Защита информации: методы и приемы

2177
Фото © Shutterstock
Фото © Shutterstock

Многие пользователи не подозревают, что рискуют распространением личных тайн и конфиденциальной информации. Безопасность и защита информации – то, о чем задумываются лишь немногие. Люди, использующие ПК, не защищают важные налоговые и банковские сведения. Стоит помнить, что в процессе работы в Интернете хакеры легко могут завладеть ценной информацией на носителе и уничтожить ее.

От каких угроз информации нужна защита

Защита информации требует системного подхода. Иными словами, все меры защиты информации, используемые в работе, нужно рассматривать как единое целое.

Стоит помнить и о принципе, в основе которого лежит «разумная достаточность». Его смысл заключается в том, что стопроцентная техническая защита информации – это то, чего невозможно достичь. А потому, необходимо стараться обеспечить минимально необходимый уровень защиты конфиденциальной информации, а не максимальный в теоретическом смысле.

Защита информации делится на несколько составляющих.

1. От потери и разрушения. Утеря конфиденциальных сведений может произойти вследствие:

  • нарушений в работе персональных компьютеров;
  • отключения устройства или сбоев в питании;
  • повреждении информационных носителей;
  • неверных действий юзеров;
  • влияния, которыми обладают компьютерные вирусы;
  • несанкционированных умышленных действий иных лиц.

Восстановить информацию можно при помощи:

  • Undelete – служебной программы DOS;
  • Unerase – служебной программы Norton Utilites.

Если сведения являются особо ценными, в целях безопасности может быть применена защита информации, что предотвратит ее уничтожение. Подойдут следующие меры защиты информации:

  • присвоение файлам свойства read only (то есть, сделать информацию доступной только для чтения);
  • использование специальных программных средств, позволяющих сохранять удаленные файлы, например, Norton Protected Recycle Bin (защищенная корзина) имитирует процесс удаления.

Угрозой для сохранения сведений в компьютере являются сбои в электропитании. Речь идет о резких скачках и падениях сети напряжения, нарушениях системы питания. Защитить свой ПК от потери сведений можно, если использовать бесперебойное питание, установив специальные источники. Благодаря источникам компьютер будет нормально работать, даже если отключится напряжение. Дальнейшее успешное функционирование ПК обеспечат аккумуляторные батареи.

2. От несанкционированного доступа. Несанкционированным доступом называют внесение изменений в информацию, прочтение или уничтожение сведений в случае отсутствия полномочий на данные меры.

Среди основных типовых способов завладения информацией несанкционированными способами выделяют:

  • похищение информационных носителей;
  • копирование носителей с обходом мер по защите информации;
  • действия с маскировкой под зарегистрированное лицо;
  • применение маскировки под системные запросы (процесс носит название мистификации);
  • действия с использованием недочетов языков в программировании и недостатков в операционных системах;
  • выполнение перехвата электронного излучения;
  • выполнение перехвата акустического излучения;
  • фотографирование на дистанции;
  • манипуляции с подслушивающими устройствами;
  • намеренный вывод защитных механизмов из строя.

Защита информации: методы и приемы

Безопасность и защита информации: что именно защищать

Защита информации актуальна для результатов интеллектуальной работы. Речь идет о базах данных, полезных моделей, различных ноу-хау – производственных секретах, промышленных образцах, товарных знаках, фирменных наименованиях, коммерческих обозначениях, размещенных на сайтах.

Полная защита информации у некоторых объектов, например, таких, как идея, невозможна. При этом из ситуации можно выйти, если сообщить не всю информацию. Следует дать краткое описание идеи, но воздержаться от обрисовки всех составляющих, а также раскрытия условий для ее осуществления. Именно так и сделала калининградская бизнес-вумен. Предприниматель вела через Интернет продажу дисков, на которых содержалась пошаговая инструкция выращивания клубники на дому. На специальном портале про заработок женщина описывала, чего она смогла добиться в процессе своей деятельности, кратко рассказывала, что потребовалось предпринять для достижения результата, делилась некоторыми финансовыми составляющими. Более подробно узнать о технологии выращивания клубники можно было только в случае заказа диска.

Чтобы рассчитать, какая отдача возможна от проекта защиты доступа информации, применяют формулу (Вдо − Впосле) × П = О, где

  • Вдо выступает в роли вероятности того, что нежелательные события произойдут до того, как будут приняты меры защиты информации;
  • Впосле – показатель, аналогичный первому, но рассказывающий о вероятности после введения;
  • П – потери;
  • О – отдача.

Если цена на проект превышает отдачу, реализация не имеет смысла. Достаточно просто применить страховку. После того как проведены расчеты, можно сделать выбор в пользу первоочередных проектов, имеющих наибольшую отдачу. К примеру, 1% можно обозначить вероятность того, что в течение одного дня сервер почты не будет выполнять необходимые действия. Если не функционирует электронная почта, компания работает на 50% менее эффективно.

К примеру, оборот предприятия составляет 150 млн рублей ежегодно. Если электронная почта перестанет работать, потери составят 750 тыс. рублей в год: 150 млн рублей * 50 % * 1 % = 750 тыс. руб.

Если компания будет располагать резервными серверами в комплекте, вероятность того, что почта на целый день выйдет из строя, составит 0,1%.

Если, к примеру, стоимость второго комплекта серверов, которые будут работать в режиме резерва, составит 100 тыс. рублей ежегодно, а расходы на его содержание ежегодно еще 120 тыс. рублей, то подводя итог, стоит отметить, что сумма отдачи составит:  (1% − 0,1%) * 50% * 150 млн руб. = 675 тыс. руб.

Цена на резервный комплект (220 тыс. рублей) ниже, чем сумма отдачи (675 тыс. рублей). Таким образом, сумма отдачи составит немногим больше 300% (675 тыс. рублей: 220 тыс. рублей * 100 %). По всей видимости, реализация проекта будет оправдана.

Помните, не стоит основываться только на финансовых расчетах. Необходимо руководствоваться здравым смыслом. Приведем пример: менеджер одного масштабного предприятия был повышен благодаря тому, что реализовал систему, предотвращающих вынос информационных носителей из офисного повышения (дисков формата DVD и CD, а также дискет). При этом о возможной отправке любых данных по электронной почте никто не задумался.

Система защиты информации

Система защиты информации – это органы и/исполнители в совокупности, технические средства защиты информации, используемые ими. Говоря об информации, информационных технологиях и защите информации, стоит вспомнить о тех объектах защиты, которые организованы в соответствии с правилами, прописанными в соответствующих нормативных актах и организационно-распорядительных документах, и действуют на их основе.

Безопасность и защита информации – гарантия сохранности данных, невозможность несанкционированного прочтения, удаления и переработки, а также защищенность ресурсов информации от действий, направленных на сбой в работе. Речь идет о попытках проникнуть в информацию, которые часто предпринимают хакеры, ошибках персонала, сбоях в работе любого аппаратного и программного средства, стихийных бедствиях (ураганах, пожарах, землетрясениях) и т.д.

Техническая защита информации – сложная система, которая включает в себя большое количество составляющих с различной автономностью. Все компоненты автоматизированной системы (АС) находятся во взаимодействии друг с другом и производят обмен информацией. Риск попасть под влияние внешнего воздействия или сбиться с работы есть почти у каждого компонента.

Составляющие АС можно распределить по следующим группам:

  • аппараты – ПК и их составляющие (речь идет о терминалах, процессорах, мониторах, периферийных устройствах – линиях связи, дисководах, принтерах, контроллерах, кабелях);
  • по (приобретенное обеспечение; модули исходного, объектного, загрузочного типа; в группе есть место системным программам и ос – компиляторам, компоновщикам и т.п., а также утилитам, диагностическим программам);
  • информация, которая хранится на временной или постоянной основе, в печатном варианте, в архивах, системных журналах, на магнитном носителе;
  • специалисты (речь идет об обслуживающем персонале и пользователях).

Обеспечение защиты информации в АС имеет свои особенности. Одна из них заключается в том, что у носителей информации, субъектах и объектах системы – абстрактных понятий - есть соответствия в виде физических представлений в компьютерном мире.

  1. Составляющие представления информационных данных – информационные носители, внешние устройства для систем (терминалы, печатающие устройства, всевозможные накопители, линии и каналы связи), оперативная память, файлы, записи и т.п.
  2. Системные объекты – являются пассивными компонентами в системе; они передают или принимают информационные данные. Наличие доступа к объектам означает доступ ко всем информационным данным, содержащимся в них.
  3. Системные субъекты – являются активными компонентами в системе, которые могут выступить в роли причины потока информационных данных от объектов к субъектам или изменений в состоянии системы. Субъектами могут быть юзеры, ряд активных программ или процессов.

Защита и безопасность информации, хранящейся в компьютерных системах – результат, которого достигают в случае, если все информационные компоненты и системные ресурсы являются доступными и целостными, а обрабатываемые данные – достоверными и конфиденциальными. Ряду перечисленных выше базовым информационным свойствам требуется полное и четкое объяснение.

