان موثوقية وحماية المعلومات في شركة Tism-Yugnefteprodukt LLC.

أطروحة، أضيفت في 23/10/2013


أمن المعلومات والبنية التحتية الداعمة لها من التأثيرات العرضية أو المتعمدة ذات الطبيعة الطبيعية أو الاصطناعية. حماية المعلومات أثناء المفاوضات وفي عمل إدارة شؤون الموظفين والتحضير لاجتماع سري.

الملخص، تمت إضافته في 27/01/2010


في حل مشكلة أمن المعلومات، يتم احتلال مكان خاص من خلال بناء نظام فعال لتنظيم العمل مع الموظفين الذين يمتلكون معلومات سرية. في هياكل الأعمال، يشمل الموظفون جميع الموظفين.

"ضابط شؤون الموظفين. قانون العمل لضباط شؤون الموظفين"، 2011، رقم 10

حماية المعلومات في المنظمة

يتناول المؤلف مشكلة ضمان أمن المعلومات للمنظمة. يتم إيلاء الاهتمام الرئيسي للأسرار التجارية والرسمية، فضلا عن خصوصيات العمل مع الموظفين الذين يمتلكون معلومات سرية.

يعد ضمان أمن معلومات المنظمة أحد مجالات نشاط إدارة الشركة ذات الأولوية في الوقت الحالي. من الواضح أن موثوقية حماية المعلومات تعتمد بشكل مباشر على قيمتها. لحماية معلومات الشركة، يتطلب الأمر مجموعة من الإجراءات التي تشكل نظامًا. من الناحية النظرية، يُفهم نظام أمن المعلومات على أنه مجموعة عقلانية من التوجيهات والأساليب والوسائل والتدابير التي تقلل من ضعف المعلومات وتمنع الوصول غير المصرح به إلى المعلومات أو الكشف عنها أو تسربها. عناصر هذا النظام هي تدابير ذات طبيعة قانونية وتنظيمية وتقنية وغيرها.

العنصر القانوني إلزامي لأي نوع من المؤسسات ولأي نظام، حتى أبسط نظام لأمن المعلومات. وفي غيابها، لن تتمكن المنظمة من حماية المعلومات السرية بشكل صحيح، فضلاً عن محاسبة المسؤولين عن الكشف عنها وفقدانها.

يهدف العنصر القانوني، أي التدابير ذات الطبيعة القانونية، بشكل أساسي إلى التنفيذ السليم للوثائق، وكذلك إلى العمل الكفء مع موظفي المنظمة، لأن أساس نظام أمن المعلومات هو العامل البشري. بشكل عام، في حل مشكلة أمن المعلومات في المنظمة، يتم احتلال مكان مهم من خلال اختيار الأساليب الفعالة للعمل مع الموظفين، ويتم تضمين قضايا إدارة شؤون الموظفين من بين القضايا الرئيسية في ضمان أمن المعلومات.

في علاقات العمل، يتبادل صاحب العمل والموظف كمية كبيرة من المعلومات بمختلف أنواعها، بما في ذلك المعلومات السرية. على سبيل المثال، يتمكن صاحب العمل من الوصول إلى البيانات الشخصية للموظف، ويصبح الموظف على علم بالمعلومات السرية لصاحب العمل. سوف تركز هذه المقالة بشكل خاص على المعلومات السرية لصاحب العمل.

طاقم المنظمة

ككائن وموضوع للتهديدات الأمنية

في الشركات الحديثة، يصبح أي موظف تقريبا حاملا للمعلومات القيمة التي تهم المنافسين وأحيانا الهياكل الإجرامية. يمكن أن يؤدي الكشف عن المعلومات السرية إلى أضرار اقتصادية كبيرة للمنظمة. من الواضح أن الجمع السري للمعلومات والمعلومات وسرقة المستندات والمواد والعينات التي تشكل أسرارًا تجارية وصناعية ورسمية يتم تنظيمه بهدف غزو السوق وتوفير اكتساب المعرفة وما إلى ذلك. ولسوء الحظ، فإنه ليس من غير المألوف أن يقوم موظف من نوع ما أو منظمة ما، يرغب في زيادة راتبه، بتقديم ترشيحه لشركة منافسة وفي نفس الوقت يعد بإحضار قواعد بيانات الشركة القديمة معه. وبحسب بيانات غير رسمية فإن نحو 80% من المنظمات تعاني من “التجسس الصناعي” بشكل أو بآخر.

لذلك، في حماية المعلومات السرية للمؤسسة من أنواع مختلفة من التهديدات، يحتل موظفو المؤسسة مكانًا مهمًا، والذين يمكن أن يصبحوا كائنًا وموضوعًا لهذه التهديدات. ومن الضروري تنفيذ نظام لإدارة شؤون الموظفين يساعد في ضمان أمن المعلومات ويلعب دورًا وقائيًا فيما يتعلق بهذه التهديدات.

