Нарушение конфиденциальности

Содержание

Нарушение конфиденциальности, целостности, работоспособности системы

Горохова Т.Н.

МДК.02.01 «Разработка, внедрение и адаптация отраслевого
программного обеспечения»

ПМ.02 «Разработка, внедрение и адаптация
отраслевого программного обеспечения»

Раздел 1. Информационные системы
и информационная безопасность, темы 1.14-1.17

для студентов специальности
230701 «Прикладная информатика (по отраслям)»

Санкт-Петербург

1.ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ.. 3

1.1. Нарушение конфиденциальности, целостности, работоспособности системы.. 3

1.2.Компьютерные вирусы.. 9

2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ АСОИ.. 11

2.1 Фрагментарный и комплексный подходы.. 11

2.2.Создание политики безопасности. Разработка политики безопасности
предприятия. 12

2.3.Разработка политики безопасности предприятия. Построение модели фирмы.. 16

2.4.Анализ информационных потоков и оценка их конфиденциальности. Оценка величины ущерба при потере или разглашении информации. 21

3. ОСНОВНЫЕ МЕХАНИЗМЫ ЗАЩИТЫ… 22

3.1. Механизмы идентификации, аутентификации, авторизации. 22

3.2.Модели управления доступом. Реализация модели конечного автомата. 25

3.3.Модели управления доступом. Реализация модели матрицы доступа. 29

3.4.Механизмы регистрации и контроля целостности. 33

4.КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ… 37

4.1.Виды средств криптографической защиты. Управление механизмами защиты Криптоанализ 37

4.2.Генерация ключей защиты. Подбор кода шифрования информации. 41

ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Нарушение конфиденциальности, целостности, работоспособности системы

Проблемы защиты информации волновали человечество с незапамятных времен. Необходимость защиты информации возникла из потребностей тайной передачи, как военных, так и дипломатических сообщений. Например, античные спартанцы шифровали свои военные сообщения. У китайцев простая запись со­общения с помощью иероглифов делала его тайным для чужестранцев.

Для обозначения всей области тайной (секретной) связи используется термин «криптология», который происходит от греческих корней «cryptos» — тайный и «logos» — сообщение. Криптология довольно четко может быть разделена на два направления: криптографию и криптоанализ.

Задача криптографа — обеспечить конфиденциальность (секретность) и аутентичность (подлинность) передаваемых сообщений.

Задача криптоаналитика — «взломать» систему защиты, разработанную криптографами. Он пытается раскрыть зашифрованный текст или выдать поддельное сообщение за настоящее.

Первые каналы связи были очень простыми, Их организовывали, используя надежных курьеров. Безопасность таких систем связи зависела как от надежности курьера, так и от его способно­сти не попадать в ситуации, при которых могло иметь место раскрытие сообщения.

Создание современных компьютерных систем и появление глобальных компьютерных сетей радикально изменило характер и диапазон проблем защиты информации. В широко компьютеризированном и информатизированном современном обществе обладание реальными ценностями, управление ими, передача ценностей или доступ к ним часто основаны на неовеществленной информации, т.е. на информации, существование которой не обязательно связывается с какой-либо записью на физическом носителе. Аналогичным образом иногда определяются и полномочия физических и юридических лиц на использование, модификацию, копирование имеющей большое значение или конфиденциальной информации. Поэтому весьма важно создавать и применять эффективные средства для реализации всех необходимых функций, связанных с обеспечением конфиденциальности и целостности информации.

Поскольку информация может быть очень ценной или особо важной, возможны разнообразные злонамеренные действия по отношению к компьютерным системам, хранящим, обрабатывающим или передающим такую информацию. Например, нарушитель может попытаться выдать себя за другого пользователя системы, подслушать канал связи или перехватить и изменить информацию, которой обмениваются пользователи системы. Нарушителем может быть и пользователь системы, который отказывается от сообщения, в действительности сформированного им, или который пытается утверждать, что им получено сообщение, которое в действительности не передавалось. Он может попытаться расширить свои полномочия, чтобы получить доступ к информации, к которой ему предоставлен только частичный доступ, или попытаться разрушить систему, несанкционированно изменяя права других пользователей.