Что касается конфиденциальности сведений, это статус, который предоставлен информации. Именно он определяет требуемый уровень ее защиты. Конфиденциальные данные – это, к примеру, личная информация пользователей. Речь идет об учетных записях (именах и паролях), сведениях по кредитным картам, разработкам, внутренней документации, бухгалтерских данных. О конфиденциальных данных могут знать только авторизованные в системе субъекты, прошедшие проверку. Это пользователи, программы, процессы. Остальным системным субъектам сведения не могут быть известны.

Методы защиты информации

Меры защиты информации нужно выбирать в соответствии с уровнем пользования данными, их важностью и уровнем ущерба, который может быть нанесен собственнику в случае утечки или разрушения сведений. Персональная информация определенного лица, пользующегося ПК, подвергается рискам. Основной риск заключается в утере сведений вследствие непреднамеренных причин и воздействий вредоносного вируса. В данном случае требуется соблюдение основных правил безопасности:

  • периодическое проведение резервного копирования: вам следует проводить дублирование и сохранение файлов с важной информацией, используя внешние носители;
  • регулярная антивирусная проверка ПК;
  • использование блока бесперебойной энергии.

Наиболее распространенная форс-мажорная ситуация – прекращение подачи электроэнергии. Часто пользователи встречаются и со скачками напряжения. Если у компьютера нет соответствующей защиты, вполне реально лишиться не только важной информации, но и самого устройства – определенные детали компьютера могут сломаться. Чтобы избежать неприятных моментов и обеспечить защиту информации, воспользуйтесь ББП – блоком бесперебойного питания. Подключение Вашего компьютера к сети необходимо осуществлять через ББП.

Антивирусная защита компьютеров – одна из наиболее актуальных сегодня проблем. Вирусы, как правило, появляются вследствие использования нелицензионного программного обеспечения, файлов, скопированных из непроверенных источников и сети Интернет. Вирусы можно получить, передавая данные по Скайпу, электронной почте и т.д. Ежедневно в мире возникает множество неизвестных ранее вирусов. Борьба с ними – специализация профессионалов, создающих ряд антивирусных программ.

Приобретение лицензионных антивирусных программ должно вестись через компании-производители. При этом единовременная установка антивирусной программы на ПК недостаточна. Требуется регулярное обновление базы, добавление настроек на вирусы нового типа. Быстрее всего обновляют базу по Интернету серверы компаний-производителей. Плюс одним и тем же компьютером обычно пользуются много лиц, а значит, защита информации требуется для каждого пользователя. Необходимо позаботиться о том, чтобы посторонние лица не могли воспользоваться данными. Здесь прибегают к системным средствам, разграничивая доступ для лиц, использующих компьютер. В этих целях ведется создание учетных записей пользователей, установка паролей на доступ к сведениям. Чтобы счесть зашифрованную информацию, пользуются специально созданными конфиденциальными ключами дешифрования. Разграничение доступа применяется и к сетевым серверам.

В опасности в данном случае оказываются интернет-юзеры. Чтобы защитить компьютеры, находящиеся в Сети, следует пользоваться особыми программами, обеспечивающими защиту информации. Это брандмауэры. Они защищают ПК от различных вредоносных программ, распространяющихся по Сети. Что касается критериев вредоносности, их определением может заниматься либо сам юзер, либо брандмауэр. К примеру, человек может наложить запрет на получение электронных писем с тех или иных почтовых ящиков или особого содержания. Среди возможностей брандмауэров – предотвращение атак, фильтрация ненужных рекламных рассылок и так далее. Брандмауэр, который защищает сеть и подключен при этом к ряду других сетей, носит название межсетевого экрана.

Информация может быть утеряна через перехват при ее передаче по коммуникационным каналам. Если технические средства не могут обеспечить должную защиту информации, пользуются системами шифрования. Методы шифрования изучает наука криптография.

Рассказывает практик

Иван Коровин, Руководитель информационной службы Информационной внедренческой компании (ИВК), Москва

Нужно помнить о трех вещах.

Во-первых, защита информации – это реально.

Во-вторых, работая в Интернете, необходимо быть осторожным. По статистике, 55% взломов происходят из-за того, что пользователи наивно или неправильно ведут себя в Интернете.

В-третьих, пользование межсетевыми экранами в процессе работы – метод, являющийся довольно надежным и помогающий избежать множества угроз.

Межсетевым экраном называют комплекс, включающий в себя программы и аппараты. Комплекс устанавливают там, где локальная сеть подключается к сети Интернет. Как следствие – осуществляется контроль над всем трафиком, который проходит через экран.

Однако не у всех межсетевых экранов есть защита компьютеров от киберугроз, представленных сегодня в огромном количестве. Степень защиты существенно вырастает, если межсетевой экран располагает:

  • средствами антивирусной защиты;
  • прокси-сервером, кэширующим входящий трафик;
  • DNS;
  • почтовым сервером;
  • программой по учету и анализу трафика (программа позволяет получить оценку относительно потребностей организации в объемах трафика, а также уровень работоспособности членов коллектива);
  • средствами организации частных интернет-сетей, позволяющих подключать удаленные подразделения.

Действенные средства защиты информации

Средства защита информации от несанкционированного доступа

Чтобы получить доступ к информационным данным в системе, можно выполнить три процедуры: идентификацию, авторизацию и аутентификацию.

Идентификацией называется процедура, при которой пользователь, объект или субъект ресурсов получает уникальное имя, а также код (идентификатор).

Аутентификацией называют процесс, при котором данные пользователя, который представил идентификатор, проверяется на подлинность. Самый распространенный способ пройти аутентификацию – присвоить пользователю пароль с последующим хранением его в ПК.

Авторизацией называют проверку прав юзера, его полномочий на совершение доступа к тем или иным информационным данным и проведение с ним определенных манипуляций. Авторизацию используют, чтобы разграничить права доступа к ресурсам сетевого и компьютерного плана.

Защита информации в компьютерных сетях

Подключение локальных сетей организациями через Интернет очень распространено. Чтобы защитить локальные сети компании пользуются обычно брандмауэрами – межсетевыми экранами. Этот метод позволяет разграничить доступ, разделить сеть надвое (прохождение границы осуществляется через Интернет и локальную сеть) и сформировать определенные правила. В этих правилах содержатся условия, согласно которым пакеты могут проходить из одних частей в другие. Реализация экранов может идти как с помощью аппаратных средств, так и программных.

Криптографическая защита информации

Эффективные средства защиты информации – применение шифрования или криптографии. При шифровании пользуются алгоритмом или устройством, реализующем конкретный алгоритм. Управлять шифрованием можно, используя меняющийся код ключа.

Извлечение зашифрованной информации осуществляется при помощи ключа. Криптографию считают достаточно эффективным методом, благодаря которому достигается информационная безопасность и защита информации. Передача сведений в Сети становится более безопасной, как и в процессе обмена данными между удаленными серверами.

Электронная цифровая подпись

Чтобы исключить вероятность модификации исходных писем или замены письма на другое, сообщение должна сопровождать электронная подпись. Электронной цифровой подписью называют символы в определенной последовательности. Подпись получают при криптографическом преобразовании начального письма, где применяется закрытый ключ. Благодаря электронной подписи можно определять, является ли послание целостным, составлял ли его автор, используя открытый ключ.

Говоря иначе, письма, зашифрованные при помощи закрытых ключей, носят название электронной цифровой подписи. Ведется отправление незашифрованного сообщения-исходника, рядом с которым присутствует цифровая подпись. Адресат, используя открытый ключ, производит расшифровку набора символов письма, которые содержатся в цифровой подписи, и производит их сравнение с символами из незашифрованного письма.

Если символы полностью совпадают, можно говорить о том, что принятое письмо не является модифицированным, и его действительно составлял автор.

Защита информации от компьютерных вирусов

Компьютерным вирусом называют небольшую вредоносную программу, способную вести создание собственных копий и осуществлять их внедрение в программы (речь идет об исполняемых файлах), документацию, секторы носителей информации и вести их распространение по ряду каналов.

Вирусы различаются по среде обитания и могут быть:

  1. Программными (наносят ущерб файлам, имеющим расширение соm и eхe) .
  2. Загрузочными.
  3. Макровирусами.
  4. Сетевыми вирусами.

Заражение вирусами может касаться съемных носителей и телекоммуникационных систем. Самые эффективные и популярные антивирусные программы – это «Аваст», Антивирус Каcперского 7.0, Norton AntiVirus и др.

Пароли как защита от утечки информации

Суть применения паролей достаточно проста. В случае, если определенное лицо попытается завладеть Вашими информационными данными или аппаратными средствами, пароли создадут ряд неудобств. На сегодняшний день защита конфиденциальной информации с помощью паролей является достаточно эффективной. Чем меньше вероятность «угадывания» при взломе Вашего пароля, тем надежнее защита информации от несанкционированного доступа.

Многое зависит от длины пароля. В данный момент широко используются личные номера, обеспечивающие информационную безопасность. Личные номера могут содержать числа от 0 до 9. Таким образом, количество вариантов использования номера может достигать 10 000. Этого хватает, если мы говорим о пользователе, который пытается угадать верный номер. Однако этого мало, если мы имеем в виду компьютер, который пользуется лобовым методом решения.

В процессе «лобового» нападения ведется проверка всех возможных числовых комбинаций до того момента, пока одна из них не окажется правильной. Чем длиннее пароль, тем сложнее лобовое нападение, поскольку на попадание в верный вариант потребуется большее количество времени. Безусловно, множество банков пользуются не только четырехразрядными кодами (ПИН), но и иными методами, позволяющими повысить безопасность, например, видеокамерами и АТМ для блокировки карт.

Что касается мер защиты, среди компаний существуют серьезные различия. Большая часть организаций предлагает услуги такого характера: клиент может дозвониться и, к примеру, по номеру карты и личному номеру получить информацию по счету. В данном случае защита информации не является стопроцентной. Действуя по такому сценарию, Вы делаете Ваш ПИН уязвимым – кто-то может, пользуясь телефоном, пытаться угадать верный вариант.

Что касается телефонных карт, с ними возникают те же проблемы. Говоря о сетях дальней телефонной связи, например, АТ & T, MСI, Sрrint, стоит сказать, что они также пользуются четырехразрядными номерами, чтобы распознавать звонки. Допустим, Вы столкнулись с потерей бумажника. Как действует человек в данном случае? Сначала он сожалеет о потере и только потом звонит в кредитную компанию и сообщает, что карточка потеряна. Благодаря этому шагу возможна блокировка платежей с карт. При этом многие забывают, что телефонные карты тоже бывают кредитными. А что касается небольшой программы, позволяющей взломать ее ПИН, составить ее может даже малоподготовленный человек. К примеру:

For i:=0 tо 9999 dо

DiаlAссess(i);

DiаlAсcess() является функцией с небольшим отрывком кода, набирающая телефон организации и по порядку (здесь – от 0 до 9999) осуществляет ввод карты, применяя i как ПИН. Данный пример является классическим в лобовом методе решения.

Так, Ваш ПИН выступает в роли четырехразрядного пароля, который может быть представлен в 9999 комбинациях. При этом почти все четырехразрядные пароли более длинные и, помимо цифр 1-9, в них может присутствовать ряд символов. Что касается четырехразрядного пароля с использованием чисел и символов, его расшифровка более сложна. В пароле могут находиться 1 млн 679 тыс. 616 неповторимых комбинаций.

Чтобы вычислить возможные комбинации в количественном отношении, можно воспользоваться формулой:

C=XY, где

  • C – количество возможных вариантов;
  • X – число разных символов, которые используются во всех позициях пароля в индивидуальном порядке;
  • Y – количество знаков в пароле.

К примеру, использование ПИНа С составляет 104. У некоторых паролей есть чувствительность к регистрам, поэтому актуально содержание в них знаков препинания. За счет этого число комбинаций растет.

Пользователи могут применять не только пароли к сети Интернет или доступа к данным. Существуют и другие меры защиты информации с содержанием паролей. К примеру, это защита информации, в основу которой положен БИОС. Чтобы получить доступ, требуется введение пароля в процессе загрузки ПК. Можно также сказать о специальных защитных программах, которые блокируют доступ к тому или иному файлу в отдельном порядке, а также о ZIP-файлах, защищенных паролями.

Как придумать неуязвимый пароль

  1. Не стоит применять как пароль собственное имя/имя родственника, личные сведения (день рождения, улицу, служебный или домашний телефон).
  2. Не нужно отдавать предпочтение реальным словам из толковых словарей или энциклопедий.
  3. Выбор стоит сделать в пользу длинных паролей.
  4. Смешивайте символы из верхних и нижних регистров в клавиатуре.
  5. Пользуйтесь комбинациями, куда входят два простых слова, соединенные при помощи специальных символов (к примеру +,=,<).
  6. Лучше всего пользоваться несуществующими новыми словами (абсурдными, с бредовым содержанием).
  7. Осуществляйте смену пароля как можно чаще.

Техническая защита информации от несанкционированного доступа

1. Запрет на копирование. Что касается самых распространенных способов защиты информации, огромных финансовых вложений не требуется, а их использование под силу любому программисту. Среди таких способов можно выделить запреты на:

  • кэширование (сохранение инфо в буфере обмена);
  • копирование деталей страницы;
  • выделение текстовых фрагментов и их копирование при помощи клавиш Ctrl + C;

А также ограничение на сохранение картинок, защиту от копирования при помощи модальных окон и кодировку исходного кода на странице.

2. Нанесение на электронное изображение «водяных знаков». Если Вы выкладываете на сайт документацию или картинки, защита информации может быть обеспечена благодаря «водяным знакам» или надписям, где указан правообладатель. Так, к примеру, и сделала компания «Алтуфьево», выпускающая кондитерские изделия. На сайт предприятие выложило каталог со своими тортами. Чтобы фото не могли использовать другие компании, на каждую картинку предприятие нанесло собственный лейбл, который заходил непосредственно на изделие. Множество интернет-магазинов сегодня пользуются именно таким способом защиты фото.

3. Выкладывайте графику в низком разрешении. В основе такого метода – превратить копирование графики в бессмысленное занятие, если вопрос касается ее применения в профессиональных целях. Именно так делает, к примеру, компания Fotobank. Тот, кто желает использовать фото в рекламных целях или поместить СМИ, обязан приобрести картинки высокого разрешения.

Вы можете доверить специалистам по программированию разработку системы защиты информации от вмешательства хакеров. Чтобы определить, целесообразно ли применять такую защиту информации, стоит определить ценность размещаемых сведений. Что касается бюджета, он может составлять от 1 тысячи рублей до миллионов американских долларов. Но, опираясь на практические показатели, можно сказать, что, если хакеры с большим опытом решили произвести взлом Вашего сайта, скорее всего, им это удастся.

Рассказывает практик

Афанасий Бурков, эксперт по контролю офисного персонала

Соблюдайте правило фрагментирования информации о маркетинговых акциях. Вы должны добиться того, чтобы все специалисты знали ровно столько сведений о планах, сколько требуется для осуществления рабочей деятельности. Что касается полной информации, ее должны знать лишь несколько человек. В этом случае сотрудники не будут разглашать ценные сведения.

Внедрите в компании систему конвейерных продаж. Деятельность с потребителями/клиентской базой необходимо разделить на три этапа. Это работа по привлечению клиентов, заключение сделок и договоров, перевод потребителей в категорию, куда входят постоянные клиенты. Каждый из менеджеров должен быть ответственным за один из этапов. Переход на следующую стадию должен сопровождаться передачей клиента другому специалисту. В этом случае информация о том или ином потребителе не будет входить в собственность менеджера.

Используйте средства технической защиты. Существуют риски потерять данные о клиентах. Большим рискам подвержены компании, работающие в таких бизнес-сферах, где порог входа в рыночную среду является низким, а основные продукты представлены нематериальными активами (речь идет о проектах, изысканиях, экспертизах, консалтинге). В качестве примера можно привести сферу event-менеджмента, где все менеджеры по продажам входят с клиентами в контакт и обладают своими личными базами, где находятся ключевые заказчики. Но, в случае перехода его клиентской базы к конкурирующим организациям, можно говорить о недоработке в системе по защите информации коммерческого характера. Чтобы не возникало подобных ситуаций, можно подумать об установке системы, предотвращающей утечку информационных сведений, к примеру DLР (пер. с англ. data loss prevention, data leak prevention). Система защиты информации занимается распознанием и классификацией данных в тех или иных объектах (к примеру, в сообщениях в электронной почте, файлах и приложениях), которые хранятся в ПК, используются или передаются по различным каналам. Благодаря DLР возможно применение правил к ряду объектов в динамическом режиме, начиная передачей сообщений с уведомлениями и завершая блокировками.

Установите в компании системы слежения. Чтобы контролировать действия работников в компаниях часто пользуются видеонаблюдением, системой проверки телефонных бесед. В организациях также узнают об активных действиях в сети Интернет, контролируют рабочие места, уделяя особое внимание кухонным помещениям и зонам для курения. Следует помнить, что донесение информации о планируемом введении контроля должно быть правильным. К примеру, можно сказать сотрудникам, что контроль будет осуществляться не с целью наказания, а для принятия справедливого решения в затруднительных случаях. Не сообщайте, что будет вестись просмотр электронной почты. Следует объяснить сотрудникам, что руководители могут проводить некий контроль входящих и исходящих сообщений, чтобы предотвратить утечку конфиденциальных сведений. Однако, чтобы полностью обойти проблемы, которые могут возникнуть на законодательном уровне, Вам стоит сообщить коллегам о наличии системы слежения не только в устной форме, но и письменной – работник должен расписаться в документе, подтвердив свое согласие. Правила по внутреннему распорядку также должны содержать сведения о наличии определенной системы слежения, а также целях, которые она преследует. К примеру, речь может идти о мониторинге трафика в Интернете, просмотре электронных адресов. Необходимо обосновать, что внедрить такую систему полезно для производства и всей организации в целом.

Установите правила работы с почтой уволенных сотрудников. В качестве примера можно привести случай, который произошел с компаниями, которые условно можно назвать А и Б. Учредители фирмы А не смогли договориться между собой, и, несмотря на то, что удалось выйти из конфликтной ситуации мирно, произошло увольнение одного из руководителей и его вывод из учредительного состава. Руководитель, который был уволен, организовал новое предприятие (дадим ему наименование Б), одно из направлений в работе которого (речь идет об оказании услуг) совпало с работой фирмы А. По истечении определенного количества времени один из производителей авто, часто прибегавший к услугам организации А, объявил о тендере на данную услугу и пригласил куратора из руководства фирмы А поучаствовать в мероприятии, выслав соответствующее письмо по корпоративной почте. Куратором оказался именно тот руководитель, который был уволен. В результате халатность специалистов фирмы А, которые не закрыли возможность доступа к корпоративному каналу связи и не поставившие в известность клиента об уходе руководителя, обошлась начальству довольно дорого. Контрактом завладела организация Б.

Проводите мероприятия прикрытия. Их необходимо проводить, если Вы осознали, что конкурирующие предприятия занимаются сбором сведений о Вашей компании. К примеру, начальник организации или маркетинговый директор могут организовать проведение интервью с профильным изданием. В ходе беседы следует сказать о сведениях, дезинформирующих конкурирующие фирмы. Аналогичную процедуру следует провести также, воспользовавшись интернет-ресурсами. Нередко прибегают к обнародованию информации одновременно по ряду тем – мало кто осведомлен, какие из них являются рабочими, а какие – нет.

Объявления о наборе сотрудников на новые направления давайте обезличено. Если некоторые проекты пока держатся в секрете, подбором персонала следует заниматься, прибегая к помощи кадровых агентств. Если это пока невозможно, подачу объявлений можно организовывать, не указывая наименования фирм.

Подписывайте с сотрудниками соглашение о коммерческой тайне. Чтобы такой метод защиты информации был действенным, в компании следует помнить о коммерческой тайне и соответствующем режиме.

Защита конфиденциальной информации в Интернете

О порядке работы с информационными сведениями можно сказать, отразив соответствующие данные во внутренней документации. В документе следует сказать о том, какая информация конфиденциальна, сколько этапов ей предстоит пройти при обработке прежде, чем ее можно было опубликовать, какими категориями сведений располагает компания, и кто может получить доступ к определенным информационным данным.

Установите уровни конфиденциальности информации. Можно произвести деление информации по двум группам, отнеся ее либо к общедоступным сведениям, либо данным, узнать о которых могут лишь определенные лица.

Защита информации актуальна для всех компаний. При этом под защитой должны находиться сведения, доступные не для всех (к примеру, среди лиц, доступ для которых разрешен, могут быть исключительно клиенты организации).

Следует дать получение разработчикам сайта или программистом заняться обеспечением разных уровней доступа для клиентской базы и работников компании. К примеру, информацией о структуре организации, внутренних нормативных актах, инструкциях, телефонах могут владеть только сотрудники фирмы. Более широкий круг людей не должен иметь доступ к подобным сведениям.

Разумным было бы деление всех специалистов по группам, имеющим различные режимы доступа к информационным сведениям. Так, к примеру, для топ-менеджеров доступной должна быть вся информация. Что касается руководителей отделов, они могут владеть общими и профильными сведениями. Для прочих сотрудников должны быть открыты только общие сведения.

Для клиентов должны быть предоставлены сведения, касающиеся скидок и стоимости. Если Вы не желаете, чтобы эти данные использовали конкурирующие с Вами предприятия, но Вам необходимо, чтобы потребители знали, какова стоимость товаров и услуг и были в курсе акций, сделайте так, чтобы сведения были доступны только клиентам (зарегистрированным пользователям). Нужно, чтобы клиент получал возможность регистрироваться после первого приобретения товара/услуги или в процессе беседы с менеджеров.

Определите порядок согласования всей размещаемой на сайте информации. Согласование может происходить в несколько этапов.