تتنوع أشكال تنفيذ التهديدات التي يتعرض لها أمن معلومات المؤسسة في طبيعتها ومحتواها، مما يؤدي إلى تعقيد عملية مواجهتها بشكل موضوعي. وفي الوقت نفسه، قد يكون دافع الموظفين عند الكشف عن المعلومات السرية مختلفا. يتضمن تنفيذ تدابير الموارد البشرية لحماية معلومات الشركة تخطيط وتنظيم وتحفيز ومراقبة الموظفين من أجل إنشاء نظام لأمن المعلومات. يعتقد خبراء الأمن الاقتصادي الغربيون أن سلامة المعلومات السرية تعتمد بنسبة 80٪ على الاختيار الصحيح للموظفين وتنسيبهم وتدريبهم.

الأخطاء النموذجية للشركات

تقدم Melnikova E.I بيانات من دراسة حول موضوع "طرق ووسائل حماية الأسرار التجارية في المؤسسة" والتي أجريت في أوليانوفسك. وشاركت فيه 40 شركة في المدينة من بين الشركات الكبيرة والمتوسطة والصغيرة، وتم التوصل إلى أن نظام فعال لإدارة شؤون الموظفين من أجل ضمان أمن معلومات المؤسسة غير متوفر في كل مكان.

وفقًا لهذه الدراسة، فإن 65٪ من جميع المؤسسات لا تتحكم في دخول وإزالة المستندات الورقية والأقراص ومحركات الأقراص الإلكترونية ووسائط التخزين الأخرى، بالإضافة إلى معدات الفيديو والتصوير الفوتوغرافي من أراضي المؤسسة. في 33.5% من جميع الحالات في المؤسسات، لا تكون المباني التي توجد بها أجهزة الكمبيوتر محمية من الوصول غير المصرح به. في 55٪ من المؤسسات، عند الفصل، لا يحصل الموظفون على إيصال بعدم الكشف عن المعلومات السرية. في 55% من جميع المؤسسات، لم تقم الشركة بتعيين شخص مسؤول عن محاسبة الموظفين الذين لديهم إمكانية الوصول إلى المعلومات التي تحتوي على معلومات تشكل سرًا تجاريًا، والذي يضمن تخزين الوثائق وإصدارها للموظفين مقابل التوقيع والتحكم في الوقت المناسب. عودة الوثائق المذكورة للتخزين. 47.5% من جميع المؤسسات ليس لديها أماكن منظمة خصيصًا لاستقبال الزوار. في 3/4 من المؤسسات، تم تسجيل حالات الكشف عن المعلومات التي تشكل سرًا تجاريًا أثناء حركة الموظفين (الاستقبال، النقل، الفصل).

أنواع المعلومات السرية

لا شك أن المعلومات السرية تصنف على أنها معلومات مقيدة. بالمناسبة، النظام القانوني لهذا الأخير غير محدد بشكل كاف في الأفعال القانونية التنظيمية. ما هي المعلومات التي يمكن اعتبارها سرية في الأعمال التجارية؟ كيفية تسمية هذه المعلومات؟ كيف يتم توثيق التزام الموظف بالحفاظ على المعلومات السرية لصاحب العمل؟

لتعريف المعلومات السرية، يتم استخدام مصطلحات مختلفة، كل منها ليس دقيقًا وصحيحًا: "السر التجاري"، "السر الرسمي"، "المعلومات الداخلية"، "السر المهني"، وما إلى ذلك. وينبغي قول بضع كلمات عن كل منها. المفاهيم المذكورة أعلاه.

يمكن أن تكون رعاياها حصريًا موظفي الدولة أو البلدية؛

ولا يجوز أن تتضمن إلا المعلومات السرية التي تصبح معروفة للأشخاص بسبب أداء الواجبات المهنية المتعلقة بخدمة الدولة أو البلدية؛

لديها تركيبة خاصة عالية الجودة.

وتجدر الإشارة إلى أن التشريع الحالي لا يحتوي على مبادئ توجيهية واضحة لتحديد جوهر الأسرار الرسمية ويجب الاسترشاد بالمناهج العلمية.

هذا المصطلح غير مناسب للاستخدام عند تعريف المعلومات السرية لشركة تجارية، وكذلك مؤسسة حكومية لا يتم تقديم الخدمة العامة فيها.

مصطلح "المعلومات الداخلية" يعني حرفيًا المعلومات الداخلية للشركة.

قاموس قانون العمل. المطلع (داخل الإنجليزية - داخل) هو الشخص الذي لديه، بحكم منصبه الرسمي، معلومات سرية حول شؤون الشركة.

البند 1 من الفن. تُعرّف المادة 1 من التوجيه 2003/6/EC المعلومات الداخلية بأنها المعلومات التي لم يتم الكشف عنها علنًا، وذات قيمة معروفة، وتتعلق بواحد أو أكثر من مصدري الأدوات المالية أو بواحدة أو أكثر من هذه الأدوات، والتي، في حالة الكشف عنها، من المحتمل أن يكون لها تأثير كبير. على سعر الأدوات المالية أو المشتقات ذات الصلة.