Для решения указанных и других подобных проблем не существует какого-то одного технического приема или средства. Однако общим в решении многих из них является использование криптографии и криптоподобных преобразований информации.

Появление новых информационных технологий и интен­сивное развитие компьютерных сетей привлекают все большее внимание пользователей к глобальной сети Internet. Многие ком­пании и организации подключают сегодня свои локальные сети к сети Internet, чтобы воспользоваться ее ресурсами и преимущест­вами. Бизнесмены и государственные организации используют Internet в различных целях, включая обмен электронной почтой, распространение информации среди заинтересованных лиц и т.п. В силу открытости своей идеологии Internet предоставляет злоумышленникам много возможностей для вторжения во внут­ренние сети предприятий и организаций с целью хищения, иска­жения или разрушения важной и конфиденциальной информации. Решение задач по защите внутренних сетей от наиболее вероятных атак через Internet может быть возложено на межсетевые экраны, иногда называемые брандмауэрами или firewall. Применяются и программные методы защиты, к которым относятся защи­щенные криптопротоколы SSL и SKIP.

Важным приложением, нуждающимся в эффективных средствах защиты информации, являются электронные платежные системы. В этих системах в качестве универсального платежного средства используются банковские пластиковые карты. Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существует ряд потенциально уязвимых мест, в частности, пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентами. Для обеспечения защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты: управление доступом на оконечных системах, обеспечение целостности и конфиденциальности сообщений, взаимная аутентификация абонентов, гарантии доставки сообщения и т.д. Качество решения указанных проблем существенно зависит от рациональности выбора криптографических средств при реализации механизмов защиты.

Наиболее перспективным видом пластиковых карт являются микропроцессорные смарт-карты, которые благодаря встроенному микропроцессору обеспечивают обширный набор функций защиты и выполнение всех операций взаимодействия владельца карты, банка и торговца,

Все большее значение приобретает электронная торговля через Internet, которая сегодня может рассматриваться как огромный информатизированный рынок, способный охватить практически все население планеты Земля. Интенсивное развитие различных видов коммерческой деятельности в Internet требует принятия надлежащих мер по обеспечению безопасности этого перспектив­ного вида электронной коммерции.

Информатизация является характерной чертой жизни со­временного общества. Новые информационные технологии актив­но внедряются во все сферы народного хозяйства. Компьютеры управляют космическими кораблями и самолетами, контролируют работу атомных электростанций, распределяют электроэнергию и обслуживают банковские системы. Компьютеры являются основой множества автоматизированных систем обработки информации(АСОИ), осуществляющих хранение и обработку информации, предоставление ее потребителям, реализуя тем самым современные информационные технологии.

По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

• резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

• сосредоточение в единых базах данных информации различно­го назначения и различной принадлежности;

• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности;

• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам дан­ных;

• бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

• повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные;

• развитие глобальной сети Internet, практически не препятствующей нарушениям безопасности систем обработки инфор­мации во всем мире.

Введем и определим основные понятия информационной безопасности компьютерных систем .

Под безопасностью АСОИ понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.

Природа воздействий на АСОИ может быть самой разнообразной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов АСОИ, и ошибки персонала, и попытка проникновения злоумышленника.

Безопасность АСОИ достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа.

Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее рас­пространенным видом компьютерных нарушений.

Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъект — это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.

Объект — пассивный компонент системы, хранящий, при­нимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.

Целостность компонента или ресурса системы — это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случай­ных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы — это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.

Под угрозой безопасности АСОИ понимаются возможные воздействия на АСОИ, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в АСОИ. С понятием угрозы безопасности тесно связано понятие уязвимости АСОИ,

Уязвимость АСОИ — это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему — это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака — это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью защиты систем обработки информации.

Безопасная или защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности АСОИ. Комплекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности.

По цели воздействия различают три основных типа угроз безопасности АСОИ:

• угрозы нарушения конфиденциальностиинформации;

• угрозы нарушения целостности информации;

• угрозы нарушения работоспособности системы (отказы в обслуживании) .

Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации — компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (например, таким изменением является периодическая коррекция некоторой базы данных).

Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным.

Нарушения конфиденциальности и целостности информации, а также доступности и целостности определенных компонен­тов и ресурсов АСОИ могут быть вызваны различными опасными воздействиями на АСОИ.

Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АСОИ можно разбить на следующие группы:

• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

• данные — хранимые временно и постоянно, на магнитных носи­телях, печатные, архивы, системные журналы и т.д.;

• персонал — обслуживающий персонал и пользователи.

Опасные воздействия на АСОИ можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, из­готовления и эксплуатации АСОИ показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АСОИ. Причинами случайных воздействий при эксплуатации АСОИ могут быть:

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;

• отказы и сбои аппаратуры;

• ошибки в программном обеспечении;

• ошибки в работе обслуживающего персонала и пользователей;

• помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д. Действия нару­шителя могут быть обусловлены разными мотивами: недовольст­вом служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением са­моутвердиться любой ценой и т.п.

Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно соста­вить гипотетическую модель потенциального нарушителя :

• квалификация нарушителя может быть на уровне разработчика данной системы;

• нарушителем может быть как постороннее лицо, так и законный пользователь системы;

• нарушителю известна информация о принципах работы систе­мы;

• нарушитель выберет наиболее слабое звено в защите.

В частности, для банковских АСОИ можно выделить сле­дующие преднамеренные угрозы:

• несанкционированный доступ посторонних лиц, не принадле­жащих к числу банковских служащих, и ознакомление с храни­мой конфиденциальной информацией;

• ознакомление банковских служащих с информацией, к которой они не должны иметь доступ;

• несанкционированное копирование программ и данных;

• кража магнитных носителей, содержащих конфиденциальную информацию;

• кража распечатанных банковских документов;

• умышленное уничтожение информации;

• несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных;

• фальсификация сообщений, передаваемых по каналам связи;

• отказ от авторства сообщения, переданного по каналам связи;

• отказ от факта получения информации;

• навязывание ранее переданного сообщения;

• разрушение информации, вызванное вирусными воздействия­ми;

• разрушение архивной банковской информации, хранящейся на магнитных носителях;

• кража оборудования .

Несанкционированный доступ (НСД) является наиболее распространенным и многообразным видом компьютерных нару­шений. Суть НСД состоит в получении пользователем (нарушите­лем) доступа к объекту в нарушение правил разграничения досту­па, установленных в соответствии с принятой в организации поли­тикой безопасности. НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. НСД может быть осущест­влен как штатными средствами АСОИ, так и специально создан­ными аппаратными и программными средствами.

Перечислим основные каналы несанкционированного дос­тупа, через которые нарушитель может получить доступ к компо­нентам АСОИ и осуществить хищение, модификацию и/или раз­рушение информации:

• все штатные каналы доступа к информации (терминалы поль­зователей, оператора, администратора системы; средства ото­бражения и документирования информации; каналы связи) при их использовании нарушителями, а также законными пользова­телями вне пределов их полномочий;

• технологические пульты управления;

• линии связи между аппаратными средствами АСОИ;

• побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.

Из всего разнообразия способов и приемов несанкциони­рованного доступа остановимся на следующих распространенных и связанных между собой нарушениях:

• перехват паролей;

• «маскарад»;

• незаконное использование привилегий.

Перехват паролей осуществляется специально разрабо­танными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выво­дится сообщение об ошибке и управление возвращается операци­онной системе. Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систе­му. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей.

«Маскарад» — это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего со­ответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя.

Примерами реализации «маскарада» являются:

• вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля);

• передача сообщений в сети от имени другого пользователя.

«Маскарад» особенно опасен в банковских системах элек­тронных платежей, где неправильная идентификация клиента из-за «маскарада» злоумышленника может привести к большим убыт­кам законного клиента банка.