  1. Сначала PR-специалист или сотрудник, который отвечает за подготовку контента на сайте, подготавливает сведения.
  2. Далее начальник юротдела осуществляет проверку информации и, в случае необходимости, проводит их согласование с финдиректором или другими соответствующими работниками.
  3. Если юристы и финансовые специалисты признают, что сведения являются особо ценными для организации, утверждением публикации лично занимается Генеральный Директор.

Правовая защита информации: регистрация авторского права

До того, как важные сведения будут опубликованы, помните, что требуется защита информации. Речь здесь идет и о товарном знаке, полезных моделях или промышленных образцах, а также деталях, которые составляют стиль организации. К примеру, МС Donald’s выбрала товарный знак в виде графического значка – буква M вместе со слоганом «Вот, что я люблю».

Если на сайте ведется публикация литературного произведения, следует провести его регистрацию в Российском авторском обществе. Но помните, что в ряде ситуаций законом разрешено использование опубликованной информации на сайте с указанием имени автора и источника, у которого заимствованы сведения. Правообладатель при этом может не давать согласие, и выплачивать ему вознаграждение не нужно. Речь, в частности, идет о цитировании для достижения целей информационного или научного характера, а также о ситуациях, при которых используют тот или иной отрывок из произведений как иллюстрацию в объемах, оправданных поставленными целями.

Чтобы уведомить всех, что Вы обладаете исключительным авторским правом, следует пользоваться определенным знаком охраны права авторства ©. Необходимо также указывать год создания определенного творения и наименование организации. Знак должен завершать произведение – помещать его следует снизу всех страниц на сайте, к примеру: © 2015 KPMG Internаtional Coоperative (KPMG Internаtional). Если ведется указание не конкретного года публикации, а отрезка времени, к примеру, © 1995–2015, определение даты первой публикации становится затруднительным. В этом случае защита информации и Ваших авторских прав в случае их нарушения может быть также затруднена.

Что касается товарных знаков, их должен сопровождать знак ®. Он позволяет вам предупреждать пользователей, посещающих сайт, что права на обозначение зарегистрированы.

Рассказывает практик

Татьяна Костенкова, Советник по вопросам права и развития бизнеса группы компаний Finstar Financial Group, Москва

  1. Позаботьтесь о сборе доказательств, подтверждающих кражу. К примеру, если вопрос связан с использованием изображений с вашего интернет-ресурса в рекламе наружного вида, сфотографируйте рекламные вывески и привлеките посторонних лиц, чтобы зафиксировать нарушение.
  2. Займитесь урегулированием вопроса в порядке претензий.
  3. Подайте иски в судебные инстанции. Но для начала проведите анализ и подумайте, оправдано ли отстаивание ваших интересов при условии, что вам потребуется приложить немалые усилия и потратить много времени для организации судебных разбирательств. В ряде случае лучше принять произошедшее и не предпринимать никаких действий.

Обращение в суд оправдано, если:

  • вам причинили значительный вред;
  • вы задумываетесь о создании прецедента, чтобы предотвратить подобные действия со стороны других лиц;
  • вы заинтересованы в получении определенной выгоды (компенсации за причиненный ущерб и т.д.).

К примеру, сотрудники одного из российских интернет-ресурсов выяснили, что на ТВ ведется активная реклама новой передачи, и называется она, как и адрес из ресурса, который является зарегистрированным товарным знаком. Руководители интернет-ресурса не стали торопиться, а дождались момента, когда передача вышла в эфир. После этого руководство направило компании предложение о приобретении прав на пользование товарным знаком за приличные деньги. Телекомпания, вложившая много ресурсов и финансовых средств в проект, была вынуждена принять предложенные условия. Выгода интернет-ресурса в данном случае очевидна. Компания получила хорошую сумму, а ее название было прорекламировано на ТВ совершенно бесплатно.  

Читайте в ближайших номерах журнала "Генеральный Директор"
    Читать>>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа руководителя

      Школа руководителя

      Проверьте свои знания и приобретите новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...

      

      Оформите подписку, чтобы не пропустить свежие новости

      150 000 + ваших коллег следят за нашими новостями





      © 2011–2016 ООО «Актион управление и финансы»

      Журнал «Генеральный Директор» –
      профессиональный журнал руководителя

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации ПИ № ФС77-62404 от 27.07.2015

      Политика обработки персональных данных

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Генеральный Директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

      Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

      • методики, проверенные на практике
      • библиотека Генерального Директора
      • правовая база
      • полезные подборки статей
      • участие и просмотр вебинаров

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль