Защита конфиденциальной информации на предприятии. Утечка и средства защиты конфиденциальной информации

Разработка системы защиты конфиденциальной информации

Под разглашением КИ понимаются умышленные или неосторожные действия допущенных к КИ лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников АО, которым эта информация не была доведена в официально установленном порядке; утечка КИ - это несанкционированное распространение информации за пределы установленного физического пространства.

Комплексная защита КИ имеет целью решение двух задач: защиту права организации на КИ, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты КИ, образующих систему защиты конфиденциальной информации (СЗКИ)).
СЗКИ дает возможность укрепления экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.

Что же такое конфиденциальная информация???
К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом -

. коммерческая,
. служебная,
. личная.

«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации».
Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91г. № 35
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
В Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информации о гражданах - персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Создание системы защиты КИ

Для того чтобы легально заниматься защитой конфиденциальной информации нужно получить лицензию на право осуществления деятельности по технической защите конфиденциальной информации (В соответствии с ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290). :
Для этого нужно выполнить следующие требования:
а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации.
б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации; (пп. "б" в ред. Постановления Правительства РФ от 23.09.2002 N 689)
в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
а) заявление о выдаче лицензии с указанием:
лицензируемой деятельности;
наименования, организационно-правовой формы и места нахождения - для юридического лица;
фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;
б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (в ред. Постановления Правительства РФ от 06.02.2003 N 64)
в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя;
г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;
е) сведения о квалификации специалистов по защите информации соискателя лицензии.
Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.
Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.
Как Известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определённых сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовые нормы обеспечения безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе:

. предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
. предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
. создавать организационные структуры по защите конфиденциальной информации;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
. включать требования по защите информации в 5; договоры по всем видам хозяйственной деятельности;
. требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
. распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения
выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств с, производства;
. разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре.

. обеспечивать свою экономическую безопасность, определять состав, объем и порядок защиты конфиденциальной информации;
. требовать от сотрудников обеспечения экономической безопасности и защиты конфиденциальной информации;
. осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

. обеспечить экономическую безопасность и сохранность конфиденциальной информации;
. осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

. создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
. включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
. требовать защиты интересов фирмы перед государственными и судебными органами;
. распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.
Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
. Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
. Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями:
Раздел «Порядок приема и увольнения рабочих и служащих»
При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

. проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
. оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
. принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
. осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
Раздел «Основные обязанности рабочих и служащих»
Рабочие и служащие обязаны:
. знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
. дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
. бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.
Раздел «Основные обязанности администрации»
Администрация и руководители подразделений обязаны:
. обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
. последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
. включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
. неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

В договоре о проведении совместных работ должены содержаться следующие требования:
Раздел «Условия конфиденциальности»
Стороны обязуются не передавать лицензии лицам и не раскрывать публично сведения о проводимых совместно работах без взаимного согласования. За нарушение данного условия стороны несут финансовую ответственность по возмещению убытков, упущенной выгоды и морального ущерба.
Лица, нарушившие условия конфиденциальности, могут быть привлечены к ответственности в соответствии с действующим законодательством.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.
Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов.
Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.
Конфиденциальность — это форма обращения со сведениями, составляющими конфиденциальную информацию, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.
Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия.
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:

. организацию охраны, режима, работу с кадрами,
с документами;
. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

. организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;
. организацию использования технических средств
сбора, обработки, накопления и хранения конфиденциальной информации;
. организацию работы по анализу внутренних и
внешних угроз конфиденциальной информации и
выработке мер по обеспечению ее защиты;
. организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, и выполнение, возврат, хранение и уничтожение;
Исходя из ситуации и в целях совершенствования системы защиты информации я предлагаю объединить все службы занимающиеся защитой информации в одну службу и назвать её службой безопасности, функции которой будут следующими:
. организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;
. руководит работами по технической защите, а так же по правовому и организационному регулированию отношений по защите государственной тайны и конфиденциальной информации;
. разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
. разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся государственной тайны и конфиденциальной информации, при всех видах работ организует и контролирует выполнение требований инструкции по защите государственной тайны и конфиденциальной информации;
. изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки государственной тайны и конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;
. организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;
. разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
. обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;
. осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите государственной тайны и конфиденциальной информации;
. организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты государственной тайны и конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;
. ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение государственной тайны и конфиденциальной информации;
. ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.

Возглавляет службу безопасности начальник службы в должности заместителя генерального директора по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:

. отдела охраны;
. Отдел по защите конфиденциальной информации:
. Сектор обработки документов с грифом "конфиденциальная информация";
. лаборатории контроля защищенности от НСД к информации автоматизированных систем и средств вычислительной техники.
. Лаборатория комплексного контроля эффективности противодействия иностранным техническим разведкам и технической защиты информации;
. группа анализа возможности образования технических каналов утечки информации;

Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:

. Перечень сведений, составляющих конфиденциальную информацию организации;
. Договорное обязательство о неразглашении КИ
. Инструкция по защите конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).

В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.
Под сведениями (и их носителями) понимаются:

. Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
. Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;
. Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.

. Конституцией РФ, принятой 12 декабря 1993 года
. Законом РФ “ О государственной тайне ” № 5485-1 от 21.07.93
. Федеральным законом РФ “ Об информации, информатизации и защите информации” № 24-ФЗ от 20.02.95
. Указом Президента РФ “об утверждении Перечня сведений, отнесённых к государственной тайне” № 1203 от 30.11.95
. Указом Президента РФ “об утверждении Перечня сведений, конфиденциального характера” № 188 от 06.03.97
. Постановлением Правительства РФ “ о Перечне сведений, которые не могут составлять коммерческую тайну” № 35 от 05.12.91
. Сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства РФ № 35 от 05.12.91.:
. Учредительные документы (решение о создании предприятия или договор учредителей) и устав;
. Документы, дающие право заниматься предпринимательской деятельности (регистрационные удостоверения, лицензии, патенты);
. Сведения по установленным формам отчётности о финансово- хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
. Документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а так же о наличии свободных рабочих мест;
. Документы об уплате налогов и обязательных платежах;
. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а так же других нарушениях законодательств РФ и размерах причиненного при этом ущерба;
. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью.
. Анализом преимуществ и недостатков для работы открытым и закрытым (внутренним) применением таких сведений.
. Анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального;

1.ОБЩИЕ ПОЛОЖЕНИЯ.
2. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
3.ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
4.СИСТЕМА ДОСТУПА СОТРУДНИКОВ К СВЕДЕНИЯМ СОСТАВЛЯЮЩИМ КИ.
4.1.КРУГ ЛИЦ, ИМЕЮЩИХ ПРАВО ДАВАТЬ РАЗРЕШЕНИЕ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.2.ПОРЯДОК ОФОРМЛЕНИЯ РАЗРЕШЕНИЯ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.3. ПОРЯДОК ДОСТУПА НА СОВЕЩАНИЯ ПО ВОПРОСАМ, СОДЕРЖАЩИМ КОНФИДЕНЦИАЛЬНЫЕ СВЕДЕНИЯ
5.ПОДГОТОВКА И ИЗДАНИЕ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
6.УЧЕТ, ПРОХОЖДЕНИЕ И ОТПРАВЛЕНИЕ ИЗДАННЫХ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
7.ПРИЕМ, УЧЕТ И ПРОХОЖДЕНИЕ ПОСТУПИВШИХ ДОКУМЕНТОВ
8.УЧЕТ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ВЫДЕЛЕННОГО ХРАНЕНИЯ
9.УЧЕТ ЖУРНАЛОВ И КАРТОТЕК
10.ОРГАНИЗАЦИЯ ХРАНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
11.ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ КОНТРОЛЯ ИСПОЛНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
12.РАЗМНОЖЕНИЕ ДОКУМЕНТОВ
13.УНИЧТОЖЕНИЕ ДОКУМЕНТОВ
14.СОСТАВЛЕНИЕ И ОФОРМЛДЕНИЕ НОМЕНКЛАТУРЫ ДЕЛ С ГРИФОМ «КОНФИДЕНЦИАЛЬНО»
15.ФОРМИРОВАНИЕ И ОФОРМЛЕНИЕ ДЕЛ
16.ПРОВЕРКА НАЛИЧИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ.
17.ПОДГОТОВКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ НА АРХИВНОЕ ХРАНЕНИЕ
18.ПОРЯДОК ПЕРЕДАЧИ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ В АРХИВ
19.ПРИЛОЖЕНИЯ

Защита КИ является одним из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития организации.
Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты КИ являются:

. построение моделей злоумышленников и конкурентов на основе поиска и аутентификации информации о их намерениях и устремлениях;
. определение перечня сведений, составляющих объект защиты интересов концерна в конкретных областях его деятельности;
. формирование предпочтительной для концерна структуры системы защиты КИ на основе синтеза, структурной оптимизации и технико-экономической оценки альтернативных вариантов СКЗКИ;
. управление процессом реализации избранного замысла защиты КИ и координация работ по организации защиты КИ между всеми заинтересованными структурными подразделениями организации;
. совмещение организационно-административных мер защиты КИ с активными вовлечением в указанный процесс всего персонала организации;
. введение персональной ответственности (в том числе и материальной) должностных лиц всех уровней, а также других работников концерна, допущенных к КИ, за обеспечение установленного в АО режима конфиденциальности.

Введение

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности

1.2 Ценность информации

1.3 Каналы распространения и утечки конфиденциальной информации

1.4 Угрозы и система защиты конфиденциальной информации

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая база конфиденциального делопроизводства

2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных

2.3 Технологические основы обработки конфиденциальных документов

Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"

3.1 Характеристика ОАО "ЧЗПСН - Профнастил"

3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"

3.3 Совершенствование системы безопасности информации ограниченного доступа

Заключение

Список использованных источников и литературы

Введение

Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО "ЧЗПСН - Профнастил"

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

1. Раскрыть основные составляющие информационной безопасности;

2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

4. Рассмотреть методы и средства защиты конфиденциальной информации;

5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;

6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;

7. Рассмотреть технологические системы обработки конфиденциальных документов;

8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.

10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).

Основными в области безопасности конфиденциальной информации также являются законы РФ:

2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);

3. "Об утверждении Перечня сведений конфиденциального характера" (11);

4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).

Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).

Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).

К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).

Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).

Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.

Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).

В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).

Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.

Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.

Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.

Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы

Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.

Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.

В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.

Информационная безопасность. Курс лекций Артемов А. В.

Вопрос 3. Система защиты конфиденциальной информации

Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.

Система защиты информации – рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Основной характеристикой системы является ее комплексность, т. е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

Наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

Формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя регламентацию:

Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;

Составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

Разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

Технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

Порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

Веления всех видов аналитической работы;

Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

Пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;

Системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

Действий персонала в экстремальных ситуациях;

Организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

Организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

Работы по управлению системой защиты информации;

Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50–60 % в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты – «элемент организационно-правовой защиты информации».

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т. п.;

Средства защиты помещений от визуальных способов технической разведки;

Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

Средства противопожарной охраны;

Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т. п.);

Технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т. п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

Программы защиты информации, работающие в комплексе с программами обработки информации;

Программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

Регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

Регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;

Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

Регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.

В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т. е. они должны быть «прозрачными».

Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.

Вывод: безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.