Незаконное использование привилегий. Большинство сис­тем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи — минимальный, администраторы — максимальный. Несанкционированный захват привилегий, например, посредством «маскарада», приводит к воз­можности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределе­ны в пространстве. Связь между узлами (объектами) сети осуще­ствляется физически с помощью сетевых линий связи и про­граммно с помощью механизма сообщений. При этом управляю­щие сообщения и данные, пересылаемые между объектами сети, передаются в виде пакетов обмена. При вторжении в компьютер­ную сеть злоумышленник может использовать как пассивные, гак и активные методы вторжения .

При пассивном вторжении (перехвате информации) на­рушитель только наблюдает за прохождением информации по ка­налу связи, не вторгаясь ни в информационный поток, ни в содер­жание передаваемой информации. Как правило, злоумышленник может определить пункты назначения и идентификаторы либо только факт прохождения сообщения, его длину и частоту обмена, если содержимое сообщения не распознаваемо, т.е. выполнить анализ графика (потока сообщений) в данном канале.

При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное или ложное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать и задержать все сообщения, передаваемые по каналу. Подобные действия можно квалифицировать как отказ в передаче сообщений.

Компьютерные сети характерны тем, что кроме обычных локальных атак, осуществляемых в пределах одной системы, про­тив объектов сетей предпринимают так называемые удаленные атаки, что обусловлено распределенностью сетевых ресурсов и информации. Злоумышленник может находиться за тысячи кило­метров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи. Под удаленной атакой понимают информационное разрушающее воздействие на распределенную компьютерную сеть, программно осуществленное по каналам связи .

В табл.1показаны основные пути реализации угроз безопасности АСОИ при воздействии на ее компоненты. Конечно, табл.1 дает самую общую картину того, что может произойти с системой. Конкретные обстоятельства и особенности должны рассматриваться отдельно. Более подробную классификацию угроз безопасности АСОИ можно найти в .

Таблица 1

Нарушения конфиденциальности

Причиной возникновения проблем этой группы является нарушение движения информационных потоков или ошибки в системе доступа. ИзП за тою, что такие виды нарушений никак не влияют на состояние системы, выявить их факт очень сложно.

Только небольшое их чисто можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы.
Для иллюстрации рассмотрим наиболее часто встречающиеся примеры нарушения доступа к информации.
• Ошибки администрирования:
неправильное формирование групп пользователей и определение прав их доступа;
отсутствие политики формирования паролей пользователей. При этом до 50% пользователей применяют простые, легко подбираемые пароли, такие, как «123456», «qwerty» или собственное имя; ошибки в формировании итоговых и агрегированных отчетов и доступа к ним. Примером может являться отчет по выпискам из счетов банка или сводный бухгалтерский журнал, которые хранят всю информа-цию по операциям кредитной организации и формируются в бухгалтерии, где за доступом к данным отчетам часто не ведется контроля; наличие открытого доступа для представителей сторонней организации, выполняющей какиеСЬибо подрядные работы.
Ошибки проектирования информационной системы использование недостаточно защищенной среды для разработки информационной системы Очень часто, особенно для систем, располагаемых на локальных компьютерах, доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую читая из таблиц базы данных,
ошибки алгоритмов доступа к данным. Особенно зто касается разработки систем криптозащиты. где очень часто вместо дорогостоящих систем в целях экономии используются собственные разработки, только имитирующие систему защиты.
небрежность в разработке системы защиты Один из примеров П забытая разработчиками точка доступа в систему, такая, как универсальный пароль
Небрежность пользователей в вопросах информационной безопасности
нарушение хранения паролей для доступа в информационную систему Часто пользователи просто пишут пароль на бумаге и оставляю! ее около компьютера. Особенно это распространено в организациях, где администратор системы требует сложных паролей, которые легко забыть Часто встречается также абсолютно недопустимая практика передачи паролей сотрудниками друг другу; сохранение закрытого соединения после окончания работы. Уходя на обед или домой, часть пользователей не выключают компьютер и не выходят из банковской системы Если она не имеет механизма временного отключения неактивных пользователей, такое нарушение делает бессмысленным большинство других требований системы безопасности,
нерегламентированное обсуждение закрытой информации При рассмотрении зто го нарушения особенно следует обращать внимание на сотрудников информационных служб.
• Умышленный взлом системы
через внешние точки доступа в информационную систему (например, через Интернет) П самый опасный вид взлома, так как нарушитель недоступен или почти недоступен для службы безопасности и, чувствуя свою безнаказанность, может нанести максимальный вред организации;
нерегламентированное подключение к собственной сети (информационным коммуникациям) банка. С развитием сетевых технологий этот вид нарушений встречается достаточно редко, однако остается возможным, особенно если банк имеет развитую систему коммуникаций, выходящих за пределы одного здания;
анализ неуничтоженных черновых документов системы. Такой вариант утечки информации практически не рассматривается службами безопасности, но является самым легким методом получения информации для злоумышленников В первую очередь это относится к черновым распечаткам из отдела информационных технологий

Ответственность за разглашение конфиденциальной информации

Разглашение конфиденциальной информации — наказуемое деяние. Вид распространенных данных влияет на уровень ответственности перед законом. В юридическом праве существуют критерии, которые защищаются разными кодексами: гражданским, административным или уголовным. Каждый гражданин может попасть под подсудность одного из них за предоставление в свободный доступ сведений, что считается преступлением. Если они находятся в перечне под охраной законодательных положений и регламентируются нормативными актами. Ступень ответственности определит суд по сопутствующим нарушение факторам.

От чего зависит тяжесть наказания

Прежде чем устанавливать уровень вины за разглашение конфиденциальной информации, стоит понять, что к ней относится по закону и праву. Конфиденциальность означает секретность. Данные, содержащиеся в закрытом доступе посторонним лицам, защищены от их проникновения законом, нарушителей наказывают. На страже стоит Федеральный закон № 149 со статьей 5, которая утверждает защищенность информационных технологий и разделяет материалы по видам доступности. Но в любой их форме, если лицо имеет к ним доступ, не может передавать сведения сторонним людям кроме правообладателей.

Если из-за противоправных действий будет нанесен ущерб предприятию или работодателю виновного ждет наказание:

  • дисциплинарное;
  • материальное;
  • административное;
  • уголовное.

В зависимости от тяжести вины определяют, какую гражданин должен нести ответственность за разглашение конфиденциальной информации, если предприятие не секретное, возможно, руководство ограничится простым увольнением.

Характерные особенности секретности

Информационные сведения имеют широкое понятие. Ограничить свободный доступ к ним или полностью запретить может федеральное законодательство. Если данные настолько важны, что угрожают государственной безопасности, они относятся к военной тайне и принадлежат к стратегическому значению. Подобное распространение, документальное или устное, считается тяжким преступлением и строго карается. Разглашение конфиденциальной информации принадлежит к уведомлениям ограниченно закрытым. Если они не подлежат к общедоступным сведениям, с ними работают правоохранительные или надзорные органы по установлению закона.

В секрете должны содержаться детали:

  • следствий в ходе судебных разбирательств;
  • персональные из жизни каждого гражданина, его личные данные;
  • телефонных разговоров, переписки;
  • коммерческих действий юридических и физических лиц, если они являются тайной определенной законом и нормативными актами организации;
  • профессиональных сведений, которые доверены были населением работнику – врачу, адвокату, следователю.

Отсюда можно сделать вывод, что тайна бывает:

  • государственной;
  • коммерческой;
  • служебной;
  • персональной;
  • иной.

Каждого работника, занимающего ответственную должность, заранее предупреждают, что конфиденциальная информация не подлежит разглашению.

Порядок сохранности тайн

Прежде всего, как физические, так и юридические лица обязаны хранить свои секреты в надлежащем состоянии. Суд удовлетворит претензии, если истцом были предприняты меры надежной защиты. Предприниматели могут подать исковое заявление в любом случае при обнаружении, что произошла утечка или разглашение конфиденциальной информации. Но даже в правилах дорожного движения автовладелец может ответить за угон своего автомобиля, когда оставляет в нем ключи.

