Кафедра:«Финансы и кредит»
Контрольнаяработа
Безопасностькоммерческого банка
2009
Вступление
Само понятие«безопасность» принимает расширенное содержание, оно включает в себякак составляющие информационно-коммерческую, юридическую и физическуюбезопасность. Вопросы информационно-коммерческой безопасности занимают особоеместо и в связи с возрастающей ролью информации в жизни общества требуютособого внимания. Успех производственной и предпринимательской деятельности внемалой степени зависит от умения распоряжаться таким ценнейшим товаром, какинформация, но выгодно использовать можно лишь ту информацию, которая требуетсярынку, но неизвестна ему. Поэтому в условиях ужесточения конкуренции успехпредпринимательства, гарантия получения прибыли все в большей мере зависят отсохранности в тайне секретов производства, опирающихся на определенныйинтеллектуальный потенциал и конкретную технологию.
Понятие«безопасность» определяется как состояние защищенности жизненноважных интересов (Закон РФ «О безопасности»). Однако в общественномсознании все еще сильны стереотипы восприятия безопасности как исключительноотносящейся к сфере компетенции государства и специальных органов. Отсюдатрадиционно «слабое» понимание специфики этих проблем, прежде всегопервыми руководителями предприятий и организаций, отнесение ими вопросовинформационной безопасности к не основной деятельности. В итоге нередко вопросызащиты коммерческой тайны упускаются в лицензионных соглашениях, договорахподряда на создание научно-технической продукции. Такие упущения приводят кутечке коммерчески значимой информации, затрудняют определение собственника нарезультаты работы.
Переход экономики нарыночные отношения, в том числе и в вопросах интеллектуальной собственности,требует от руководителей предприятий не только разработки рыночной стратегии,но и стратегии информационной безопасности, в том числе специальной программыпо защите интеллектуальной собственности, определения подразделений и лиц,ответственных за проведение на предприятии данной работы.
Такая программа должнапреследовать две основные цели: обеспечение защиты уже наработанных объектовинтеллектуальной собственности, имеющих коммерческую ценность, и предотвращениеутраты таких объектов в будущем. При этом следует отметить, что в отличие оторганизации секретного делопроизводства, данная работа должна проводитьсязначительно более гибко при соответствующей патентно-информационной июридической проработке.
1. Какаяинформация относится к коммерческой тайне?
Систему российскогозаконодательства, регулирующего отношения, связанные с коммерческой тайной,образуют правовые нормы различных отраслей права: конституционного,гражданского, уголовного и административного. Общие нормы содержит КонституцияРФ. Она закрепляет и гарантирует право каждого на предпринимательскуюдеятельность, право на информацию, а также на защиту своих прав и свобод.
Центральные источникиправа, регулирующие отношения, связанные с коммерческой тайной, занимаютГражданский кодекс и Федеральный закон «О коммерческой тайне» от 29 июля 2004года № 98-ФЗ с изменениями от 2008 года, а также вступившая в силу с 1января 2008 года IV часть Гражданского кодекса. Понятие коммерческой тайныотождествляется с секретом производства (ноу-хау). Федеральный закон «Окоммерческой тайне» регулирует отношения, связанные с отнесением информации ккоммерческой тайне, передачей такой информации, охраной ее конфиденциальности,а также определяет сведения, которые не могут составлять коммерческую тайну.
Когда говорят окоммерческой тайне, речь идет о конфиденциальной информации, которая позволяетее обладателю увеличить доходы, избежать неоправданных расходов, сохранитьположение на рынке товаров, работ, услуг, т.е. получить коммерческую выгоду.
А информация,составляющая коммерческую тайну, — это научно-техническая, технологическая,производственная, финансово-экономическая или иная информация (в том числесоставляющая секреты производства), которая обладает следующими признаками:
· имеетдействительную или потенциальную коммерческую ценность в силу неизвестности еетретьим лицам;
· сведенияполучены легитимно, то есть имеют законное происхождение;
· кней нет свободного доступа на законном основании;
· обладателемтакой информации введен режим коммерческой тайны в отношении нее и предприняты всемеры для сохранения конфиденциальности.
Кроме того, логично,что к коммерческой тайне может быть отнесена только документированнаяинформация, то есть зафиксированная на каком-либо материальном носителе. Идеи,замыслы, сведения и прочие данные остаются незащищенными, если они незафиксированы в материальной форме.
В новой редакции закона«О коммерческой тайне» есть уточнение о том, что к информации, составляющейкоммерческую тайну (секрет производства) относятся сведения любого характера(производственные, технические, экономические, организационные и другие), в томчисле о результатах интеллектуальной деятельности в научно-технической сфере, атакже сведения о способах осуществления профессиональной деятельности.
Закон определяет толькопризнаки, которыми должна обладать информация для отнесения ее к коммерческойтайне. Однако Закон содержит перечень сведений, которые не могут составлятькоммерческую тайну. К ним относятся сведения, которые объективно должны бытьоткрытыми и общедоступными (учредительные документы, сведения о регистрации, оработниках, о безопасности объектов).
Для того чтобыинформация могла считаться коммерческой тайной, она должна иметь действительнуюили потенциальную коммерческую ценность в силу ее неизвестности третьим лицам.Во-первых, под коммерческой ценностью понимается способность информации бытьобъектом рыночного оборота. Во-вторых, к коммерческой тайне относитсяинформация, использование которой предоставляет её обладателю определённыеэкономические преимущества в силу того, что его конкуренты такой информацией необладают. Если же информация не представляет экономической ценности, она неможет считаться коммерческой тайной. К коммерческой тайне относятся сведения,представляющие интерес для третьих лиц, которые могли бы получить определённуювыгоду, если бы они этой информацией обладали. В-третьих, информация,составляющая коммерческую тайну, может иметь потенциальную коммерческуюценность, т.е. знания и сведения, которые не используются, но могут бытьиспользованы в будущем.
Руководителибизнес-структур коммерческой тайной обычно считают следующее:
· сведенияо персонале, персональные данные работников;
· любыесведения, которые сообщил клиент;
· данныео структуре издержек, себестоимости, бюджете, планах на будущее;
· технологииработы;
· стратегическиеи тактические решения, способствующие эффективному развитию бизнеса, получениюконкурентных преимуществ, бизнес-проекты;
· маркетинговыетехнологии, и, в частности, оценку эффективности рекламных коммуникаций;
· сведенияо технических средствах и системах защиты информационных ресурсов;
· базыданных и систематизированные информационные массивы.
Закон выдвигает двапринципиальных, но в чем-то противоречивых требования. С одной стороны, долженбыть исключен «доступ к информации, составляющей коммерческую тайну, любыхлиц без согласия ее обладателя», а с другой стороны, необходимо обеспечить«возможность использования информации, составляющей коммерческую тайну,работниками и передачи ее контрагентам без нарушения режима коммерческойтайны». Но в крупной компании это серверы баз данных, приложений,электронной почты, файл-серверы. И на каждом из них есть информация,составляющая коммерческую тайну. Сетевые администраторы, администраторысерверов, администраторы безопасности, пользователи обычные и привилегированны.Разграничить доступ так, чтобы и режим не нарушить, и обеспечить при этомвозможность нормально функционировать бизнес-процессу, не остановив егоокончательно очень не просто.
Нельзя относить ккоммерческой тайне сведения, прямо запрещенные Законом. Для всех остальныхсведений ограничений на отнесение нет, но следует постоянно помнить, чтоинформация становится способной к правовой охране в качестве коммерческойтайны, если только она действительно обладает коммерческой ценностью и к нейнет свободного доступа на законном основании. И это тоже создает сложности.Вполне разумно отнести к коммерческой тайне сведения о доходах работников. Но какобязать работника хранить их в тайне и как в таком случае должна выглядетьвыдаваемая ему на руки форма 2-НДФЛ? Ответы на эти вопросы — скорееотрицательные. А значит, и информацию отнести к коммерческой тайне нельзя — режимные меры для нее практически невыполнимы. И это только один возможныйпример.
Без помощи владельцевбизнес-процессов и юристов при составлении перечня информации, составляющейкоммерческую тайну, никак не обойтись. И поэтому серьезной ошибкой являетсяраспространенная практика возложения разработки перечня на службу безопасности.Не может она это сделать — ни по уровню квалификации, ни по самому смыслу,вкладываемому в перечень.
2. Мероприятияпо защите информации
Всех уже пересталудивлять тот факт, что в продаже постоянно появляются сведения, составляющиекоммерческую тайну той или иной организации. Сегодня не составит трудаприобрести клиентскую базу или персональные данные работников интересующей васкомпании. Это происходит потому, что руководители организаций не прилагаютдостаточных усилий для защиты информации, относящейся к коммерческой тайне.Более того, не стоит забывать о реально существующих охотниках за подобнойинформацией. Научно-технический прогресс внес в нашу жизнь большое количествотехнических средств, позволяющих производить запись телефонных переговоров,совещаний, появилась возможность считывать информацию с экрана компьютера,территориально находясь вне места расположения компании.
Но основным источникомутечки информации являются сотрудники. Именно они «сливают» информацию,составляющую коммерческую тайну. Причин тому может быть масса – и получениедополнительного заработка, и по неосторожности или случайно.
На сегодняшний денькомпании, специализирующиеся на технической защите ценной информации,предлагают ряд продуктов, способных осуществлять динамическую блокировкуустройств, через которые злоумышленники могут скачать информацию.
Но против человеческогофактора защиту строить сложнее. Необходимо четко разъяснить сотрудникам, какаяинформация относиться к коммерческой тайне, и какова степень ответственности заее разглашение. Ограничьте доступ к информации, составляющей коммерческуютайну: определите порядок обращения с этой информацией, осуществляйте контрольза соблюдением такого порядка. Разработайте специальную инструкцию пособлюдению конфиденциальности.
В обязательном порядке необходимо заключить с работниками трудовые договоры, а с контрагентами (лат.contrahens — договаривающийся — лица, учреждения, организации, связанныеобязательствами по общему договору, сотрудничающие в процессе выполнениядоговора) гражданско-правовые договоры, в которых должны содержаться условия обохране конфиденциальной информации. Обязательство о неразглашении коммерческойтайны может быть составлено в любой форме, важно чтобы оно содержало переченьсведений, которые в вашей компании составляют коммерческую тайну.
Также организоватьспециальное делопроизводство, обеспечивающее сохранность носителей,содержащих коммерческую тайну, и внедрите систему разъединения информации поблокам. Каждый сотрудник должен знать ровно столько, сколько необходимо длявыполнения его обязанностей.
Еще одним способомзащиты прав обладателя коммерческой тайны является установление санкций занарушение обязательств по соблюдению конфиденциальности контрагентами вгражданско-правовых договорах. По общему правилу, защита нарушенных гражданскихправ осуществляется в судебном порядке (признание права, пресечение незаконныхдействий, возмещение убытков). Кроме гражданско-правовых способов защиты,коммерческая тайна может быть защищена по нормам трудового, уголовного права, атакже по нормам о недобросовестной конкуренции.
Из возможностей,предусмотренных трудовым правом, права обладателя коммерческой тайны могутзащищаться такими действиями как привлечение к материальной ответственности ипривлечение к дисциплинарной ответственности вплоть до прекращения трудовыхотношений. Кроме того, при наличии признаков правонарушения, предусмотренныхсоответствующими отраслями права, возможно, привлечение правонарушителей куголовной ответственности.
При хранении информации вэлектронном виде можно выделить три направления работ по защите информации:теоретические исследования, разработка средств защиты и обоснование способовиспользования средств защиты в автоматизированных системах.
В теоретическом плане основноевнимание уделяется исследованию уязвимости информации в системах электроннойобработки информации, явлению и анализу каналов утечки информации, обоснованиюпринципов защиты информации в больших автоматизированных системах и разработкеметодик оценки надежности защиты.
К настоящему времени разработаномного различных средств, методов, мер и мероприятий, предназначенных для защитыинформации, накапливаемой, хранимой и обрабатываемой в автоматизированныхсистемах. Сюда входят аппаратные и программные средства, криптографическоезакрытие информации, физические меры организованные мероприятия,законодательные меры. Иногда все эти средства защиты делятся на технические инетехнические, причем, к техническим относят аппаратные и программные средстваи криптографическое закрытие информации, а к нетехническим — остальныеперечисленные выше.а) аппаратные методы защиты.
К аппаратным средствам защитыотносятся различные электронные, электронно-механические, электронно-оптическиеустройства. К настоящему времени разработано значительное число аппаратныхсредств различного назначения, однако наибольшее распространение получаютследующие:
-специальные регистры для храненияреквизитов защиты: паролей, идентифицирующих кодов, грифов или уровнейсекретности,
-генераторы кодов, предназначенныедля автоматического генерирования идентифицирующего кода устройства,
-устройства измеренияиндивидуальных характеристик человека (голоса, отпечатков) с целью егоидентификации,
-специальные биты секретности,значение которых определяет уровень секретности информации, хранимой в ЗУ,которой принадлежат данные биты,
-схемы прерывания передачиинформации в линии связи с целью периодической проверки адреса выдачи данных.
Особую и получающую наибольшеераспространение группу аппаратных средств защиты составляют устройства дляшифрования информации (криптографические методы).б) программные методы защиты.
К программным средствам защитыотносятся специальные программы, которые предназначены для выполнения функцийзащиты и включаются в состав программного обеспечения систем обработки данных.Программная защита является наиболее распространенным видом защиты, чемуспособствуют такие положительные свойства данного средства, какуниверсальность, гибкость, простота реализации, практически неограниченныевозможности изменения и развития и т.п. По функциональному назначению их можноразделить на следующие группы:
-идентификация технических средств(терминалов, устройств группового управления вводом-выводом, ЭВМ, носителейинформации), задач и пользователей,
-определение прав техническихсредств (дни и время работы, разрешенные к использованию задачи) ипользователей,
-контроль работы техническихсредств и пользователей,
-регистрация работы техническихсредств и пользователей при обработки информации ограниченного использования,
-уничтожения информации в ЗУ послеиспользования,
-сигнализации принесанкционированных действиях,
-вспомогательные программыразличного назначения: контроля работы механизма защиты, проставления грифасекретности на выдаваемых документах.в) резервное копирование.
Резервное копирование информациизаключается в хранении копии программ на носителе. На этих носителях копиипрограмм могут находится в нормальном (несжатом) или заархивированном виде.Резервное копирование проводится для сохранения программ от повреждений (какумышленных, так и случайных), и для хранения редко используемых файлов.г) криптографическое шифрованиеинформации.
Криптографическое закрытие(шифрование) информации заключается в таком преобразовании защищаемойинформации, при котором по внешнему виду нельзя определить содержание закрытыхданных. Криптографической защите специалисты уделяют особое внимание, считая еенаиболее надежной, а для информации, передаваемой по линии связи большойпротяженности, — единственным средством защиты информации от хищений.
Основные направления работ порассматриваемому аспекту защиты можно сформулировать таким образом:
-выбор рациональных системшифрования для надежного закрытия информации,
-обоснование путей реализациисистем шифрования в автоматизированных системах,
-разработка правил использованиякриптографических методов защиты в процессе функционирования автоматизированныхсистем,
-оценка эффективностикриптографической защиты.
К шифрам, предназначенным длязакрытия информации в ЭВМ и автоматизированных системах, предъявляется рядтребований, в том числе: достаточная стойкость (надежность закрытия), простоташифрования и расшифрования от способа внутримашинного представления информации,нечувствительность к небольшим ошибкам шифрования, возможность внутримашиннойобработки зашифрованной информации, незначительная избыточность информации засчет шифрования и ряд других. В той или иной степени этим требованиям отвечаютнекоторые виды шифров замены, перестановки, гаммирования, а также шифры,основанные на аналитических преобразованиях шифруемых данных.
Особенно эффективными являютсякомбинированные шифры, когда текст последовательно шифруется двумя или большимчислом систем шифрования (например, замена и гаммирование, перестановка игаммирование). Считается, что при этом стойкость шифрования превышает суммарнуюстойкость в составных шифрах.
Каждую из систем шифрования можнореализовать в автоматизированной системе либо программным путем, либо с помощьюспециальной аппаратуры. Программная реализация по сравнению с аппаратнойявляется более гибкой и обходится дешевле. Однако аппаратное шифрование в общемслучае в несколько раз производительнее. Это обстоятельство при больших объемахзакрываемой информации имеет решающее значение.д) физические меры защиты.
Следующим классом в арсеналесредств защиты информации являются физические меры. Это различные устройства исооружения, а также мероприятия, которые затрудняют или делают невозможнымпроникновение потенциальных нарушителей в места, в которых можно иметь доступ кзащищаемой информации. Чаще всего применяются такие меры:
-физическая изоляция сооружений, вкоторых устанавливается аппаратура автоматизированной системы, от другихсооружений,
-ограждение территориивычислительных центров заборами на таких расстояниях, которые достаточны дляисключения эффективной регистрации электромагнитных излучений, и организациисистематического контроля этих территорий,
-организация контрольно-пропускныхпунктов у входов в помещения вычислительных центров или оборудованных входныхдверей специальными замками, позволяющими регулировать доступ в помещения,
-организация системы охраннойсигнализации.е) организационные мероприятия по защитеинформации.
Следующим классом мер защитыинформации являются организационные мероприятия. Это такие нормативно-правовыеакты, которые регламентируют процессы функционирования системы обработкиданных, использование ее устройств и ресурсов, а также взаимоотношениепользователей и систем таким образом, что несанкционированный доступ кинформации становится невозможным или существенно затрудняется. Организационныемероприятия играют большую роль в создании надежного механизма защитыинформации. Причины, по которым организационные мероприятия играют повышеннуюроль в механизме защиты, заключается в том, что возможностинесанкционированного использования информации в значительной мереобуславливаются нетехническими аспектами: злоумышленными действиями,нерадивостью или небрежностью пользователей или персонала систем обработкиданных. Влияние этих аспектов практически невозможно избежать или локализоватьс помощью выше рассмотренных аппаратных и программных средств,криптографического закрытия информации и физических мер защиты. Для этогонеобходима совокупность организационных, организационно-технических и организационно-правовыхмероприятий, которая исключала бы возможность возникновения опасности утечкиинформации подобным образом.
Основными мероприятиями в такойсовокупности являются следующие:
-мероприятия, осуществляемые припроектировании, строительстве и оборудовании вычислительных центров (ВЦ),
-мероприятия, осуществляемые приподборе и подготовки персонала ВЦ (проверка принимаемых на работу, созданиеусловий при которых персонал не хотел бы лишиться работы, ознакомление с мерамиответственности за нарушение правил защиты),
-организация надежного пропускногорежима,
-организация хранения ииспользования документов и носителей: определение правил выдачи, ведениежурналов выдачи и использования,
-контроль внесения изменений вматематическое и программное обеспечение,
-организация подготовки и контроляработы пользователей,
Одно из важнейших организационныхмероприятий — содержание в ВЦ специальной штатной службы защиты информации,численность и состав которой обеспечивали бы создание надежной системы защиты ирегулярное ее функционирование.
Таким образом, рассмотренные вышесредства, методы и мероприятия защиты, сводится к следующему:
1. Наибольший эффект достигаетсятогда, когда все используемые средства, методы и мероприятия объединяются вединый, целостный механизм защиты информации.
2. Механизм защиты долженпроектироваться параллельно с созданием систем обработки данных, начиная смомента выработки общего замысла построения системы.
3. Функционирование механизмазащиты должно планироваться и обеспечиваться наряду с планированием иобеспечением основных процессов автоматизированной обработки информации.
4. Необходимо осуществлятьпостоянный контроль функционирования механизма защиты.
Список использованных источников
1. В.И.Ярочкин Безопасность банковских систем / Ярочкин В.И. – М.: Ось-89, 2004.- 416с.
2. СтрельченкоЮ.А. Организация защиты коммерческой тайны предприятия / Ю.А. Стрельченко – М.:Контроллинг, 2002.- 268 с.
3. Гражданскийкодекс РФ от 18.12.2006 г. № 230-ФЗ Часть четвертая.
4. БолдыревЮ.Н., Матвеева С.Р., Торговая газета // Методический журнал «О коммерческойтайне» — 2006. — № 56.
5. Федеральныйзакон Российской федерации от 29 июля 2004 г. № 98 – ФЗ «О коммерческой тайне»,с изменениями от 2008 г.
6. www@rg.ru– электронная версия Российской газеты