З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:
• неперервним. Ця вимога виникає з того, що зловмисники тільки і шукають можливість, ж би обійти захист інформації, що цікавить їх;
• плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації у сфері її компетенції з урахуванням загальної мети підприємства (організації);
Довгий час оновлення Windows випускалися у кожний другий четвер місяця. Тому шкідливе програмне забезпечення запускалось кожну другу п'ятницю місяця, щоб до випуску оновлень заразити якомога більше комп’ютерних систем,
http://inatack.ru
· цілеспрямованим. Захищається тільки те, що повинно захищатися в інтересах конкретної мети, а не все підряд;
· конкретним. Захисту підлягають конкретні дані, що об’єктивно вимагають охорони, втрата яких може заподіяти організації певний збиток;
· активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;
· надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;
· універсальним. Вважається, що залежно від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він не проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;
· комплексним. Для захисту інформації повинні застосовуватися всі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист - це специфічне явище, що є складною системою нерозривно взаємопов’язаних і взаємозалежних процесів, кожний з яких, у свою чергу, має безліч різних сторін, властивостей, тенденцій.
1.4.3 Вимоги до системи захисту інформації
Закордонний і вітчизняний досвід показує, що для забезпечення виконання багатогранних вимог безпеки система захисту інформації повинна задовольняти такі умови:
• охоплювати весь технологічний комплекс інформаційної діяльності;
• бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;
• бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
• бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;
• бути простою для технічного обслуговування і зручною для експлуатації користувачами;
• бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;
• бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієї системи.
До системи безпеки інформації висуваються також певні вимоги:
• чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;
• надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;
• зведення до мінімуму кількості спільних для декількох користувачів засобів захисту;
• облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;
• забезпечення оцінювання ступеня конфіденційної інформації;
• забезпечення контролю цілісності засобів захисту і негайне реагування на вихід їх з ладу.
1.4.4 Види забезпечення системи захисту інформації
Система захисту інформації як будь-яка система повинна мати певні види власного забезпечення, спираючись на які вона буде виконувати свою цільову функцію. Враховуючи це, СЗІ повинна мати:
• правове забезпечення. Сюди входять нормативні документи, положення, інструкції, посібники, вимоги яких є обов'язковими в рамках сфери їх дій;
• організаційне забезпечення. Мається на увазі, що реалізація захисту інформації здійснюється певними структурними одиницями - такими, як служба захисту документів; служба режиму, допуску, охорони; служба захисту інформації технічними засобами; інформаційно-аналітична діяльність і ін.;
• апаратне забезпечення. Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення діяльності власне СЗІ;
• інформаційне забезпечення. Воно містить у собі відомості, дані, показники, параметри, які лежать в основі розв’язання задач, що забезпечують функціонування системи. Сюди можуть входити як показники доступу, обліку, зберігання, так і системи інформаційного забезпечення розрахункових задач різного характеру, пов’язаних з діяльністю служби забезпечення безпеки;
• програмне забезпечення. До нього належать різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінювання наявності і небезпеки різних каналів витоку і шляхів несанкціонованого проникнення до джерел конфіденційної інформації;
• математичне забезпечення. Припускає використання математичних методів для різних розрахунків, пов’язаних з оцінюванням не безпеки технічних засобів зловмисників, зон і норм необхідного захисту;
• лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері захисту інформації;
• нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, які реалізують функції захисту інформації, різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах жорстких вимог захисту інформації.
Задовольнити сучасні вимоги до забезпечення безпеки підприємства може тільки система безпеки.
Система безпеки - це організована сукупність спеціальних ^ установ, служб, засобів, методів і заходів, що забезпечують Чі Ч[1]г ^ захист життєво важливих інтересів особистості, підприємства і держави від внутрішніх і зовнішніх загроз.
Як і будь-яка система, система інформаційної безпеки має свої мету, задачі, методи і засоби діяльності, що узгоджуються за місцем і часом, залежно від умов.
Система інформаційної безпеки ніколи не будується в строк і в межах кошторису (наслідок із закону Хеопса).
"Закони Мерфі для інформаційної безпеки" A.B. Лукацький
1.5 КОНЦЕПТУАЛЬНА МОДЕЛЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
На рисунку 1.1 наведено концептуальну модель безпеки інформації, яка має чотири основних складові. З одного боку, це інформація, що захищається, а з іншого - загрози цій інформації. Загрози реалізуються за допомогою певних способів доступу, але їм перешкоджає захист інформації.
Джерелами конфіденційної (секретної) інформації є:
• документи всіх видів, на будь-яких носіях (у тому числі всі види носіїв, використовуваних в обчислювальній техніці й техніці засобів зв'язку);
Загрози
Способи доступу
Захист
Інформація
Джерела загроз
Напрямки захисту
Джерела інформації
Об’єкти загроз
Засоби захисту
Власники інформації
Цілі загроз
Способи захисту
Таємниці
· персонал (пам’ять людей), що володіє знаннями й кваліфікацією в різних галузях науки і техніки;
· організаційні одиниці – наукові, виробничі, управлінські й інші організації, що мають кадрові, технічні, виробничі, фінансові й інші можливості для вирішення певного кола проблем і завдань;
· промислові зразки (будь-які матеріальні об’єкти, створені в процесі виробництва), рецептури й технології,програмні засоби, які є результатом наукової й виробничої діяльності людей;
· науковий інструментарій (у тому числі й автоматизовані системи наукових досліджень, автоматизовані робочі місця науковців і проектувальників, експертні системи і бази знань).
Можливі джерела інформації для прийняття рішень щодо забезпечення функціонування підприємства, організації, фірми та інформаційні потоки наведено на рис. 1.2.
Захищають і охороняють, як правило, не всю або не будь-яку інформацію, а найбільш важливу для власника, обмеження поширення якої приносить йому якусь користь або прибуток, можливість ефективно вирішувати завдання, що стоять перед ним.
Власниками інформації, яку захищають, можуть бути:
• держава та її структури (органи);
• підприємства, товариства, акціонерні товариства (у тому числі спільні);
• громадські організації;
• громадяни.
Конфіденційна або секретна інформація поділяється на такі види:
• державна таємниця;
• комерційна таємниця;
• банківська таємниця;
• податкова таємниця;
• службова таємниця;
• професійна таємниця;
• персональні дані.
Засекречування інформації - це сукупність організаційно-правових заходів, регламентованих законами й іншими нормативними актами, щодо введення обмежень на поширення й використання інформації в інтересах її власника.
Основні принципи засекречування інформації.
1) Законність засекречування інформації. Полягає в здійсненні його строго в рамках чинних законів й інших підзаконних нормативних актів. Відступ від цього принципу може завдати серйозної шкоди інтересам захисту інформації, інтересам особистості, суспільства й держави, зокрема незаконним приховуванням від суспільства інформації, яка не вимагає засекречування, або витоку важливої інформації.
2) Обґрунтованість засекречування інформації. Полягає у встановленні шляхом експертної оцінки доцільності засекречування конкретних відомостей, імовірних економічних або інших наслідків цього акту, виходячи з балансу життєво важливих інтересів особистості, суспільства й держави. Невиправдано засекречувати інформацію, імовірність розкриття якої перевищує можливість збереження її в таємниці.
3) Своєчасність засекречування інформації. Полягає у встановленні обмежень на поширення цих відомостей з моменту їх одержання (розробки) або завчасно.
4) Підпорядкованість відомчих заходів щодо засекречування інформації загальнодержавним інтересам. Це в першу чергу стосується захисту державної таємниці. Що стосується комерційної таємниці, то підприємства наділені правами засекречування інформації, крім застережених у законі випадків.
Розсекречення конфіденційної й секретної інформації, робіт, документів, виробів - це діяльність підприємств стосовно зняття (часткового або повного) обмежень на доступ до раніше засекреченої інформації, на доступ до її носіїв, викликана вимогами законів і об'єктивних факторів: зміною міжнародної й внутрішньодержавної обстановки, появою більш досконалих видів певної техніки, зняттям виробів з виробництва, передачею (продажем) науково-технічних рішень оборонного характеру в народне господарство, продажем виробу за кордон і т.д., а також узяттям державою на себе міжнародних зобов'язань щодо відкритого обміну відомостями, які складають державну таємницю.
Інформація повинна залишатися секретною або конфіденційною доти, поки цього вимагають інтереси національної безпеки або конкурентної й комерційної діяльності підприємства.
Інформація розсекречується не пізніше строків, установлених при її засекречуванні.
Розсекреченню (розголошенню) не підлягають відомості, що стосуються особистого (неслужбового) життя громадян країни, якщо на інше немає згоди самих громадян, а у випадку їхньої смерті - їх найближчих родичів. Інший порядок такого розсекречення розглядається через суд.
Будь-яка фірма, займаючись своєю діяльністю, функціонує в деякому просторі (зовнішньому середовищі), і на її розвиток впливає ряд факторів (позитивних або негативних) як зовнішніх, так і внутрішніх. Негативні фактори часто називають факторами загроз або загрозами.
Джерелами зовнішніх загроз є:
• конкуренти;
• кримінальні структури;
• корумповані елементи держаних структур;
• природні катаклізми і техногенні катастрофи.
Внутрішні загрози створюють:
• засновники та вище керівництво;
• менеджери різних рівнів;
• персонал.
Об’єктами загроз є відомості про склад, стан і діяльність об'єкта захисту (персоналу, матеріальних і фінансових цінностей, інформаційних ресурсів).
Загрози інформації полягають у порушенні її цілісності, конфіденційності, повноти і доступності.
Джерела загроз мають на меті ознайомлення з відомостями, що охороняються, їх модифікацію в корисливих цілях і знищення для нанесення прямого матеріального збитку.
Одержати конфіденційну інформацію можна у такі способи:
• за рахунок її розголошення джерелами повідомлень;
• за рахунок витоку інформації через технічні засоби;
• за рахунок несанкціонованого доступу до повідомлень, що охороняються.
Основними напрямками захисту інформації є правовий, організаційний і інженерно-технічний захисти інформації як складові комплексного підходу до забезпечення інформаційної безпеки.
Захист інформації може бути здійснений за допомогою таких засобів:
• фізичних;
• апаратних;
• програмних;
• криптографічних;
• стеганографічних.
До способів захисту належать усілякі заходи, шляхи, способи і дії, що забезпечують попередження протиправних дій, їхнє запобігання, припинення і протидію несанкціонованому доступу.
Концепція безпеки є основним правовим документом, що визначає захищеність підприємства від внутрішніх і зовнішніх загроз.
1.6 ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЇ
1.6.1 Джерела загроз
Знання можливих загроз, а також вразливих місць захисту, які звичайно використовують для здійснення загроз, необхідно для того, щоб вибрати найбільш економічні засоби забезпечення безпеки.
Протиправні дії з інформацією призводять до порушення її конфіденційності, цілісності і доступності, що, у свою чергу, призводить до порушення як режиму керування, так і його якості в умовах помилкової чи неповної інформації.
Загроза - це потенційна можливість певним чином порушити інформаційну безпеку.
Реалізація загрози спричиняє моральний чи матеріальний збиток, а захист і протидія загрозі покликані знизити його обсяг, в ідеалі - цілком, реально - значно чи хоча б частково. Але і це вдається далеко не завжди.
Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, — зловмисником (порушником).
З усіх атак відбудеться саме та, збиток від якої найбільший.
"Закони Мерфі для інформаційної безпеки" A.B. Лукацький
Побудова моделі зловмисника - це процес класифікації потенційних порушників за такими параметрами:
• тип зловмисника (конкурент, клієнт, розробник, співробітник компанії тощо);
· розташування зловмисника відносно об'єктів захисту (внутрішній, зовнішній);
· рівень знань про об'єкти захисту і оточення (високий, середній, низький);
· рівень можливостей доступу до об'єктів захисту (максимальні, середні, мінімальні);
· час дії (постійно, в певні часові інтервали);
· місце дії (передбачуване місце розташування зловмисника під час реалізації атаки).
Потенційні зловмисники називаються джерелами загрози.
Розглянемо джерела зовнішніх загроз.
Конкуренти
Фірми, що претендують на один сегмент ринку, зацікавлені в одному покупцеві, одному устаткуванні або одному приміщенні, стають конкурентами. Однією з основних ознак конкуренції є бажання, прагнення одної сторони вирішити свої завдання або задовольнити свої потреби за рахунок обмеження можливостей іншої сторони.
Конкуренція може бути чесною й несумлінною, явною й прихованою, дійсною й уявною (псевдо). Сумлінна, чесна конкуренція має на увазі цивілізовану боротьбу за покупця шляхом удосконалення продукту або технологій, підвищення якості послуг, зниження собівартості й т.п.
У тих випадках, коли конкурент використовує прийоми й методи несумлінної конкуренції, виникає реальна загроза для безпеки фірми, компанії, організації.
При аналізі потенційних і реальних можливостей фірми конкуренти серед інших факторів звертають увагу і на такі соціально-психологічні фактори:
· психологічний клімат на фірмі-конкуренті;
· специфіка кадрової політики;
· рівень виконавської дисципліни;
· творчий потенціал команди;
· стиль керівництва тощо.
Особлива увага звертається на наявність серед членів команди осіб, які незадоволені своїм становищем або взаєминами з колегами.
Збір інформації може здійснюватися як з відкритих джерел, так і оперативним шляхом. Для цього використовуються методи спостереження, опитування та вивідування. Об'єктами психологічного впливу в цьому випадку можуть стати ті співробітники фірми, які через свої психологічні якості і особистісні особливості легко піддаються чужому впливу. До цієї категорії належать особи, що:
• незадоволеиі своїм статусом або рівнем матеріального забезпечення;
• схильні до зловживання спиртними напоями або вживання наркотиків;
• мають дорогі хобі;
• люблять попліткувати;
• мають напружені стосунки з керівництвом або колегами;
• мають підвищену зарозумілість, честолюбство тощо.
Психологічною основою для вербування конкурентами джерела інформації серед співробітників фірми можуть стати:
• матеріальна залежність - співробітник, якого вербують, іде на контакт для того, щоб одержати гроші. Така основа використовується, якщо відомо, що співробітник має великі борги або пристрасть до азартних ігор або наркотиків;
• почуття помсти - наявність конфлікту з менеджерами або колегами, що заважає самореалізації або заняттю статусної позиції;
• залежність (шантаж) - використовується в тих випадках, коли є відомості, що компрометують співробітника в очах керівництва;
• страх (за себе або родичів) - коли представники кримінальних структур домагаються згоди на співробітництво, загрожуючи фізичною розправою.
У тих випадках, коли вербування за якихось обставин неможливе або недоцільне, використовуються методи прихованого одержання інформації. Для цього надсилаються персональні запрошення провідним співробітникам фірми для участі в конференціях, круглих столах, симпозіумах, для навчання на курсах підвищення кваліфікації тощо, де з ними працюють фахівці з вивідування.
В окремих випадках конкуренти, вступаючи у змову із представниками кримінальних структур, стають замовниками терористичних актів, розбійних нападів, підпалів і погромів.
Кримінальні структури
У сучасних умовах будь-яка фірма тією чи іншою мірою зіштовхується із представниками кримінальних структур. В одних випадках це рекет, в інших - фірми-партнери та конкуренти, власниками яких є кримінальні співтовариства, а іноді - шахрайство, грабежі, розбійні напади, шантаж з боку організованих злочинних груп і злочинців-одинаків.
Найнебезпечнішою для фірм, компаній, організацій і одночасно найбільш доступною для вивчення є організована злочинність. Найменш доступні для вивчення злочинці-одинаки й випадкові злочинні групи.
Подібні структури самі виходять на контакти з комерційними фірмами. Основним мотивом взаємодії організованої злочинності з комерційними структурами є одержання грошей. Одні з них пропонують оплатити свої послуги із захисту підприємців від інших кримінальних структур і угруповань, інші - дозвіл працювати на контрольованій ними території.
Основними об’єктами злочинних зазіхань кримінальних елементів є матеріальні цінності, кошти і персонал.
Корумповані елементи контролюючих і державних структур, що займаються перевіркою
Особливе місце серед факторів зовнішньої загрози займають державні структури, що здійснюють перевірки і контроль. Самі по собі вони створені для контролю за діяльністю господарюючих суб'єктів на предмет порушення ними чинного законодавства. Однак довільне трактування їхніми співробітниками своїх прав І обов'язків може принести значну втрату фірмі. Співробітники державних контролюючих систем звикли виступати з позиції сили, що дає їм можливість, загрожуючи застосувати санкції та штрафи, змушувати бізнесмена шукати «компромісні» варіанти. З іншого боку, окремі з них виявляють прихильність до хабарів або «подарунків».
Техногенні катастрофи й природні катаклізми
Що стосується цього фактора загрози, то в першій своїй частині він у прихованій, а іноді й у явній формі нерідко містить людський фактор. Дійсно, аналіз причин катастроф свідчить про те, що серед них істотну роль грають помилкові дії операторів, неправильна експлуатація технічних засобів і просто недбалість. У ряді випадків людина сама довільно ініціює техногенні катастрофи. Подібні дії можуть бути кваліфіковані як шкідництво й навіть як терористичні акти.
Внутрішні загрози
Найчастішими і найнебезпечнішими (з погляду розміру втрат) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів і інших осіб, які обслуговують інформаційні системи.
Іноді такі помилки і є власне загрозами (неправильно введені дані або помилка в програмі, що викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (звичайно такими є помилки адміністрування). За деякими даними, до 65% втрат - наслідок ненавмисних помилок.
Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна автоматизація і суворий контроль.
Реальною загрозою існування фірми є не тільки фактори зовнішньої загрози, але й різного роду негативні процеси всередині неї.
Внутрішніми загрозами є:
• напруження, що виникають усередині команди через неправильні взаємини по вертикалі, горизонталі, незадоволеність результатами своєї праці і їх оцінкою з боку керівництва;
• нездорова конкуренція між окремими співробітниками або підрозділами;
• внутрірольові й міжролеві конфлікти;
• недостатня управлінська компетентність менеджерів різного рівня;
• низька професійна й особистісна надійність персоналу.
Відповідно до досліджень компанії Verizon, близько 18% всіх кіберзлочинів здійснюється саме інсайдерами (співробітниками). Причому збитки від дій штатних співробітників можуть бути колосальними, оскільки вони знають де шукати важливу інформацію і часто мають до неї доступ.
Cnews.ru
Одним з головних суб’єктів загроз корпоративній безпеці фірми є засновники й перші особи в її керівництві. При відсутності або недостатній сформованості управлінських і лідерських якостей, слабкій поінформованості в питаннях забезпечення корпоративної безпеки, ігноруванні порад і рекомендацій фахівців з питань безпеки, при неадекватних реакціях на вимоги особистої охорони керівники самі стають фактором загрози для безпеки фірми, компанії, організації.
Найбільш типовими помилками в прийнятті управлінських рішень при забезпеченні необхідного й достатнього рівня безпеки є:
· неадекватна оцінка факторів зовнішніх й внутрішніх загроз;
· неадекватний вибір концепції організації системи безпеки;
· неадекватний рівень фінансування;
· неадекватна взаємодія з особистою охороною.
Адекватно фактори реальної й потенційної загрози можуть оцінити тільки фахівці. Тому менеджер з безпеки або керівники фірми повинні періодично консультуватися з цих питань із відповідними експертами.
Фінансування системи корпоративної безпеки розглядається більшістю керівників як непродуктивні витрати й здійснюється за залишковим принципом.
Існує група факторів загроз безпеці, що виникають як результат основної діяльності керівників і менеджерів всіх рівнів.
До них належать:
· відсутність або недостатня сформованість стратегічного мислення та цілепокладання;
· відсутність належного управлінського досвіду;
· невміння будувати свої відносини з бізнес-партнерами;
· наявність особистісних якостей, що утрудняють роботу як керівника.