Поэтому предъявляются строгие требования к содержанию:

  1. Документации с конфиденциальными данными в местах, ограниченных к свободному доступу. Это могут быть закрытые помещения или сейфы.
  2. Электронных данных, их защиту осуществляют пароли, коды, логины.
  3. Бумажных и электронных носителей, где должен стоять специальный гриф, предупреждающий о секретности.
  4. Трудовых договоров, в них прописывают условия для сотрудников в отношении коммерческих тайн.
  5. Локальных актов, в приказном порядке утверждают персонал, должности которого позволяет работать с закрытой для остальных информацией, они согласны хранить корпоративные секреты и ставят свои подписи под обязательствами.

При обнаружении утечки данных они должны сообщить руководству, так как бездействие тоже является нарушением производственной дисциплины.

Что принадлежит к распространению сведений

На каждом предприятии может произойти свой особенный случай, когда участвовали при разглашении конфиденциальной информации сотрудники.

Например:

  • инженер передал разработки коллег за определенную оплату конкурентам;
  • по недоразумению или желая разбогатеть, лаборант предоставляет доступ преступным элементам общества, к закрытым помещениям, где содержатся данные об испытаниях нового лекарственного препарата;
  • хвастовство за праздничным столом работника секретного ведомства позволило распространиться из уст в уста закрытым сведениям;
  • специалист регулярно выносил схемы, расчеты, подробности технических открытий за пределы предприятия, это серьезные преступные действия, квалифицировать которые способна судебная инстанция.

В каком бы статусе ни был пострадавший или организация, обратиться за восстановлением справедливости он может в правовое ведомство в законном порядке, самосуд исключен.

Доказательная база

Открывают дело в суде о несанкционированном распространении тайных сведений при наличии доказанных фактов. Процедура имеет заявительный характер, как и любое обращение в судебную инстанцию.

Подавать иск нужно с доказательствами:

  • письменными свидетельскими показаниями от сотрудников;
  • зафиксированными фактами пересылки документов;
  • обнаруженными копиями, сделанными без специальных распоряжений руководства;
  • записанными на камеру наблюдениями о противоправных действиях – передача третьим лицам документов, их копирование, фотографирование.
  • выявление косвенных признаков, доказательств нет, но утечка есть, при этом доступ имеет один из сотрудников.

Разглашение конфиденциальной информации по договору запрещено, это одно из требований к персоналу при приеме на работу отдельных специалистов. Условия о секретности содержат и должностные инструкции.

Для кого достаточно дисциплинарного взыскания

Если руководство решит, что служащий больше не позволит себе допустить халатность, его не уволят, а только:

  • предупредят;
  • сделают замечание;
  • лишат премии;
  • объявят выговор.

Подобные взыскания относятся к дисциплинарным, в их признаках отсутствует прямой умысел, нет причинения ущерба.

За какие действия наказывают по административному кодексу?

Штраф за разглашение конфиденциальной информации в размере 10000 рублей предусмотрен, если распространялись личные или коммерческие данные. Административные нарушения не содержат передачу третьим лицам государственных тайн. Разбирательства ведутся в отношении действий внутри предприятий за передачу конкурентам сведений о порядке работы, структуре, внедрения в производство новых разработок.

Серьезная ответственность

По УК РФ осуждают за уголовные преступления. За разглашение конфиденциальной информации статья 183 регламентирует наказания, если граждане незаконно получили и распространили сведения, принадлежащие к коммерческим, налоговым, банковским тайнам. Когда были похищены документы, происходил подкуп, давление на лиц с помощью угроз, проступки попадают под действие Федерального закона № 193 или № 420.

Степень ответственности зависит от тяжести преступления:

  • штрафные санкции по размеру зарплаты или годичного дохода;
  • исправительные или принудительные работы;
  • лишение свободы.

Только Уголовный кодекс предусматривает реальный тюремный срок за проступки, попавшие под действия его юрисдикции.

Нарушения гражданских прав

По ГК РФ предусмотрена ответственность в следующих случаях:

  • пренебрежительное отношение к своим профессиональным обязанностям;
  • нанесение вреда субъекту;
  • причинение морального ущерба за распространение личных данных.

