Персональное использование

Информация и знания становятся все более важными факторами производства, движущей силой экономического развития и процветания общества. В настоящее время информация имеет очень важное значение, а также влияние на общество, а потому и преступлений с каждым днём становится всё больше и больше — распространение вредоносных вирусов, взлом паролей, кражи банковских карт, распространение клеветы через Интернет, вмешательство в работу различных систем через компьютерные сети. Одним из самых опасных и распространенных преступлений является мошенничество.

Информация — это совокупность сведений (данных), которая воспринимается из окружающей среды (входная информация), выдается в окружающую среду (исходная информация) или сохраняется внутри определенной системы.

Правовое регламентирование использования информации, в том числе и компьютерной, содержится в ФЗ «Об информации, информатизации и защите информации». Данные нормативно-правовые акты содержат определения понятий «информация», «информационная система», «информационные ресурсы», «конфиденциальная информация», «программа для ЭВМ», «база данных», «распространение программы для ЭВМ», и др.

Ст.20 ФЗ №24-ФЗ перечисляет цели защиты информации :

1) предотвращение утечки, хищения, утраты, искажения, подделки информации;

2) предотвращение угроз безопасности личности, общества, государства;

3) предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

4) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

5) сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

6) обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Причем защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Авторское право распространяется на любые программы для ЭВМ и базы данных, как выпущенные, так и не выпущенные в свет, представленные в объективной форме, независимо от их материального носителя, назначения и достоинства.

Использование информации осуществляется на основании договора, заключенного в письменной форме. Следовательно, иное использование информации, которое может нанести ущерб её собственнику, является несанкционированным и преследуется по закону. Ст. 20 рассматриваемого закона помимо гражданской ответственности называет также уголовную ответственность за нарушение авторских прав (ст. ст. 146, 147 УК РФ).

В данных законах речь идет не только о защите самой информации, но и о защите права на доступ к информации.

Глава 28 УК РФ предусматривает наступление уголовной ответственности за преступления в сфере компьютерной информации. Данная глава содержит три статьи: неправомерный доступ к компьютерной информации (ст.272), создание, использование и распространение вредоносных программ для ЭВМ (ст.273), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274).

Субъект указанных преступлений общий, т.е. любое лицо, достигшее шестнадцатилетнего возраста. Исключение составляет только ч.2 ст.272, которая в череде квалифицирующих признаков называет совершение неправомерного доступа к компьютерной информации лицом с использованием своего служебного положения, т.е. речь идет о специальном субъекте преступления.

Объектом преступлений являются общественные отношения в области охраны компьютерной информации, а также обеспечения нормальной работы ЭВМ, их систем и сетей.

Субъективная сторона характеризуется исключительно прямым умыслом, т.е. виновное лицо осознавало преступный характер своих действий, предвидело и желало наступление общественно опасных последствий.

Объективную сторону преступлений составляют активные действия виновного, направленные на достижение преступного результата. Преступления, предусмотренные ст. ст. 272-274, имеют материальный состав, т.е. преступление считается оконченным в момент, когда наступили общественно опасные последствия: уничтожение информации, нарушение работы ЭВМ, причинение существенного вреда.

Гарантируемая свобода информации реализуется различными способами: устно, письменно, через средства массовой информации и иными законными способами.

Наиболее распространенным способом поиска, получения, передачи, производства и распространения информации являются средства массовой информации, под которыми в соответствии с Законом «О средствах массовой информации» понимаются периодические издания, радио-, теле-, видеопрограммы, кинохроникальные программы, иные формы периодического распространения массовой информации. Граждане имеют право на оперативное получение через средства массовой информации достоверных сведений о деятельности государственных органов и организаций, общественных объединений, их должностных лиц. Эти сведения должны предоставляться средствами массовой информации по запросам редакций, а также путем проведения пресс-конференций и в иных формах, что

конкретизировано в Федеральном законе .

Государственные информационные ресурсы Российской Федерации, как отмечается в Законе, являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная к категории ограниченного доступа. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. При этом Закон устанавливает перечень информации, которую запрещено относить к информации с ограниченным доступом. .

Среди ее видов: законодательные и иные нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом; документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесенных к государственной тайне; документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Граждане наряду с другими пользователями (органами государственной власти, органами местного самоуправления, организациями и общественными объединениями) обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации. Такое право на доступ к информации является основой осуществления общественного контроля ,за деятельностью органов государственной власти и местного самоуправления, общественных, политических и иных организаций, а также за состоянием экономики, экологии и других сфер общественной жизни.

Что же касается информации о самих гражданах, то не допускаются сбор, хранение,

использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Персональные данные не могут быть использованы для причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод. Ограничение прав граждан на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Отказ гражданам в доступе к информационным ресурсам по вопросам деятельности государственных органов и подведомственных им организаций может быть обжалован в суд. .

Уголовная ответственность наступает за совершение преступления. Преступлением признается виновное общественно опасное деяние (действие либо бездействие), ответственность за которое предусмотрено уголовным законом. Уголовная ответственность на преступления, совершенные и информационной сфере, наступает на основании норм Уголовного кодекса Российской Федерации .

Глава 28 УК РФ содержит составы преступлений в сфере компьютерной информации содержит три статьи, устанавливающие уголовную ответственность, в их числе ответственность:

• за неправомерный доступ к компьютерной информации (статья 272 УК РФ), а именно, за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо

копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети;

• создание, использование и распространение вредоносных программ для ЭВМ (статья 273 УК РФ), и создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами;

• нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационнотелекоммуникационных сетей (статья 274 УК РФ), означающее нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред;

Уголовная ответственность в информационной сфере установлена также за отдельные преступления против чести и достоинства личности и нарушающие права и свободы человека и гражданина, установленного порядка управления и безопасности государства, в том числе:

• за клевету (часть 2 статьи 128.1), т.е. содержащиеся в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации;

• нарушение неприкосновенности частной жизни (статья 137 УК РФ), т.е. действия направленные на незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, включая те же деяния, совершенные лицом с использованием своего служебного положения;

• нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (статья 138 УК РФ);

• воспрепятствование осуществлению избирательных прав или работе избирательных комиссий (статья 141 УК РФ);

• фальсификацию избирательных документов, документов референдума (статья 142 УК РФ);

• воспрепятствование законной профессиональной деятельности журналистов (статья 144 УК РФ);

• нарушение авторских и смежных прав (статья 146 УК РФ);

• нарушение изобретательских и патентных прав (статья 147 УК РФ);

• публичные призывы к осуществлению террористической деятельности или публичное оправдание терроризма (статья 205.2 УК РФ);

• заведомо ложное сообщение об акте терроризма (статья 207 УК РФ);

• сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237 УК РФ);

• незаконное распространение порнографических материалов или предметов (статья 242 УК РФ);

• изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних (статья 242.1 УК РФ);

• шпионаж (статья 276 УК РФ);

• публичные призывы к осуществлению экстремистской деятельности (статья 280 УК РФ);

• возбуждение ненависти либо вражды, а равно унижение человеческого достоинства (статья 282 УК РФ);

• разглашение государственной тайны (статья 283 УК РФ);

• утрату документов, содержащих государственную тайну (статья 284УК РФ);

• отказ в предоставлении информации Федеральному Собранию Российской Федерации или Счетной палате Российской Федерации (статья 287 УК РФ);

• клевету в отношении судьи, присяжного заседателя, прокурора, следователя, лица, производящего дознание, судебного пристава, судебного исполнителя (статья 298 УК РФ);

• публичные призывы к развязыванию агрессивной войны (статья 354 УК РФ).

Указанные статьи УК РФ имеют важное значение в обеспечения законности и правопорядка в информационной сфере.

Список литературы:

1. Конституция Российской Федерации от 12.12.1993 N 1-ФКЗ // СПС Консультант плюс.

2. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ // СПС Консультант плюс.

3. Закон РФ от 27.12.1991 N 2124-1 (ред. от 18.04.2018, с изм. от 17.01.2019) «О средствах массовой информации» // СПС Консультант плюс.

4. Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ(с изм. и доп., вступ. в силу с 08.01.2019) // СПС Консультант плюс.

5. Федеральный закон от 13 января 1995 г. N 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» // СПС Консультант плюс.

В ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» установлено требование о локализации персональных данных: при их сборе, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

Рассматриваемым законом установлена административная ответственность за невыполнение указанной обязанности. Соответствующими положениями дополнена статья 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»).

Так, с 2 декабря 2019 года за нарушение требования о локализации персональных данных грозит административный штраф. Для граждан он установлен в размере от 30 тыс. до 50 тыс. руб.; для должностных лиц – от 100 тыс. до 200 тыс. руб.; для юрлиц и лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, – от 1 млн до 6 млн руб. Повторное совершение данного правонарушения чревато штрафом гораздо большего размера.

Рассматриваемым законом внесен также ряд иных изменений в КоАП. В частности, установлены повышенные размеры административных штрафов за повторное совершение административных правонарушений в области связи и информации, предусмотренных ст. 13.31 КоАП РФ, 13.35 КоАП РФ, 13.36 КоАП РФ, 13.37 КоАП РФ, 13.39 КоАП РФ и 13.40 КоАП РФ.

Виды ответственности за разглашение персональных данных

Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.

Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.

Подробнее о том, что такое персональные данные, мы рассказали .

Пример

Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.

Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.

Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.

Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр. Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).

Что будет, если не получить согласие на обработку и использование персональных данных, читайте .

А здесь вы найдете образец такого согласия.

Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.

Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ — понятие и признаки».

За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:

  • дисциплинарная — по ТК РФ;
  • административная — по КоАП РФ;
  • уголовная — по УК РФ.

Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.

Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».

Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

  • либо штрафа;
  • либо обязательных, принудительных или исправительных работ;
  • либо лишения свободы.

Итоги

Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Кража данных — несанкционированное извлечение информации из мест ее хранения, которое обычно осуществляется путем взлома сетевых ресурсов. Объем и ценность данных с каждым годом увеличиваются, а с ними неизбежно растет и число краж. Киберпреступники похищают информацию у государственных структур, больших и малых компаний, некоммерческих организаций, частных лиц.

Последствия умышленных утечек такого рода могут быть самыми разными — от потери деловой репутации до серьезных межправительственных скандалов, хотя чаще всего кража информации в конечном итоге означает потерю денег.

Классификация и способы кражи данных

Все хищения данных осуществляются либо перехватом сообщений на линиях связи, либо через воровство носителя информации. Основные сценарии описаны далее.

Кража физического носителя

Самый прямой и грубый способ. Большинство современных устройств — ноутбуки, смартфоны, планшеты, подключаемые внешние диски и флешки — достаточно малы, чтобы можно было украсть их мимоходом, пройдя рядом со столом, где они лежат (например, если владелец отлучился на минуту от рабочего места).

У крупных компьютеров можно похитить жесткие диски, причем не обязательно безвозвратно. Весьма легко вообразить злоумышленника, который извлечет диск после окончания рабочего дня, скопирует всю интересующую его информацию и вернет накопитель на место ранним утром следующего дня. В таком сценарии владелец устройства даже не догадается о несанкционированном доступе к его данным.

Кража при доступе к носителю

При наличии физического доступа к носителю можно просто поработать на компьютере в отсутствие хозяина. Обеденный перерыв, длительные совещания, время после ухода по окончании рабочего дня — у коллеги-злоумышленника есть немало способов посидеть за чужой клавиатурой. Если пароль учетной записи слаб или вообще отсутствует, то украсть данные сумеет любой, кто работает рядом. Впрочем, даже очень хороший пароль не всегда спасает: в конце концов, сотрудник может открыто попросить разрешения воспользоваться устройством, сославшись на неисправность собственного компьютера и необходимость срочно отправить письмо или файл. Далее, например, к машине подключается флешка с вредоносной программой, скачивающей данные.

К этой же категории относится возможность подсмотреть информацию. Распространены случаи, когда множество сотрудников работает в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. Соответственно, преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети, то прямой физический доступ к ней необязателен. В интернете доступно множество вирусов, троянских программ, бекдоров и прочих вредоносных агентов, которые злоумышленник может внедрить разными способами (скажем, путем эксплуатации уязвимостей). Также данные могут быть перехвачены при помощи снифферов, если каналы связи плохо защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете (в облачном хранилище, на почтовом сервере и т.п.), то преступники могут осуществить несанкционированный доступ к этим ресурсам. Для пользователей такой сценарий опасен тем, что помимо установки хорошего пароля у них нет никакой другой возможности повлиять на сохранность информации — всё программное обеспечение и все настройки доступа осуществляет владелец сервиса.

Объекты воздействия

Объекты краж данных можно разделить на два основных типа: физические носители информации и логические (виртуальные) сущности.

Доступ к физическим носителям возможен путем прямой кражи, временного выноса за периметр, обращения с просьбой к владельцу компьютера о возможности недолго поработать на его машине. Также злоумышленник может установить с внешнего носителя вредоносные программы, которые крадут и передают данные по сети на внешний сервер.

Информационно-логическое воздействие осуществляется посредством поиска уязвимого или устаревшего ПО, незащищенных портов, путем подбора логинов и паролей. Последнее, к слову, актуально и в случае хищения носителей — с той разницей, что при краже ноутбука или смартфона преступник может не торопиться, тогда как временный либо удаленный доступ подразумевает необходимость взломать систему быстро.

Причины кражи данных

В голливудских фильмах кражи совершают команды профессионалов, где каждый выполняет свою задачу, а сложнейший план рассчитан по секундам. В реальной жизни подавляющее большинство хищений вызвано в первую очередь не мастерством злоумышленника, а беспечностью владельца. Кражи информации — не исключение: в ряде случаев пользователь сам предоставляет доступ к своим активам.

В первую очередь это касается отношения к носителям данных, которые нередко оказываются вне видимости и досягаемости владельца, отлучившегося за чашкой кофе или по вызову начальства, так что украсть их может любой проходящий мимо субъект. Соответственно, смартфоны, флешки, внешние диски лучше всегда носить при себе, ноутбук — оставлять под присмотром надежных друзей, а стационарный компьютер — держать в комнате с физической защитой.

Вход в любую систему должен быть защищен паролем. Полезно иметь сразу три учетные записи — не только администратора и пользователя, но и гостя с минимальными правами (для посторонних лиц). Дополнительно можно шифровать особо важные файлы и папки. Все пароли должны быть сложными — прописные и строчные буквы, цифры, никаких осмысленных слов или связанной с владельцем компьютера информации.

Используемые программы должны своевременно обновляться, антивирус обязателен. По возможности следует избегать любых сомнительных ресурсов — содержащих взрослый либо любой другой запрещенный контент, нелегально распространяющих фильмы, книги, программы, музыку. Многих привлекает идея борьбы с авторским правом, однако далеко не все сторонники свободного распространения информации трудятся бесплатно: скрытый в модифицированном файле вирус обойдется пользователям намного дороже официальной покупки.

Также не стоит переходить по ссылкам, особенно тем, которые поступают с незнакомого адреса. Как правило, они ведут на фишинговые сайты. Ссылки на сайты мобильного банкинга и электронных платежных систем лучше вообще игнорировать, где бы они ни размещались — безопаснее просто набрать нужный адрес прямо в браузере.

Наконец, нельзя поддаваться методам психологического манипулирования (социальной инженерии). Если вам звонит незнакомый человек, представляется сотрудником банка или еще кем-то, просит назвать номер счета, PIN-код, CVC или другую конфиденциальную информацию, то ничего сообщать ему не следует, даже если он будет пугать блокировкой счета, потерей денег и т.п. В таких случаях необходимо связаться с банком по официальным каналам.

Анализ риска кражи данных

Как уже отмечалось, большинство краж обусловлены не хитроумными планами злоумышленников, а беспечностью пользователей. Не оставляйте без присмотра флешку и смартфон, защищайте сложным паролем ноутбук и компьютер, выходите из системы, даже отлучаясь лишь на пару минут — и вероятность успеха преступников заметно снизится.

Особую сложность проблема хищения данных представляет в крупных компаниях. Сотрудники сидят в одном большом зале, каждому видно происходящее на мониторах коллег, и к тому же в помещение могут заходить клиенты либо соседи по офисному комплексу. Информация кочует с компьютера на компьютер на десятках флешек, а практика использования чужих машин является нормой. Иногда существует несколько стандартных логинов и паролей, которые знают все. В таких условиях утечки неизбежны.

В идеальной ситуации каждое рабочее место должно быть огорожено. Если такой возможности нет, отдельные ячейки должны получить хотя бы те машины, где обрабатывается важная и конфиденциальная информация. Не должно быть никаких общих, универсальных аккаунтов и кодов доступа: для каждого сотрудника — персональный логин и пароль. Учетные данные должен выдавать администратор, во избежание появления простых и примитивных комбинаций. Нужно также следить за тем, чтобы на рабочем месте не было стикеров с паролями. Если сотрудник неспособен запомнить пароль, то пусть он хотя бы носит записку с ним в бумажнике: сохранности кошелька должное внимание уделяют все люди.

Желательно приучить всех работников к мысли, что если они разрешают коллеге временно поработать на своей машине, то им лучше выйти из системы: пусть сотрудник входит под своим именем. Это позволяет избежать получения чужих прав доступа и отследить, кто проявляет подозрительную активность.

Важные и конфиденциальные данные на серверах должны быть защищены паролем; желательно, чтобы их видели только те, кому разрешен доступ к ним.

Впрочем, разрабатывая правила защиты информации, нельзя чрезмерно усердствовать. Если данные о закупках туалетной бумаги засекречены подобно устройству ядерной бомбы, сотрудники начинают воспринимать такие меры не как политику информационной безопасности, а как самодурство начальников — и, следовательно, нарушать правила везде, где нет прямого надзора.

Также важно учесть, что любое усиление защиты данных имеет свою цену — как прямую (стоимость программных и аппаратных продуктов), так и косвенную (усложнение работы, снижение производительности). Поэтому комплекс мер по защите информации следует разрабатывать соизмеряя затраты с возможным ущербом от утечки данных.

admin