وعلى النقيض من البلدان ذات أسواق الأوراق المالية المتقدمة، لم تقدم روسيا بعد مصطلح "المعلومات الداخلية" على المستوى التشريعي. تم رفض مشروع قانون "المعلومات الداخلية". لم يدخل هذا المصطلح في المفردات المعيارية. بدلاً من مفهوم "المعلومات الداخلية"، يكرس القانون الاتحادي الصادر في 22 أبريل 1996 N 39-FZ "في سوق الأوراق المالية" (بصيغته المعدلة في 11 يوليو 2011) مفهوم "المعلومات الرسمية". وهي تعترف بما يلي: 1) أي معلومات عن المُصدر والأوراق المالية ذات درجة الإصدار الصادرة عن ذلك والتي لا تكون متاحة للعامة. 2) المعلومات التي تمنح الأشخاص الذين، بحكم مناصبهم الرسمية أو واجبات العمل أو الاتفاقية المبرمة مع المُصدر، وضعًا أفضل مقارنة بالمواضيع الأخرى في سوق الأوراق المالية.

يشير V. I. Dobrovolsky إلى أن مفهوم "المعلومات الرسمية" يتوافق في الممارسة العالمية مع مفهوم "المعلومات الداخلية"، لأن هذا المفهوم هو الأكثر عالمية، بما في ذلك المعلومات الرسمية والتجارية والسرية وما إلى ذلك.

في روسيا، يشير مصطلح "معلومات الملكية" أيضًا إلى معلومات سرية، ولكنه يستخدم في سوق الأوراق المالية. يُستخدم مصطلح "المعلومات الداخلية" عمومًا بشكل غير رسمي.

هل تصنف المعلومات على أنها سرية؟

التعريف القانوني هو مفهوم "السر التجاري". هذا، أولاً، نظام سرية المعلومات، الذي يسمح لصاحبها، في ظل الظروف القائمة أو المحتملة، بزيادة الدخل، أو تجنب النفقات غير المبررة، أو الحفاظ على مكانة في سوق السلع أو الأعمال أو الخدمات أو الحصول على منافع تجارية أخرى؛ وثانيًا، هذه هي المعلومات نفسها، أي المعلومات أيًا كانت طبيعتها (إنتاجية أو فنية أو اقتصادية أو تنظيمية وغيرها) التي لها قيمة تجارية فعلية أو محتملة بسبب عدم معرفتها لأطراف ثالثة، والتي لا يحق لأطراف ثالثة الوصول إليها مجانًا الوصول إلى الأساس القانوني والذي بموجبه قام مالك هذه المعلومات بإدخال نظام الأسرار التجارية.

يحق لمالك المعلومات تصنيفها على أنها سر تجاري إذا كانت هذه المعلومات تستوفي المعايير المذكورة أعلاه ولم يتم تضمينها في قائمة المعلومات التي لا يمكن أن تشكل سرًا تجاريًا المنصوص عليه في المادة. 5 من القانون الاتحادي رقم 98-FZ المؤرخ 29 يوليو 2004 "بشأن الأسرار التجارية" (بصيغته المعدلة في 11 يوليو 2011، والمشار إليه فيما يلي باسم قانون الأسرار التجارية). هذه القائمة ليست مغلقة، لأنه فيما يتعلق بالمعلومات الأخرى الخاضعة للكشف، يشير قانون الأسرار التجارية إلى لوائح أخرى.

وبالتالي، إذا اشتكى موظف لشخص ما من تأخر راتبه، أو أخبر أحدا عن الوظائف الشاغرة المتاحة في المنظمة، فإن مثل هذه الإجراءات لن تكون بمثابة إفشاء للأسرار التجارية.

من أجل حماية المعلومات، عند إبرام عقد العمل، غالبًا ما يُطلب من الموظف الالتزام بشروط مثل عدم الكشف عن الأسرار التجارية للمنظمة. بالإضافة إلى شروط الأسرار التجارية في عقد العمل، لا يتم استبعاد إمكانية التوقيع على وثيقة منفصلة بشأن حماية المعلومات التي تشكل سرًا تجاريًا، وهو في جوهره الاستنتاج المنطقي لإضفاء الطابع الرسمي القانوني على حماية المعلومات على المستوى لكيان تجاري. يشير G. M. Koleboshin بحق إلى أنه يوجد في الأدبيات اقتراح محدد حول مدى استصواب إبرام اتفاقية عدم إفشاء إضافية مع الموظف، والتي يمكن إدراجها كشرط في عقد العمل أو وجودها في شكل وثيقة منفصلة. وبالتالي، قد يكون لدى المنظمة قانون تنظيمي محلي مخصص للأسرار التجارية - لائحة بشأن الأسرار التجارية (يشار إليها فيما يلي باسم اللوائح). عند تعيين موظف يمكنه الوصول إلى معلومات سرية، يجب على صاحب العمل، مقابل الاستلام، تعريفه باللوائح المحلية المعمول بها في المنظمة والتي ترتبط مباشرة بوظيفة عمل هذا الموظف (المادة 68 من قانون العمل في الاتحاد الروسي؛ المادة 11 من قانون الأسرار التجارية)، بما في ذلك اللوائح. وقد تحتوي على قائمة بالمعلومات السرية التي يحددها المدير بناءً على تفاصيل عمل الشركة. أي أنه يجب أن يكون الموظف على دراية بقائمة المعلومات التي تشكل السر التجاري لصاحب العمل، بالإضافة إلى نظام الأسرار التجارية المعمول به وعقوبات انتهاكه.

إذا لم تعتمد المنظمة لوائح محلية تحكم العمل بالمعلومات السرية، فإن الموظفين ليسوا على دراية بها، ولا يتم ضمان سلامة هذه المعلومات، ليست هناك حاجة للحديث عن الكشف عن الأسرار التجارية، مما يعني عدم وجود مطالبات قانونية يجوز رفعها ضد الموظف الذي كشف عن هذه المعلومات، إلا في الحالات التي يتم فيها جمع هذه المعلومات من خلال سرقة المستندات أو الرشوة أو التهديد.

الإدارة ملزمة أيضًا بتهيئة الظروف اللازمة للموظف للامتثال لنظام الأسرار التجارية (على سبيل المثال، توفير مكان آمن لتخزين المواد السرية).

لذا، يجب على الموظف أن يعرف بوضوح ما هو السر التجاري للمنظمة، وكيفية حمايته، وأن يكون قادرًا على الالتزام به.

مسؤولية الإفصاح

في الفن. تنص المادة 14 من قانون الأسرار التجارية على أن الشخص الذي استخدم معلومات تشكل سرًا تجاريًا ولم يكن لديه أسباب كافية لاعتبار استخدام هذه المعلومات غير قانوني، بما في ذلك الوصول إليها نتيجة لحادث أو خطأ، لا يجوز له، وفقًا مع قانون الأسرار التجارية يجب محاسبته. إذا حصل موظف ليس على دراية بقائمة المستندات السرية بطريق الخطأ على مستند، من حيث الشكل والنص ليس من الواضح له أن هذه المعلومات تتعلق بسر تجاري، فلن يتحمل أيضًا المسؤولية عن الكشف عنها.

ويجب ألا ننسى أنه لا ينبغي أن يكون هناك حرية الوصول إلى المعلومات السرية. على سبيل المثال، إذا قام أحد موظفي الشركة بإعطاء شخص ما معلومات حول أنشطة الشركة، والتي يمكن العثور عليها أيضًا على موقع الشركة على الويب، فهذا لا يعد جنحة.

يستلزم الكشف عن السر التجاري مسؤولية تأديبية أو مدنية أو إدارية أو جنائية وفقًا لتشريعات الاتحاد الروسي. إذا تم الكشف عن معلومات تشكل سرًا تجاريًا، يجوز فصل الموظف بمبادرة من صاحب العمل من جانب واحد، وفقًا للمادة. 81 قانون العمل في الاتحاد الروسي.

تعتبر النزاعات الناشئة فيما يتعلق بالكشف عن الأسرار التجارية، كقاعدة عامة، في إطار القانون المدني وعلاقات العمل ونادرا ما تؤدي إلى محاكمة جنائية. يعتمد القرار في النزاعات المدنية والعمالية على كيفية تنظيم صاحب العمل لحماية المعلومات السرية - الأسرار التجارية. الممارسة القضائية في هذه القضية نادرة للغاية.

إجراءات صاحب العمل لحماية المعلومات

يعتمد القرار في النزاعات المدنية والعمالية على كيفية تنظيم صاحب العمل لحماية المعلومات السرية - الأسرار التجارية. يجب على صاحب العمل:

وضع قائمة بالمعلومات المتعلقة بالأسرار التجارية؛

تقييد وتنظيم الوصول إلى وسائل الإعلام؛

تحديد دائرة الأشخاص الذين لهم الحق في الوصول إلى المعلومات؛

تطبيق نقش "المعلومات السرية" على المستندات التي تشكل سرًا تجاريًا (في هذه الحالة، من الضروري الإشارة إلى مالك المعلومات وموقعه واسمه)؛

تعريف الموظفين باللوائح المحلية المتعلقة بالأسرار التجارية؛

إدراج بند في عقود العمل، وخاصة مع الأشخاص المعينين حديثاً، ينص على التزام الموظف بعدم الكشف عن بعض المعلومات الخاصة بصاحب العمل.

عند صياغة اتفاقية (التزام تعاقدي) بشأن الالتزام بعدم الكشف عن المعلومات أو لوائح الأسرار التجارية، يمكن مراعاة تجربة الشركات الأمريكية، حيث يتم تضمين البنود التالية في الاتفاقية:

بيان تفصيلي لقواعد تحديد المعلومات المحددة التي تشكل سر الشركة؛

ملخص لإجراءات حماية المعلومات السرية؛

بيان بالإجراءات التي يجب على الموظف اتخاذها بنفسه لضمان سلامة هذه المعلومات؛

قائمة العقوبات التي قد تتبع الكشف عن المعلومات السرية.

من الواضح أن هذا الالتزام المكتوب بعدم الكشف عن أسرار الشركة لا يوفر ضمانات كاملة للحفاظ على هذه المعلومات، ومع ذلك، كما تظهر الممارسة، فإنه يقلل بشكل كبير من مخاطر كشف الموظفين لهذه المعلومات.

تتضمن المستندات أحيانًا بندًا ينص على التزام الموظف بإبلاغ جهاز أمن الشركة أو المشرف المباشر عن محاولة شخص خارجي الحصول على أي معلومات حول المنظمة، بما في ذلك المعلومات السرية، وكذلك حالات فقدان وسائط التخزين.

يمكن تقديم عدد من التوصيات فيما يتعلق بفصل الموظف الذي لديه معلومات سرية. عندما يكتب الموظف خطاب استقالة، من الضروري تنفيذ الخطوات التالية بالتتابع: قبول جميع المستندات وقواعد البيانات ووسائط التخزين وما إلى ذلك المملوكة للموظف، وقبول مرور الموظف (المعرف) والمفاتيح والأختام، وإجراء مقابلة مع الموظف المستقيل

وفي المقابلة، يجدر تذكير الشخص بأنه وقع على وثائق تلزمه بالحفاظ على أسرار الشركة. يوصي بعض المؤلفين بإبرام اتفاق آخر مع الشخص المستقيل بشأن عدم الكشف عن البيانات السرية بعد مغادرة المنظمة. إذا انتقلت مرة أخرى إلى تجربة الولايات المتحدة، فغالبا ما يتم إبرام اتفاق مع موظفين متقاعدين ذوي قيمة خاصة لتقديم خدمات استشارية لعدد من السنوات. خلال هذا الوقت، يحصل هذا الشخص على راتب. يُعتقد أن مثل هذا الارتباط المادي والمعنوي بمكان العمل السابق لا يمنح الشخص أي سبب للكشف عن معلومات سرية. في بلدنا، ولأسباب معروفة، من غير المرجح أن تنتشر هذه الممارسة على نطاق واسع ولن تنطبق إلا على كبار مديري الشركات الكبيرة.

وبالتالي، فإن اللوائح الحالية لا توفر حماية فعالة للمعلومات السرية الخاصة بالمنظمة. من أجل حماية المعلومات الداخلية، يجب على صاحب العمل أن يعتني بأسرار الشركة بنفسه، وأن يقوم بإضفاء الطابع الرسمي بشكل صحيح على كل من المعلومات السرية نفسها والعلاقة مع الموظف الذي لديه هذه المعلومات. عند تنفيذ الإجراءات المحددة في هذه المقالة، يمكن للمنظمة الاعتماد على القرار الذي يتم اتخاذه لصالحها في الإجراءات القانونية المحتملة.

فهرس

1. Korneev I.K.، Stepanov E.A. حماية المعلومات في المكتب. م: تي كيه فيلبي، بروسبكت، 2010.

2. Melnikova E.I. أشكال تسرب المعلومات التي تشكل سرًا تجاريًا وإدارة موظفي المؤسسة من أجل ضمان أمن المعلومات // العالم القانوني. 2009. ن 12. ص 40 - 43.

3. Sheverdyaev S. N. النظام الدستوري والقانوني لتقييد الوصول إلى المعلومات // القانون الدستوري والبلدي. 2007. ن 1.

4. Yakovets E. N.، Smirnova I. N. اللائحة التنظيمية لتداول المعلومات التي تشكل أسرارًا رسمية // قانون المعلومات. 2009. ن 4.

5. التوجيه رقم 2003/6/EC "بشأن التداول الداخلي والتلاعب بالسوق وإساءة استخدام السوق". التوجيه رقم 2003/6/EC الصادر عن البرلمان الأوروبي والمجلس بتاريخ 28 يناير 2003 بشأن التعامل من الداخل والتلاعب بالسوق (إساءة استخدام السوق). أوجل 096، 12/04/2003. ص 0016 - 0025.

6. Dobrovolsky V.I. المعلومات الداخلية في الممارسة العالمية والمعلومات الرسمية والأسرار التجارية في روسيا // قانون ريادة الأعمال. 2008. ن 4.

7. Koleboshin G. M. مسؤوليات الموظف فيما يتعلق بالأسرار التجارية لصاحب العمل // قانون العمل. 2007. ن 5.

8. Ishcheynov V. Ya. تكنولوجيا تحديد المعلومات المصنفة على أنها أسرار تجارية وعوامل خطر // العمل المكتبي. 2010. ن 2. ص 50.

أنا بوجودينا

رأس قسم

القانون المدني والعملية

ولاية فلاديمير

جامعة سميت باسم A. G. و N. G. ستوليتوف

وقعت للختم

تعد استطلاعات حماية المعلومات السرية ذات صلة بكل مؤسسة حديثة. يجب حماية بيانات الشركة السرية من التسريبات والخسائر والأنشطة الاحتيالية الأخرى، حيث يمكن أن يؤدي ذلك إلى عواقب وخيمة على الأعمال. من المهم فهم البيانات التي تحتاج إلى الحماية وتحديد طرق وأساليب تنظيم أمن المعلومات.

البيانات التي تحتاج إلى الحماية

يجب أن يكون الوصول إلى المعلومات المهمة للغاية بالنسبة للأعمال محدودًا داخل المؤسسة، ويخضع استخدامها لتنظيم صارم. تشمل البيانات التي يجب حمايتها بعناية ما يلي:

• سر التجارة؛
• وثائق الإنتاج ذات الطبيعة السرية؛
• خبرة الشركة؛
• قاعدة العملاء؛
• البيانات الشخصية للموظفين؛
• البيانات الأخرى التي ترى الشركة أنها ضرورية لحمايتها من التسرب.

غالبًا ما يتم انتهاك سرية المعلومات نتيجة للأعمال الاحتيالية التي يقوم بها الموظفون، وإدخال البرامج الضارة، والعمليات الاحتيالية التي يقوم بها مهاجمون خارجيون. لا يهم من أي جانب يأتي التهديد، فأنت بحاجة إلى تأمين البيانات السرية في مجمع يتكون من عدة كتل منفصلة:

• تحديد قائمة الأصول المراد حمايتها؛
• تطوير الوثائق التي تنظم وتحد من الوصول إلى بيانات الشركة؛
• تحديد دائرة الأشخاص الذين سيتاح لهم الوصول إلى CI؛
• وتحديد إجراءات الاستجابة؛
• تقييم المخاطر؛
• إدخال الوسائل التقنية لحماية CI.

تضع القوانين الفيدرالية متطلبات لتقييد الوصول إلى المعلومات السرية. ويجب استيفاء هذه المتطلبات من قبل الأشخاص الذين يصلون إلى هذه البيانات. ليس لديهم الحق في نقل هذه البيانات إلى أطراف ثالثة إذا لم يمنح مالكها موافقته (المادة 2، الفقرة 7 من القانون الاتحادي للاتحاد الروسي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات").

تتطلب القوانين الفيدرالية حماية أسس النظام الدستوري والحقوق والمصالح وصحة الناس والمبادئ الأخلاقية وضمان أمن الدولة والقدرة الدفاعية للبلاد. في هذا الصدد، من الضروري الامتثال لـ CI، والوصول إليها محدود بموجب القوانين الفيدرالية. تحدد هذه اللوائح:

• تحت أي ظروف يتم تصنيف المعلومات على أنها أسرار رسمية أو تجارية أو غيرها؛
• الامتثال الإلزامي لشروط السرية؛
• مسؤولية الكشف عن CI.

يجب حماية المعلومات التي يتلقاها موظفو الشركات والمؤسسات العاملة في أنواع معينة من الأنشطة وفقًا لمتطلبات قانون حماية المعلومات السرية، إذا تم تكليفهم بهذه المسؤوليات وفقًا للقانون الاتحادي. يمكن تقديم البيانات المتعلقة بالأسرار المهنية لأطراف ثالثة إذا كان ذلك منصوصًا عليه في القانون الاتحادي أو كان هناك قرار من المحكمة (عند النظر في حالات الكشف عن المعلومات الخاصة، وتحديد حالات السرقة، وما إلى ذلك).

حماية المعلومات السرية في الممارسة العملية

أثناء عملية العمل، يتبادل صاحب العمل والموظف كمية كبيرة من المعلومات ذات الطبيعة المختلفة، بما في ذلك المراسلات السرية، والعمل مع المستندات الداخلية (على سبيل المثال، البيانات الشخصية للموظف، تطورات الشركة).

تعتمد درجة موثوقية حماية المعلومات بشكل مباشر على مدى قيمتها بالنسبة للشركة. يتكون مجمع التدابير القانونية والتنظيمية والتقنية وغيرها من التدابير المقدمة لهذه الأغراض من وسائل وأساليب وأنشطة مختلفة. يمكنها تقليل نقاط ضعف المعلومات المحمية بشكل كبير ومنع الوصول غير المصرح به إليها وتسجيلها ومنع تسربها أو الكشف عنها.

ويجب تطبيق الأساليب القانونية من قبل كافة الشركات بغض النظر عن مدى بساطة نظام الحماية المستخدم. إذا كان هذا المكون مفقودًا أو لم تتم ملاحظته بشكل كامل، فلن تتمكن الشركة من ضمان حماية CI ولن تكون قادرة على محاسبة المسؤولين عن فقدانه أو الكشف عنه قانونيًا. تتعلق الحماية القانونية بشكل أساسي بإعداد الوثائق المختصة قانونيًا والعمل المناسب مع موظفي المنظمة. الأشخاص هم أساس نظام حماية المعلومات السرية القيمة. في هذه الحالة، من الضروري اختيار أساليب فعالة للعمل مع الموظفين. عندما تضع الشركات تدابير لضمان سلامة CIs، يجب أن تكون قضايا الإدارة ذات أولوية.

حماية المعلومات في المؤسسة

في حالة نشوء نزاعات في القانون المدني والعمالية بشأن الإفصاح أو السرقة أو غيرها من الإجراءات الضارة المتعلقة بالأسرار التجارية، فإن القرار المتعلق بإشراك أشخاص معينين سيعتمد على صحة إنشاء نظام لحماية هذه المعلومات في المنظمة.

وينبغي إيلاء اهتمام خاص لتحديد الوثائق التي تشكل سرًا تجاريًا، ووضع علامات عليها بالنقوش المناسبة التي تشير إلى مالك المعلومات واسمها وموقعها ودائرة الأشخاص الذين يمكنهم الوصول إليها.

يجب على الموظفين، عند تعيينهم وأثناء أنشطة عملهم عند تشكيل قاعدة CI، التعرف على القوانين المحلية التي تنظم استخدام الأسرار التجارية والالتزام الصارم بمتطلبات التعامل معها.

يجب أن تنص عقود العمل على بنود تتعلق بعدم إفشاء الموظف لبعض المعلومات التي يزوده بها صاحب العمل لاستخدامها في عمله، والمسؤولية عن مخالفة هذه المتطلبات.

حماية معلومات تكنولوجيا المعلومات

يحتل توفير التدابير الفنية مكانًا مهمًا في حماية بيانات الكمبيوتر، لأنه في عالم المعلومات الحديث عالي التقنية، يتم التجسس على الشركات، والوصول غير المصرح به إلى بيانات المؤسسة، ومخاطر فقدان البيانات نتيجة للهجمات السيبرانية الفيروسية شائعة جدًا. اليوم، لا تواجه الشركات الكبيرة فقط مشكلة تسرب المعلومات، ولكن أيضًا الشركات المتوسطة والصغيرة تشعر بالحاجة إلى حماية البيانات السرية.

يمكن للمخالفين الاستفادة من أي خطأ يحدث في حماية المعلومات، على سبيل المثال، إذا تم اختيار وسائل التأكد منها بشكل غير صحيح، أو تم تثبيتها أو تكوينها بشكل غير صحيح.

إن القرصنة واختراق الإنترنت وسرقة المعلومات السرية، التي أصبحت اليوم أكثر قيمة من الذهب، تتطلب من أصحاب الشركات حمايتها بشكل موثوق ومنع محاولات سرقة هذه البيانات وإتلافها. يعتمد نجاح العمل بشكل مباشر على هذا.

تستخدم العديد من الشركات أنظمة دفاع إلكترونية حديثة وعالية الفعالية تؤدي مهام معقدة تتمثل في اكتشاف التهديدات ومنعها والحماية من التسربات. من الضروري استخدام عقد عالية الجودة وحديثة وموثوقة قادرة على الاستجابة بسرعة للرسائل الواردة من أنظمة حماية كتلة المعلومات. في المؤسسات الكبيرة، ونظرًا لتعقيد مخططات التفاعل والبنية التحتية متعددة المستويات والكميات الكبيرة من المعلومات، يكون من الصعب جدًا مراقبة تدفقات البيانات وتحديد عمليات الاختراق في النظام. هذا هو المكان الذي يمكن أن يأتي فيه نظام "ذكي" للإنقاذ، يمكنه تحديد وتحليل وتنفيذ الإجراءات الأخرى التي تنطوي على تهديدات من أجل منع عواقبها السلبية في الوقت المناسب.

لاكتشاف وتخزين وتحديد المصادر والمستلمين وطرق تسرب المعلومات، يتم استخدام تقنيات تكنولوجيا المعلومات المختلفة، ومن بينها تجدر الإشارة إلى أنظمة DLP وSIEM التي تعمل بشكل متكامل وشامل.

أنظمة DLP لمنع فقدان البيانات

لمنع سرقة معلومات الشركة السرية، والتي يمكن أن تسبب ضررًا لا يمكن إصلاحه للأعمال (بيانات الاستثمارات، وقاعدة العملاء، والمعرفة، وما إلى ذلك)، من الضروري ضمان موثوقية سلامتها. (منع فقدان البيانات) هو أداة حماية موثوقة ضد سرقة CI. إنها تحمي المعلومات في وقت واحد من خلال عدة قنوات قد تكون عرضة للهجمات:

• موصلات USB؛
• الطابعات العاملة محليًا والمتصلة بالشبكة؛
• محركات الأقراص الخارجية
• إنترنت؛
• خدمات بريدية؛
• الحسابات، الخ.

الغرض الرئيسي من نظام DLP هو التحكم في الموقف وتحليله وتهيئة الظروف للعمل الفعال والآمن. وتتمثل مهمتها في تحليل النظام دون إبلاغ موظفي الشركة باستخدام هذه الطريقة لتتبع العقد العاملة. الموظفون لا يدركون حتى وجود مثل هذه الحماية.

يتحكم نظام DLP في البيانات المرسلة عبر مجموعة متنوعة من القنوات. ويقوم بتحديثها وتحديد المعلومات حسب أهميتها من حيث السرية. بعبارات بسيطة، يقوم نظام DLP بتصفية البيانات ومراقبة سلامتها، وتقييم كل معلومة على حدة، واتخاذ قرار بشأن إمكانية تخطيها. إذا تم اكتشاف تسرب، سيقوم النظام بحظره.

يتيح لك استخدام هذا البرنامج ليس فقط حفظ البيانات، ولكن أيضًا تحديد من أرسلها. على سبيل المثال، إذا قرر أحد موظفي الشركة "بيع" المعلومات إلى طرف ثالث، فسيقوم النظام بتحديد مثل هذا الإجراء وإرسال هذه البيانات إلى الأرشيف للتخزين. سيسمح لك ذلك بتحليل المعلومات وأخذها من الأرشيف في أي وقت واكتشاف المرسل وتحديد مكان إرسال هذه البيانات ولأي غرض.

أنظمة DLP المتخصصة هي برامج معقدة ومتعددة الوظائف توفر درجة عالية من حماية المعلومات السرية. يُنصح باستخدامها لمجموعة واسعة من المؤسسات التي تتطلب حماية خاصة للمعلومات السرية:

• معلومات خاصة؛
• الملكية الفكرية؛
• البيانات المالية؛
• معلومات طبية؛
• بيانات بطاقة الائتمان، الخ.

أنظمة سيم

يعتقد الخبراء أن الطريقة الفعالة لضمان أمن المعلومات هي برنامج (المعلومات الأمنية وإدارة الأحداث)، الذي يسمح لك بتلخيص ودمج كافة سجلات العمليات الجارية على مختلف الموارد والمصادر الأخرى (أنظمة DLP، البرمجيات، أجهزة الشبكة، IDS وسجلات نظام التشغيل وأجهزة التوجيه والخوادم ومحطات العمل وما إلى ذلك).

إذا لم يتم تحديد التهديد في الوقت المناسب، وعمل نظام الأمان الحالي على صد الهجوم (وهو ما لا يحدث دائمًا)، يصبح "تاريخ" مثل هذه الهجمات لاحقًا غير قابل للوصول. سيقوم SIEM بجمع هذه البيانات عبر الشبكة بالكامل وتخزينها لفترة زمنية معينة. يتيح لك هذا استخدام سجل الأحداث في أي وقت باستخدام SIEM لاستخدام بياناته للتحليل.

بالإضافة إلى ذلك، يتيح لك هذا النظام استخدام أدوات مدمجة ملائمة لتحليل ومعالجة الحوادث التي وقعت. فهو يحول تنسيقات المعلومات التي يصعب قراءتها حول الحوادث، ويفرزها، ويختار أهمها، ويزيل تلك غير المهمة.

تحدد قواعد SIEM الخاصة شروط تراكم الأحداث المشبوهة. وسوف يقوم بالإبلاغ عنهم عندما تتراكم هذه الكمية (ثلاثة أو أكثر) مما يشير إلى وجود تهديد محتمل. مثال على ذلك هو كلمة مرور غير صحيحة. إذا تم تسجيل حدث واحد لإدخال كلمة مرور غير صحيحة، فلن يقوم SIEM بالإبلاغ عن ذلك، حيث تحدث حالات أخطاء كلمة المرور لمرة واحدة أثناء تسجيل الدخول في كثير من الأحيان. لكن تسجيل المحاولات المتكررة لإدخال كلمة مرور غير صالحة أثناء تسجيل الدخول إلى نفس الحساب قد يشير إلى وصول غير مصرح به.

تحتاج أي شركة اليوم إلى مثل هذه الأنظمة إذا كان من المهم لها الحفاظ على أمن معلوماتها. توفر SIEM وDLP حماية معلومات كاملة وموثوقة للشركة، وتساعد على تجنب التسريبات وتسمح لك بتحديد من يحاول إيذاء صاحب العمل عن طريق سرقة المعلومات أو تدميرها أو إتلافها.