Доклад по дисциплине «Безопасность жизнедеятельности» на тему «Конфиденциальная информация и её защита»

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Иркутский государственный университет»

Педагогический институт

Отделение физико-математического, естественнонаучного и технологического образования

Доклад

на тему: «Конфиденциальная информация и ее защита»

по дисциплине Безопасность жизнедеятельности

Выполнила: студентка группы БЖД-География 201123

Нефедьева Ю.С.

Проверил: кандидат географических наук,

доцент кафедры географии, безопасности

жизнедеятельности и методики,

Гулевич В.П.

Иркутск, 2021

ВВЕДЕНИЕ

На данном этапе развития современного общества многие традиционные ресурсы человеческого прогресса постепенно теряют свое первоначальное значение. Информация становится сегодня главным ресурсом научно-технического прогресса и социально-экономического развития мирового сообщества. Чем больше актуальной и действительно необходимой информации появляется в сферах жизни человека, тем выше становится жизненный уровень народа, политический и экономический потенциал государства.

Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена.Понятие конфиденциальности используется практически во всех областях, как в коммерческих структурах, так и государственных. С развитием информационных технологий проблема конфиденциальной информации приобрела большую значимость.Со временем стала появляться необходимость в защите информации, т.к стали появляться угрозы её утечки, из-за которой происходит масса проблем не только в рыночно-конкурентных условиях, но и в жизни обычного человека: страдают владельцы банковских карт, недвижимости и пенсионных накоплений, а также вкладчики банков.

Актуальность проблемы защиты информации заключается в том, что с увеличением количества вычислительной техники появляются большие возможности для несанкционированного доступа к передаваемой информации.

Благодаря вышеуказанному, можно выделить цель работы:анализ внешних и внутренних угроз защиты конфиденциальной информации.

В связи с этим определены следующиезадачи:

1. Определение видов конфиденциальной информации;

2. Рассмотреть способы защиты конфиденциальной информации;

3. Развернуто рассмотреть проблемы защиты конфиденциальной информации и различных путей их решения.

Объект исследования: информация

Предмет исследования: защита информации

Глава 1. Понятие конфиденциальной информации и её виды

Конфиденциальная информация — информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета.

Конфиденциальной информацией может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Информацию принято делить на три группы:

• Первая — несекретная (или открытая), которая предназначена для использования как внутри организации, так и вне нее.

• Вторая — для служебного пользования (ДСП), которая предназначена только для использования внутри организации. Она подразделяется, в свою очередь, на две подкатегории:

1. Доступная для всех сотрудников организации;

2. Доступная для определенных категорий сотрудников организации, но данная информация может быть передана в полном объеме другому сотруднику для исполнения трудовых обязанностей.

• Третья — информация ограниченного доступа, которая предназначена для использования только специально уполномоченными сотрудниками организации и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

СВЕДЕНИЯ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

Перечень сведений конфиденциального характера утвержден Указом Президента Российской Федерации от 06.03.1997 № 188. Согласно этому документу к конфиденциальной информации относятся сведения:

• О фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, которые распространяют в средствах массовой информации в установленных федеральными законами случаях.

• Составляющие тайну следствия и судопроизводства. То есть сведения о лицах, в отношении которых применяются меры государственной защиты (в соответствии с Федеральным законом от 20.04.1995 № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», Федеральным законом от 20.08.2004 № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации). К ним также относятся сведения о мерах государственной защиты указанных лиц, если законодательство РФ не относит их к сведениям, составляющим государственную тайну.

• Служебные, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

• Связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).

• Связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

• О сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

• Содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 02.10.2007 № 229-ФЗ «Об исполнительном производстве» (в ред. от 14.11.2017).

Конфиденциальная информация делится на несколько видов в зависимости от содержания и от того, в каком кругу используется:

1. Служебная тайна - информация, имеющая особую ценность, доступ к которой ограничивается государственными органами РФ в соответствии с действующим законодательством. Является самостоятельным объектом права. Служебной тайной считается секретные сведения о работе федеральных властных, государственных органов, конфиденциальные сведения, попавшие в поле зрения чиновников по долгу службы, тайна предварительного следствия. [https://assistentus.ru/vedenie-biznesa/vsyo-o-sluzhebnoj-tajne-i-eyo-ohrane/]

2. Коммерческая тайна - режим ограничения использования, передачи и распространения информации, которая позволяет ее обладателю получить материальную или нематериальную выгоду. Под коммерческой тайной принято подразумевать результаты интеллектуальной деятельности, научно-техническая информация, которая представляет собой особую коммерческую ценность для организации.  

Ценность коммерческой тайны заключается в том, что она известна лишь определенному кругу лиц и недоступна третьим лицам. Примером коммерческой тайны может служить производство по уникальной технологии какой-либо продукции.

[https://ru.wikipedia.org/wiki/Коммерческая_тайна]

1. Персональные данные - это любые сведение относящиеся (прямо или косвенно) к субъекту персональных данных, то есть физическому лицу. Существует классификация персональных данных:

• Общедоступные - те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете;

• Специальные - информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни;

• Биометрические - информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии;

• Иные - все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,информация о принадлежности к определенной социальной группе, стаж работы и пр.[ https://www.klerk.ru/blogs/buhgalterskij-arhiv/508477/]

1. Профессиональная тайна – это защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.

Профессиональная тайна является тайной не определенной информации, отнесенной к этому виду тайны, а обобщенным понятием, включающим чужие тайны, если они становятся достоянием уполномоченных на то юридических и физических лиц, если они получены в результате осуществления профессиональной деятельности.

1. Тайна следствия — это запрет на разглашение данных предварительного расследования без разрешения на то следователя или дознавателя. Общее правило: данные предварительного расследования не подлежат разглашению. Разглашение сведений о ходе расследования не должно противоречить интересам предварительного расследования и не должно влечь нарушения прав и законных интересов участников уголовного судопроизводства. В связи с этим получение разрешения следователя, дознавателя — это обязательное требование для разглашения данных предварительного расследования в любой форме. Законом не определена форма разрешения, соответственно оно может быть выражено в любой допустимой форме, позволяющей идентифицировать волю следователя, дознавателя. [https://mmdc.ru/services/tajna_sledstviya_i_publikacii_smi/#:~:text]

Глава 2. Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149. 

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации. 

В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;

• соблюдение режима ограниченного доступа к ограниченным данным;

• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;

• своевременное обнаружение попытки незаконно получить доступ к информации;

• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;

• постоянный мониторинг уровня защиты информации;

• возможность восстановить данные, которые были уничтожены;

• размещение информации ограниченного доступа в базах данных на территории РФ.

Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов.

2.1. Уровень защиты информации

Для принятия правильных мер, следует точно определить уровень защиты информации.

Можно выделить три уровня системы защиты конфиденциальной информации:

• Правовой уровень защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации. Включает в себя применение правовых документов федерального уровня, разработку и поддержку в актуальном состоянии ведомственных нормативных документов по обеспечению ИБ. Можно выделить четыре уровня правового обеспечения информационной безопасности:

1 уровень – Международные договоры, к которым присоединилась Российская Федерация и федеральные законы России;

2 уровень – Указы Президента РФ и постановления Правительства РФ, письма Высшего Арбитражного Суда;

3 уровень – ГОСТы, руководящие документы, нормы, методики, классификаторы, разработанные государственными органами

4 уровень – Локальные нормативные акты, положения, инструкции

[https://en.ppt-online.org/52478]

• Организационный защиты информации содержит меры управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы;

• Технический уровень обеспечения конфиденциальности информации включает в себя технические меры, направленные на управление доступом к информационным ресурсам, контроль и защиту компонентов информационной системы - оборудования, программ и/или данных. Уровни обеспечения информационной безопасности определяют структуру системы:

1. 1. Инженерно-технический элемент системы защиты информации

   2. Программно-аппаратный элемент системы защиты информации

   3. Криптографический элемент системы защиты информации

2.2 Меры защиты конфиденциальной информации

В соответствии с ГОСТ Р 50922-2006 можно выделить следующие (обобщенные) организационные и технические меры защиты конфиденциальной информации:

1. Защита конфиденциальной информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение получения защищаемой информации нарушителем;

2. Защита конфиденциальной информации от несанкционированного воздействия — защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к защищаемой информации;

1. Защита информации от непреднамеренного воздействия — защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к защищаемой информации;

1. Защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов, не имеющих права доступа к этой информации;

1. Защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами или обладателями информации прав или правил разграничения доступа к защищаемой информации;

1. Защита информации от преднамеренного воздействия — защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного или воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

[https://docs.cntd.ru/document/1200058320]

Стоит отметить, что заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Глава 3. Проблемы защиты конфиденциальной информации и пути их решения

3.1. Проблемы защиты конфиденциальной информации

В настоящее время существуют различные проблемы защиты информации и заключаются они в следующем:

Причина 1 – Персонал

Каждый сотрудник предприятия является потенциальной угрозой для безопасности информации. Часто люди забирают работу домой – перемещают рабочие файлы на свои флеш-носители, передают их по незащищенным каналам соединения, обсуждают информацию с сотрудниками конкурирующих компаний.

Причина 2 – Проблема подбора кадров

Частая смена персонала, масштабные изменения в организации работы компании, понижение заработных плат, сокращения сотрудников – все это является частью «текучки» кадров. Такое явление часто становится причиной утечки секретной информации.

Кризис, нехватка средств для выдачи зарплат заставляют руководство ухудшать условия работы персонала. В результате повышается недовольство работников, которые могут уйти или же просто начать распространять секретные данные конкурентам. 

Угрозу распространения тайны могут нести не только уже ушедшие сотрудники, но и текущие работники, уровень мотивации которых понижен.

Причина 3 – Использование сложных IT-инфраструктур

Сложность системы тоже является риском утечки, ведь одновременная работа нескольких человек бывает недостаточно налаженной. К примеру, один администратор может внедрить или удалить правила разграничения доступа, а другой – забыть внести данные прав доступа к серверам.

При использовании сложных систем защиты информации важно грамотно разделять все обязанности и контролировать их своевременное выполнение. В противном случае созданная система может навредить компании.

Причина 4 – Поломки техники

• Ошибки в работе ПО

Всевозможные сбои в работе программного обеспечения возникают постоянно. В момент появления уязвимости защищаемые файлы рискуют стать перехваченными хакером. Важно вовремя выявлять все неполадки в работе установленных программных и аппаратных компонентов.

• Поломка технических средств защиты

Для сохранности информации рекомендуется защищать не только операционные системы и гаджеты, но и весь периметр офисного помещения, а также зону контроля уличных коммуникаций. Для этих целей используются заглушки на окна, уплотнители архитектурных конструкций (для предотвращения прослушек), устройства для экранирования и зашумления (для невозможности перехвата радиоволн) и прочие гаджеты.

3.2. Пути решения проблем защиты конфиденциальной информации

Необходимо помнить о компонентах защиты информации для полного осознания ситуации:

Конфиденциальность - это защита от несанкционированного доступа к информации;

Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;

Доступность- это возможность за приемлемое время получить требуемую информационную услугу.

В современное время средствами защиты информации могут быть техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:

1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.[ https://searchinform.ru/resheniya/biznes-zadachi/rabota-s-konfidentsialnoj-informatsiej/organizatsiya-zaschity-konfidentsialnoj-informatsii/]

Проанализировав вышеуказанные проблемы, можно сформировать список принципов, благодаря которым удаться защитить информацию от её нежелательной утечки:

1. «Принцип системности». К безопасности нужно подходить системно: подбирать достаточно сложные пароли не доверять подозрительным сайтам.

2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

2. «Принцип разделяй и властвуй». Кроме вас самого не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

3. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

4. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Средствами защиты информации могут быть техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

ЗАКЛЮЧЕНИЕ

В формирующемся современном мире информация выступает важнейшим компонентом развития общества. За последние годы в процессе развития информационных технологий и увеличения информации общество всё больше стало сталкиваться с понятиями «конфиденциальная информация» и «защита конфиденциальной информации», благодаря чему у человека возникла потребность в знании ключевых определений и способов защиты своих данных. В Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определённым сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Актуальность данной проблемы подтверждена перечисленными выше причинами несанкционированного доступа к персональным данным человека. Теперь мы понимаем, насколько важно знать способы несанкционированного доступа во избежание неблагоприятных ситуаций.

В ходе проделанной работы мною были определены основные виды информации (персональные данные, тайна следствия, служебная, коммерческая и профессиональная тайны), сведения о мерах её защиты конфиденциальной информации и, конечно же, изучена и проанализирована система защиты информации, были выделены основные недостатки и проблемы и предложены рекомендации для их непременного решения (сертификация, лицензирование, категорирование и аттестация). Благодаря вышеописанным принципам защиты информации теперь абсолютно любой человек сможет обезопасить себя и свои персональные данные от проникновения её в чужие руки.

Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена. Именно поэтому в настоящее время повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать методику ее проведения. 

Таким образом, в реферате исследованы и проанализированы современные требования к организации защиты конфиденциальной информации, рассмотрены критерии и технологии построения и использования систем защиты информационных ресурсов.

Поставленные в реферате цель и задачи можно считать достигнутыми.

Список использованной литературы

1. А. П. Жук, Е. П. Жук, О. М. Лепешкин, А. И. Тимошкин, «Защита информации» [https://www.livelib.ru/selection/873604-zaschita-informatsii-konfidentsialnoe-deloproizvodstvo-informatsionnaya-bezopasnost]

2. Ищейнов В.Я., Мецатунян М.В., «Защита конфиденциальной информации» [https://www.livelib.ru/selection/873604-zaschita-informatsii-konfidentsialnoe-deloproizvodstvo-informatsionnaya-bezopasnost]

3. Плотников, Н.И. Конфиденциальность: мифы и реальность о тайнах и секретах / Н.И. Плотников // Управление персоналом. - 2006. - № 20. - С.45 - 50.

4. Терещенко, Л.К. «Правовой режим персональных данных и безопасность личности» /Л. К. Терещенко //Закон. -2018.- №6.- С. 37 -43.

5. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Адрес публикации: https://www.prodlenka.org/metodicheskie-razrabotki/503212-doklad-po-discipline-bezopasnost-zhiznedejate