Помощничек
Главная | Обратная связь

Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Вимоги до захисту інформації

⇐ ПредыдущаяСтр 2 из 10Следующая ⇒


З позицій системного підходу до захисту інформації висуваються пе­вні вимоги. Захист інформації повинен бути:

• неперервним. Ця вимога виникає з того, що зловмисники тільки і шукають можливість, ж би обійти захист інформації, що цікавить їх;

• плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації у сфері її компетен­ції з урахуванням загальної мети підприємства (організації);

 

Довгий час оновлення Windows випускалися у кожний другий четвер місяця. Тому шкідливе програмне забезпечення запускалось кожну другу п'ятницю місяця, щоб до випуску оновлень заразити якомога більше комп’ютерних систем,

http://inatack.ru

· цілеспрямованим. Захищається тільки те, що повинно захищатися в інтересах конкретної мети, а не все підряд;

· конкретним. Захисту підлягають конкретні дані, що об’єктивно вимагають охорони, втрата яких може заподіяти організації певний збиток;

· активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;

· надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секре­тів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;

· універсальним. Вважається, що залежно від виду каналу витоку або способу несанкціонованого доступу його необхідно перекри­вати, де б він не проявився, розумними і достатніми засобами, не­залежно від характеру, форми і виду інформації;

· комплексним. Для захисту інформації повинні застосовуватися всі види і форми захисту в повному обсязі. Неприпустимо застосо­вувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист - це специфічне явище, що є складною системою нерозривно взаємопов’язаних і взаємозалеж­них процесів, кожний з яких, у свою чергу, має безліч різних сто­рін, властивостей, тенденцій.

1.4.3 Вимоги до системи захисту інформації

Закордонний і вітчизняний досвід показує, що для забезпечення виконання багатогранних вимог безпеки система захисту інформації повинна задовольняти такі умови:

• охоплювати весь технологічний комплекс інформаційної діяльності;

• бути різноманітною за використовуваними засобами, багаторівне­вою з ієрархічною послідовністю доступу;

• бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;

• бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;

• бути простою для технічного обслуговування і зручною для експлуатації користувачами;

• бути надійною. Будь-які несправності технічних засобів є причи­ною появи неконтрольованих каналів витоку інформації;

• бути комплексною, мати цілісність, що означає, що жодна її час­тина не може бути вилучена без втрат для всієї системи.

До системи безпеки інформації висуваються також певні вимоги:

• чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;

• надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;

• зведення до мінімуму кількості спільних для декількох корис­тувачів засобів захисту;

• облік випадків і спроб несанкціонованого доступу до конфіде­нційної інформації;

• забезпечення оцінювання ступеня конфіденційної інформації;

• забезпечення контролю цілісності засобів захисту і негайне реагування на вихід їх з ладу.

1.4.4 Види забезпечення системи захисту інформації

Система захисту інформації як будь-яка система повинна мати певні види власного забезпечення, спираючись на які вона буде виконувати свою цільову функцію. Враховуючи це, СЗІ повинна мати:

• правове забезпечення. Сюди входять нормативні документи, положення, інструкції, посібники, вимоги яких є обов'язковими в ра­мках сфери їх дій;

• організаційне забезпечення. Мається на увазі, що реалізація за­хисту інформації здійснюється певними структурними одини­цями - такими, як служба захисту документів; служба режиму, допуску, охорони; служба захисту інформації технічними засо­бами; інформаційно-аналітична діяльність і ін.;

• апаратне забезпечення. Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення дія­льності власне СЗІ;

• інформаційне забезпечення. Воно містить у собі відомості, дані, показники, параметри, які лежать в основі розв’язання задач, що забезпечують функціонування системи. Сюди можуть входити як показники доступу, обліку, зберігання, так і системи інфор­маційного забезпечення розрахункових задач різного характеру, пов’язаних з діяльністю служби забезпечення безпеки;

• програмне забезпечення. До нього належать різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінювання наявності і небезпеки різних каналів витоку і шляхів несанкціонованого проникнення до джерел конфіденційної інфор­мації;

• математичне забезпечення. Припускає використання математич­них методів для різних розрахунків, пов’язаних з оцінюванням не­ безпеки технічних засобів зловмисників, зон і норм необхідного захисту;

• лінгвістичне забезпечення. Сукупність спеціальних мовних засо­бів спілкування фахівців і користувачів у сфері захисту інформації;

• нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, які реалізують функції захисту інформації, різного роду методики, що забезпечують дія­льність користувачів при виконанні своєї роботи в умовах жорст­ких вимог захисту інформації.

Задовольнити сучасні вимоги до забезпечення безпеки підприємства може тільки система безпеки.

Система безпеки - це організована сукупність спеціальних ^ установ, служб, засобів, методів і заходів, що забезпечують Чі Ч[1]г ^ захист життєво важливих інтересів особистості, підприємства і держави від внутрішніх і зовнішніх загроз.

Як і будь-яка система, система інформаційної безпеки має свої мету, задачі, методи і засоби діяльності, що узгоджуються за місцем і часом, залежно від умов.

Система інформаційної безпеки ніколи не будується в строк і в межах кошторису (наслідок із закону Хеопса).

"Закони Мерфі для інформаційної безпеки" A.B. Лукацький

1.5 КОНЦЕПТУАЛЬНА МОДЕЛЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

На рисунку 1.1 наведено концептуальну модель безпеки інформації, яка має чотири основних складові. З одного боку, це інформація, що захи­щається, а з іншого - загрози цій інформації. Загрози реалізуються за допо­могою певних способів доступу, але їм перешкоджає захист інформації.

Джерелами конфіденційної (секретної) інформації є:

• документи всіх видів, на будь-яких носіях (у тому числі всі види носіїв, використовуваних в обчислювальній техніці й техніці засо­бів зв'язку);

 

               
 
Загрози
 
Способи доступу
 
Захист
 
Інформація

 

 


Джерела загроз   Напрямки захисту Джерела інформації
Об’єкти загроз   Засоби захисту Власники інформації
Цілі загроз   Способи захисту Таємниці

· персонал (пам’ять людей), що володіє знаннями й кваліфікацією в різних галузях науки і техніки;

· організаційні одиниці – наукові, виробничі, управлінські й інші організації, що мають кадрові, технічні, виробничі, фінансові й інші можливості для вирішення певного кола проблем і завдань;

· промислові зразки (будь-які матеріальні об’єкти, створені в процесі виробництва), рецептури й технології,програмні засоби, які є результатом наукової й виробничої діяльності людей;

· науковий інструментарій (у тому числі й автоматизовані системи наукових досліджень, автоматизовані робочі місця науковців і проектувальників, експертні системи і бази знань).

Можливі джерела інформації для прийняття рішень щодо забезпечення функціонування підприємства, організації, фірми та інформаційні потоки наведено на рис. 1.2.

Захищають і охороняють, як правило, не всю або не будь-яку інформацію, а найбільш важливу для власника, обмеження поширення якої приносить йому якусь користь або прибуток, можливість ефективно вирішувати завдання, що стоять перед ним.

Власниками інформації, яку захищають, можуть бути:

• держава та її структури (органи);

• підприємства, товариства, акціонерні товариства (у тому числі спільні);

• громадські організації;

• громадяни.

Конфіденційна або секретна інформація поділяється на такі види:

• державна таємниця;

• комерційна таємниця;

• банківська таємниця;

• податкова таємниця;

• службова таємниця;

• професійна таємниця;

• персональні дані.

Засекречування інформації - це сукупність організаційно-правових заходів, регламентованих законами й іншими нормативними актами, щодо введення обмежень на поширення й використання інформації в інтересах її власника.

Основні принципи засекречування інформації.

1) Законність засекречування інформації. Полягає в здійсненні його строго в рамках чинних законів й інших підзаконних нормативних актів. Відступ від цього принципу може завдати серйозної шкоди інтересам захисту інформації, інтересам особистості, суспільства й держави, зокрема незакон­ним приховуванням від суспільства інформації, яка не вимагає засекречу­вання, або витоку важливої інформації.

2) Обґрунтованість засекречування інформації. Полягає у встанов­ленні шляхом експертної оцінки доцільності засекречування конкретних ві­домостей, імовірних економічних або інших наслідків цього акту, виходячи з балансу життєво важливих інтересів особистості, суспільства й держави. Невиправдано засекречувати інформацію, імовірність розкриття якої пере­вищує можливість збереження її в таємниці.

3) Своєчасність засекречування інформації. Полягає у встановленні обмежень на поширення цих відомостей з моменту їх одержання (розробки) або завчасно.

4) Підпорядкованість відомчих заходів щодо засекречування інфор­мації загальнодержавним інтересам. Це в першу чергу стосується захисту державної таємниці. Що стосується комерційної таємниці, то підприємства наділені правами засекречування інформації, крім застережених у законі ви­падків.

Розсекречення конфіденційної й секретної інформації, робіт, докуме­нтів, виробів - це діяльність підприємств стосовно зняття (часткового або повного) обмежень на доступ до раніше засекреченої інформації, на доступ до її носіїв, викликана вимогами законів і об'єктивних факторів: зміною мі­жнародної й внутрішньодержавної обстановки, появою більш досконалих видів певної техніки, зняттям виробів з виробництва, передачею (продажем) науково-технічних рішень оборонного характеру в народне господарство, продажем виробу за кордон і т.д., а також узяттям державою на себе міжна­родних зобов'язань щодо відкритого обміну відомостями, які складають державну таємницю.

Інформація повинна залишатися секретною або конфіденційною до­ти, поки цього вимагають інтереси національної безпеки або конкурентної й комерційної діяльності підприємства.

Інформація розсекречується не пізніше строків, установлених при її засекречуванні.

Розсекреченню (розголошенню) не підлягають відомості, що стосу­ються особистого (неслужбового) життя громадян країни, якщо на інше не­має згоди самих громадян, а у випадку їхньої смерті - їх найближчих роди­чів. Інший порядок такого розсекречення розглядається через суд.

Будь-яка фірма, займаючись своєю діяльністю, функціонує в деякому просторі (зовнішньому середовищі), і на її розвиток впливає ряд факторів (позитивних або негативних) як зовнішніх, так і внутрішніх. Негативні фак­тори часто називають факторами загроз або загрозами.

Джерелами зовнішніх загроз є:

• конкуренти;

• кримінальні структури;

• корумповані елементи держаних структур;

• природні катаклізми і техногенні катастрофи.

Внутрішні загрози створюють:

• засновники та вище керівництво;

• менеджери різних рівнів;

• персонал.

Об’єктами загроз є відомості про склад, стан і діяльність об'єкта за­хисту (персоналу, матеріальних і фінансових цінностей, інформаційних ре­сурсів).

Загрози інформації полягають у порушенні її цілісності, конфіденційності, повноти і доступності.

Джерела загроз мають на меті ознайомлення з відомостями, що охороняються, їх модифікацію в корисливих цілях і знищення для нанесення прямого матеріального збитку.

Одержати конфіденційну інформацію можна у такі способи:

• за рахунок її розголошення джерелами повідомлень;

• за рахунок витоку інформації через технічні засоби;

• за рахунок несанкціонованого доступу до повідомлень, що охороняються.

Основними напрямками захисту інформації є правовий, організаційний і інженерно-технічний захисти інформації як складові комплексного підходу до забезпечення інформаційної безпеки.

Захист інформації може бути здійснений за допомогою таких засобів:

• фізичних;

• апаратних;

• програмних;

• криптографічних;

• стеганографічних.

До способів захисту належать усілякі заходи, шляхи, способи і дії, що забезпечують попередження протиправних дій, їхнє запобігання, припи­нення і протидію несанкціонованому доступу.

Концепція безпеки є основним правовим документом, що визначає захищеність підприємства від внутрішніх і зовнішніх загроз.

1.6 ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЇ

1.6.1 Джерела загроз

Знання можливих загроз, а також вразливих місць захисту, які зви­чайно використовують для здійснення загроз, необхідно для того, щоб виб­рати найбільш економічні засоби забезпечення безпеки.

Протиправні дії з інформацією призводять до порушення її конфіденційності, цілісності і доступності, що, у свою чергу, призводить до пору­шення як режиму керування, так і його якості в умовах помилкової чи непо­вної інформації.

Загроза - це потенційна можливість певним чином порушити інформаційну безпеку.

Реалізація загрози спричиняє моральний чи матеріальний збиток, а захист і протидія загрозі покликані знизити його обсяг, в ідеалі - цілком, реально - значно чи хоча б частково. Але і це вдається далеко не завжди.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, — зловмисником (порушником).

З усіх атак відбудеться саме та, збиток від якої найбільший.

"Закони Мерфі для інформаційної безпеки" A.B. Лукацький

Побудова моделі зловмисника - це процес класифікації потенційних порушників за такими параметрами:

• тип зловмисника (конкурент, клієнт, розробник, співробітник ком­панії тощо);

· розташування зловмисника відносно об'єктів захисту (внутрішній, зовнішній);

· рівень знань про об'єкти захисту і оточення (високий, середній, низький);

· рівень можливостей доступу до об'єктів захисту (максимальні, середні, мінімальні);

· час дії (постійно, в певні часові інтервали);

· місце дії (передбачуване місце розташування зловмисника під час реалізації атаки).

Потенційні зловмисники називаються джерелами загрози.

Розглянемо джерела зовнішніх загроз.

Конкуренти

Фірми, що претендують на один сегмент ринку, зацікавлені в одному покупцеві, одному устаткуванні або одному приміщенні, стають конкурен­тами. Однією з основних ознак конкуренції є бажання, прагнення одної сто­рони вирішити свої завдання або задовольнити свої потреби за рахунок об­меження можливостей іншої сторони.

Конкуренція може бути чесною й несумлінною, явною й прихованою, дійсною й уявною (псевдо). Сумлінна, чесна конкуренція має на увазі цивілізовану боротьбу за покупця шляхом удосконалення продукту або техноло­гій, підвищення якості послуг, зниження собівартості й т.п.

У тих випадках, коли конкурент використовує прийоми й методи несумлінної конкуренції, виникає реальна загроза для безпеки фірми, компанії, організації.

При аналізі потенційних і реальних можливостей фірми конкуренти се­ред інших факторів звертають увагу і на такі соціально-психологічні фактори:

· психологічний клімат на фірмі-конкуренті;

· специфіка кадрової політики;

· рівень виконавської дисципліни;

· творчий потенціал команди;

· стиль керівництва тощо.

Особлива увага звертається на наявність серед членів команди осіб, які незадоволені своїм становищем або взаєминами з колегами.

 

Збір інформації може здійснюватися як з відкритих джерел, так і оперативним шляхом. Для цього використовуються методи спостереження, опитування та вивідування. Об'єктами психологічного впливу в цьому випа­дку можуть стати ті співробітники фірми, які через свої психологічні якості і особистісні особливості легко піддаються чужому впливу. До цієї категорії належать особи, що:

• незадоволеиі своїм статусом або рівнем матеріального забезпечення;

• схильні до зловживання спиртними напоями або вживання наркотиків;

• мають дорогі хобі;

• люблять попліткувати;

• мають напружені стосунки з керівництвом або колегами;

• мають підвищену зарозумілість, честолюбство тощо.

Психологічною основою для вербування конкурентами джерела інформації серед співробітників фірми можуть стати:

• матеріальна залежність - співробітник, якого вербують, іде на кон­такт для того, щоб одержати гроші. Така основа використовується, якщо відомо, що співробітник має великі борги або пристрасть до азартних ігор або наркотиків;

• почуття помсти - наявність конфлікту з менеджерами або колега­ми, що заважає самореалізації або заняттю статусної позиції;

• залежність (шантаж) - використовується в тих випадках, коли є відомості, що компрометують співробітника в очах керівництва;

• страх (за себе або родичів) - коли представники кримінальних структур домагаються згоди на співробітництво, загрожуючи фізи­чною розправою.

У тих випадках, коли вербування за якихось обставин неможливе або недоцільне, використовуються методи прихованого одержання інформації. Для цього надсилаються персональні запрошення провідним співробітникам фірми для участі в конференціях, круглих столах, симпозіумах, для навчання на курсах підвищення кваліфікації тощо, де з ними працюють фахівці з вивідування.

В окремих випадках конкуренти, вступаючи у змову із представника­ми кримінальних структур, стають замовниками терористичних актів, розбійних нападів, підпалів і погромів.

Кримінальні структури

У сучасних умовах будь-яка фірма тією чи іншою мірою зіштовху­ється із представниками кримінальних структур. В одних випадках це рекет, в інших - фірми-партнери та конкуренти, власниками яких є кримінальні співтовариства, а іноді - шахрайство, грабежі, розбійні напади, шантаж з бо­ку організованих злочинних груп і злочинців-одинаків.

Найнебезпечнішою для фірм, компаній, організацій і одночасно най­більш доступною для вивчення є організована злочинність. Найменш досту­пні для вивчення злочинці-одинаки й випадкові злочинні групи.

Подібні структури самі виходять на контакти з комерційними фірма­ми. Основним мотивом взаємодії організованої злочинності з комерційними структурами є одержання грошей. Одні з них пропонують оплатити свої послуги із захисту підприємців від інших кримінальних структур і угруповань, інші - дозвіл працювати на контрольованій ними території.

Основними об’єктами злочинних зазіхань кримінальних елементів є матеріальні цінності, кошти і персонал.

Корумповані елементи контролюючих і державних структур, що займаються перевіркою

Особливе місце серед факторів зовнішньої загрози займають держав­ні структури, що здійснюють перевірки і контроль. Самі по собі вони ство­рені для контролю за діяльністю господарюючих суб'єктів на предмет пору­шення ними чинного законодавства. Однак довільне трактування їхніми співробітниками своїх прав І обов'язків може принести значну втрату фірмі. Співробітники державних контролюючих систем звикли виступати з позиції сили, що дає їм можливість, загрожуючи застосувати санкції та штрафи, змушувати бізнесмена шукати «компромісні» варіанти. З іншого боку, окре­мі з них виявляють прихильність до хабарів або «подарунків».

Техногенні катастрофи й природні катаклізми

Що стосується цього фактора загрози, то в першій своїй частині він у прихованій, а іноді й у явній формі нерідко містить людський фактор. Дійс­но, аналіз причин катастроф свідчить про те, що серед них істотну роль гра­ють помилкові дії операторів, неправильна експлуатація технічних засобів і просто недбалість. У ряді випадків людина сама довільно ініціює техногенні катастрофи. Подібні дії можуть бути кваліфіковані як шкідництво й навіть як терористичні акти.

Внутрішні загрози

Найчастішими і найнебезпечнішими (з погляду розміру втрат) є нена­вмисні помилки штатних користувачів, операторів, системних адміністрато­рів і інших осіб, які обслуговують інформаційні системи.

Іноді такі помилки і є власне загрозами (неправильно введені дані або помилка в програмі, що викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (звичайно такими є помилки адміністрування). За деякими даними, до 65% втрат - наслідок ненавмисних помилок.

Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна автоматизація і суворий контроль.

Реальною загрозою існування фірми є не тільки фактори зовнішньої загрози, але й різного роду негативні процеси всередині неї.

Внутрішніми загрозами є:

• напруження, що виникають усередині команди через неправильні взаємини по вертикалі, горизонталі, незадоволеність результатами своєї праці і їх оцінкою з боку керівництва;

• нездорова конкуренція між окремими співробітниками або підрозділами;

• внутрірольові й міжролеві конфлікти;

• недостатня управлінська компетентність менеджерів різного рівня;

низька професійна й особистісна надійність персоналу.

Відповідно до досліджень компанії Verizon, близько 18% всіх кіберзлочинів здійснюється саме інсайдерами (співробітниками). Причому збитки від дій штатних співробітників можуть бути колосальними, оскільки вони знають де шукати важливу інформацію і часто мають до неї доступ.

Cnews.ru

Одним з головних суб’єктів загроз корпоративній безпеці фірми є засновники й перші особи в її керівництві. При відсутності або недостатній сформованості управлінських і лідерських якостей, слабкій поінформовано­сті в питаннях забезпечення корпоративної безпеки, ігноруванні порад і рекомендацій фахівців з питань безпеки, при неадекватних реакціях на вимоги особистої охорони керівники самі стають фактором загрози для безпеки фі­рми, компанії, організації.

Найбільш типовими помилками в прийнятті управлінських рішень при забезпеченні необхідного й достатнього рівня безпеки є:

· неадекватна оцінка факторів зовнішніх й внутрішніх загроз;

· неадекватний вибір концепції організації системи безпеки;

· неадекватний рівень фінансування;

· неадекватна взаємодія з особистою охороною.

Адекватно фактори реальної й потенційної загрози можуть оцінити тільки фахівці. Тому менеджер з безпеки або керівники фірми повинні періодично консультуватися з цих питань із відповідними експертами.

Фінансування системи корпоративної безпеки розглядається більшіс­тю керівників як непродуктивні витрати й здійснюється за залишковим принципом.

Існує група факторів загроз безпеці, що виникають як результат осно­вної діяльності керівників і менеджерів всіх рівнів.

До них належать:

· відсутність або недостатня сформованість стратегічного мислення та цілепокладання;

· відсутність належного управлінського досвіду;

· невміння будувати свої відносини з бізнес-партнерами;

· наявність особистісних якостей, що утрудняють роботу як керівника.

Керівник великої компанії повинен бути здатним до стратегічного мислення та цілепокладання. Відсутність або недостатня розвиненість цих якостей істотно утрудняє роботу всіх управлінських систем, у тому числі й корпоративної безпеки.

Кожний менеджер компанії повинен мати необхідний рівень управлінської компетентності. Відсутність необхідного управлінського досвіду призводить до прийняття помилкових рішень, падіння авторитету в очах підлеглих, порушення взаємин по вертикалі. Всі ці обставини істотно послабляють систему корпоративної безпеки.

При виконанні своїх функціональних обов'язків персоналу фірми, компанії, членам організації постійно доводиться вступати в особисті конта­кти з іншими співробітниками, клієнтами, партнерами по бізнесу, працюва­ти з інформацією, виконувати окремі види робіт з використанням технічних і допоміжних засобів підвищеної небезпеки. При цьому будь-які несанкціоновані, помилкові, недоречні дії, порушення принципів ділового спілкуван­ня можуть стати реальним джерелом загрози для корпоративної безпеки.

Потрапивши під певний вплив, співробітники можуть стати для конкурентів або кримінальних структур джерелом відомостей, що містять коме­рційну таємницю, навіть не усвідомлюючи цього.

Таким чином, корпоративна безпека фірми залежить від надійності персоналу. Факторами, що визначають надійність персоналу з погляду психології, є:

• необхідний рівень професійної компетентності;

• висока виконавська дисципліна;

• стійка мотивація до діяльності в рамках даної фірми.

1.6.2 Загрози сучасним інформаційним системам

Загрози класифікуються за такими критеріями:

• за аспектом інформаційної безпеки (доступності, цілісності, конфіденційності), проти якого загрози спрямовані в першу чергу;

• за компонентами інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримувальна інфраструктура);

• за способом здійснення (випадкові/навмисні дії природного або техногенного характеру);

за розташуванням джерела загрози (всередині/зовні ІС);

· за обсягом збитку (граничний, після якого фірма може стати банкрутом; значний, але не призводить до банкрутства; незначний, який фірма за якийсь час може компенсувати);

· за ймовірністю виникнення (дуже ймовірна загроза; ймовірна загроза; малоймовірна загроза);

· за характером нанесеного збитку (матеріальний; моральний).

1.6.3 Основні загрози доступності

Загрози доступності класифікуються за компонентами ІС, на які спрямовані загрози:

· відмова користувачів;

· внутрішня відмова інформаційної системи;

· відмова інфраструктури, що підтримує ІС.

Стосовно користувачів розглядаються такі загрози:

· небажання працювати з інформаційною системою (найчастіше виявляється, коли необхідно освоювати нові можливості і в разі роз­біжності між запитами користувачів і фактичними можливостями та технічними характеристиками);

· неможливість працювати із системою через відсутність відповідної підготовки (недолік загальної комп’ютерної освіти, невміння інте­рпретувати діагностичні повідомлення, невміння працювати з до­кументацією і тлі.);

· неможливість працювати із системою через відсутність технічної підтримки (неповнота документації, нестача довідкової інформації тощо).

Основними джерелами внутрішніх відмов є:

· порушення (випадкове або навмисне) правил експлуатації;

· вихід системи зі штатного режиму експлуатації;

· помилки при (пере)конфігурації системи;

· відмови програмного і апаратного забезпечення.

Як засіб виведення системи зі штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (звичайно - смуги пропускання мереж, обчислювальних можливостей процесорів або оперативної пам'яті). Для виведення систем з штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок.


Відома помилка в процесорі Pentium 1 дає можливість локальному користувачу шляхом виконання певної команди “підвісити” комп’ютер, так що допомагає тільки апаратний RESET.

 

Віддалене споживання ресурсів останнім часом спостерігається в особливо небезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічі різних адрес з максимальною швидкістю прямують цілком легальні запити на з’єднання та/або обслуговування.


Онлайнові казино мають значні збитки через відключення їх від мережі зловмисниками, які організовують DoS-атаки з вимогою плати за їх припинення. Сучасні міжмережеві екрани та захисні програми не спасають від розподілених нападів, коли десятки тисяч різних 1 комп’ютерів-зомбі звертаються до сервера, порушуючи його роботу.

cnews.ru

 

Відмови програмного забезпечення часто провокуються впроваджен­ням в ІС так званого шкідливого програмного забезпечення, дії якого спря­мовані на:

• руйнування даних;

• руйнування або пошкодження апаратури (зокрема носіїв даних).

Стосовно інфраструктури рекомендується розглядати такі загрози:

· порушення роботи (випадкове або навмисне) систем зв’язку, електроживлення, водо- і/або теплопостачання, кондиціонування;

• руйнування або пошкодження приміщень;

• неможливість або небажання обслу говуючого персоналу і/або користувачів викону вати свої обов’язки (цивільні безлади, аварії на транспорті, терористичний акт або його загроза, страйк тощо).

1.6.4 Основні загрози цілісності

У більшості випадків винуватцями загроз цілісності є штатні співробітники організацій, добре знайомі з режимом роботи і заходами захисту. Це ще раз підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про них значно менше, ніж про зовнішні.

З метою порушення цілісності зловмисник (як правило, штатний співробітник) може:

· ввести неправильні дані;

· змінити дані;

· знищити дані.

Іноді змінюються змістовні дані, іноді - службова інформація.

З наведеного випадку можна зробити висновок не тільки про загрози порушення цілісності, а й про небезпеку сліпої довіри комп’ютерній інформації. Заголовки електронного листа можуть бути підроблені. Лист в цілому може бути фальсифікований особою, що знає пароль відправника. Відзначи­мо, що останнє можливо навіть тоді, коли цілісність контролюється крипто­графічними засобами. Тут має місце взаємодія різних аспектів інформаційної безпеки: якщо порушена конфіденційність, може постраждати цілісність.

Показовий випадок порушення цілісності мав місце в 1996 році. Співробітниця Oracle (особистий секретар віце-президента) подала судовий позов, звинувачуючи віце-президента корпорації в незаконному звільненні після того, як вона відкинула його залицяння. На доказ своєї правоти жінка надала електронний лист, нібито відправлений її начальником президенту, в якому було вказано час відправки. Віце-президент надав, у свою чергу, файл з реєстраційною інформацією компанії стільникового зв’язку, з якого випливало, що в указаний час він розмовляв по мобільному телефону, знаходячись далеко від свого робочого місця. Таким чином, в суді відбулося протистояння “файл проти файлу”. Очевидно, один з них був фальсифікований або змінений, тобто було порушено його цілісність. Суд вирішив, що підроблювали електронний лист (секретарка знала пароль віце-президента, оскільки їй було доручено його змінювати), і позов був відхилений...

cnews.ru

Потенційно уразливі з погляду порушення цілісності не тільки дані, але і програми. Впровадження шкідливого програмного забезпечення — при­клад подібного порушення.

Особливо вразливі до загроз порушення цілісності електронні мага­зини та їх бази даних, зміни в яких можуть призвести до значних втрат.

 

1.6.5 Основні загрози конфіденційності

У загальному випадку, конфіденційну інформацію можна поділити на службову та предметну.

Службова інформація (наприклад, паролі користувачів) не належить певній предметній галузі, в ІС вона грає технічну роль, але її розкриття особливо небезпечно, оскільки воно може забезпечити несанкціонований доступ до всієї інформації, зокрема предметної.

Навіть якщо інформація зберігається в комп'ютері або призначена для комп’ютерного використання, загрози її конфіденційності можуть носи­ти некомп'ютерний і взагалі нетехнічний характер.

Багатьом людям доводиться бути користувачами не одного, а кількох інформаційних сервісів. Якщо для доступу до таких систем використову­ються багаторазові паролі або інша конфіденційна інформація, то напевно ці дані зберігатимуться не тільки в голові, але і в записнику або на папері, які користувач часто залишає на робочому столі, а то і просто губить. І спра­ва тут не в неорганізованості людей, а в початковій непридатності парольної схеми. Неможливо пам’ятати багато різних паролів. Рекомендації щодо їх регулярної зміни тільки погіршують стан, змушуючи застосовувати нескла­дні схеми чергування, або взагалі прагнути звести справу до паролів, що легко запам’ятовуються і вгадуються.

Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних у середовищі, де їм не забезпечено (часто - і не може бути забезпечено) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться дізнатися секрети, які самі просяться в руки. Крім паролів, що зберігаються в записниках користувачів, до цього класу потрапляє пере­дача конфіденційних даних у відкритому вигляді (у розмові, в листі, мере­жею), яка робить можливим перехоплення даних. Для атаки можуть викори­стовуватися різні технічні засоби (підслуховування або прослуховування ро­змов, пасивне прослуховування мережі і т.п.), але ідея одна - здійснити дос­туп до даних у той час, коли вони найменше захищені.

Вельми небезпечною загрозою є виставки, на які багато організацій відправляють устаткування з виробничої мережі, з усіма збереженими на них даними, залишаючи тим самим паролі. При віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть в межах захищеної мережі організації, а в об’єднаній мережі виставки - це дуже су­воре випробування чесності всіх учасників.

Ще один приклад загрози, про яку часто забувають, - зберігання да­них на резервних носіях. Для захисту даних на основних носіях застосову­ються розвинені системи управління доступом, тоді як копії нерідко просто лежать у шафах і дістати доступ до них може багато хто.

Перехоплення даних - дуже серйозна загроза, і якщо конфіденцій­ність дійсно є критичною, а дані передаються багатьма каналами, їх захист може виявитися достатньо складним і дорогим. Технічні засоби перехоплен­ня доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може хто завгодно, тому цю загрозу потрібно брати до уваги стосо­вно не тільки зовнішніх, а й внутрішніх комунікацій.

Крадіжки устаткування є загрозою не тільки для резервних носіїв, але і для комп’ютерів, особливо портативних. Часто ноутбуки залишають без нагляду на роботі або в автомобілі, іноді просто гублять.

У листопаді 2006 року виник скандал з викраденням трьох ноутбуків з персональними даними 15 тис. британських поліцейських у лондонську Скотланд Ярді. Викрадачів так і не знайшли.

cnews.ru

 

Небезпечною нетехнічною загрозою конфіденційності є методи соціальної інженерії, такі як маскарад - виконання дій під виглядом особи, що володіє повноваженнями для доступу до даних.

До неприємних загроз, від яких важко захищатися, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад системний адміністратор) здатний прочитати будь- який (незашифрований) файл, дістати доступ до пошти будь-якого користу­вача і т.д.

Інший приклад - нанесення збитку при сервісному обслуговуванні. Звичайно сервісний інженер дістає необмежений доступ до устаткування і має можливість діяти в обхід програмних захисних механізмів.

Такі основні загрози, які завдають найбільшого збитку суб'єктам інформаційних відносин.

1.6.6 Шкідливе програмне забезпечення

Одним з найнебезпечніших способів здійснення атак є впровадження в ІС шкідливого програмного забезпечення.

Шкідливе програмне забезпечення зазвичай призначено для:

• впровадження іншого шкідливого програмного забезпечення;

• отримання контролю над системою, що атакується;

• агресивного споживання ресурсів;

• зміни або руйнування програм та/або даних.

Розрізняють такі основні види шкідливого програмного забезпечення:

• віруси - коди, що мають здатність до розповсюдження (можливо, із змінами) шляхом впровадження в інші програми;

• “хробаки” - коди, здатні самостійно, тобто без упровадження в ін­ші програми, викликати розповсюдження своїх копій в ІС і їх вико­нання (для активізації вірусу потрібен запуск зараженої програми);

• троянські програми - легальні програми, які мають незадокументовані функції, направлені, зазвичай, на перехоплення даних.

Віруси звичайно розповсюджуються локально, в межах вузла мережі; для передачі мережею їм потрібна зовнішня допомога, така як пересилання зараженого файлу. “Хробаки”, навпаки, орієнтовані в першу чергу на подо­рожі мережею.

З усього шкідливого програмного забезпечення найбільшу увагу користувачі приділяють вірусам.

Дотримання нескладних правил “комп’ютерної гігієни” практично зводить ризик зараження до нуля. Там, де працюють, а не грають, кількість заражених комп’ютерів складає лише частки відсотка. Проте з березня 1999 року, з появою вірусу “Melissa”, ситуація кардинальним чином змінилася.

 


“Melissa" - це макровірус для файлів MS-Word, що розповсюджується А за допомогою електронної пошти в приєднаних файлах. Коли такий Г (заражений) приєднаний файл відкривають, він розсилає свої копії за першими 50 адресами з адресної книги Microsoft Outlook. В результаті поштові сервери піддаються атаці на доступність.

 

“Лабораторія Касперського” випустила звіт за перше півріччя 2006 року щодо найбільш значущих змін, подій у галузі комп’ютерної безпеки, а також зробила ряд прогнозів можливого розвитку ситуації на підставі наяв­ної статистики.

Троянські програми є найбільшим класом шкідливих програм, що динамічно розвивається. Зростання кількості нових модифікацій троянських програм за перші шість місяців 2006 років склало 9%. Найпопулярніші серед них Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) и Trojan-Spy (13%). Така популярність зумовлена їх ключової роллю при крадіжці персональних даних користувачів при побудові бот-мереж. На відміну від шкідливих програм з самохідним функціоналом (віруси та хробаки) троянські програми повинні бути якимось чином достав­лені на комп’ютер-жертву. Для цього останнім часом використовуються спам-розсилання або завантаження з допомогою так званих Exploit’ів (від англ. exploit - використовувати). Ціни кіберкримінального ринку складають $40-60 за 1000 заражень.

Однією з найнебезпечніших тенденцій є зростання кількості інциден­тів, коли за допомогою певної програми зловмисники модифікують дані на комп’ютері-жертві з метою подальшого шантажу і отримання фінансової вигоди. Сценарії роботи таких програм багато в чому повторюють один одного і зводяться або до блокування нормальної роботи комп’ютера, або до блокування доступу до даних. У січні 2006 року подібного роду програми були представлені практично єдиною програмою - Trojan. Win32.Krotten.

Таким чином, дія шкідливого програмного забезпечення може бути спрямована не тільки проти доступності, але і проти інших основних аспек­тів інформаційної безпеки.

Не відносять до державної таємниці інформацію:

· про стан довкілля, про якість харчових продуктів і предметів побуту;

· про аварії, катастрофи, небезпечні природні явища та інші надзви­чайні події, які сталися або можуть статися і загрожують безпеці громадян;

· про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне за­безпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

· про факти порушень прав і свобод людини і громадянина;

· про незаконні дії органів державної влади, органів місцевого само­врядування та їх посадових осіб;

· інша інформація, яка відповідно до законів та міжнародних дого­ворів, згода на обов'язковість яких надана Верховною Радою Укра­їни, не може бути засекречена.

1.7,2 Комерційна таємниця

Комерційна таємниця — це відомості, що не є державною таємницею, зв'язані з виробництвом, технологіями, фінансами, процесами управління та іншою діяльністю ^ у г організацій чи фірм, розголошення, витік і несанкціонований доступ до яких може завдати шкоди їх інтересам.

Дуже важливо правильно і вчасно визначити, які відомості слід від­нести до комерційної таємниці.

Як інформацію, що становить комерційну таємницю, варто розгляда­ти науково-технічну, технологічну, виробничу, фінансово-економічну або іншу інформацію (у тому числі складову секретів виробництва (ноу-хау), що має дійсну або потенційну комерційну цінність через її невідомість третім особам, до якої немає вільного доступу на законній підставі та стосовно якої власником уведений режим комерційної таємниці.


Комерційна таємниця охороняється за сприяння держави.

Основними суб'єктами права на комерційну таємницю є власники комерційної таємниці та їх правонаступники.

Власники комерційної таємниціфізичні (незалежно від громадянства) і юридичні (комерційні і некомерційні організації) особи, що займаються підприємницькою діяльністю і мають монопольне право на інформацію, яка складає для них комерційну таємницю.

 

Правонаступники - це фізичні і юридичні особи, яким через службо­вий стан, за договором або на іншій законній підставі (у тому числі як спа­док) відома інформація, яка складає комерційну таємницю іншої особи.

Для охорони комерційної інформації організації необхідно:

1) визначити перелік інформації, що становить комерційну таємницю;

2) обмежити доступ до такої інформації шляхом установлення поряд­ку обігу цієї інформації та контролю за дотриманням такого порядку;

3) організувати облік осіб, які одержали доступ до інформації, що становить комерційну таємницю, і (або) осіб, яким таку інформацію було надано або передано;

4) урегулювати відносини з використання інформації, що становить комерційну таємницю, із працівниками на підставі трудових договорів і з контрагентами на підставі цивільно-правових договорів;

5) нанести на документи, що містять комерційну таємницю, гриф «комерційна таємниця» з указанням власника цієї інформації (для юридич­них осіб - повне найменування й місце знаходження, для індивідуальних пі­дприємців - прізвище, ім'я, по батькові громадянина, що є індивідуальним підприємцем, і місце його проживання);

6) призначити відповідальних за схоронність комерційних відомостей і за дотримання «таємного» режиму.

Найбільш секретні папери в офісі з міркувань безпеки рвуться не менше ніж на дві частини (їх рвали б і менше ніж на дві частини, тому що ледарі, але не вдається) і викидаються в кошик так, що їх легко прочитати, просто кинувши на них погляд.

"Посібник з комп'ютерної безпеки й захисту інформації" КарлАбрахам Шкафиц II


Будь-які заходи щодо захисту інформації повинні бути обгрунтовані з фінансової точки зору. Конфіденційність не може коштувати дорожче тих відомостей, які захищаються. Тому перш ніж уводити режим комерційної таємниці, керівництву фірми за участю бухгалтерії й провідних спеціалістів потрібно оцінити економічний ефект, що його дасть засекречування інфор­мації (величину потенційного прибутку або відверненого збитку), і порівня­ти його з можливими втратами від її відкритого використання.

При цьому потрібно визначити:

1) які саме відомості мають потребу в захисті;

2) кого вони можуть зацікавити, і яку цінність мають для конкурентів:

3) які елементи інформації є найбільш важливими й уразливими;

4) як довго відомості, що становлять комерційну таємницю, будуть актуальними;

5) у що обійдеться захист інформації з фінансової та організаційної точок зору;

6) коло співробітників, що мають право доступу до такого роду відо­мостей і здійснюють роботу з ними;

7) які умови роботи будуть необхідні й достатні для забезпечення конфіденційності відповідної категорії відомостей.

Інформація, розголошення якої може нанести фірмі збиток, багато в чому залежить від профілю її діяльності. Однак є узагальнений перелік да­них, можливий витік яких фахівці із захисту інформації рекомендують при­пиняти в першу чергу.

У сфері фінансів:

1) дані бухгалтерського, податкового й управлінського обліку;

2) планові й фактичні показники фінансово-господарської діяльності;

3) відомості про особисті доходи кожного працівника;

4) відомості про стан банківських рахунків і проведених фінансових операцій;

5) відомості про рентабельність виробництва;

6) відомості про боргові зобов'язання підприємства, у тому числі про розміри й умови отриманих кредитів і позик;


7) механізм ціноутворення (прямі витрати, накладні витрати, норма прибутку);

8) відомості про ефективність імпорту й експорту (у тому числі роз­рахунки експортної й імпортної вартості товарів, робіт, послуг);

9) відомості про участь підприємства в статутних капіталах інших організацій.

У ринкових взаєминах:

1) оригінальні методи маркетингових досліджень;

2) результати вивчення ринку, оцінки стану та перспектив розвитку ринкової кон'юнктури;

3) відомості про ринкову стратегію фірми та про оригінальні методи просування товарів;

4) проекти прайс-листів та умови надання знижок;

5) відомості про передбачувані закупівлі, про отримані замовлення й про обсяг взаємних поставок за довгостроковими договорами;

6) відомості про підприємство як про торговельного партнера;

7) дані про всіх контрагентів, ділових партнерів і конкурентів підпри­ємства, яких немає у відкритих джерелах;

8) зміст торговельних угод, які за домовленістю сторін уважаються конфіденційними;

9) відомості про підготовку до торгів, аукціонів і про їх результати.

У сфері керування підприємством і забезпечення безпеки:

1) відомості про механізм підготовки, прийняття й виконання управ­лінських рішень;

2) відомості про проведення, порядок денний та результати службо­вих нарад;

3) відомості про підготовку й результати переговорів з діловими пар­тнерами підприємства;

4) відомості про організацію захисту комерційної таємниці, про охо­ронну систему підприємства, про комерційну таємницю, передану партне­рам (отриману від партнерів) на довірчій основі або за договорами;

5) стан програмного й комп’ютерного забезпечення фірми;

6) зміст завдань на відрядження (якщо відрядження носять конфіденційний характер).

У сфері виробництва:

1) відомості про структуру виробництва, виробничі потужності, типи і розміщення устаткування, запаси сировини, матеріалів, комплектуючих і готової продукції;

2) напрямки й обсяги інвестицій, планові та звітні дані про введення об'єктів в експлуатацію;

3) планові економічні показники;

4) плани розширення або згортання виробництва різних видів проду­кції і їх техніко-економічні обгрунтування;

5) відомості про нові матеріали й технологію їх застосування, про комплектуючі вироби, які надають продукції нові якості;

6) відомості про модернізації відомих технологій, що дозволяють під­вищити конкурентоспроможність продукції.

У науково-технічній діяльності:

1) відомості про цілі, завдання і програми перспективних досліджень;

2) матеріали про незареєстрованні відкриття, винаходи й раціоналіза­торські пропозиції;

3) конструкційні характеристики створюваних виробів і параметри розроблюваних технологічних процесів (габарити, компоненти, режими об­робки й т.п.);

4) особливості конструкторсько-технологічних рішень і дизайнерсь­кого оформлення, які можуть змінити рентабельність виробів;

5) умови експериментів і характеристика устаткування, на якому во­ни здійснювалися;

6) використовувані методи захисту від підробки товарних знаків.

Зрозуміло, що наведений список не є обов'язковим або вичерпним.

Залежно від конкретних умов роботи підприємства його можна скоротити або доповнити. При цьому потрібно спрогнозувати, які негативні наслідки виникнуть, якщо та або інша інформація «піде на сторону».

Результатом безтурботності можуть стати:

1) розрив (або погіршення) ділових відносин з партнерами;

2) зрив переговорів, втрата вигідних контрактів;

3) невиконання договірних зобов'язань;

4) необхідність проведення додаткових ринкових досліджень;

5) відмова від рішень, що стали неефективними через розголос інфо­рмації, і, як наслідок, фінансові втрати, пов'язані з новими розробками;

6) втрата можливості запатентувати продукт або продати ліцензію;

7) зниження цін або обсягів реалізації;

8) втрата авторитету або ділової репутації фірми;

9) більш жорсткі умови одержання кредитів;

10) труднощі з постачання та придбання устаткування тощо.

Одним з компонентів комерційної таємниці може бути «ноу-хау».

«Ноу-хау»- це відомості про рішення у будь-яких сферах практичної діяльності (техніці, економіці, організації тощо), що допускають їх практичне використання та є придатними для участі в економічному обігу через невідомість та недоступність невизначеному колу осіб.

Пропоноване рішення може бути як результатом нової розробки, так і вже накопичених з часом знань, досвіду, навичок.

На відміну від інших видів інформації, що можуть становити комер­ційну таємницю, «ноу-хау» полягає у вирішенні практичної задачі, у реко­мендації до дії, воно не має чисто пізнавального або інформаційного харак­теру, це має бути рішення, що допускає здійснення. Так, наприклад, не мож­на назвати «ноу-хау» систематизовану інформацію, клієнтську базу, яка, проте, цілком може бути захищена як комерційна таємниця.

«Ноу-хау» - це охоронювані в режимі комерційної таємниці резуль­тати інтелектуальної діяльності, які можуть бути передані іншій особі та ви­користані нею на законній підставі, у тому числі:

· неопубліковані науково-технічні результати, технічні рішення, методи, способи використання технологічних процесів та пристроїв, які не забезпечені патентним захистом відповідно до законодавст­ва або за рішенням особи, яка володіє такою інформацією на за­конній підставі;

· знання та досвід в області реалізації продукції і послуг, відомості про кон’юнктуру ринку, результати маркетингових досліджень;

· комерційні, методичні або організаційно-управлінські ідеї та рі­шення.

Термін «ноу-хау» походить від англійського виразу «know how» або «знаю як [зробити]». Вперше термін «know-how» з'явився у 1916 році в США у рішенні в судовій справі «Дізенд проти Брауна» і з того часу почав широко вживатися у всьому світі, став звичним в економічному обігу.

У міжнародній практиці та актах, а також в законодавстві іноземних країн, найчастіше вживається термін «trade secret», який, як правило, перекладають як «торговий секрет».

У міжнародній практиці та актах, а також в законодавстві іноземних країн, найчастіше вживається термін «trade secret», який, як правило, перек­ладають як «торговий секрет».

1.7.3 Банківська таємниця

Банківська таємниця — це відомості про банківські операції з рахунками і операції в інтересах клієнтів, про рахунки вклади своїх клієнтів і кореспондентів, а також відомості про клієнтів і кореспондентів, розголошування яких може порушити право останніх на недоторканність приватного життя.

Основними об'єктами банківської таємниці є:

1) таємниця банківського вкладу - відомості про всі види вкладів клі­єнта в кредитній організації;

2) таємниця приватного життя клієнта або кореспондента - відомості, що складають особисту, родинну таємницю і охороняються законом як пер­сональні дані цього клієнта або кореспондента;

3) таємниця банківського рахунку - відомості про рахунки клієнтів і кореспондентів і дії з ними в кредитній організації (про розрахунковий, по­точний, бюджетний, депозитний, валютний, кореспондентський і тому поді­бні рахунки, про відкриття, про закриття, переведення, переоформлення ра­хунків тощо);

4) таємниця операцій з банківським рахунком - відомості про прийн­яття і зарахування грошових коштів, що надходять на рахунок клієнта,виконання його розпоряджень з перерахування і видачі відповідних

сум з ра­хунку, а також про здійснення інших операцій і операцій з банківським ра­хунком, передбачених договором банківського рахунка або законом.

На сьогодні основоположним документом, який визначає правовий режим банківської таємниці в Україні, є Закон України “Про банки і банків­ську діяльність” №2121-14в редакції від 7 грудня 2000 року.

Згідно з цим законом до банківської таємниці певного банку також належить інформація про клієнтів інших банків, яка може стати відомою з документів, угод та операцій клієнта банку.

Законом віднесено до банківської таємниці інформацію про організа­ційно-правову структуру юридичної особи - клієнта банку, її керівників, на­прями діяльності.

Також банківську таємницю складає інформація зі звітності окремого банку, за винятком тієї, що підлягає опублікуванню, а саме: дата реєстрації, кількість балансових філій, кількість працюючих на кінець року, кількість рахунків, валюта балансу, обсяг кредитного портфеля, обсяг вкладів


грома­дян, капітал банку, сплачений статутний фонд, сума доходів, сума витрат, прибуток, рентабельність власного капіталу у відсотках.

Режим конфіденційності деякого обсягу інформації про банк, яка складає банківську таємницю, має строковий, а не абсолютний характер - припинення режим конфіденційності даної інформації пов’язується із на­станням певної події в часі, а саме: на такій стадії ліквідації банку, як приз­начення ліквідатора, відомості про фінансове становище банку перестають бути конфіденційними чи становити банківську таємницю. Однак решта ві­домостей, що становлять банківську таємницю, зберігають режим конфіден­ційності.

1.7.4 Податкова таємниця

Податкову таємницю становлять будь-які відомості про платника подат­ків, отримані податковим органом, органами внутрішніх справ, органом держа­вного позабюджетного фонду й митним органом , за винятком відомостей:

1) розголошених платником податків самостійно або з його згоди;

2) про ідентифікаційний номер платника податків;

3) про порушення законодавства про податки й збори й міри відпові­дальності за ці порушення;

Відповідно до Кодексу щодо запобігання ухилення від податків, прийнятого в 2006 році, забороняється не повідомляти податковому інспектору будь-яку інформацію, яку б ви не хотіли доводити до його відома, хоча ви і не зобов’язані повідомляти йому інформацію, яку ви не проти йому повідомити

4) надаваних податковим (митним) або правоохоронним органам ін­ших держав відповідно до міжнародних договорів (угод), однієї зі сторін яких є Україна, про взаємне співробітництво між податковими (митними) або пра­воохоронними органами (у частині відомостей, наданих цим органам).

 

1.7.5 Службова таємниця

Службова таємниця - конфіденційна інформація, що захищається згідно із законом, стала відомою в державних органах і органах місцевого самоврядування лише на законних підставах і через виконання їх представниками службових обов'язків, а також службова інформація про діяльність державних органів, доступ до якої обмежений законом або через службову необхідність.

До основних об'єктів таємниці належать такі види інформації:

· службова інформація про діяльність державних органів, доступ до якої обмежений законом з метою захисту державних інтересів: вій­ськова таємниця; таємниця слідства (дані попереднього розсліду­вання або слідства); судова таємниця (таємниця наради суддів, вміст дискусій і результатів голосування закритої наради Консти­туційного суду України, матеріали закритого судового засідання або через службову необхідність, порядок вироблення і ухвалення рішення, організація внутрішньої роботи і т.п.);

· конфіденційна інформація, що стала відомою через виконання службових обов'язків посадовою особою державних органів і

· органів місцевого самоврядування: комерційна таємниця, бан­ківська таємниця, професійна таємниця, а також конфіденційна інформація про приватне життя особи.

Інформація службової таємниці повинна відповідати критеріям охороно здатності права:

· бути віднесеною законом до службової інформації про діяльність державних органів, доступ до якої обмежений згідно із законом або через службову необхідність;

· бути конфіденційною інформацією службового характеру (чужою таємницею) іншої особи (комерційна таємниця, банківська таєм­ниця, таємниця приватного життя, професійна таємниця);

· не бути державною таємницею і не входити до переліку відомос­тей, доступ до яких не може бути обмежений;

· бути отриманою представником державного органу і органу місце­вого самоврядування лише через виконання службових обов'язків у випадках і порядку, встановлених законом.

Інформація, що не відповідає цим вимогам, не може вважатися служ­бовою таємницею і не підлягає правовій охороні.

Відомості, які не можуть бути віднесені до службової інформації об­меженого поширення:

· відомості з актів законодавства, що встановлюють правовий статус державних органів, організацій, суспільних об'єднань, інформація про права, свободи і обов'язки громадян, порядок їх реалізації;

· відомості про надзвичайні ситуації, небезпечні природні явища і процеси; екологічна, гідрометеорологічна, гідрогеологічна, демо­графічна, санітарно-епідеміологічна та інша інформація, необхідна для забезпечення безпечного існування населених пунктів, вироб­ничих об'єктів, громадян і населення в цілому;

· відомості з описів структур органів виконавчої влади, їх функцій, напрямів і форм діяльності, інформація про їх адресу і місце роз­ташування;

· інформація про порядок розгляду заяв фізичних і юридичних осіб;

· відомості про виконання бюджету і використання інших держав­них ресурсів, про стан економіки і потреби населення;

· інформація з документів відкритих фондів бібліотек і архівів, ін­формаційних систем організацій, необхідна для реалізації прав, свобод і обов'язків громадян.

1.7.6 Професійна таємниця

Професійна таємниця - інформація, що захищається згідно із законом, довірена або така, що стала відомою особі виключно через виконання нею своїх професійних обов'язків, не пов'язаних з державною або муніципальною службою, поширення якої може завдати збитку правам і законним інтересам власника інформації або іншої особи (довірителя), що довірила ці відомості, які не є державною або комерційною таємницею.

Інформація професійної таємниці за критеріями охороно здатності права відповідає таким вимогам:

· інформація не належить до відомостей, що складають державну і комерційну таємницю;

· інформація стала відомою або була довірена особі лише через ви­конання нею своїх професійних обов'язків;

· інформація стала відомою або була довірена особі, що не перебу­ває на державній або муніципальній службі (інакше інформація вважається службовою таємницею);

· заборонено поширення довіреної або такої, що стала відомою, ін­формації, яка може завдати збитку правам і законним інтересам довірителя.

Відповідно до цих критеріїв виділяють такі об'єкти професійної таємниці.

1. Лікарська таємниця - інформація, що містить:

· відомості про факт звертання за медичною допомогою, про стан здоров'я, діагнози захворювання та інші відомості, отримані при обстеженні і лікуванні громадянина;


· не бути надлишковими стосовно неї. Не допускається об'єднання баз персональних даних, зібраних тримачами в різних цілях, для автоматизованої обробки інформації;\

· персональні дані, що надаються тримачем, мають бути точними; у разі потреби вони повинні оновлюватися;

· персональні дані повинні зберігатися не довше, ніж цього вимагає мета, і підлягати знищенню після досягнення цієї мети;

· персональні дані охороняються в режимі конфіденційної інформа­ції, що виключає їх випадкове або несанкціоноване руйнування або випадкову втрату, а також несанкціонований доступ до даних, їх зміну, блокування або передачу;

· встановлюється спеціальний правовий режим використання персо­нальних даних осіб, що обіймають вищі державні посади, і канди­датів на ці посади.

 


1.8 СПОСОБИ НЕПРАВОМІРНОГО ОВОЛОДІННЯ КОНФІДЕНЦІЙНОЮ ІНФОРМАЦІЄЮ

У значній частині законодавчих актів, законів, кодексів, офіційних матеріалів стосовно неправомірного оволодіння конфіденційною інформації використовуються такі поняття, як розголошення відомостей, витік інфор­мацією і несанкціонований доступ до конфіденційної інформації.

Розголошення - це навмисні чи необережні дії з конфіденційними відомостями, що призвели до ознайомлення з ними осіб, не допущених до них.

Розголошення полягає у повідомленні, передачі, наданні, пересилан­ні, опублікуванні, втраті та в інших формах обміну і дій з діловою і науко­вою інформацією.

Реалізується розголошення формальними і неформальними каналами поширення інформації.

До формальних комунікацій належать ділові зустрічі, наради, пере­говори і тому подібні форми спілкування: обмін офіційними діловими і нау­ковими документами засобами передачі офіційної інформації (пошта, теле­фон, телеграф і ін.).

Неформальні комунікації - це особисте спілкування (зустрічі, лис­тування й ін.); виставки, семінари, конференції й інші масові заходи, а також засоби масової інформації (газети, інтерв’ю, радіо, телебачення й ін.).

Як правило, причиною розголошення конфіденційної інформації є недостатнє знання співробітниками правил захисту комерційних секретів і нерозуміння необхідності їх ретельного дотримання. Отут важливо відзна­чити, що суб’єктом у цьому процесі виступає джерело (власник) секретів, що охороняються.

Необхідно врахов

⇐ Предыдущая12345678910Следующая ⇒

 




Поиск по сайту:
©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.