Если профессиональная деятельность и трудовой договор содержат условия, что информация является конфиденциальной и не подлежит разглашению, а работник ознакомлен и подписал требования, значит, он несет ответственность за любое нарушение подобного характера.

Содержание и особенности, подписанных соглашений

Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:

  • научно-техническому;
  • технологическому;
  • финансовому;
  • деловому.

Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.

Специалисты подписывают обязательства по содержанию:

  • после изучения и знакомства с любыми данными не использовать их для собственных нужд;
  • сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
  • соответствовать в работе нормам и требованиям относительно конфиденциальности;
  • когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.

Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы. Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам. Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.

Ошибка нарушения конфиденциальности в Chrome как отключить

В данном материале я расскажу, как исправить ошибку нарушения конфиденциальности в Гугл Хром. Многие, кто активно пользуются Интернетом и делают это через браузер Google Chrome, заходя на некоторые сайты, могут увидеть красный экран, на котором сообщается о нарушении конфиденциальности. Часто это может являться свидетельством того, что ресурс является небезопасным (например, он передает конфиденциальную информацию, к примеру, в водимые пользователем платежные данные, по зашифрованному соединению, на обеспечение которого просрочен сертификат). Однако в некоторых случаях эта ошибка может возникнуть на нормальных сайтах. Если у вас возникла ошибка нарушения конфиденциальности в Chrome, как отключить ее мы расскажем ниже.

Chrome

Что делать при появлении ошибки нарушения конфиденциальности в Хром

Самый простой способ отключить возникновения ошибки нарушения конфиденциальности – запускать браузер Chrome со специальным параметром. Для этого нужно сделать следующее:

  1. Сделать ПКМ по значку браузера Chrome;
  2. В развернувшемся меню выбрать «Свойства»;

    Свойства ярлыка Chrome

  3. На вкладке «Ярлык» перевести курсор в поле «Объект»;
  4. После прописанного пути к исполняемую файлу потребуется поставить пробел и ввести –ignore-certificate-errors;
  5. Применить конфигурацию.

Если браузер открыт, то закройте его и запустите заново, нажав на значок, для которого были применены указанные настройки. Теперь браузер никогда не станет говорить о том, что какой-то сайт является небезопасным.

Однако применять такой способ не рекомендуется, если вы беспокоитесь о безопасности на своем компьютере. Следующий метод более безопасен. Также вам будет полезна моя статья о том, что делать если «Не удаётся установить соединение с сайтом».

Как зайти на сайт, при посещении которого сообщается об ошибке нарушения конфиденциальности

Вышеописанный способ является довольно радикальным, в связи с чем подходит далеко не для всех. Большинству пользователей не требуется включения игнорирования ошибок сертификата, им нужно просто открыть сайт.

Незащищенное соединение в браузере Chrome

Чтобы посетить ресурс, на котором появляется ошибка нарушения конфиденциальности в Chrome, понадобится выполнить ряд несложных действий:

  1. Оказавшись перед предупреждающим экраном нажать на «Дополнительно»;
  2. После клика на соответствую ссылку развернется кое-какое текст, среди которого будет ссылка «Перейти на сайт (небезопасно)» – нужно кликнуть на нее.

После этого запрашиваемая страница будет загружена. Однако делайте это только в том случае, если вы уверены в сайте.

Другие причины возникновения ошибки нарушения конфиденциальности в Chrome

Существует и несколько других причин, из-за которых может появиться ошибка нарушения конфиденциальности. Так, например, почти всегда она возникает на ресурсах, работающих по шифрованному каналу, если у пользователя неправильное время.

Браузер Chrome

Если у человека часы отстают (или спешат) на один или несколько дней, то при входе на защищенные сайты он увидит соответствующий предупреждающий экран. Чтобы исправить ошибку в таком случае понадобится просто установить верное время.

Другая причина проблемы с нарушением конфиденциальности – работа антивирусного ПО. Попробуйте отключить антишпионский софт и зайти на ресурс. Однако если это помогло, то следует задуматься о целесообразности посещения соответствующих сайтов, ведь, антивирус не просто так на него жалуется – возможно на ресурсе есть какой-то вредоносный код.

Нарушение конфиденциальности

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *