ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 549
Скачиваний: 6
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
78
Государство в отношении сведений, составляющих государ- ственную тайну, имеет право устанавливать степень секретности информации и гриф секретности носителей этих сведений.
В зависимости от степени тяжести ущерба, который может быть нанесен безопасности вследствие распространения сведений, составляющих государственную тайну, устанавливается степень их секретности.
Устанавливаются одна из трех степеней секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности, которые представлены на рис. 3.32.
Рис. 3.32. Грифы секретности сведений, составляющих государственную тайну
Гриф секретности «особой важности» присваивается сведени- ям, составляющим государственную тайну, разглашение которых повлечет ущерб интересам РФ. Гриф «совершенно секретно» при- сваивается сведениям, составляющим государственную тайну, раз- глашение которых повлечет ущерб интересам министерства (ведом- ства) или отрасли экономики. Гриф «секретно» присваивается све- дениям, составляющим государственную тайну, разглашение которых повлечет ущерб интересам предприятия, учреждения или организации.
В целях защиты сведений, относящихся к государственной тайне, существует особый порядок допуска должностных лиц и граждан к государственной тайне (рис. 3.33).
Гриф секретности
«особой важности»
«совершенно секретно»
«секретно»
79
Рис. 3.33. Комплекс мер, предусмотренных при допуске должностных лиц и граждан к государственной тайне
Устанавливаются три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням сек- ретности сведений, составляющих государственную тайну – к све- дениям особой важности, совершенно секретным или секретным.
Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.
Прекращение допуска к государственной тайне не освобождает должностное лицо или гражданина от взятых им обязательств по неразглашению сведений, составляющих государственную тайну.
Должностные лица и граждане, виновные в нарушении законо- дательства РФ о государственной тайне, несут уголовную, админи- стративную, гражданско-правовую или дисциплинарную ответ- ственность в соответствии с действующим законодательством.
Государством подробно проработан вопрос об уголовной от- ветственности граждан. Гражданин может быть осужден по четырем статьям УК РФ в случае нарушения им режима государственной тайны: ст. 275 УК РФ «Государственная измена», ст. 276 УК РФ
«Шпионаж», ст. 283 УК РФ «Разглашение государственной тайны», ст. 284 УК РФ «Утрата документов, содержащих государственную тайну» [7].
Принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну
Согласие на частичные, временные ограничения их прав в соответствии с законодательством
(ограничение права выезда за границу на определенный срок)
Письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий
Определение видов, размеров и порядка предоставления социальных гарантий
Ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за его нарушение
80
В отношении незаконного распространения и использования конфиденциальной информации предусмотрена административная ответственность в виде следующих статей: ст. 13.12 «Нарушение правил защиты информации», ст. 13.13 «Незаконная деятельность в области защиты информации», ст. 13.14 «Разглашение информа- ции с ограниченным доступом».
Существует огромное количество случаев незаконного, не- санкционированного доступа.
Несанкционированный доступ – противоправные действия, в результате которых злоумышленник получает доступ к закрытой для сторонних лиц информации, а также это доступ к информации в нарушение должностных полномочий сотрудника.
Одним из важнейших видов деятельности по обеспечению ин- формационной безопасности предприятия является выявление, оценка и предотвращение угроз информационным системам и ин- формационным ресурсам. Угрозы можно условно разделить на че- тыре основные группы: программные – внедрение «вирусов», аппаратных и про- граммных закладок; уничтожение и модификация данных в инфор- мационных системах; технические, в том числе радиоэлектронные – перехват ин- формации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления; физические – уничтожение средств обработки и носителей информации; режимные – нарушение регламентов информационного об- мена; незаконные сбор и использование информации; несанкциони- рованный доступ к информационным ресурсам; незаконное копиро- вание данных в информационных системах; хищение носителей, а также программных парольных ключей; сокрытие или искажение информации; хищение информации из баз данных. Самыми популя- ризированными угрозами информационной безопасности являются хакерские атаки, вирусные эпидемии и спам.
Повышенные требования к информационной безопасности предполагают соответствующие мероприятия на всех этапах жиз- ненного цикла информационных технологий. Планируются эти ме- ры после анализа рисков. Риск – это опасность, которой может под- вергаться организация. Цель процесса оценки рисков заключается в определении их характеристик в информационной системе и ее ре- сурсах (рис. 3.34). На основе таких данных выбирают необходимые средства управления информационной безопасностью.
81
Рис. 3.34. Этапы процесса оценки рисков
Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играет электронная коммерция. Этот сек- тор бизнеса связан с предоставлением услуг или продукции конеч- ному потребителю.
Правовую основу безопасности электронного бизнеса образу- ют следующие законы и правовые акты:
Федеральный закон от 07.02.1992 №2300-1 «О защите прав потребителей» (ред. от 13.07.2015) [11];
Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (ред. от 12.03.2014) [22];
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональ- ных данных» (с изм. и доп., вступ. в силу с 01.09.2015) [20].
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информа- ции, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016) [19];
Описание объекта и мер защиты
Идентификация ресурса и оценки его количественных показателей
(определение потенциального негативного воздействия на бизнес)
Анализ угроз информационной безопасности
Оценка слабых мест
Оценка существующих и перспективных средств обеспечения информационной безопасности
82
Уголовный кодекс Российской Федерации от 13.06.1996
№ 63-ФЗ (
ред. от 30.03.2016
) (глава «Преступления в сфере компью- терной информации») [7].
Виды рисков мошенничества с электронными деньгами в сети
Интернет, которые принято выделять, представлены на рис. 3.35.
Рис. 3.35. Виды рисков мошенничества с электронными деньгами в сети Интернет
С развитием информационных технологий в современном мире появляется все больше устройств и средств, предназначенных для хранения и передачи информации. С одной стороны, это открывает широкие возможности, так как позволяет сотрудникам компаний быть мобильными и решать задачи вне зависимости от своего места нахождения. С другой стороны, отследить передвижение важных для бизнеса компании данных в таких условиях становится крайне сложно.
Большая часть информации, которая важна для предприятия, перенесена в электронную форму, а использование глобальных или электронных сетей создает серьезные угрозы для конфиденциальных данных.
Компьютерные преступления – это противоправные посяга- тельства на безопасность предпринимательства, особенно это каса- ется экономической деятельности организации. Объектом такого преступления может быть различная информация, например сведе- ния о политике компании, ее штате, клиентских базах, экономиче- ских действиях, разработках и др. Источник угрозы может быть внешним (конкуренты, злоумышленники), внутренним (сотрудники компании), смешанным (исполнителем в таком случае будет сотруд-
Виды рисков
Риск дублирования технического устройства
(жесткого диска)
Риск изменения или дублирования сведений
Риск изменения сообщений и программ
Риск кражи
Риск отказа операций
83 ник, а заказчиком, например, конкурент). Ущерб от противоправно- го действия может быть огромен.
Утечка конфиденциальных корпоративных данных может нанести серьезный вред бизнесу компании. Какие данные относятся к конфиденциальным – каждая компания определяет сама. Для од- них это будет информация о новом продукте или технологии, для других – данные клиентской базы. Но суть всегда одинакова – утеч- ка таких данных в результате кражи по заказу конкурентов или небрежности собственных сотрудников компании неизбежно влечет потерю конкурентного преимущества, наносит вред репутации ком- пании, вызывает отток клиентов и т.п. В связи с этим предприятию важно постоянно осуществлять анализ показателей информацион- ной составляющей безопасности предприятия (рис. 3.36).
Рис. 3.36. Показатели информационной составляющей экономической безопасности предприятия
Уровень информационной безопасности можно определить как произведение коэффициентов – полноты, точности информации и противоречивости информации.
Существует множество способов борьбы с утечками конфи- денциальных данных как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффектив- ных методов является внедрение системы защиты от утечек конфи- денциальных данных Data Leak Prevention (DLP) – технологии предотвращения утечек конфиденциальной информации из инфор- мационной системы вовне, а также технические устройства (про- граммные или программно-аппаратные) для такого предотвращения утечек.
Показатели информационной безопасности
Производительность информации
Коэффициент информационной вооруженности
Коэффициент защищенности информации
84
DLP-системы строятся на анализе потоков данных, пересека- ющих периметр защищаемой информационной системы. При детек- тировании в этом потоке конфиденциальной информации срабаты- вает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется.
Борьба с незаконным получением и распространением конфи- денциальной информации поможет развить рынок DLP-технологий, ведь системы DLP – наиболее эффективный инструмент защиты конфиденциальной информации на сегодняшний день, и актуаль- ность данных решений будет со временем только увеличиваться.
Здесь важным шагом стало принятие DLP-решений в качестве неотъемлемого элемента системы безопасности любой крупной рос- сийской компании.
1 2 3 4 5 6 7 8 9
3.8. Безопасность предприятия
в экологической сфере
Безопасность предприятия в экологической сфере – это защита от разрушительного воздействия природных, техногенных факторов хозяйственной деятельности предприятия. Наводнения, землетрясе- ния, смерчи, оползни, лавины могут нанести огромный ущерб иму- ществу предприятия, здоровью работников. Техногенные катастро- фы возникают вследствие использования физически изношенных основных средств, непредусмотренного отключения электроэнергии или из-за низкой квалификации работников.
В результате хозяйственной деятельности само предприятие может стать источником опасности для окружающей среды.
К внутренним факторам, которые ухудшают экологическую безопасность, относятся следующие: ошибки, допущенные на ста- дии проектирования новых изделий, вредных для здоровья людей, а также на стадии разработки и внедрения новых технологий; штрафы за загрязнение окружающей среды и незаконно созданные свалки.
Экологическая составляющая заключается в соблюдении дей- ствующих экологических норм, минимизации потерь от загрязнения окружающей природной среды.
Последовательность процесса обеспечения функциональной составляющей экономической безопасности в экологической сфере представлена на рис. 3.37.
85
Рис. 3.37. Последовательность процесса обеспечения функциональной составляющей экономической безопасности в экологической сфере
Проблему обеспечения экологической безопасности общества от субъектов хозяйствования, осуществляющих производственно- коммерческую деятельность, можно решить только разработкой и тщательным соблюдения национальных (международных) норм предельно допустимой концентрации (ПДК) вредных веществ, кото- рые попадают в окружающую среду, а также соблюдением экологи- ческих параметров изготавливаемой продукции. Предприятия доб- ровольно не будут этого делать, потому что такие мероприятия тре- буют дополнительных затрат на очистные сооружения и на соответствующие эффективные экологически чистые технологии.
Единственным фактором, побуждающим предприятия к надлежащей экологизации производства, является применение ощутимых штра- фов за нарушение национального экологического законодательства.
Индикаторами обеспеченности экологической составляющей экономической безопасности предприятия являются нормативы
ПДК вредных веществ, установленные законодательством. Показа- тели оценки экологической составляющей экономической безопас- ности предприятийпредставлены на рис. 3.38.
Расчет эффективности мер по обеспечению экологической составляющей экономической безопасности по отчетным данным о финансово- хозяйственной деятельности предприятия
Разработка рекомендаций по повышению эффективности осуществляемых мероприятий
Разработка альтернативных сценариев реализации запланированных мероприятий и выбор оптимального
Практическое осуществление запланированных мероприятий