Конфиденциальность данных – Виды конфиденциальной информации по закону РФ

infoprotect.net

НОУ ИНТУИТ | Лекция | Конфиденциальность, целостность, доступность

1.3 Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность, Доступность

Основой безопасной ИТ-инфраструктуры является триада сервисов – Конфиденциальность, Целостность, Доступность – Confidentiality, Integrity, Availability (CIA).

Целью информационной безопасности является обеспечение трех наиболее важных сервисов безопасности: конфиденциальность, целостность и доступность.

Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальной, также называется чувствительной. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата.

Целостность – это гарантирование того, что информация остается неизменной, корректной и аутентичной. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.

Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускной способности почтового сервиса.

Три основных сервиса – CIA – служат фундаментом информационной безопасности. Для реализации этих трех основных сервисов требуется выполнение следующих сервисов.

Идентификация – сервис, с помощью которого указываются уникальные атрибуты пользователей, позволяющие отличать пользователей друг от друга, и способы, с помощью которых пользователи указывают свои идентификации информационной системе. Идентификация тесно связана с аутентификацией.

аутентификация – сервис, с помощью которого доказывается, что участники являются требуемыми, т.е. обеспечивается доказательство идентификации. Это может достигаться с помощью паролей, смарт-карт, биометрических токенов и т.п. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.

Подотчетность – возможность системы идентифицировать отдельного индивидуума и выполняемые им действия. Наличие этого сервиса означает возможность связать действия с пользователями. Данный сервис очень тесно связан с сервисом невозможности отказа.

Невозможность отказа – сервис, который обеспечивает невозможность индивидуума отказаться от своих действий. Например, если потребитель сделал заказ, и в системе отсутствует сервис невозможности отказа, то потребитель может отказаться от факта покупки. Невозможность отказа обеспечивает способы доказательства того, что транзакция имела место, не зависимо от того, является ли транзакция online-заказом или почтовым сообщением, которое было послано или получено. Для обеспечения невозможности отказа как правило используются цифровые подписи.

Авторизация – права и разрешения, предоставленные индивидууму (или процессу), которые обеспечивают возможность доступа к ресурсу. После того, как пользователь аутентифицирован, авторизация определяет, какие права доступа к каким ресурсам есть у пользователя.

Защита частной информации – уровень конфиденциальности, который предоставляется пользователю системой. Это часто является важным компонентом безопасности. Защита частной информации не только необходима для обеспечения конфиденциальности данных организации, но и необходима для защиты частной информации, которая будет использоваться оператором.

Если хотя бы один из этих сервисов не функционирует, то можно говорить о нарушении всей исходной триады CIA.

Для реализации сервисов безопасности должна быть создана так называемая «оборона в глубину». Для этого должно быть проделано:

1. Необходимо обеспечить гарантирование выполнения всех сервисов безопасности.
2. Должен быть выполнен анализ рисков.
3. Необходимо реализовать аутентификацию и управление Идентификациями.
4. Необходимо реализовать авторизацию доступа к ресурсам.
5. Необходимо обеспечение подотчетности.
6. Необходимо гарантирование доступности всех сервисов системы.
7. Необходимо управление конфигурацией.
8. Необходимо управление инцидентами.

1.4 Гарантирование выполнения

Обеспечение выполнения сервисов безопасности выполнить следующее:

• Разработать организационную политику безопасности.
• Рассмотреть существующие нормативные требования и акты.
• Обеспечить обучение сотрудников, ответственных за ИБ.

Гарантирование выполнения, наряду с анализом рисков, является одной из самых важных компонент, обеспечивающих создание обороны в глубину. Это является основой, на которой построены многие другие компоненты. Оценка гарантированности выполнения может во многом определять все состояние и уровень зрелости надежной инфраструктуры.

Организационная политика содержит руководства для пользователей и администраторов. Эта политика должна быть четкой, ясной и понимаемой не только техническими специалистами. Политика должна охватывать не только текущие условия, но и определять, что и как должно быть сделано, если произошла атака.

1.5 Анализ рисков

При анализе рисков первым делом следует проанализировать информационные активы, которые должны быть защищены.

Любое обсуждение риска предполагает определение и оценку информационных активов. Актив – это все, что важно для организации. Критический актив – это актив, который жизненно важен для функционирования организации, ее репутации и дальнейшего развития.

Анализ рисков является процессом определения рисков для информационных активов и принятия решения о том, какие риски являются приемлемыми, а какие нет. Анализ рисков включает:

• Идентификацию и приоритезацию информационных активов.
• Идентификацию и категоризацию угроз этим активам.
• Приоритезацию рисков, т.е. определение того, какие риски являются приемлемыми, какие следует уменьшить, а какие избегать.
• Уменьшение рисков посредством использования различных сервисов безопасности.

Угрозой является любое событие, которое может иметь нежелательные последствия для организации. Примерами угроз являются:

• Возможность раскрытия, модификации, уничтожения или невозможность использования информационных активов.
• Проникновение или любое нарушение функционирования информационной системы. Примерами могут быть:
• Вирусы, черви, троянские кони.
• DoS-атаки.
• Просмотр сетевого трафика.
• Кража данных.
• Потеря информационных активов в результате наличия единственной точки отказа. Примерами могут быть:
• Критичные данные, для которых нет резервной копии.
• Единственное критичное место в сетевой инфраструктуре (например, базовый маршрутизатор).
• Неправильное управление доступом к ключам, которые используются для шифрования критических данных.

Уязвимости, которые могут существовать в информационных активах, могут быть связаны с наличием:

• Слабых мест в ПО:
• Использование установок по умолчанию (учетные записи и пароли по умолчанию, отсутствие управления доступом, наличие необязательного ПО).
• Наличие ошибок в ПО.
• Некорректная обработка входных данных.
• Слабых мест в архитектуре:
• Наличие единственной точки отказа.
• Слабых мест, связанных с человеческим фактором.

Возможные стратегии управления рисками:

1. Принять риск. В этом случае организация должна иметь полное представление о потенциальных угрозах и уязвимостях для информационных активов. В этом случае организация считает, что риск не является достаточным, чтобы защищаться от него.
2. Уменьшить риск.
3. Передать риск. Организация решает заключить соглашение с третьей стороной для уменьшения риска.
4. Избежать риск.

1.6 Аутентификация и управление Идентификациями

Идентификация пользователя дает возможность вычислительной системе отличать одного пользователя от другого и обеспечивать высокую точность управления доступом к сервисам и ресурсам. Идентификации могут быть реализованы разными способами, такими как пароли, включая одноразовые, цифровые сертификаты, биометрические параметры. Возможны разные способы хранения идентификаций, такие как базы данных, LDAP, смарт-карты.

Система должна иметь возможность проверить действительность (аутентичность) предоставленной идентификации. Сервис, который решает эту проблему, называется аутентификацией.

Термин сущность (entity) часто лучше подходит для обозначения предъявителя идентификации, чем термин пользователь, так как участниками аутентификационного процесса могут быть не только пользователи, но и программы и аппаратные устройства, например, веб-серверы или маршрутизаторы.

Разные требования к безопасности требуют разных методов идентификации и аутентификации. Во многих случаях бывает достаточно обеспечивать безопасность с помощью имени пользователя и пароля. В некоторых случаях необходимо использовать более сильные методы аутентификации.

Возможны следующие способы аутентификации.

1.6.1 Пароли

Наиболее часто используемой формой идентификации на сегодняшний день является имя пользователя и пароль. Причины этого в том, что, во-первых, пользователи сами могут выбрать пароли, которые им легко запомнить, а всем остальным трудно отгадать, а, во-вторых, данный способ аутентификации требует минимальных административных усилий.

Однако использование паролей имеет определенные проблемы. Любой пароль, который является словом из некоторого словаря, может быть сравнительно быстро найден с помощью программ, которые перебирают пароли. Пароль, состоящий из случайных символов, трудно запомнить.

В большинстве современных приложений пароль не хранится и не передается в явном виде.

1.6.2 Токены

Вместо того, чтобы в качестве идентификации использовать нечто, что кто-то знает, можно использовать нечто, что он имеет. Обычно под токенами понимаются некоторые аппаратные устройства, которые предъявляет пользователь в качестве аутентификации. Такие устройства позволяют пользователям не запоминать пароли. Примерами таких токенов являются:

• Смарт-карты.
• Одноразовые пароли.
• Устройства, работающие по принципу запроса – ответа.

1.6.3 Биометрические параметры

Используются некоторые физические характеристики пользователя.

1.6.4 Криптографические ключи

Криптография предоставляет способы, с помощью которых сущность может доказать свою идентификацию. Для этого она использует ключ, являющийся строкой битов, который подается в алгоритм, выполняющий шифрование данных. На самом деле ключ аналогичен паролю – это нечто, что сущность знает.

Существует два типа алгоритмов и, соответственно, два типа ключей – симметричные и асимметричные.

В случае использования асимметричных ключей необходимо развертывание инфраструктуры открытых ключей.

Во многих протоколах для взаимной аутентификации сторон могут использоваться ключи разных типов, т.е. одна из сторон аутентифицирует себя с помощью цифровой подписи (асимметричные ключи), а противоположная сторона – с помощью симметричного ключа (или пароля).

1.6.5 Многофакторная аутентификация

В современных системах все чаще используется многофакторная аутентификация. Это означает, что аутентифицируемой сущности необходимо предоставить несколько параметров, чтобы установить требуемый уровень доверия.

1.6.6 Централизованное управление идентификационными и аутентификационными данными

Для выполнения аутентификации для входа в сеть часто используются механизмы, обеспечивающие централизованную аутентификацию пользователя. Преимущества этого:

• Легкое администрирование.
• Увеличение производительности.

Примерами являются:

• Сервисы Директории:
• Microsoft AD.
• Различные реализации LDAP.
• Протоколы:
• Radius.
• PAP, CHAP.
• Kerberos.
• Системы федеративной идентификации.

Целями систем федеративной идентификации являются:

• Обеспечить единую аутентификацию (так называемый Single Sign On – SSO) в пределах сетевого периметра или домена безопасности.
• Обеспечить пользователей возможностью легко управлять своими идентификационными данными.
• Создать родственные группы, которые могут доверять друг другу аутентифицировать своих пользователей.

1.7 Управление доступом

Управление доступом или авторизация означает определение прав и разрешений пользователей по доступу к ресурсам.

• Авторизация может быть реализована на уровне приложений, файловой системы и сетевого доступа.
• Принципы предоставления прав и разрешений должны определяться политикой организации.

Основные вопросы, на которые должен отвечать сервис авторизации: «Кто и что может делать в компьютерной системе или сети?» и «Когда и где он может это делать?».

Компоненты управления доступом:

Субъекты – пользователь, аппаратное устройство, процесс ОС или прикладная система, которым требуется доступ к защищенным ресурсам. Идентификация субъекта подтверждается с помощью механизмов аутентификации.

Объекты или ресурсы –файлы или любые сетевые ресурсы, к которым субъект хочет получить доступ. Это включает файлы, папки и другие типы ресурсов, такие как записи базы данных (БД), сеть или ее компоненты, например, принтеры.

Разрешения – права, предоставленные субъекту по доступу к данному объекту или ресурсу.

Управление доступом означает предоставление доступа к конкретным информационным активам только для авторизованных пользователей или групп, которые имеют право просматривать, использовать, изменять или удалять информационные активы. В сетевом окружении доступ может контролироваться на нескольких уровнях: на уровне файловой системы, на прикладном уровне или на сетевом уровне.

Управление доступом на уровне файловой системы может быть интегрировано в ОС. Как правило в этом случае используются списки управления доступом (Access Control List – ACL) или возможности (capabilities).

В случае использования ACL для каждого объекта создается список, в котором перечислены пользователи и их права доступа к данному объекту. В случае использования возможностей в системе хранится список разрешений для каждого пользователя.

При управлении доступом на сетевом уровне для разграничения трафика используются сетевые устройства.

При управлении доступом на сетевом уровне сеть может быть разбита на отдельные сегменты, доступ к которым будет контролироваться. Сегментацию на сетевом уровне можно сравнить с использованием управления доступом на уровне групп или ролей в файловой системе. Такое деление может быть основано на бизнес-задачах, необходимых сетевых ресурсах, выполняемых операциях (например, производственные сервера и тестовые сервера) или важности хранимой информации. Существует несколько способов сегментации сети. Двумя основными способами является использование маршрутизаторов и межсетевых экранов.

Маршрутизаторы являются шлюзами в интернет или делят внутреннюю сеть на различные сегменты. В этом случае маршрутизаторы выполняют различные политики разграничения трафика.

Межсетевыми экранами являются устройствами, просматривающими входящий и исходящий трафик и блокирующими пакеты в соответствии с заданными правилами.

Преимущества управления доступом на сетевом уровне:

• Возможное четкое определение точек входа, что облегчает мониторинг и управление доступом.
• Возможно скрытие внутренних адресов для внешних пользователей. Межсетевой экран может быть сконфигурирован как прокси или может выполнять преобразование адресов (Network Address Translation – NAT) для сокрытия внутренних IP-адресов хостов.

Недостатки управления доступом на сетевом уровне:

• Не всегда удается использовать подход «установить и забыть» – необходимо анализировать и изменять правила межсетевого экрана при изменении конфигурации или требований к безопасности.
• Может оказаться единственной точкой отказа.
• Анализирует только заголовки сетевого уровня.

Управление доступом на прикладном уровне предполагает использование разрешений и применение правил для доступа к приложениям и прикладным данным. В этом случае часто используются прокси-серверы.

Прокси-сервер является устройством или сервисом, который расположен между клиентом и целевым сервером. Запрос на сервер посылается к прокси-серверу. Прокси-сервер анализирует запрос и определяет, является ли он допустимым.

Преимущества управления доступом на прикладном уровне:

• Управление доступом отражает специфику конкретной целевой системы. Увеличивает точность (гранулированность) управления доступом.
• Может снизить влияние неправильной конфигурации отдельных хостов.
• Выполняется подробный анализ пакетов.
• Выполняется более сильная аутентификация.

Недостатки управления доступом на прикладном уровне:

• Прокси специфичны для приложений.
• Возможна несовместимость приложений с прокси. В этом случае можно только либо разрешать весть трафик, либо запрещать весь трафик.
• Высокая вычислительная нагрузка и, как следствие, возможно снижение производительности.

1.8 Обеспечение отчетности

Отчетность – это возможность знать, кто и что делал в системе и сети. Это включает:

• Создание и аудит системных логов.
• Мониторинг систем и сетевого трафика.
• Обнаружение проникновений.

Обеспечение отчетности позволяет знать, что происходит в компьютерных системах или сетях. Это может быть реализовано многими способами, но наиболее часто используются следующие:

• Конфигурирование системы таким образом, чтобы записывалась интересующая активность, такая как попытки входа пользователей в систему или сеть (успешные или не успешные).
• Инспектирование использования сети для определения типов сетевого трафика и его объема.
• Автоматический мониторинг систем для определения отключений сервисов.
• Использование систем обнаружения вторжений для оповещения администраторов о нежелательной активности в компьютерных системах или сетях.

При использовании подобных технологий важно правильно рассчитать количество необходимых ресурсов и время, необходимое для анализа собранных данных.

1.9 Гарантирование доступности

Гарантирование доступности состоит в определении точек возможного сбоя и ликвидации этих точек. Стратегии уменьшения негативных последствий отказов могут быть управленческие и технологические.

Первым делом следует определить потенциальные точки отказа в сетевой инфраструктуре. Такие критически важные устройства, как коммутаторы и маршрутизаторы, а также базовые с точки зрения функционирования серверы, такие как DNS-серверы, должны быть проанализированы с точки зрения возможного отказа и влияния этого на возможности функционирования ИТ. Это связано с управлением рисками – определить и минимизировать степень риска.

С точки зрения гарантирования доступности можно дать следующие определения.

Надежность – способность системы или отдельной компоненты вы-полнять требуемые функции при определенных условиях в указанный период времени.

Избыточность – создание одной или нескольких копий (backup) си-стемы, которые становятся доступными в случае сбоя основной системы, или наличие дополнительных возможностей системы для организации её отказоустойчивости.

Отказоустойчивость – способ функционирования, при котором функции компонент системы (такие как процессор, сервер, сеть или БД) выполняются дублирующими компонентами при отказе или плановом останове основных компонент. Способность системы или компонента продолжать нормально функционировать при отказе ПО или аппаратуры.

Необходимо проанализировать возможные точки отказа в следующих компонентах: данные, компоненты систем, сетевая топология, маршрутизаторы и коммутаторы, отдельные критичные сервисы.

Основные технологии обеспечения отказоустойчивости этих компо-нент:

• Данные:
• Защита с помощью RAID.
• Шифрование данных и управление ключом.
• Стратегии создания копий и восстановления.
• Компоненты систем:
• Горячее резервирование аппаратуры и подсистем.
• Резервирование на уровне сетевых интерфейсов.
• Резервирование данных на уровне ОС и приложений.
• Сетевая топология:
• Обеспечение масштабируемости пропускной способности и количества интерфейсов.
• Маршрутизаторы и коммутаторы:
• Использование протоколов, поддерживающих автоматиче-ское восстановление, таких как протоколы динамической маршрутизации, обладающие достаточной сходимостью и передающие минимальное количество служебной инфор-мации.
• Критические сервисы:
• Обеспечение балансировки нагрузки для таких критических сервисов, как DNS, DHCP и т.п.
• Обеспечение балансировки нагрузки для прикладных сер-веров (веб, почта, БД).
• Обеспечение балансировки нагрузки для сетевых устройств, таких как межсетевые экраны и прокси-серверы.

1.10 Управление конфигурациями

При управлении конфигурациями необходимо обеспечить следующее:

• Регулярное обновление ПО.
• Управление и контроль существующих ресурсов.
• Управление изменениями.
• Оценка состояния сетевой безопасности.

Управление конфигурациями означает ежедневное использование проактивных технологий, которые гарантируют корректное функционирование ИТ-систем.

Управление обновлением ПО является одной из ежедневных обязанностей, которая является относительно простой. В идеале обновление должно проводиться на отдельном оборудовании и после тестирования переноситься на все производственные системы. Этого достаточно трудно добиться даже в небольших сетях. Различные производители, такие как Microsoft, и системы с открытым кодом, такие как Linux, уделяют большое внимание этой проблеме, и на сегодняшний день существуют достаточно зрелые технологии, например, Windows Server Update Services (WSUS), которые позволяют администратору управлять внесением обновлений в сетях, построенных с использованием ОС Windows. С другой стороны, для таких устройств сетевой инфраструктуры, как коммуникаторы и маршрутизаторы, обновление выполняется значительно труднее. Обычно они либо пол-ностью заменяются, либо должен быть загружен и заменен образ всей ОС.

Эффективное управление существующими ресурсами само по себе требует больших усилий. Все изменения конфигураций основных серверов и систем должны быть тщательно документированы.

Также важна регулярная оценка состояния сетевой безопасности. Существуют различные инструментальные средства, такие как Baseline Security Analyzer компании Microsoft и инструментальное средство с открытым кодом Nessus, которые помогают администратору выполнить такую оценку.

1.11 Управление инцидентами

Регулярно происходят какие-либо события, относящиеся к безопасности. При возникновении компьютерного инцидента важно иметь эффективные способы его распознавания. Скорость, в которой можно распознать, проанализировать и ответить на инцидент, позволяет уменьшить ущерб, нанесенный инцидентом.

1.12 Использование третьей доверенной стороны

Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:

В некоторых случаях для выполнения сервисов безопасности необходимо взаимодействие с третьей доверенной стороной (Third Trusted Party – TTP). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна оппоненту. Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

1.13 Криптографические механизмы безопасности

Перечислим основные криптографические механизмы безопасности:

Алгоритмы симметричного шифрования – алгоритмы шифрования, в которых для шифрования и расшифрования используется один и тот же ключ.

Алгоритмы асимметричного шифрования – алгоритмы шифрования, в которых для шифрования и расшифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная открытый ключ, определить закрытый вычислительно трудно.

Хэш-функции – функции, входным значением которых является сообщение произвольной длины, а выходным значением – сообщение фиксированной длины. Хэш-функции обладают рядом свойств, которые позволяют с высокой долей вероятности определять изменение входного сообщения.

www.intuit.ru

Конфиденциальность — Википедия

Конфиденциа́льность (от англ. confidence — доверие) — необходимость предотвращения утечки (разглашения) какой-либо информации.

С этимологической точки зрения, слово «конфиденциальный» происходит от латинского confidentia — доверие. В современном русском языке это слово означает «доверительный, не подлежащий огласке, секретный». Слово «секрет», заимствовано из французского secret означает — «тайна». В словаре В. Даля также названы аналогичные значения : «конфиденциальная» — «откровенная, по особой доверенности, неоглашаемая, задушевная»; «тайна» — «кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое». Исходя из определений понятия конфиденциальная информация, тайна, секрет являются равнозначными^[1].

С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация относящаяся к конфиденциальной определяется по разному.

В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.

Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185) направлена на сдерживание, в том числе, действий направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:

• Противозаконный доступ
• Неправомерный перехват
• Воздействие на данные
• Воздействие на функционирование системы
• Противозаконное использование устройств^[2].

Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи^[3].

Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» — физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» — это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону^[4].

Согласно дополнению к директиве N 95/46/EC, директива 2002/58/ЕС, конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящего к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя^[5].

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Конфиденциальность в России[править]

На данный момент в российском законодательстве чёткого определения понятия «конфиденциальная информация» нет. В утратившем силу федеральном законе № 24 «Об информации,информатизации и защите информации» говорится, что конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации^[6].

Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако, он описывает понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация — сведения (сообщения, данные) независимо от формы их представления»^[7].

В Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относят:

• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
• Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты.
• Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
• Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
• Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них^[8].

Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенным сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Выше был приведен список сведений которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным^[7].

Конфиденциальность в различных областях[править]

Понятие конфиденциальности используется практически во всех областях, как в коммерческих структурах, так и государственных. Когда речь заходит о конфиденциальности на предприятиях, то чаще всего имеется в виду коммерческая или государственная тайна.

Конфиденциальность — обязательство неразглашения информации, полученной от испытуемого (в общем случае, от делового партнера, от участника переговоров, собеседника), или в общем случае ограничение её распространения кругом лиц, о которых испытуемый был заранее извещен^[9].

Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации^[10].

Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

Информация, составляющая коммерческую тайну (секрет производства), — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Принятие решений, что относить к коммерческой тайне лежит на лице занимающимся предпринимательской деятельностью, однако есть перечень сведений, на которые подобный режим не может быть наложен:

1. содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2. содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3. о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4. о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5. о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6. о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7. о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8. об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9. о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11. обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Основные меры по охране конфиденциальности информации, принимаемые её обладателем, включают:

1. определение перечня информации, составляющей коммерческую тайну;
2. ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3. учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4. регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5. нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)^[11].

В психологии конфиденциальность — это одно из основных прав испытуемого. Информация получаемая при обследовании или эксперименте не должна быть доступной третьим лицам в том случае, если это может смутить испытуемого или причинить ему вред. Кроме того, использование полученной информации ограничивается научными целями, о чём испытуемому нужно сообщить до получения информированного согласия^[12].

В процессе психологического исследования вопрос конфиденциальности затрагивается во время сбора данных и помещения их на хранение, а также при обнародовании результатов.

В подобных случаях конфиденциальность обеспечивается путем использования кодов вместо имен, или же если речь идет об обнародовании информации, то изменением имен и опускание географической информации^[12].

В аудиторской деятельности конфиденциальность является профессиональным этическим принципом.

Конфиденциальность — принцип аудита, заключающийся в том, что аудиторы и аудиторские организации обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудита, и не вправе передавать эти документы или их копии (как полностью, так и частично) каким бы то ни было третьим лицам либо устно разглашать содержащиеся в них сведения без согласия собственника (руководителя) экономического субъекта, за исключением случаев, предусмотренных законодательными актами Российской Федерации. Принцип конфиденциальности должен соблюдаться неукоснительно, невзирая на то, что разглашение или распространение информации об экономическом субъекте не наносит ему по представлениям аудитора материального или иного ущерба. Соблюдение принципа конфиденциальности обязательно вне зависимости от продолжения или прекращения отношений с клиентом и без ограничения по времени^[13].

Конфиденциальность в Интернете — вопрос наиболее сложно регулируемый, так как сохранность данных зависит в основном от него самого и от того, как, какую и в каком количестве информацию он предоставляет. Конфиденциальность в этой области регулируется в основном политикой конфиденциальности, которая прописывается на сайтах. В политике объясняется, какие данные о вас собираются на сайте, каким образом они используются, разглашаются и защищаются, а также каким образом можно изменить и удалить эти данные. Однако подобные описания встречаются не на всех сайтах.

Возможности обмена информацией в интернете стремительно развиваются. Так, при посещении, настройки учетной записи, совершении покупок через Интернет, регистрации, принятии участия в опросах, загрузки программного обеспечения собирается личная информация.

Предприятия используют эту информацию для совершения транзакции, чтобы запомнить ваши предпочтения, предложить персонализированное содержимое, сделать специальное предложение или сэкономить ваше время.

Транзакции, такие как регистрация на получение услуги или покупка товаров, связаны с вами, например, с помощью адреса доставки или номера кредитной карты. Однако в большинстве случаев предприятия собирают данные, которые не позволяют идентифицировать вас по имени. На сайтах отслеживается, какие веб-страницы вы посещаете, а также щелчки мышью, но не ваша личная информация^[14].

Обычно, подобная информация нигде не публикуется, но с точки зрения закона гарантий нет. Однако, законодательные органы ведут работу в этом направлении. Так в марте 2013 года Советом федерации была одобрена поправка о запрете публикации в Интернете информации о несовершеннолетних жертвах преступлений^[15].

• Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. — М.: ИНФРА-М, 2007. — VI, 858 с — (Б-ка словарей «ИНФРА-М»)
• Козлов С. Б., Иванов Е. В. Предпринимательство и безопасность. — М.: Универсум, 1991. — С. 507. — ISBN 5-86034-065-6
• Психологический толковый словарь. Термин Конфиденциальность -М.: Московский психологический журнал
• Скотт Миллер Психология развития: методы исследования. -М.: Питер -С.135.

wp.wiki-wiki.ru

КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ — это… Что такое КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ?

КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ

согласно ГОСТ Р 51170–98 «Качество служебной информации. Термины и определения», – свойство данных не подлежать огласке.

Делопроизводство и архивное дело в терминах и определениях. — М.: Флинта : Наука. С. Ю. Кабашов, И. Г. Асфандиярова. 2009.

• КОНТРОЛЬНО-СПРАВОЧНЫЕ КАРТОТЕКИ
• КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ

Смотреть что такое «КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ» в других словарях:

• конфиденциальность данных — Свойство данных не подлежать огласке (составляющая свойства недоступности). [ГОСТ Р 51170 98 ] Тематики качество служебной информации Обобщающие термины социально психологические составляющие свойств данных …   Справочник технического переводчика

• конфиденциальность данных — 3.3.5 конфиденциальность данных: Свойство данных не подлежать огласке (составляющая свойства недоступности) Источник: ГОСТ Р 51170 98: Качество служебной информации. Термины и определения оригинал документа …   Словарь-справочник терминов нормативно-технической документации

• Конфиденциальность данных биомедицинского исследования — Конфиденциальность сохранение в тайне от не уполномоченных на то лиц информации, позволяющей установить личность участника исследования и данных исследования, не подлежащих разглашению… Источник: МОДЕЛЬНЫЙ ЗАКОН О ЗАЩИТЕ ПРАВ И ДОСТОИНСТВА… …   Официальная терминология

• конфиденциальность — 2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498 2] Источник …   Словарь-справочник терминов нормативно-технической документации

• конфиденциальность информации — Обязательное требование для лица, получившего доступ к определенной информации, не передавать данную информацию третьим лицам без согласия ее обладателя. [ГОСТ Р 52653 2006] конфиденциальность информации Запрет передачи определенной информации… …   Справочник технического переводчика

• Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Источник …   Словарь-справочник терминов нормативно-технической документации

• Конфиденциальность информации — ( Confidentiality information) — запрет передачи определенной информации посторонним  лицам без согласия ее обладателя. Например, конфиденциальность персональных данных (Confidentiality of personal data) — обязательное для соблюдения… …   Экономико-математический словарь

• Конфиденциальность — Проверить информацию. Необходимо проверить точность фактов и достоверность сведений, изложенных в этой статье. На странице обсуждения должны быть пояснения. Конфиденциальность. (англ. confidence …   Википедия

• конфиденциальность информации — 3.8 конфиденциальность информации: Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Источник …   Словарь-справочник терминов нормативно-технической документации

• конфиденциальность статистических данных — statistinių duomenų konfidencialumas statusas Aprobuotas sritis statistikos organizacija ir teisiniai pagrindai apibrėžtis Duomenų tvarkymo, užtikrinant jų naudojimą tik statistikos reikmėms taip, kad nebūtų galima tiesiogiai ar netiesiogiai… …   Lithuanian dictionary (lietuvių žodynas)

Книги

• Изучаем Python. Программирование игр, визуализация данных, веб-приложения, Мэтиз Эрик. Книга «Изучаем Python»-это ускоренный курс, который позволит вам сэкономить время и сразу начать писать работоспособные программы (игры, визуализации данных, веб-приложения и многое другое).… Подробнее  Купить за 1385 руб
• Изучаем Python. Программирование игр, визуализация данных, веб-приложения, Эрик Мэтиз. Книга `Изучаем Python` — это ускоренный курс, который позволит вам сэкономить время и сразу начать писать работоспособные программы (игры, визуализации данных, веб-приложения и многое… Подробнее  Купить за 1223 грн (только Украина)
• Изучаем Python. Программирование игр, визуализация данных, веб-приложения, Мэтиз, Эрик. Книга «Изучаем Python» — что ускоренный курс, который позволит вам сэкономить время и сразу начать писать работоспособные программы (игры, визуализации данных, веб-приложения и многое… Подробнее  Купить за 1110 руб

clerical_work.academic.ru

Конфиденциальные данные — Большая Энциклопедия Нефти и Газа, статья, страница 1

Конфиденциальные данные

Cтраница 1

Конфиденциальные данные о подчиненном или дискуссии между ним и начальником передаются третьим лицам.  [1]

Имеется книга, содержащая конфиденциальные данные. Я хочу, чтобы мои коллеги могли видеть эти данные. Однако изменение этих данных должно быть запрещено всем, кроме меня ( даже коллегам.  [2]

Сегодня компьютеры используются для хранения самых разнообразных конфиденциальных данных, включая планы слияния корпораций, налоговую информацию и любовную переписку. Владельцы подобных данных, как правило, не желают, чтобы она попала в посторонние руки. Информация может оказаться потеряна, например, при потере или краже переносного компьютера. Наконец, жесткий диск можно просто вынуть из одного компьютера и установить на другой компьютер. Очень опасной может оказаться даже прогулка в туалет, если компьютер будет оставлен без присмотра во включенном состоянии.  [4]

При обмене информацией между участниками проектирования возможны как утечка конфиденциальных данных, так и нарушение целостности данных. Поскольку в САПР зачастую используются связи со смежными предприятиями через сети общего пользования ( как правило, через Internet), то существенную опасность представляют собой попытки несанкционированного доступа к корпоративной сети предприятия извне. Для нормального функционирования САПР и других автоматизированных систем необходимо иметь систему информационной безопасности ( ИБ) предприятия.  [5]

При работе нескольких пользователей на одном компьютере возникает необходимость обеспечения сохранности конфиденциальных данных.  [6]

Система сквозного оперативного контроля очень облегчает задачу сохранения коммерческой тайны и позволяет избежать утечки конфиденциальных данных из предприятия.  [7]

В части работы с Интернетом проверьте, где у вас записаны пароли, телефонные номера и другие конфиденциальные данные для доступа к информационным службам. Очень может быть, что вы и не помышляли хранить эти важные данные нигде, кроме файлов настройки.  [8]

Руководители предприятия должны предусмотреть в контрактах, соглашениях и договорах четко выраженные письменные обязательства сотрудников о неразглашении коммерческой тайны, продумать организацию движения информационных потоков в документообороте, определить степень их секретности, предусмотреть вопросы защиты конфиденциальных данных в документах.  [9]

Несанкционированное раскрытие содержания информации встречается наиболее часто. Последствия раскрытия содержания конфиденциальных данных могут быть самыми разными. Так, похищение важных материалов, содержащих государственные или стратегические военные секреты, чревато непредсказуемыми по тяжести последствиями для одной стороны и огромным выигрышем для другой. В большинстве конфликтных взаимодействий ( от военных конфликтов до переговоров) знание секретных сведений о возможностях, планах, приоритетах и позициях противника существенно облегчают выбор и оптимизацию стратегии поведения для достижения желаемого результата. Если похищены результаты некоторого исследования или проекта, то для коллектива авторов это существенная потеря, возможно даже катастрофа, имеющая следствием большие материальные и моральные потери. Однако если результаты работы уже опубликованы, факт похищения может даже послужить на пользу работе, сделав ей рекламу. Недаром часто приходится слышать парадоксальные на первый взгляд сообщения об утечке информации, организованной ее владельцами.  [10]

Не существует ли более эффективных средств защиты конфиденциальных данных от посторонних глаз.  [11]

Многие из этих раздражителей устранить совсем несложно, нужно только знать несколько полезных приемов. В этой главе рассказывается о том, как настроить интерфейс Excel, защитить конфиденциальные данные, отменить изменения, внесенные в далеком прошлом, создать макросы для автоматизации рутинных операций.  [12]

Аудитор выясняет причины ограничения допуска к протоколам. Он должен объяснить руководству, что согласно договору ему обязаны предоставить протоколы и что аудитор несет уголовную ответственность по ст. 183 УК РФ за разглашение конфиденциальных данных. Если позиция руководства не изменилась, то аудитор оказывается в достаточно сложной ситуации. В соответствии с правилами он должен получить релевантное и надежное доказательство, на основании которого мог бы составить свое мнение. В противном случае он может составить условное заключение, в котором указать причину — ограничение объема представленной информации.  [13]

На компьютерах, предназначенных для коллективного использования, эту информацию не сохраняют. В операционных системах семейства Windows защита конфиденциальных данных организована не идеально. Подготовленному пользователю доступны косвенные данные, дающие возможности извлечь зашифрованные сведения обходными приемами.  [14]

Пытаться устранить игру согласно конфиденциальной информации — все равно что пытаться вывести всех крыс на ферме. Яды управляют их численностью, но не уничтожают полностью. Отставной шеф компании, открыто игравшей на бирже, объяснил мне, что умный человек не будет сам играть на основе конфиденциальных данных, а передаст их партнерам по гольфу в загородном клубе.  [15]

Страницы:      1    2

www.ngpedia.ru