Керівник великої компанії повинен бути здатним до стратегічного мислення та цілепокладання. Відсутність або недостатня розвиненість цих якостей істотно утрудняє роботу всіх управлінських систем, у тому числі й корпоративної безпеки.
Кожний менеджер компанії повинен мати необхідний рівень управлінської компетентності. Відсутність необхідного управлінського досвіду призводить до прийняття помилкових рішень, падіння авторитету в очах підлеглих, порушення взаємин по вертикалі. Всі ці обставини істотно послабляють систему корпоративної безпеки.
При виконанні своїх функціональних обов'язків персоналу фірми, компанії, членам організації постійно доводиться вступати в особисті контакти з іншими співробітниками, клієнтами, партнерами по бізнесу, працювати з інформацією, виконувати окремі види робіт з використанням технічних і допоміжних засобів підвищеної небезпеки. При цьому будь-які несанкціоновані, помилкові, недоречні дії, порушення принципів ділового спілкування можуть стати реальним джерелом загрози для корпоративної безпеки.
Потрапивши під певний вплив, співробітники можуть стати для конкурентів або кримінальних структур джерелом відомостей, що містять комерційну таємницю, навіть не усвідомлюючи цього.
Таким чином, корпоративна безпека фірми залежить від надійності персоналу. Факторами, що визначають надійність персоналу з погляду психології, є:
• необхідний рівень професійної компетентності;
• висока виконавська дисципліна;
• стійка мотивація до діяльності в рамках даної фірми.
1.6.2 Загрози сучасним інформаційним системам
Загрози класифікуються за такими критеріями:
• за аспектом інформаційної безпеки (доступності, цілісності, конфіденційності), проти якого загрози спрямовані в першу чергу;
• за компонентами інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримувальна інфраструктура);
• за способом здійснення (випадкові/навмисні дії природного або техногенного характеру);
• за розташуванням джерела загрози (всередині/зовні ІС);
· за обсягом збитку (граничний, після якого фірма може стати банкрутом; значний, але не призводить до банкрутства; незначний, який фірма за якийсь час може компенсувати);
· за ймовірністю виникнення (дуже ймовірна загроза; ймовірна загроза; малоймовірна загроза);
· за характером нанесеного збитку (матеріальний; моральний).
1.6.3 Основні загрози доступності
Загрози доступності класифікуються за компонентами ІС, на які спрямовані загрози:
· відмова користувачів;
· внутрішня відмова інформаційної системи;
· відмова інфраструктури, що підтримує ІС.
Стосовно користувачів розглядаються такі загрози:
· небажання працювати з інформаційною системою (найчастіше виявляється, коли необхідно освоювати нові можливості і в разі розбіжності між запитами користувачів і фактичними можливостями та технічними характеристиками);
· неможливість працювати із системою через відсутність відповідної підготовки (недолік загальної комп’ютерної освіти, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією і тлі.);
· неможливість працювати із системою через відсутність технічної підтримки (неповнота документації, нестача довідкової інформації тощо).
Основними джерелами внутрішніх відмов є:
· порушення (випадкове або навмисне) правил експлуатації;
· вихід системи зі штатного режиму експлуатації;
· помилки при (пере)конфігурації системи;
· відмови програмного і апаратного забезпечення.
Як засіб виведення системи зі штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (звичайно - смуги пропускання мереж, обчислювальних можливостей процесорів або оперативної пам'яті). Для виведення систем з штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок.
Відома помилка в процесорі Pentium 1 дає можливість локальному користувачу шляхом виконання певної команди “підвісити” комп’ютер, так що допомагає тільки апаратний RESET.
Віддалене споживання ресурсів останнім часом спостерігається в особливо небезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічі різних адрес з максимальною швидкістю прямують цілком легальні запити на з’єднання та/або обслуговування.
Онлайнові казино мають значні збитки через відключення їх від мережі зловмисниками, які організовують DoS-атаки з вимогою плати за їх припинення. Сучасні міжмережеві екрани та захисні програми не спасають від розподілених нападів, коли десятки тисяч різних 1 комп’ютерів-зомбі звертаються до сервера, порушуючи його роботу.
cnews.ru
Відмови програмного забезпечення часто провокуються впровадженням в ІС так званого шкідливого програмного забезпечення, дії якого спрямовані на:
• руйнування даних;
• руйнування або пошкодження апаратури (зокрема носіїв даних).
Стосовно інфраструктури рекомендується розглядати такі загрози:
· порушення роботи (випадкове або навмисне) систем зв’язку, електроживлення, водо- і/або теплопостачання, кондиціонування;
• руйнування або пошкодження приміщень;
• неможливість або небажання обслу говуючого персоналу і/або користувачів викону вати свої обов’язки (цивільні безлади, аварії на транспорті, терористичний акт або його загроза, страйк тощо).
1.6.4 Основні загрози цілісності
У більшості випадків винуватцями загроз цілісності є штатні співробітники організацій, добре знайомі з режимом роботи і заходами захисту. Це ще раз підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про них значно менше, ніж про зовнішні.
З метою порушення цілісності зловмисник (як правило, штатний співробітник) може:
· ввести неправильні дані;
· змінити дані;
· знищити дані.
Іноді змінюються змістовні дані, іноді - службова інформація.
З наведеного випадку можна зробити висновок не тільки про загрози порушення цілісності, а й про небезпеку сліпої довіри комп’ютерній інформації. Заголовки електронного листа можуть бути підроблені. Лист в цілому може бути фальсифікований особою, що знає пароль відправника. Відзначимо, що останнє можливо навіть тоді, коли цілісність контролюється криптографічними засобами. Тут має місце взаємодія різних аспектів інформаційної безпеки: якщо порушена конфіденційність, може постраждати цілісність.
Показовий випадок порушення цілісності мав місце в 1996 році. Співробітниця Oracle (особистий секретар віце-президента) подала судовий позов, звинувачуючи віце-президента корпорації в незаконному звільненні після того, як вона відкинула його залицяння. На доказ своєї правоти жінка надала електронний лист, нібито відправлений її начальником президенту, в якому було вказано час відправки. Віце-президент надав, у свою чергу, файл з реєстраційною інформацією компанії стільникового зв’язку, з якого випливало, що в указаний час він розмовляв по мобільному телефону, знаходячись далеко від свого робочого місця. Таким чином, в суді відбулося протистояння “файл проти файлу”. Очевидно, один з них був фальсифікований або змінений, тобто було порушено його цілісність. Суд вирішив, що підроблювали електронний лист (секретарка знала пароль віце-президента, оскільки їй було доручено його змінювати), і позов був відхилений...
cnews.ru
Потенційно уразливі з погляду порушення цілісності не тільки дані, але і програми. Впровадження шкідливого програмного забезпечення — приклад подібного порушення.
Особливо вразливі до загроз порушення цілісності електронні магазини та їх бази даних, зміни в яких можуть призвести до значних втрат.
1.6.5 Основні загрози конфіденційності
У загальному випадку, конфіденційну інформацію можна поділити на службову та предметну.
Службова інформація (наприклад, паролі користувачів) не належить певній предметній галузі, в ІС вона грає технічну роль, але її розкриття особливо небезпечно, оскільки воно може забезпечити несанкціонований доступ до всієї інформації, зокрема предметної.
Навіть якщо інформація зберігається в комп'ютері або призначена для комп’ютерного використання, загрози її конфіденційності можуть носити некомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться бути користувачами не одного, а кількох інформаційних сервісів. Якщо для доступу до таких систем використовуються багаторазові паролі або інша конфіденційна інформація, то напевно ці дані зберігатимуться не тільки в голові, але і в записнику або на папері, які користувач часто залишає на робочому столі, а то і просто губить. І справа тут не в неорганізованості людей, а в початковій непридатності парольної схеми. Неможливо пам’ятати багато різних паролів. Рекомендації щодо їх регулярної зміни тільки погіршують стан, змушуючи застосовувати нескладні схеми чергування, або взагалі прагнути звести справу до паролів, що легко запам’ятовуються і вгадуються.
Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних у середовищі, де їм не забезпечено (часто - і не може бути забезпечено) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться дізнатися секрети, які самі просяться в руки. Крім паролів, що зберігаються в записниках користувачів, до цього класу потрапляє передача конфіденційних даних у відкритому вигляді (у розмові, в листі, мережею), яка робить можливим перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов, пасивне прослуховування мережі і т.п.), але ідея одна - здійснити доступ до даних у той час, коли вони найменше захищені.
Вельми небезпечною загрозою є виставки, на які багато організацій відправляють устаткування з виробничої мережі, з усіма збереженими на них даними, залишаючи тим самим паролі. При віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть в межах захищеної мережі організації, а в об’єднаній мережі виставки - це дуже суворе випробування чесності всіх учасників.
Ще один приклад загрози, про яку часто забувають, - зберігання даних на резервних носіях. Для захисту даних на основних носіях застосовуються розвинені системи управління доступом, тоді як копії нерідко просто лежать у шафах і дістати доступ до них може багато хто.
Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються багатьма каналами, їх захист може виявитися достатньо складним і дорогим. Технічні засоби перехоплення доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може хто завгодно, тому цю загрозу потрібно брати до уваги стосовно не тільки зовнішніх, а й внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але і для комп’ютерів, особливо портативних. Часто ноутбуки залишають без нагляду на роботі або в автомобілі, іноді просто гублять.
У листопаді 2006 року виник скандал з викраденням трьох ноутбуків з персональними даними 15 тис. британських поліцейських у лондонську Скотланд Ярді. Викрадачів так і не знайшли.
cnews.ru
Небезпечною нетехнічною загрозою конфіденційності є методи соціальної інженерії, такі як маскарад - виконання дій під виглядом особи, що володіє повноваженнями для доступу до даних.
До неприємних загроз, від яких важко захищатися, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад системний адміністратор) здатний прочитати будь- який (незашифрований) файл, дістати доступ до пошти будь-якого користувача і т.д.
Інший приклад - нанесення збитку при сервісному обслуговуванні. Звичайно сервісний інженер дістає необмежений доступ до устаткування і має можливість діяти в обхід програмних захисних механізмів.
Такі основні загрози, які завдають найбільшого збитку суб'єктам інформаційних відносин.
1.6.6 Шкідливе програмне забезпечення
Одним з найнебезпечніших способів здійснення атак є впровадження в ІС шкідливого програмного забезпечення.
Шкідливе програмне забезпечення зазвичай призначено для:
• впровадження іншого шкідливого програмного забезпечення;
• отримання контролю над системою, що атакується;
• агресивного споживання ресурсів;
• зміни або руйнування програм та/або даних.
Розрізняють такі основні види шкідливого програмного забезпечення:
• віруси - коди, що мають здатність до розповсюдження (можливо, із змінами) шляхом впровадження в інші програми;
• “хробаки” - коди, здатні самостійно, тобто без упровадження в інші програми, викликати розповсюдження своїх копій в ІС і їх виконання (для активізації вірусу потрібен запуск зараженої програми);
• троянські програми - легальні програми, які мають незадокументовані функції, направлені, зазвичай, на перехоплення даних.
Віруси звичайно розповсюджуються локально, в межах вузла мережі; для передачі мережею їм потрібна зовнішня допомога, така як пересилання зараженого файлу. “Хробаки”, навпаки, орієнтовані в першу чергу на подорожі мережею.
З усього шкідливого програмного забезпечення найбільшу увагу користувачі приділяють вірусам.
Дотримання нескладних правил “комп’ютерної гігієни” практично зводить ризик зараження до нуля. Там, де працюють, а не грають, кількість заражених комп’ютерів складає лише частки відсотка. Проте з березня 1999 року, з появою вірусу “Melissa”, ситуація кардинальним чином змінилася.
“Melissa" - це макровірус для файлів MS-Word, що розповсюджується А за допомогою електронної пошти в приєднаних файлах. Коли такий Г (заражений) приєднаний файл відкривають, він розсилає свої копії за першими 50 адресами з адресної книги Microsoft Outlook. В результаті поштові сервери піддаються атаці на доступність.
“Лабораторія Касперського” випустила звіт за перше півріччя 2006 року щодо найбільш значущих змін, подій у галузі комп’ютерної безпеки, а також зробила ряд прогнозів можливого розвитку ситуації на підставі наявної статистики.
Троянські програми є найбільшим класом шкідливих програм, що динамічно розвивається. Зростання кількості нових модифікацій троянських програм за перші шість місяців 2006 років склало 9%. Найпопулярніші серед них Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) и Trojan-Spy (13%). Така популярність зумовлена їх ключової роллю при крадіжці персональних даних користувачів при побудові бот-мереж. На відміну від шкідливих програм з самохідним функціоналом (віруси та хробаки) троянські програми повинні бути якимось чином доставлені на комп’ютер-жертву. Для цього останнім часом використовуються спам-розсилання або завантаження з допомогою так званих Exploit’ів (від англ. exploit - використовувати). Ціни кіберкримінального ринку складають $40-60 за 1000 заражень.
Однією з найнебезпечніших тенденцій є зростання кількості інцидентів, коли за допомогою певної програми зловмисники модифікують дані на комп’ютері-жертві з метою подальшого шантажу і отримання фінансової вигоди. Сценарії роботи таких програм багато в чому повторюють один одного і зводяться або до блокування нормальної роботи комп’ютера, або до блокування доступу до даних. У січні 2006 року подібного роду програми були представлені практично єдиною програмою - Trojan. Win32.Krotten.
Таким чином, дія шкідливого програмного забезпечення може бути спрямована не тільки проти доступності, але і проти інших основних аспектів інформаційної безпеки.
Не відносять до державної таємниці інформацію:
· про стан довкілля, про якість харчових продуктів і предметів побуту;
· про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;
· про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
· про факти порушень прав і свобод людини і громадянина;
· про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;
· інша інформація, яка відповідно до законів та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути засекречена.
1.7,2 Комерційна таємниця
Комерційна таємниця — це відомості, що не є державною таємницею, зв'язані з виробництвом, технологіями, фінансами, процесами управління та іншою діяльністю ^ у г організацій чи фірм, розголошення, витік і несанкціонований доступ до яких може завдати шкоди їх інтересам.
Дуже важливо правильно і вчасно визначити, які відомості слід віднести до комерційної таємниці.
Як інформацію, що становить комерційну таємницю, варто розглядати науково-технічну, технологічну, виробничу, фінансово-економічну або іншу інформацію (у тому числі складову секретів виробництва (ноу-хау), що має дійсну або потенційну комерційну цінність через її невідомість третім особам, до якої немає вільного доступу на законній підставі та стосовно якої власником уведений режим комерційної таємниці.
Комерційна таємниця охороняється за сприяння держави.
Основними суб'єктами права на комерційну таємницю є власники комерційної таємниці та їх правонаступники.
Власники комерційної таємниці – фізичні (незалежно від громадянства) і юридичні (комерційні і некомерційні організації) особи, що займаються підприємницькою діяльністю і мають монопольне право на інформацію, яка складає для них комерційну таємницю.
Правонаступники - це фізичні і юридичні особи, яким через службовий стан, за договором або на іншій законній підставі (у тому числі як спадок) відома інформація, яка складає комерційну таємницю іншої особи.
Для охорони комерційної інформації організації необхідно:
1) визначити перелік інформації, що становить комерційну таємницю;
2) обмежити доступ до такої інформації шляхом установлення порядку обігу цієї інформації та контролю за дотриманням такого порядку;
3) організувати облік осіб, які одержали доступ до інформації, що становить комерційну таємницю, і (або) осіб, яким таку інформацію було надано або передано;
4) урегулювати відносини з використання інформації, що становить комерційну таємницю, із працівниками на підставі трудових договорів і з контрагентами на підставі цивільно-правових договорів;
5) нанести на документи, що містять комерційну таємницю, гриф «комерційна таємниця» з указанням власника цієї інформації (для юридичних осіб - повне найменування й місце знаходження, для індивідуальних підприємців - прізвище, ім'я, по батькові громадянина, що є індивідуальним підприємцем, і місце його проживання);
6) призначити відповідальних за схоронність комерційних відомостей і за дотримання «таємного» режиму.
Найбільш секретні папери в офісі з міркувань безпеки рвуться не менше ніж на дві частини (їх рвали б і менше ніж на дві частини, тому що ледарі, але не вдається) і викидаються в кошик так, що їх легко прочитати, просто кинувши на них погляд.
"Посібник з комп'ютерної безпеки й захисту інформації" КарлАбрахам Шкафиц II
Будь-які заходи щодо захисту інформації повинні бути обгрунтовані з фінансової точки зору. Конфіденційність не може коштувати дорожче тих відомостей, які захищаються. Тому перш ніж уводити режим комерційної таємниці, керівництву фірми за участю бухгалтерії й провідних спеціалістів потрібно оцінити економічний ефект, що його дасть засекречування інформації (величину потенційного прибутку або відверненого збитку), і порівняти його з можливими втратами від її відкритого використання.
При цьому потрібно визначити:
1) які саме відомості мають потребу в захисті;
2) кого вони можуть зацікавити, і яку цінність мають для конкурентів:
3) які елементи інформації є найбільш важливими й уразливими;
4) як довго відомості, що становлять комерційну таємницю, будуть актуальними;
5) у що обійдеться захист інформації з фінансової та організаційної точок зору;
6) коло співробітників, що мають право доступу до такого роду відомостей і здійснюють роботу з ними;
7) які умови роботи будуть необхідні й достатні для забезпечення конфіденційності відповідної категорії відомостей.
Інформація, розголошення якої може нанести фірмі збиток, багато в чому залежить від профілю її діяльності. Однак є узагальнений перелік даних, можливий витік яких фахівці із захисту інформації рекомендують припиняти в першу чергу.
У сфері фінансів:
1) дані бухгалтерського, податкового й управлінського обліку;
2) планові й фактичні показники фінансово-господарської діяльності;
3) відомості про особисті доходи кожного працівника;
4) відомості про стан банківських рахунків і проведених фінансових операцій;
5) відомості про рентабельність виробництва;
6) відомості про боргові зобов'язання підприємства, у тому числі про розміри й умови отриманих кредитів і позик;
7) механізм ціноутворення (прямі витрати, накладні витрати, норма прибутку);
8) відомості про ефективність імпорту й експорту (у тому числі розрахунки експортної й імпортної вартості товарів, робіт, послуг);
9) відомості про участь підприємства в статутних капіталах інших організацій.
У ринкових взаєминах:
1) оригінальні методи маркетингових досліджень;
2) результати вивчення ринку, оцінки стану та перспектив розвитку ринкової кон'юнктури;
3) відомості про ринкову стратегію фірми та про оригінальні методи просування товарів;
4) проекти прайс-листів та умови надання знижок;
5) відомості про передбачувані закупівлі, про отримані замовлення й про обсяг взаємних поставок за довгостроковими договорами;
6) відомості про підприємство як про торговельного партнера;
7) дані про всіх контрагентів, ділових партнерів і конкурентів підприємства, яких немає у відкритих джерелах;
8) зміст торговельних угод, які за домовленістю сторін уважаються конфіденційними;
9) відомості про підготовку до торгів, аукціонів і про їх результати.
У сфері керування підприємством і забезпечення безпеки:
1) відомості про механізм підготовки, прийняття й виконання управлінських рішень;
2) відомості про проведення, порядок денний та результати службових нарад;
3) відомості про підготовку й результати переговорів з діловими партнерами підприємства;
4) відомості про організацію захисту комерційної таємниці, про охоронну систему підприємства, про комерційну таємницю, передану партнерам (отриману від партнерів) на довірчій основі або за договорами;
5) стан програмного й комп’ютерного забезпечення фірми;
6) зміст завдань на відрядження (якщо відрядження носять конфіденційний характер).
У сфері виробництва:
1) відомості про структуру виробництва, виробничі потужності, типи і розміщення устаткування, запаси сировини, матеріалів, комплектуючих і готової продукції;
2) напрямки й обсяги інвестицій, планові та звітні дані про введення об'єктів в експлуатацію;
3) планові економічні показники;
4) плани розширення або згортання виробництва різних видів продукції і їх техніко-економічні обгрунтування;
5) відомості про нові матеріали й технологію їх застосування, про комплектуючі вироби, які надають продукції нові якості;
6) відомості про модернізації відомих технологій, що дозволяють підвищити конкурентоспроможність продукції.
У науково-технічній діяльності:
1) відомості про цілі, завдання і програми перспективних досліджень;
2) матеріали про незареєстрованні відкриття, винаходи й раціоналізаторські пропозиції;
3) конструкційні характеристики створюваних виробів і параметри розроблюваних технологічних процесів (габарити, компоненти, режими обробки й т.п.);
4) особливості конструкторсько-технологічних рішень і дизайнерського оформлення, які можуть змінити рентабельність виробів;
5) умови експериментів і характеристика устаткування, на якому вони здійснювалися;
6) використовувані методи захисту від підробки товарних знаків.
Зрозуміло, що наведений список не є обов'язковим або вичерпним.
Залежно від конкретних умов роботи підприємства його можна скоротити або доповнити. При цьому потрібно спрогнозувати, які негативні наслідки виникнуть, якщо та або інша інформація «піде на сторону».
Результатом безтурботності можуть стати:
1) розрив (або погіршення) ділових відносин з партнерами;
2) зрив переговорів, втрата вигідних контрактів;
3) невиконання договірних зобов'язань;
4) необхідність проведення додаткових ринкових досліджень;
5) відмова від рішень, що стали неефективними через розголос інформації, і, як наслідок, фінансові втрати, пов'язані з новими розробками;
6) втрата можливості запатентувати продукт або продати ліцензію;
7) зниження цін або обсягів реалізації;
8) втрата авторитету або ділової репутації фірми;
9) більш жорсткі умови одержання кредитів;
10) труднощі з постачання та придбання устаткування тощо.
Одним з компонентів комерційної таємниці може бути «ноу-хау».
«Ноу-хау»- це відомості про рішення у будь-яких сферах практичної діяльності (техніці, економіці, організації тощо), що допускають їх практичне використання та є придатними для участі в економічному обігу через невідомість та недоступність невизначеному колу осіб.
Пропоноване рішення може бути як результатом нової розробки, так і вже накопичених з часом знань, досвіду, навичок.
На відміну від інших видів інформації, що можуть становити комерційну таємницю, «ноу-хау» полягає у вирішенні практичної задачі, у рекомендації до дії, воно не має чисто пізнавального або інформаційного характеру, це має бути рішення, що допускає здійснення. Так, наприклад, не можна назвати «ноу-хау» систематизовану інформацію, клієнтську базу, яка, проте, цілком може бути захищена як комерційна таємниця.
«Ноу-хау» - це охоронювані в режимі комерційної таємниці результати інтелектуальної діяльності, які можуть бути передані іншій особі та використані нею на законній підставі, у тому числі:
· неопубліковані науково-технічні результати, технічні рішення, методи, способи використання технологічних процесів та пристроїв, які не забезпечені патентним захистом відповідно до законодавства або за рішенням особи, яка володіє такою інформацією на законній підставі;
· знання та досвід в області реалізації продукції і послуг, відомості про кон’юнктуру ринку, результати маркетингових досліджень;
· комерційні, методичні або організаційно-управлінські ідеї та рішення.
Термін «ноу-хау» походить від англійського виразу «know how» або «знаю як [зробити]». Вперше термін «know-how» з'явився у 1916 році в США у рішенні в судовій справі «Дізенд проти Брауна» і з того часу почав широко вживатися у всьому світі, став звичним в економічному обігу.
У міжнародній практиці та актах, а також в законодавстві іноземних країн, найчастіше вживається термін «trade secret», який, як правило, перекладають як «торговий секрет».
У міжнародній практиці та актах, а також в законодавстві іноземних країн, найчастіше вживається термін «trade secret», який, як правило, перекладають як «торговий секрет».
1.7.3 Банківська таємниця
Банківська таємниця — це відомості про банківські операції з рахунками і операції в інтересах клієнтів, про рахунки вклади своїх клієнтів і кореспондентів, а також відомості про клієнтів і кореспондентів, розголошування яких може порушити право останніх на недоторканність приватного життя.
Основними об'єктами банківської таємниці є:
1) таємниця банківського вкладу - відомості про всі види вкладів клієнта в кредитній організації;
2) таємниця приватного життя клієнта або кореспондента - відомості, що складають особисту, родинну таємницю і охороняються законом як персональні дані цього клієнта або кореспондента;
3) таємниця банківського рахунку - відомості про рахунки клієнтів і кореспондентів і дії з ними в кредитній організації (про розрахунковий, поточний, бюджетний, депозитний, валютний, кореспондентський і тому подібні рахунки, про відкриття, про закриття, переведення, переоформлення рахунків тощо);
4) таємниця операцій з банківським рахунком - відомості про прийняття і зарахування грошових коштів, що надходять на рахунок клієнта,виконання його розпоряджень з перерахування і видачі відповідних
сум з рахунку, а також про здійснення інших операцій і операцій з банківським рахунком, передбачених договором банківського рахунка або законом.
На сьогодні основоположним документом, який визначає правовий режим банківської таємниці в Україні, є Закон України “Про банки і банківську діяльність” №2121-14в редакції від 7 грудня 2000 року.
Згідно з цим законом до банківської таємниці певного банку також належить інформація про клієнтів інших банків, яка може стати відомою з документів, угод та операцій клієнта банку.
Законом віднесено до банківської таємниці інформацію про організаційно-правову структуру юридичної особи - клієнта банку, її керівників, напрями діяльності.
Також банківську таємницю складає інформація зі звітності окремого банку, за винятком тієї, що підлягає опублікуванню, а саме: дата реєстрації, кількість балансових філій, кількість працюючих на кінець року, кількість рахунків, валюта балансу, обсяг кредитного портфеля, обсяг вкладів
громадян, капітал банку, сплачений статутний фонд, сума доходів, сума витрат, прибуток, рентабельність власного капіталу у відсотках.
Режим конфіденційності деякого обсягу інформації про банк, яка складає банківську таємницю, має строковий, а не абсолютний характер - припинення режим конфіденційності даної інформації пов’язується із настанням певної події в часі, а саме: на такій стадії ліквідації банку, як призначення ліквідатора, відомості про фінансове становище банку перестають бути конфіденційними чи становити банківську таємницю. Однак решта відомостей, що становлять банківську таємницю, зберігають режим конфіденційності.
1.7.4 Податкова таємниця
Податкову таємницю становлять будь-які відомості про платника податків, отримані податковим органом, органами внутрішніх справ, органом державного позабюджетного фонду й митним органом , за винятком відомостей:
1) розголошених платником податків самостійно або з його згоди;
2) про ідентифікаційний номер платника податків;
3) про порушення законодавства про податки й збори й міри відповідальності за ці порушення;
Відповідно до Кодексу щодо запобігання ухилення від податків, прийнятого в 2006 році, забороняється не повідомляти податковому інспектору будь-яку інформацію, яку б ви не хотіли доводити до його відома, хоча ви і не зобов’язані повідомляти йому інформацію, яку ви не проти йому повідомити
4) надаваних податковим (митним) або правоохоронним органам інших держав відповідно до міжнародних договорів (угод), однієї зі сторін яких є Україна, про взаємне співробітництво між податковими (митними) або правоохоронними органами (у частині відомостей, наданих цим органам).
1.7.5 Службова таємниця
Службова таємниця - конфіденційна інформація, що захищається згідно із законом, стала відомою в державних органах і органах місцевого самоврядування лише на законних підставах і через виконання їх представниками службових обов'язків, а також службова інформація про діяльність державних органів, доступ до якої обмежений законом або через службову необхідність.
До основних об'єктів таємниці належать такі види інформації:
· службова інформація про діяльність державних органів, доступ до якої обмежений законом з метою захисту державних інтересів: військова таємниця; таємниця слідства (дані попереднього розслідування або слідства); судова таємниця (таємниця наради суддів, вміст дискусій і результатів голосування закритої наради Конституційного суду України, матеріали закритого судового засідання або через службову необхідність, порядок вироблення і ухвалення рішення, організація внутрішньої роботи і т.п.);
· конфіденційна інформація, що стала відомою через виконання службових обов'язків посадовою особою державних органів і
· органів місцевого самоврядування: комерційна таємниця, банківська таємниця, професійна таємниця, а також конфіденційна інформація про приватне життя особи.
Інформація службової таємниці повинна відповідати критеріям охороно здатності права:
· бути віднесеною законом до службової інформації про діяльність державних органів, доступ до якої обмежений згідно із законом або через службову необхідність;
· бути конфіденційною інформацією службового характеру (чужою таємницею) іншої особи (комерційна таємниця, банківська таємниця, таємниця приватного життя, професійна таємниця);
· не бути державною таємницею і не входити до переліку відомостей, доступ до яких не може бути обмежений;
· бути отриманою представником державного органу і органу місцевого самоврядування лише через виконання службових обов'язків у випадках і порядку, встановлених законом.
Інформація, що не відповідає цим вимогам, не може вважатися службовою таємницею і не підлягає правовій охороні.
Відомості, які не можуть бути віднесені до службової інформації обмеженого поширення:
· відомості з актів законодавства, що встановлюють правовий статус державних органів, організацій, суспільних об'єднань, інформація про права, свободи і обов'язки громадян, порядок їх реалізації;
· відомості про надзвичайні ситуації, небезпечні природні явища і процеси; екологічна, гідрометеорологічна, гідрогеологічна, демографічна, санітарно-епідеміологічна та інша інформація, необхідна для забезпечення безпечного існування населених пунктів, виробничих об'єктів, громадян і населення в цілому;
· відомості з описів структур органів виконавчої влади, їх функцій, напрямів і форм діяльності, інформація про їх адресу і місце розташування;
· інформація про порядок розгляду заяв фізичних і юридичних осіб;
· відомості про виконання бюджету і використання інших державних ресурсів, про стан економіки і потреби населення;
· інформація з документів відкритих фондів бібліотек і архівів, інформаційних систем організацій, необхідна для реалізації прав, свобод і обов'язків громадян.
1.7.6 Професійна таємниця
Професійна таємниця - інформація, що захищається згідно із законом, довірена або така, що стала відомою особі виключно через виконання нею своїх професійних обов'язків, не пов'язаних з державною або муніципальною службою, поширення якої може завдати збитку правам і законним інтересам власника інформації або іншої особи (довірителя), що довірила ці відомості, які не є державною або комерційною таємницею.
Інформація професійної таємниці за критеріями охороно здатності права відповідає таким вимогам:
· інформація не належить до відомостей, що складають державну і комерційну таємницю;
· інформація стала відомою або була довірена особі лише через виконання нею своїх професійних обов'язків;
· інформація стала відомою або була довірена особі, що не перебуває на державній або муніципальній службі (інакше інформація вважається службовою таємницею);
· заборонено поширення довіреної або такої, що стала відомою, інформації, яка може завдати збитку правам і законним інтересам довірителя.
Відповідно до цих критеріїв виділяють такі об'єкти професійної таємниці.
1. Лікарська таємниця - інформація, що містить:
· відомості про факт звертання за медичною допомогою, про стан здоров'я, діагнози захворювання та інші відомості, отримані при обстеженні і лікуванні громадянина;
· не бути надлишковими стосовно неї. Не допускається об'єднання баз персональних даних, зібраних тримачами в різних цілях, для автоматизованої обробки інформації;\
· персональні дані, що надаються тримачем, мають бути точними; у разі потреби вони повинні оновлюватися;
· персональні дані повинні зберігатися не довше, ніж цього вимагає мета, і підлягати знищенню після досягнення цієї мети;
· персональні дані охороняються в режимі конфіденційної інформації, що виключає їх випадкове або несанкціоноване руйнування або випадкову втрату, а також несанкціонований доступ до даних, їх зміну, блокування або передачу;
· встановлюється спеціальний правовий режим використання персональних даних осіб, що обіймають вищі державні посади, і кандидатів на ці посади.
У значній частині законодавчих актів, законів, кодексів, офіційних матеріалів стосовно неправомірного оволодіння конфіденційною інформації використовуються такі поняття, як розголошення відомостей, витік інформацією і несанкціонований доступ до конфіденційної інформації.
Розголошення - це навмисні чи необережні дії з конфіденційними відомостями, що призвели до ознайомлення з ними осіб, не допущених до них.
Розголошення полягає у повідомленні, передачі, наданні, пересиланні, опублікуванні, втраті та в інших формах обміну і дій з діловою і науковою інформацією.
Реалізується розголошення формальними і неформальними каналами поширення інформації.
До формальних комунікацій належать ділові зустрічі, наради, переговори і тому подібні форми спілкування: обмін офіційними діловими і науковими документами засобами передачі офіційної інформації (пошта, телефон, телеграф і ін.).
Неформальні комунікації - це особисте спілкування (зустрічі, листування й ін.); виставки, семінари, конференції й інші масові заходи, а також засоби масової інформації (газети, інтерв’ю, радіо, телебачення й ін.).
Як правило, причиною розголошення конфіденційної інформації є недостатнє знання співробітниками правил захисту комерційних секретів і нерозуміння необхідності їх ретельного дотримання. Отут важливо відзначити, що суб’єктом у цьому процесі виступає джерело (власник) секретів, що охороняються.