Техническая защита информации на предприятии

Заражение вирусами.

Рис.1. Самые опасные ИТ-угрозы (исследование Infowatch, 2004).

Cистема защиты информационных ресурсов включает в себя следующие элементы:

ѕ правовой;

ѕ организационный;

ѕ инженерно-технический;

ѕ программно-аппаратный;

ѕ криптографический (51, с.26)

В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости от: поставленных задач защиты организации; величины фирмы.

Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.

Одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.

В общем виде цели защиты информации сводятся к режимно-секретному информационному обеспечению деятельности государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информации.

2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях (103, с.52).

Риск угрозы утечки любых информационных ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица. Пример тому — сбой электроснабжения в Москве в 2005 году, последствия которого до сих пор испытывают некоторые организации (60, с.145).

Главная задача защиты информации, по мнению большинства специалистов, — защитить доступ (физический или программный) к месту пребывания электронной конфиденциальной информации таким образом, чтобы максимально удорожить процесс несанкционированного доступа к защищаемым данным (101, с.220).

Запомнить

Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Руководителям и ведущим специалистам служб безопасности и информационной безопасности; 
Владельцам бизнеса; 
Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесь

Степень ответственности виновных

За разглашение лицами конфиденциальной информации на законодательном уровне в пределах РФ предусматривается несение следующих видов ответственности:

  • Дисциплинарная;
  • Административная;
  • Уголовная.

Дисциплинарная заключается в различных действиях со стороны работодателя по отношению к сотруднику, виновному в том, что конфиденциальная информация стала известна широкому кругу лиц. Это может быть дисциплинарное взыскание, замечание, увольнение. Такие действия со стороны начальства могут иметь место только в том случае, если имеется доказательная база причастности сотрудника к утечке информации. В противном случае работник может обжаловать те санкции, которые были применены к нему, и уже работодатель может быть оштрафован за превышение полномочий.

Статья 13.14 Кодекса об административных правонарушениях (КоАП) рассматривает ответственность за правонарушение, относящееся к намеренному разглашению информации или действиям лиц, которые неумышленно привели к разглашению данных. Наказание за подобные действия будет выражаться в необходимости выплаты штрафа в размере от 500 до 1000 рублей для граждан, не относящихся к определенным учреждениям или организациям, и от 4000 до 5000 рублей для должностных лиц.

Наиболее тяжелым видом наказания будет являться привлечение виновного к уголовной ответственности.

Для того, чтобы действия субъекта рассматривались статьей УК РФ, необходимо, чтобы разглашению подверглась банковская, коммерческая или налоговая тайна. Кроме того, если привлечение к ответственности будет осуществляться по статье 183 УК РФ, даже получение или сбор такой информации должен осуществляться незаконным путем.

Мера наказания может варьироваться от несения обязательства выплаты штрафа в размере до 500 тыс. рублей до лишения свободы сроком до 7 лет.

В случае, если разглашение информации привело к определенным последствиям в виде падения акций одной из компаний, такие действия могут классифицироваться статьей 185.6 УК РФ и мера наказания будет выражаться в оплате штрафа в размере от 300 тыс. до 1 млн. рублей или запрете трудоустройства на определенные должности в течение 4 лет.

Та информация, которая отнесена к конфиденциальной, защищена от разглашения сторонним лицам. При наличии факторов, свидетельствующих о том, что определенные действия граждан или должностных лиц привели к ее распространению, виновные привлекаются к ответственности и определяемая мера наказания зависит от степени их вины и последствий разглашения.

7 важных мер по защите информации

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

2 Двухфакторная аутентификация

Вполне возможно, что 2ФА является самой эффективной и важной функцией, которую вы можете активировать. Определенно, время, потраченное на ее установку и использование на всех сайтах, стоит того

Она снижает вероятность взлома на любом сайте практически до нуля. Двухфакторная аутентификация (2ФА) настолько эффективна, что даже ФБР поддержало ее в своей компании под названием «Месяц национальной осведомленности о кибербезопасности». Несмотря на то, что с момента запуска этой компании прошло уже три года, 2ФА по-прежнему является лучшей защитой от киберпреступников и наиболее эффективным способом защиты ваших учетных записей в сети.

При использовании 2 ФА происходит следующее: когда вы входите на сайт с другого компьютера или IP-адреса, вы получите оповещение или по электронной почте, или по телефону. Войти в учетную запись вы сможете, только указав код, отправленный вам по электронной почте или по телефону. Благодаря этому «второму» фактору идентификации для взлома ваших учетных записей на сайтах хакерам потребуется больше информации. Вы можете использовать 2ФА при помощи электронной почты, и хотя эта мера очень эффективна, она не настолько эффективна как Google Authenticator. Разница в том, что используя 2ФА с помощью электронной почты, вы получаете доступ к своей электронной почте с того же компьютера и вводите код оттуда же. А если хакеры получили доступ к вашим учетным данным для входа на сайт, они могут получить доступ и к вашей электронной почте, хотя это намного сложнее. Подверженный угрозе компьютер – это подверженный угрозе компьютер, и на нем хранится вся ваша информация. Второе устройство может создать дополнительный уровень безопасности.

С приложением Google Authenticator на ваш мобильный будет отправляться код, действующий примерно 30 секунд. В таком случае хакерам потребуются не только ваше имя пользователя и пароль, но и физическое наличие вашего мобильного телефона. А получить все эти данные и вдобавок физическую составляющую практически невозможно. Все, что они могут знать, — это то, что на вашем счету есть, например, 20 долларов. После привязки информации, хранящейся онлайн, к физическому устройству шансы подвергнуться взлому сокращаются в геометрической прогрессии. Google Authenticator можно скачать с Google Play Store, это приложение доступно и для Android, и для IOS. Кроме того, вы можете получать сообщения по смс. Но этот способ не совсем подходит тем, кто не хотел бы предоставлять свой номер мобильного, а также тем, кто часто путешествует. Если вы используете 2ФА с помощью электронной почты, убедитесь, что вы применяете 2ФА и на вход в электронную почту. Если на каком-либо сайте предлагается активировать 2ФА, проверьте, активировали ли вы ее. Между надежно защищенной учетной записью и незащищенной действительно огромная разница.

От кого необходимо защищать информацию?

Внешний нарушитель

Базовый подход к защите от внешнего нарушителя — это создание защищенного периметра предприятия, как информационного, так и физического. Технические средства первой необходимости — это система контроля и управления доступом (СКУД) и система видеонаблюдения, которая является незаменимым инструментом в расследовании инцидентов.

Особое внимание нужно обратить на корректное уничтожение документов на бумажном носителе. Как ни странно, не все компании используют шредеры на местах работы сотрудников: в одной крупной компании проводились обязательные тренинги и тестирования по вопросам хранения и передачи конфиденциальной информации, были введены в действие регламенты информационной безопасности, проводилась политика «чистого стола» и «закрытых ящиков»

Однако в качестве системы уничтожения документов использовались картонные ящики, которые раз в неделю направлялись в промышленные шредеры. Таким образом, в периоды наполнения ящиков в них можно было найти ценные документы любого вида: договоры, счет-фактуры, конфиденциальные письма и т. д.

В качестве основных составляющих информационно защищенного периметра предприятия можно выделить наличие средств сетевой защиты и управления уязвимостями.

Российские предприятия используют три основных вида средств сетевой защиты:

Межсетевые экраны, а точнее, NGFW или UTM-решения (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). Современные межсетевые экраны уже имеют минимальные DLP-движки, позволяющие выявлять утечки по настроенным шаблонам.
Функция Web-контроля трафика — как отдельный шлюз или в составе NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). В частности, полезно будет запретить использование сервисов Google (Disk, Gmail), mail.ru, yandex.ru, по крайне мере, на операцию выгрузки файлов (upload)

В том числе, необходимо выполнять мониторинг действий пользователей в интернете, лимитировать объемы закачиваемой информации.
Если предприятие использует корпоративный портал для хранения конфиденциальных документов, имеет смысл обратить внимание на решения класса Web Application Firewall (WAF) (например, такие решения имеются у компаний: Imperva, F5 Networks, A10 Networks, Positive Technologies, «Код Безопасности» и др.).

Управление уязвимостями — процесс, крайне важный для построения защищенной инфраструктуры: последние события с вирусом WannaCry и, особенно показательно, с вирусом Petya (по сути, он эксплуатирует ту же уязвимость) недвусмысленно напомнили об этом. Да, защита от вирусов-шифровальщиков ближе к области решений по защите от потери данных, чем к краже информации. Однако, например, процесс управления обновлениями программного обеспечения (Patch Management), в целом, усложнит принципиальное проникновение в информационный периметр предприятия, независимо от его цели.

Внутренний нарушитель

Защита от внутреннего нарушителя — очень актуальная и многогранная тема, которой посвящены сотни статей и исследований

В данной публикации отметим, что для эффективной защиты от утечки важной для предприятия информации необходима разработка модели внутреннего нарушителя информационной безопасности, учитывающей как минимум следующие параметры: имеет ли нарушитель легитимный доступ к данным, какие права он имеет (ограниченные или привилегированные), тип доступа к данным — только из корпоративной сети или также извне, с каких устройств возможен доступ (персональный компьютер, мобильные устройства), характер действий (умышленный или неумышленный)

Среди перспективных средств защиты от внутреннего нарушителя — не столько всем известные DLP, сколько современные средства поведенческого и событийного анализа — UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

В одном из коммерческих банков топ-50 (с международным капиталом), отчаявшись найти решение по карману, служба ИБ заменила DLP комплексом из SIEM, NGFW и средства по защите конечных точек (Endpoint Protection).

Что является конфиденциальной информацией?

Конфиденциальная информация – это личные сведения с ограниченным доступом. Подобные данные бывают разных видов, но все они защищаются законодательством. Сотрудники, которые имеют к ним доступ, обязаны сохранять секретность и не допускать огласки. Тем более, они сами не должны разглашать подобную информацию даже в кругу семьи.

Виды конфиденциальных сведений:

  1. Персональные данные физического лица. К ним можно отнести все, что касается событий и фактов частной жизни.
  2. Служебная тайна. К ней имеют доступ только государственные сотрудники, занимающие определенную должность. Сюда можно отнести налоговую тайну, сведения об усыновлении и т.д.
  3. Профессиональная тайна. Она охраняется Конституцией России, и о ней известно ограниченному числу людей, исполняющему профессиональный долг.
  4. Личные дела осужденных за преступления.
  5. Коммерческая тайна. Эти сведения необходимо хранить для того, чтобы защитить юридическое лицо от конкуренции, или для получения выгоды.
  6. Сведения о судебных решениях и их исполнении в рамках производства.
  7. Тайна следствия и судопроизводства. Сюда можно включить сведения о пострадавших и свидетелях, которые нуждаются в государственной защите. Также в секрете держатся данные о судьях и работниках правоохранительных органов.

Данная информация является конфиденциальной, и она не подлежит разглашению. Необходимо соблюдать конфиденциальность подобных сведений с целью защиты интересов физических и юридических лиц. Неразглашение является необходимостью, потому как огласка может привести к тяжелым последствиям. Например, к банкротству фирмы, публичному осуждению человека, опасности, возникшей для свидетелей и потерпевших. Если сотрудник допустит распространение информации, тогда его имеют право наказать в зависимости от тяжести нарушения.

Вебинар Caselook «Увольнение сотрудника за разглашение конфиденциальной информации»Вебинар Caselook «Увольнение сотрудника за разглашение конфиденциальной информации»

3 Менеджеры паролей

Количество сайтов и платформ, использующихся людьми, возрастает. Также возрастает и количество имен пользователей и паролей. Использование системы управления паролями в какой-то степени является необходимостью. Для решения этой проблемы вы можете воспользоваться специализированными сервисами для управления паролями (иногда они называются хранилищами паролей). У многих людей может быть более сотни имен пользователей и паролей для различных сайтов, включая, например, финансовые счета, обменники, сервисы, предоставляющие услуги электронной почты, социальные медиа и онлайн-магазины. Фактом здесь является то, что многие используют одинаковые имя пользователя и пароль на всех сайтах. На самом деле это нормально и естественно, ведь невозможно запомнить 100 разных имен пользователей и 100 паролей к ним.

В использовании хранилищ паролей есть свои преимущества и недостатки. Очевидное преимущество заключается в том, что все ваши пароли и имена пользователей надежно защищены, и вы можете с легкостью зайти на все свои сайты. У вас может быть множество разных сложных паролей, используемых для каждого сайта, и, так как вход на сайты происходит автоматически, а данные при этом шифруются, хакеры не смогут подобрать ваши имя пользователя и пароль. У разных менеджеров паролей разные функции. Некоторые из них автоматически входят на сайты для вас, другие оповещают вас, если вы используете одинаковый пароль на слишком большом количестве сайтов, а лучшие из них предоставляют клиентам возможность использоваться только на одном устройстве или нескольких устройствах пользователя. Это означает, что данные будут храниться на вашем устройстве или устройствах локально, а не на серверах, на которых они могут подвергнуться взлому хакеров.

Нет сомнений в том, что менеджеры паролей просты в использовании, и что они облегчат вход на ваши любимые сайты. Для каждого сайта они автоматически создают имя пользователя и надежный пароль, которые вы можете использовать для быстрого входа на сайт. На ввод множества имен пользователей и паролей вручную может потребоваться довольно много времени. С другой стороны, истории известны случаи взлома менеджеров паролей, так как они являются мишенью для хакеров. И если на вашем компьютере установлена программа кейлогер, то вполне возможно, что ваш менеджер паролей находится под угрозой. И снова, единственным средством, способным помочь здесь, является 2ФА, но не во всех хранилищах паролей она разрешена.

Менеджеры паролей во многом надежнее, но и во многом опаснее, чем другие средства защиты. В среднем же польза от них перевешивает риски, особенно в сравнении с хранением на компьютере таблицы с именами пользователей и паролями. Самым распространенным паролем по-прежнему остается «123456», сразу за ним следует «пароль», поэтому менеджеры паролей очень эффективны в сравнении с традиционно применяемыми мерами безопасности. Нечего и говорить, что одни менеджеры паролей лучше других. Несмотря на бреши в безопасности хорошими менеджерами паролей считаются LastPass и 1Password. Большинство экспертов по безопасности рекомендует пользоваться менеджерами паролей вместе с 2ФА и другими методами обеспечения безопасности.

Конфиденциальность в России

На данный момент в российском законодательстве чёткого определения понятия «конфиденциальная информация» нет. В утратившем силу федеральном законе № 24 «Об информации, информатизации и защите информации» говорится, что конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако, он описывает понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация — сведения (сообщения, данные) независимо от формы их представления».

В Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относят:

  • Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
  • Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты.
  • Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
  • Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
  • Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
  • Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определённым сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Выше был приведен список сведений которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным.

Меры по защите информации

Система защиты закрытой информации предполагает:

  1. Предупреждению несанкционированного доступа к ней.
  2. Перекрытие каналов утечки.
  3. Регламентации работы с конфиденциальной информацией.

Организационные методы

  1. Разработка системы обработки конфиденциальных данных.
  2. Доведение до персонала фирмы положение об ответственности за разглашение конфиденциальных документов, их копирование или фальсификацию.
  3. Составление списка документов ограниченного доступа, разграничение персонала по допуску к имеющейся информации.
  4. Отбор персонала для обработки конфиденциальных материалов, инструктирование сотрудников.

Технические методы

  1. Использование криптографических средств при электронной переписке, ведение телефонных разговоров по защищенным линиям связи.
  2. Проверка помещения, где ведутся переговоры, на отсутствие радиозакладок, микрофонов, видеокамер.
  3. Доступ персонала в защищенные помещения с помощью идентифицирующих средств, кода, пароля.
  4. Использование на компьютерах и других электронных устройствах программно- аппаратных методов защиты.

Политика компании в области информационной безопасности включает в себя:

  1. Назначение ответственного лица за безопасность в организации.
  2. Контроль использования программно-аппаратных средств защиты.
  3. Ответственность начальников отделов и служб за обеспечение защиты информации.
  4. Введение пропускного режима для сотрудников и посетителей.
  5. Составления списка допуска лиц к конфиденциальным сведениям.

Самое главное: сквозное шифрование в Telegram по умолчанию не используется

Первое, что нужно знать о Telegram: в «облачных» чатах — так Telegram называет стандартный тип чатов, которые используются по умолчанию, — не применяется сквозное шифрование

Что такое сквозное шифрование и почему оно важно для безопасности переписки — можно прочитать тут

Если кратко, то это означает, что Telegram имеет доступ не только к метаданным (кому вы писали, когда писали и как много), как WhatsApp, но и ко всему содержимому переписки пользователей в стандартных чатах, используемых мессенджером по умолчанию. На данный момент, согласно политике конфиденциальности Telegram, эти данные не используются для рекламы. Но, как мы уже знаем по опыту, политика может измениться.

Как включить сквозное шифрование в Telegram: «секретные» чаты

При этом сквозное шифрование в Telegram есть — просто его нужно включать отдельно. Поэтому, если вы дорожите конфиденциальностью своих данных, надо не забывать использовать чаты, в которых сквозное шифрование включено, — Telegram называет их «секретными» чатами.

В «секретных» чатах и текст сообщений, и картинки, и видео, и все остальные файлы передаются с использованием сквозного шифрования. Ключ для расшифровки есть только у собеседников — поэтому Telegram не может получить доступ к этим данным.

Более того, содержимое «секретных» чатов не хранится на серверах Telegram. «Секретные» чаты хранятся только на устройствах участников переписки — как следствие, к ним нельзя получить доступ с другого устройства, плюс они исчезают при выходе из Telegram и при удалении приложения.

Секретные чаты доступны в приложениях для iOS, Android и macOS. В веб-версии и в приложении для Windows «секретные» чаты не поддерживаются, потому что эти версии не могут обеспечить безопасное хранение переписки на устройстве. Так что использовать Telegram для конфиденциальных разговоров на компьютере с Windows или Linux нежелательно.

Как создать «секретный» чат в Telegram

В текущих версиях приложений Telegram опция создания «секретного» чата спрятана довольно глубоко, и ее не так-то легко обнаружить — особенно начинающему пользователю мессенджера.

Чтобы создать «секретный» чат, необходимо открыть профиль вашего собеседника, нажать кнопку с тремя точками (иногда у нее есть подпись Еще, а иногда подписи нет) и выбрать Начать секретный чат.

Как создать «секретный» чат в Telegram

После этого откроется чат, сообщения в котором будут зашифрованы сквозным шифрованием (поначалу в окне чата даже будет об этом специально написано). Также можно установить время, по истечении которого ваши сообщения будут автоматически удаляться: для этого надо кликнуть на значок часов в панели ввода сообщения.

Как установить автоматическое уничтожение сообщений в Telegram по таймеру

Разумеется, автоматическое удаление сообщений не помешает вашему собеседнику сделать скриншоты, но в таком случае в чате появится сообщение об этом. Правда, есть исключение: если скриншот сделал пользователь на macOS, то уведомление об этом не придет.

Что еще полезно знать о Telegram: секретных чатов с одним и тем же собеседником может быть несколько. А вот групповые чаты «секретными» быть не могут, — в отличие от WhatsApp, в котором все чаты по умолчанию используют сквозное шифрование.

Как внутри чата понять, включено ли сквозное шифрование: иконка с замочком

Поскольку в Telegram есть два типа чатов — обычные «облачные» и «секретные», в которых включено сквозное шифрование, в некоторых случаях бывает важно вовремя понять, в каком из них вы общаетесь. Если в переписке есть какие-то очень важные данные, то лучше бы этому чату быть «секретным», верно?. К сожалению, внутри «секретные» и «облачные» чаты выглядят практически идентично, различаясь буквально несколькими деталями

Чтобы убедиться в том, что сквозное шифрование включено, поищите значок замочка рядом с именем или номером телефона вашего собеседника. Если замочек есть, то это «секретный» чат. Если замочка нет, то сквозное шифрование не включено — и лучше создать новый чат

К сожалению, внутри «секретные» и «облачные» чаты выглядят практически идентично, различаясь буквально несколькими деталями. Чтобы убедиться в том, что сквозное шифрование включено, поищите значок замочка рядом с именем или номером телефона вашего собеседника. Если замочек есть, то это «секретный» чат. Если замочка нет, то сквозное шифрование не включено — и лучше создать новый чат.

Как понять, что вы находитесь в «секретном» чате: ищите замочек вверху экрана

Также можно кликнуть по иконке вашего собеседника — если в чате используется сквозное шифрование, то в самом низу открывшегося окна отобразится строчка Ключ шифрования.

Способы защиты коммерческой тайны

  1. Определила и утвердила перечень данных, составляющих коммерческую тайну.
  2. Установила порядок и алгоритмы обращения с такой информацией, тем самым ограничила к ней доступ. Приняла положение о КТ.
  3. Определила перечень должностей и работников, имеющих доступ к конфиденциальным сведениям, а также ведет и учет.
  4. Включила обязательство о неразглашении тайны в трудовой договор и типовой гражданско-правовой договор с контрагентами. Порядок обращения с конфиденциальными сведениями также включен в должностные инструкции.
  5. Нанесла на все материальные носители информации, где содержится КТ, гриф «Коммерческая тайна».
  • ознакомить работников под расписку с перечнем сведений, которые отнесены к КТ;
  • ознакомить работников под расписку с порядком использования конфиденциальных сведений и ответственностью за нарушение этого порядка;
  • создать работникам все необходимые условия для соблюдения режима КТ.

Этот минимум мер, которые обязана предпринять компания для защиты своей конфиденциальной информации. На практике, ограничиваясь лишь некоторыми из них, организация не только не устанавливает особый режим охраны по закону, но и позволяет лицам, которые нарушают порядок использования конфиденциальной информации, уйти от ответственности.

Нужно ли заключать соглашение о неразглашении?

Соглашение о запрете разглашения коммерческой тайны – способ регулирования отношений, возникающих в процессе использования конфиденциальной информации предприятия. Обычно такие соглашения заключаются с работниками, которые получат доступ к данным, содержащим КТ, в качестве дополнения к трудовому договору. Если вопрос неразглашения не урегулирован трудовым договором, заключение такого соглашения обязательно. Без него режим КТ будет недействителен.

Такое соглашение составляется как любой договор и обязательно должно содержать:

  1. Наименование, реквизиты, данные работника и работодателя.
  2. Предмет соглашения: обязательство работника, в связи с доступом к конфиденциальной информации, обеспечить ее неразглашение.
  3. Права и обязанности сторон: обязательство работника охранять вверенную ему информацию, использовать ее только по назначению и защищать от посягательств третьих лиц.
  4. Срок действия: если об этом сказано, может действовать даже после окончания действия трудового договора.
  5. Особые условия: любые другие условия, которые стороны хотят предусмотреть соглашением.

Образец соглашения о неразглашении КТ соглашение о неразглашении.docx ≈ 14 КБ Мы не рекомендуем вам составлять документ самостоятельно. Обратитесь к юристу! Скачать образец

Похожее соглашение следует заключать также и с контрагентами, получающими доступ к конфиденциальным сведениям.

Законодательное регулирование

С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация относящаяся к конфиденциальной определяется по разному.

В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.

Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185) направлена на сдерживание, в том числе, действий направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:

  • Противозаконный доступ
  • Неправомерный перехват
  • Воздействие на данные
  • Воздействие на функционирование системы
  • Противозаконное использование устройств.

Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи.

Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» — физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» — это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.

Согласно дополнению к директиве N 95/46/EC, директива 2002/58/ЕС, конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящего к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий