Luottamuksellisten tietojen suojaaminen yrityksessä. Vuoto ja keinot luottamuksellisten tietojen suojaamiseksi

Luottamuksellisten tietojen suojaamisjärjestelmän kehittäminen

CI:n luovuttamisella tarkoitetaan CI:lle hyväksyttyjen henkilöiden tahallista tai huolimatonta toimintaa, joka johtaa ennenaikaiseen, ei virallisesta tarpeesta johtuvaan, määriteltyjen tietojen levittämiseen sellaisten henkilöiden, mukaan lukien JSC:n työntekijöiden, keskuudessa, joille näitä tietoja ei ole välitetty virallisesti vahvistetulla tavalla; CI-vuoto on tietojen luvaton levittäminen vakiintuneen fyysisen tilan ulkopuolelle.

CI:n kattavalla suojalla pyritään ratkaisemaan kaksi ongelmaa: organisaation CI-oikeuden suojaaminen, mukaan lukien organisaation immateriaaliomaisuuden luokkaan liittyvät oikeudet (saavutetaan soveltamalla Venäjän federaation nykyisen lainsäädännön oikeudellisia normeja); organisaation tietoturvaan kohdistuvien uhkien ehkäisy, niiden tunnistaminen ja merkittävä lieventäminen (saavutetaan toteuttamalla joukko CI:n suojaamiseksi tarkoitettuja oikeudellisia, organisatorisia ja teknisiä toimenpiteitä, sovittu hakemuksen tarkoituksesta, paikasta ja ajasta, muodostaen luottamuksellisen tiedon suojajärjestelmä (CIPS)).
SZKI mahdollistaa organisaation taloudellisen turvallisuuden vahvistamisen, mikä auttaa luomaan edellytykset organisaation pitkäjänteiselle toiminnalle.

Mikä on luottamuksellinen tieto???
Luottamuksellisten tietojen luokkaan kuuluvat kaikenlaiset lailla suojatut rajoitetut tiedot -

. mainos,
. virallinen,
. henkilökohtainen.

"Liikesalaisuus on salaisuuden tyyppi, joka sisältää omistajansa millä tahansa kaupallisen toimintansa alueella perustamia ja suojelemia tietoja, joihin pääsyä on rajoitettu tiedon omistajan edun mukaisesti."
Liikesalaisuus on yksi salaisuuksien päätyypeistä, koska tuotteita tai palveluita tuottavan yrityksen menestys riippuu kyvystä kilpailla ja siten kyvyllä nähdä, kuinka on mahdollista saavuttaa voittojen kasvu kilpailijoihin verrattuna. .
Liikesalaisuuden muodostaviin tietoihin voi sisältyä mitä tahansa yritystietoja, lukuun ottamatta 5. joulukuuta 1991 päivätyssä Venäjän federaation hallituksen asetuksessa "Luettelosta tiedoista, jotka eivät voi muodostaa liikesalaisuutta" asetettuja rajoituksia. Nro 35
Omistusoikeudellisiin tietoihin liittyvät tiedot eivät yleensä ole itsenäisten liiketoimien kohteena, mutta niiden paljastaminen voi aiheuttaa omaisuusvahinkoa organisaatiolle ja vahingoittaa sen liikemainetta.
20. helmikuuta 1995 annetussa liittovaltion laissa N 24-FZ "Tiedoista, tiedoista ja tietosuojasta" tiedot kansalaisista - henkilötiedot - tiedot kansalaisen elämän tosiseikoista, tapahtumista ja olosuhteista, jotka mahdollistavat hänen persoonallisuutensa tunnistamisen.

CI-suojausjärjestelmän luominen

Luottamuksellisten tietojen suojaamiseen laillisesti ryhtyäksesi sinun on hankittava lupa luottamuksellisten tietojen tekniseen suojaamiseen liittyvien toimintojen suorittamiseen (Valtioneuvoston asetuksella hyväksyttyjen LUOTTAMUKSELLISTEN TIETOJEN TEKNISEN SUOJAUKSEN LUPATOIMINNAN SÄÄNNÖKSET Venäjän federaation 30. huhtikuuta 2002 N 290). :
Tätä varten sinun on täytettävä seuraavat vaatimukset:
a) luvanvaraisten toimintojen toteuttaminen erikoisalalla "tietoturva", "automaattisten järjestelmien tietoturvan kokonaisvaltainen tarjoaminen" tai "tietoliikennejärjestelmien tietoturva" taikka tietoturva-asioissa uudelleenkoulutuksen saaneiden asiantuntijoiden toimesta lisensoidun toiminnan .
b) tuotantotilojen, tuotanto-, testaus- ja valvontalaitteiden vaatimustenmukaisuus Venäjän federaation valtion standardien ja teknisten tietojen suojaamista koskevien säädösten ja metodologisten asiakirjojen mukaisten teknisten standardien ja vaatimusten kanssa; (b kohta sellaisena kuin se on muutettuna Venäjän federaation hallituksen 23. syyskuuta 2002 annetulla asetuksella N 689)
c) luottamuksellisia tietoja käsittelevien sertifioitujen (tietoturvavaatimusten mukaisesti sertifioitujen) automatisoitujen järjestelmien käyttö sekä keinot tällaisten tietojen suojaamiseksi;
d) kolmansien osapuolten sähköisten tietokoneiden tai tietokantojen ohjelmien käyttö tekijänoikeuksien haltijan kanssa tehdyn sopimuksen perusteella.
Luvan saamiseksi luvanhakija toimittaa seuraavat asiakirjat lupaviranomaiselle:
a) lupahakemus, jossa ilmoitetaan:
lisensoitu toiminta;
nimi, oikeudellinen muoto ja sijainti - oikeushenkilölle;
sukunimi, etunimi, sukunimi, asuinpaikka, henkilöllisyystodistuksen tiedot - yksittäiselle yrittäjälle;
b) jäljennökset perustamisasiakirjoista ja asiakirjasta, joka vahvistaa oikeushenkilön kirjaamisen yhtenäiseen valtion oikeushenkilöiden rekisteriin; (sellaisena kuin se on muutettuna Venäjän federaation hallituksen 06.02.2003 asetuksella N 64)
c) kopio lisenssin hakijan - yksittäisen yrittäjän - valtion rekisteröintitodistuksesta;
d) kopio todistuksesta luvanhakijan rekisteröinnistä veroviranomaiselle, jossa on verovelvollisen tunnus;
e) asiakirja, joka vahvistaa lupamaksun suorittamisen lupahakemuksen käsittelystä;
f) tiedot luvanhakijan tietojen suojaamiseen erikoistuneiden asiantuntijoiden pätevyydestä.
Jos asiakirjojen jäljennökset eivät ole notaarin vahvistamia, on alkuperäiset esitettävä jäljennösten mukana.
Luvan voimassaoloaika on viisi vuotta ja sitä voidaan jatkaa luvanhaltijan pyynnöstä luvan uusimisen edellyttämällä tavalla.
Lupa myönnetään uudelleen kymmenen päivän kuluessa siitä, kun lupaviranomainen on vastaanottanut asiaa koskevan hakemuksen.
Toimenpiteiden kehittämisestä ja tietosuojan varmistamisesta huolehtivat tietosuojayksiköt (turvapalvelut) tai yrityksen (laitoksen) johdon nimeämät yksittäiset asiantuntijat tätä työtä suorittamaan. Tietoturvatoimenpiteiden kehittämistä voivat tehdä myös ulkopuoliset yritykset, joilla on Venäjän valtion teknisen toimikunnan ja/tai FAPSI:n asianmukaiset lisenssit tietoturva-alan palvelujen tarjoamiseen.
Kuten tiedetään, laki on joukko yleisesti sitovia sääntöjä ja käyttäytymisnormeja, jotka valtio on vahvistanut tai sanktioi liittyen valtion elinten, yritysten (organisaatioiden) ja väestön (yksityishenkilöiden) tiettyihin elämän- ja toiminta-aloihin.
Lakisääteiset standardit tietojen turvallisuuden ja suojan takaamiseksi missä tahansa yrityksessä (yrityksessä, organisaatiossa) näkyvät perustamis-, organisaatio- ja toimintaasiakirjoissa.
Tietoturvan ja -suojan varmistamisen vaatimukset näkyvät peruskirjassa:

. yrityksellä on oikeus määrätä luottamuksellisten tietojen kokoonpano, laajuus ja suojausmenettely, vaatia työntekijöitään varmistamaan turvallisuutensa ja suojautuminen sisäisiltä ja ulkoisilta uhilta;
. Yritys on velvollinen varmistamaan luottamuksellisten tietojen turvallisuuden.
Tällaiset vaatimukset antavat yrityksen hallinnolle oikeuden:
. luoda organisaatiorakenteita luottamuksellisten tietojen suojaamiseksi;
. antaa normatiivisia ja hallinnollisia asiakirjoja, joissa määritellään luottamuksellisten tietojen luovuttamismenettely ja mekanismit niiden suojaamiseksi;
. sisällyttää tietosuojavaatimukset kohtaan 5; kaikenlaista taloudellista toimintaa koskevat sopimukset;
. vaatia yrityksen etujen suojaamista valtion ja oikeusviranomaisilta;
. hävittää yrityksen omaisuutta poimia varten
hyödyt ja taloudellisten vahinkojen ehkäiseminen yrityksen tiimille ja tuotantovälineiden omistajalle;
. laatia "luottamuksellisten tietojen luettelo". Tietosuojan oikeusvarmuuden vaatimuksista määrätään työehtosopimuksessa.

. varmistaa niiden taloudellinen turvallisuus, määrittää luottamuksellisten tietojen kokoonpanon, määrän ja suojausmenettelyn;
. vaatia työntekijöitä varmistamaan taloudellisen turvallisuuden ja luottamuksellisten tietojen suojan;
. valvoa taloudellisen turvallisuuden ja luottamuksellisten tietojen suojaa koskevien toimenpiteiden noudattamista.

. varmistaa taloudellinen turvallisuus ja luottamuksellisten tietojen turvallisuus;
. valvoa tehokkaasti taloudellisten turvatoimien täytäntöönpanoa ja luottamuksellisten tietojen suojaamista.

. luoda organisaatiorakenteita liikesalaisuuksien suojaamiseksi tai antaa nämä tehtävät asiaankuuluville viranomaisille;
. antaa sääntely- ja hallinnollisia asiakirjoja, joissa määritellään menettely liikesalaisuuden muodostavien tietojen eristämiseksi ja mekanismit niiden suojaamiseksi;
. sisällyttää liikesalaisuuksien suojaamista koskevia vaatimuksia kaikentyyppistä liiketoimintaa koskeviin sopimuksiin (kollektiivisiin ja yhteisiin alihankkijoiden kanssa);
. vaatia yrityksen etujen suojaamista hallitukselta ja oikeusviranomaisilta;
. hallita yrityksen omaisuutta koskevia tietoja hyödyn saamiseksi ja taloudellisen vahingon estämiseksi tiimille ja tuotantovälineiden omistajalle.
Työehtosopimuksen tulee sisältää seuraavat vaatimukset:
Kohta "Sopimuksen aihe"
. Ryhmälle aiheutuvien taloudellisten vahinkojen estämiseksi hallinto sitoutuu varmistamaan taloudellisen turvallisuuden ja luottamuksellisten tietojen suojan toimenpiteiden kehittämisen ja toteuttamisen.
. Työvoima sitoutuu noudattamaan yhtiön asettamia taloudellisen turvallisuuden ja luottamuksellisten tietojen suojan vaatimuksia.
. Hallinnon tulee ottaa huomioon sisäisessä työsäännössä, henkilöstön toiminnallisissa vastuissa ja rakennejakomääräyksissä taloudellisen turvallisuuden ja luottamuksellisten tietojen suojan vaatimukset.

Yrityksen työntekijöitä ja työntekijöitä koskevia sisäisiä työmääräyksiä on suositeltavaa täydentää seuraavilla vaatimuksilla:
Kohta "Työntekijöiden palkkaaminen ja irtisanominen"
Palkkaaessaan työntekijää tai siirtäessään hänet määrätyllä tavalla muuhun luottamukselliseen tietoon liittyvään työhön sekä irtisanoessaan hänet, hallinto on velvollinen:

. opastaa työntekijää taloudellisen turvallisuuden ja luottamuksellisten tietojen säilyttämisen säännöistä;
. laatia kirjallinen sitoumus olla paljastamatta luottamuksellisia tietoja. Hallituksella on oikeus:
. tehdä päätöksiä luottamuksellisten tietojen suojan vaatimuksia rikkovien henkilöiden poistamisesta työstä;
. valvoa luottamuksellisten tietojen suojaamista ja salaamista koskevien toimenpiteiden noudattamista yrityksessä.
Osio "Työntekijöiden ja työntekijöiden perusvelvollisuudet"
Työntekijät ja työntekijät ovat velvollisia:
. tietää ja noudattaa tarkasti taloudellista turvallisuutta ja luottamuksellisten tietojen suojaa koskevia vaatimuksia;
. antaa vapaaehtoisen kirjallisen sitoumuksen olla paljastamatta luottamuksellisia tietoja;
. käsittele huolellisesti henkilökohtaisten ja virallisten asiakirjojen ja luottamuksellisia tietoja sisältävien tuotteiden säilytystä. Jos ne katoavat, ilmoita niistä välittömästi viranomaisille.
Osio "Hallinnon pääasialliset tehtävät"
Hallinto ja osastojen päälliköt ovat velvollisia:
. varmistaa taloudellisen turvallisuuden ja luottamuksellisten tietojen suojan vaatimusten tiukka noudattaminen;
. suorittaa johdonmukaisesti organisatorista, taloudellista ja koulutustyötä, jonka tarkoituksena on suojella taloudellisia etuja ja luottamuksellisia tietoja;
. sisällyttää erityisiä taloudellisia turvallisuutta ja luottamuksellisten tietojen suojaa koskevia vaatimuksia osastoja ja työnkuvauksia koskeviin määräyksiin;
. noudattaa jatkuvasti peruskirjan, työehtosopimuksen, työsopimusten, sisäisten työmääräysten ja muiden taloudellisten ja organisatoristen asiakirjojen vaatimuksia taloudellisen turvallisuuden ja luottamuksellisten tietojen suojaamisen osalta.

Yhteistyösopimuksen tulee sisältää seuraavat vaatimukset:
Osio "Luottamuksellisuusehdot"
Osapuolet sitoutuvat olemaan siirtämättä lisenssejä henkilöille eivätkä julkista yhteistyötä koskevia tietoja ilman yhteistä sopimusta. Tämän ehdon rikkomisesta osapuolet ovat taloudellisesti vastuussa vahingoista, menetetyistä voitoista ja moraalisesta vahingosta.
Henkilöt, jotka rikkovat salassapitoehtoja, voidaan saattaa vastuuseen sovellettavan lain mukaisesti.

Tietyn työntekijän, työntekijän tai työntekijän tietoturvaa koskevat velvoitteet tulee määritellä työsopimuksessa (sopimuksessa). Työlain (luku III) mukaan työntekijä sitoutuu työsopimusta tehdessään täyttämään tietyt kyseisessä yrityksessä voimassa olevat vaatimukset. Riippumatta sopimuksen tekemisen muodosta (suullinen tai kirjallinen), työntekijän allekirjoitus palkkausmääräyksessä vahvistaa hänen hyväksyvänsä sopimuksen ehdot (Venäjän työlaki, 18 artikla).
Luottamuksellisten tietojen suojaamista koskevia vaatimuksia voidaan määritellä sopimuksen tekstissä, jos sopimus tehdään kirjallisesti. Jos sopimus tehdään suullisesti, sovelletaan yrityksen säädöksistä johtuvia tietosuojavaatimuksia. Työsopimusta solmittaessa ja uuden työntekijän palkkaamista annettaessa tehdään merkintä hänen tietoisuudestaan ​​yrityksen tietosuojamenettelyistä. Tämä luo tarpeellisen elementin tämän henkilön sisällyttämiseksi tietoturvamekanismiin.
Salassapitosopimusten käyttö ei ole lainkaan itsenäinen toimenpide sen suojaamiseksi. Sinun ei pitäisi ajatella, että kun olet allekirjoittanut tällaisen sopimuksen uuden työntekijän kanssa, salaisuus säilyy. Tämä on vain varoitus työntekijälle, että tietoturvatoimenpidejärjestelmä on tulossa peliin, ja oikeusperusta hänen virheellisten tai laittomien toimiensa lopettamiseksi. Seuraava tehtävä on estää liikesalaisuuksien menettäminen.
Tietojen suojaamiseen tähtäävien oikeudellisten normien ja säädösten toimeenpano organisaatiotasolla perustuu tiettyihin organisatorisiin ja oikeudellisiin muotoihin, joihin kuuluvat työn ja toiminnan luottamuksellisuuden säilyttäminen, sopimukset (sopimukset) ja erilaiset pakottavat lait.
Luottamuksellisuus on luottamuksellisten tietojen käsittelytapa, joka perustuu sellaisiin organisatorisiin toimenpiteisiin, jotka estävät tällaisten tietojen laittoman hankinnan.
Sopimukset ovat osapuolten (kahden tai useamman henkilön) välisiä sopimuksia keskinäisten velvoitteiden perustamisesta, muuttamisesta tai lopettamisesta.
Velvoite on siviilioikeudellinen suhde, jonka perusteella toinen osapuoli (velallinen) on velvollinen suorittamaan tiettyjä toimia toisen osapuolen hyväksi.
Oikeudellinen sääntely on tarpeen tietoresursseihin liittyvien laittomien toimien ehkäisymekanismin parantamiseksi, yksittäisten subjektien tehtävien ja toimivaltuuksien selkiyttämiseksi ja lujittamiseksi ennaltaehkäisevän toiminnan, kansalaisten ja järjestöjen oikeuksien ja oikeutettujen etujen turvaamisen alalla.
Tietoturva-alan tahojen toimintaa säätelevän lainsäädännön analyysi osoittaa, että puutteita on olemassa. Voimassa olevat oikeusnormit ovat hajallaan eri aikoina, eri olosuhteissa ja eri tasoilla annettujen määräysten kesken. Nykyistä lainsäädäntöä ei ole systematisoitu, mikä vaikeuttaa sen käyttöä käytännössä.
Organisaation suoja on tuotantotoiminnan ja esittäjien välisten suhteiden säätelyä sellaisella oikeudelliselta pohjalta, joka sulkee pois tai merkittävästi vaikeuttaa luottamuksellisten tietojen laittoman hankinnan sekä sisäisten ja ulkoisten uhkien ilmentymistä.
Organisaation suoja tarjoaa:

. turvallisuuden järjestäminen, hallinto, henkilöstön kanssa työskentely,
asiakirjojen kanssa;
. teknisten turvakeinojen ja tiedon käyttö sekä analyyttinen toiminta yritystoimintaan kohdistuvien sisäisten ja ulkoisten uhkien tunnistamiseksi.

. hallinnon ja turvallisuuden järjestäminen. Niiden tavoitteena on sulkea pois mahdollisuus luvattomien henkilöiden salaisen pääsyn alueelle ja tiloihin; työntekijöiden ja vierailijoiden kulkemisen ja liikkumisen hallinnan mukavuuden varmistaminen; erillisten tuotantovyöhykkeiden luominen riippumattomien pääsyjärjestelmien luottamuksellisen työn tyypin perusteella; valvoa ja noudattaa yrityksen henkilöstön väliaikaista työ- ja oleskelujärjestelyä; luotettavan kulunvalvonnan ja työntekijöiden ja vierailijoiden jne. valvonnan järjestäminen ja ylläpito;
. työntekijöiden kanssa tehtävän työn järjestäminen, joka sisältää henkilöstön valinnan ja sijoittamisen, mukaan lukien työntekijöihin tutustuminen, heidän opiskelunsa, luottamuksellisten tietojen kanssa työskentelyn sääntöihin perehtyminen, tietoturvasääntöjen rikkomisen vastuutoimenpiteisiin tutustuminen jne.;
. teknisten välineiden käytön järjestäminen
luottamuksellisten tietojen kerääminen, käsittely, kerääminen ja säilyttäminen;
. työn organisointi sisäisten ja
ulkoiset uhat luottamuksellisille tiedoille ja
toimenpiteiden kehittäminen sen suojelun varmistamiseksi;
. töiden organisointi luottamuksellisten tietojen järjestelmällisen henkilöstön työn seurannan, asiakirjojen ja teknisten tietovälineiden kirjaamisen, säilyttämisen ja hävittämisen menettelyn.
. asiakirjojen ja dokumentoidun tiedon parissa työskentelyn organisointi, mukaan lukien luottamuksellisten tietojen asiakirjojen ja välineiden kehittämisen ja käytön, niiden tallentamisen ja toteuttamisen, palauttamisen, säilyttämisen ja tuhoamisen järjestäminen;
Tilanteen perusteella ja tietoturvajärjestelmän parantamiseksi ehdotan, että kaikki tietoturvaan liittyvät palvelut yhdistetään yhdeksi palveluksi ja kutsutaan sitä turvallisuuspalveluksi, jonka tehtävät ovat seuraavat:
. järjestää ja varmistaa kulunvalvonnan ja tilojen sisäisen valvonnan rakennuksissa ja tiloissa, turvamenettelyt, valvoo, että työntekijät, vuokralaiset, yhteistyökumppanit ja vierailijat noudattavat järjestelmän vaatimuksia;
. johtaa teknistä suojaa sekä valtiosalaisuuksien ja luottamuksellisten tietojen suojaa koskevien suhteiden oikeudellista ja organisatorista sääntelyä;
. kehittää perusasiakirjoja vahvistaakseen niihin valtiosalaisuuksien ja luottamuksellisten tietojen turvallisuuden ja suojan varmistamisen vaatimukset, erityisesti peruskirjan, sisäiset työmääräykset, osastojen määräykset sekä työsopimukset, sopimukset, työsopimukset, toimenkuvat ja johdon, asiantuntijoiden, työntekijöiden ja työntekijöiden vastuut;
. kehittää ja toteuttaa yhdessä muiden osastojen kanssa toimenpiteitä, joilla varmistetaan työ valtiosalaisuuksia ja luottamuksellisia tietoja sisältävien asiakirjojen kanssa; kaikenlaisessa työssä järjestää ja valvoo valtiosalaisuuksien ja luottamuksellisten tietojen suojeluohjeen vaatimusten noudattamista ;
. tutkii tuotannon, kaupallisen, taloudellisen ja muun toiminnan kaikkia näkökohtia tunnistaakseen ja sulkeakseen mahdollisia valtiosalaisuuksien ja luottamuksellisten tietojen vuotamisen kanavia, pitää kirjaa ja analysoi tietoturvaloukkauksia, kerää ja analysoi tietoja kilpailijoiden ja muiden organisaatioiden haitallisista pyrkimyksistä liittyen organisaation ja sen asiakkaiden, kumppaneiden, alihankkijoiden toiminta;
. järjestää ja suorittaa virallisia tutkimuksia tietojen paljastamisesta, asiakirjojen katoamisesta ja muista organisaation turvallisuusrikkomuksista;
. kehittää, ylläpitää, päivittää ja laajentaa luetteloa luottamuksellisista tiedoista ja muita säännöksiä, jotka koskevat tietojen turvallisuuden ja suojan varmistamista;
. varmistaa luottamuksellisten tietojen suojaamista koskevien sääntelyasiakirjojen vaatimusten tiukan noudattamisen;
. hoitaa järjestön yritysten turvallisuuspalveluiden ja osastojen johtamista valtiosalaisuuksien ja luottamuksellisten tietojen suojaamista koskevissa sopimuksissa määrätyin ehdoin;
. järjestää ja järjestää säännöllisesti koulutusta yritysten työntekijöille ja turvallisuuspalveluille kaikilla valtiosalaisuuksien ja luottamuksellisten tietojen suojaamisen aloilla varmistaen, että liikesalaisuuksien suojeluun noudatetaan syvästi tietoista lähestymistapaa;
. pitää kirjaa kassakaapeista, metallikaapeista, erikoisvarastoista ja muista tiloista, joissa valtiosalaisuuksien ja luottamuksellisten tietojen pysyvä tai tilapäinen säilyttäminen on sallittua;
. pitää kirjaa luottamukselliseen työhön osoitetuista tiloista, niissä olevista teknisistä laitteista, joissa on mahdollisia tietovuotoja;

Turvapalvelun tulee olla itsenäinen organisaatioyksikkö, joka raportoi suoraan organisaation pääjohtajalle.

Turvallisuuspalvelua johtaa yksikön päällikkö turvallisuusosaston apulaisjohtajana.
Organisatorisesti turvallisuuspalvelu koostuu seuraavista rakenneyksiköistä:

. turvallisuus osasto;
. Luottamuksellisten tietojen suojaosasto:
. Asiakirjojen käsittelyala, joka on luokiteltu "luottamukselliseksi tiedoksi";
. laboratorio, joka valvoo automatisoitujen järjestelmien ja tietokonelaitteiden tietoturvaa luvattomalta pääsyltä.
. Laboratorio ulkomaisen teknisen tiedustelupalvelun ja teknisen tietoturvan torjunnan tehokkuuden kattavaan seurantaan;
. ryhmä analysoimaan mahdollisuutta luoda teknisiä kanavia tietovuodolle;

Luottamuksellisten tietojen suojaamiseksi organisaatiossa on laadittava seuraavat sääntely- ja lakiasiakirjat:

. Luettelo tiedoista, jotka muodostavat organisaation luottamuksellisia tietoja;
. Sopimusvelvoite CI:n salassapitovelvollisuudesta
. Ohjeet luottamuksellisten tietojen suojaamiseen

Tietokoneiden tietojen suojaus on suoritettava RD GostekhCommission ja STR-k:n vaatimusten (erityiset vaatimukset ja suositukset luottamuksellisten tietojen teknisestä suojasta) mukaisesti.

Ensinnäkin sinun tulee laatia luettelo tiedoista, jotka muodostavat organisaation luottamuksellisia tietoja. Luettelon tulee sisältää kaikki tiedot, jotka ovat organisaation omaisuutta.
Tieto (ja sen tiedotusvälineet) tarkoittaa:

. Tiedot, jotka on saatu tietojenkäsittelyn tuloksena teknisin keinoin (toimistolaitteet);
. Tieto tietona, joka sisältää hyödyllistä tietoa ja jota organisaation työntekijät käyttävät virallisiin tarkoituksiin;
. Organisaation työntekijöiden henkisen toiminnan tuloksena muodostuneet asiakirjat (mediat), mukaan lukien tiedot, jotka ovat peräisin mistä tahansa alkuperästä, tyypistä ja tarkoituksesta, mutta jotka ovat välttämättömiä organisaation normaalille toiminnalle.

. Venäjän federaation perustuslaki, hyväksytty 12. joulukuuta 1993
. Venäjän federaation laki "Valtionsalaisuuksista" nro 5485-1, 21. heinäkuuta 1993
. Venäjän federaation liittovaltion laki "Tiedosta, tietojenkäsittelystä ja tietojen suojaamisesta" nro 24-FZ, 2.20.95
. Venäjän federaation presidentin asetus "valtiosalaisuudeksi luokiteltujen tietojen luettelon hyväksymisestä" nro 1203, 30. marraskuuta 1995
. Venäjän federaation presidentin asetus "luottamuksellisten tietojen luettelon hyväksymisestä" nro 188, 3.6.97
. Venäjän federaation hallituksen asetus "Luettelosta tiedoista, jotka eivät voi olla liikesalaisuuksia" nro 35, 12.5.91
. Tiedot, jotka ovat julkisesti saatavilla laillisesti, mukaan lukien Venäjän federaation hallituksen 5. joulukuuta 1991 antaman asetuksen nro 35 mukaisesti:
. Perustamisasiakirjat (päätös yrityksen perustamisesta tai perustajasopimus) ja peruskirja;
. Asiakirjat, jotka antavat oikeuden harjoittaa yritystoimintaa (rekisteröintitodistukset, lisenssit, patentit);
. Tiedot vakiintuneista rahoitus- ja taloustoimintojen raportointimuodoista ja muut tiedot, jotka ovat tarpeen verojen ja muiden pakollisten maksujen laskennan ja maksamisen oikeellisuuden tarkistamiseksi Venäjän valtion budjettijärjestelmään;
. Asiakirjat vakavaraisuudesta; tiedot työntekijöiden lukumäärästä, kokoonpanosta, palkoista ja työehdoista sekä tarjolla olevista työpaikoista;
. Asiakirjat verojen ja pakollisten maksujen maksamisesta;
. Tiedot ympäristön saastumisesta, monopolien vastaisen lainsäädännön rikkomisesta, turvallisten työolojen noudattamatta jättämisestä, kansanterveydelle haitallisten tuotteiden myynnistä sekä muista Venäjän federaation lainsäädännön rikkomuksista ja aiheutuneiden vahinkojen laajuudesta;
. Tietoa yritysvirkamiesten osallistumisesta osuuskuntiin, pienyrityksiin, yhtiökummiin ja muihin yritystoimintaa harjoittaviin järjestöihin.
. Analyysi tällaisen tiedon avoimen ja suljetun (sisäisen) käytön eduista ja haitoista.
. Luottamuksellisten tietojen luvattoman levittämisen yhteydessä mahdollisesti aiheutuvien vahinkojen luonteen analysointi;

1. YLEISET MÄÄRÄYKSET.
2. LUOTTAMUKSELLISET TIEDOT
3. VASTUU LUOTTAMUKSELLISTEN TIETOJEN ILMOITTAMISESTA
4. TYÖNTEKIJÖIDEN KÄYTTÖJÄRJESTELMÄ CI:N TIETOJEN KÄYTTÖÖN.
4.1. JOUKKO HENKILÖITÄ, JOILLA ON OIKEUS ANTAA LUOTTAMUKSELLISIIN ASIAKIRJOIHIN KÄYTTÖLUPA
4.2 LUOTTAMUKSELLISIIN ASIAKIRJOIHIN KÄYTTÖLUVAN REKISTERÖINTIMENETTELY
4.3. LUOTTAMUKSELLISTA TIETOA SISÄLTÄVÄT KYSYMYKSET KOKOUKSIA KOSKEVAT MENETTELYT
5. LUOTTAMUKSELLISET ASIAKIRJOJEN VALMISTELU JA JULKAISEMINEN
6. JULKAISTUJEN LUOTTAMUKSELLISTEN ASIAKIRJOJEN KIRJANPITO, KÄSITTELY JA LÄHETTÄMINEN
7. VASTAANOTTOJEN ASIAKIRJOJEN VASTAANOTTO, KIRJANPITO JA VÄLITTÄMINEN
8. LUOTTAMUKSELLISTEN ASIAKIRJOJEN KIRJANPITO
9. LEHTI- JA KORTTITIEDOSTOJEN KIRJANPITO
10. LUOTTAMUKSELLISTEN ASIAKIRJOJEN SÄILYTTÖJÄRJESTELY
11. LUOTTAMUKSELLISET ASIAKIRJOJEN TOTEUTTAMISEN VALVONNAN ORGANISAATIO JA TEKNOLOGIA
12. ASIAKIRJOJEN TOISTAMINEN
13. ASIAKIRJOJEN HÄVITTÄMINEN
14. "LUOTTAMUKSELLISESTI" LUOKITETTUJEN TAPAUKSIEN NIMEN KÄYTTÖ JA REKISTERÖINTI
15. TAPAUSTEN MUODOSTAMINEN JA REKISTERÖINTI
16. LUOTTAMUKSISTEN ASIAKIRJOJEN SAATAVUUKSEN TARKISTAMINEN.
17. LUOTTAMUKSISTEN ASIAKIRJOJEN VALMISTELU ARKISTOJEN SÄILYTTÄMISTÄ
18. MENETTELY LUOTTAMUKSELLISTEN ASIAKIRJOJEN SIIRTÄMISEKSI ARKISTOON
19. SOVELLUKSET

CI:n suojaaminen on yksi tärkeimmistä tekijöistä luotaessa edellytyksiä organisaation vakaalle olemassaololle ja asteittaiselle kehitykselle.
Tärkeimmät ehdot organisaation tietoturvan varmistamiselle aiotun lähestymistavan yhteydessä CI-suojausongelmien ratkaisemiseksi ovat:

. rakentaa malleja hyökkääjistä ja kilpailijoista heidän aikomuksiaan ja pyrkimyksiään koskevien tietojen etsimisen ja todentamisen perusteella;
. määrittää luettelo tiedoista, joiden tarkoituksena on suojella yrityksen etuja sen tietyillä toiminta-alueilla;
. CICP:n vaihtoehtoisten vaihtoehtojen synteesiin, rakenteelliseen optimointiin ja tekniseen ja taloudelliseen arviointiin perustuen yritykselle suosiman CI-suojajärjestelmän rakenteen muodostaminen;
. valitun CI-suojaussuunnitelman toteuttamisprosessin hallinta ja CI-suojauksen organisointityön koordinointi organisaation kaikkien kiinnostuneiden rakenteellisten osastojen välillä;
. yhdistämällä organisatoriset ja hallinnolliset toimenpiteet CI:n suojaamiseksi ja koko organisaation henkilöstön aktiivinen osallistuminen tähän prosessiin;
. Kaikkien tasojen virkamiesten sekä muiden CI:n palvelukseen hyväksyttyjen konsernin työntekijöiden henkilökohtaisen vastuun (mukaan lukien materiaalit) käyttöönotto JSC:ssä vahvistetun luottamuksellisuusjärjestelmän varmistamiseksi.

Johdanto

Luku 1. Tietoturvan ja tietoturvan perusteet

1.1 Tietoturvakäsitteen ja luottamuksellisuuden käsitteen kehitys

1.2 Tiedon arvo

1.3 Luottamuksellisten tietojen jakelu- ja vuotokanavat

1.4 Uhat ja luottamuksellisten tietojen suojajärjestelmä

Luku 2. Työn organisointi luottamuksellisia tietoja sisältävien asiakirjojen kanssa

2.1 Luottamuksellisten asiakirjojen hallinnan sääntely- ja metodologinen perusta

2.2 Henkilöstön pääsyn ja menettelyjen järjestäminen luottamuksellisten tietojen, asiakirjojen ja tietokantojen parissa

2.3 Luottamuksellisten asiakirjojen käsittelyn tekninen perusta

Luku 3. Rajoitettujen tietojen suojaus JSC "ChZPSN - Profnastil"

3.1 OJSC "ChZPSN - Profnastil" ominaisuudet

3.2 Tietoturvajärjestelmä JSC "ChZPSN - Profnastil"

3.3 Rajoitettujen tietojen turvajärjestelmän parantaminen

Johtopäätös

Luettelo käytetyistä lähteistä ja kirjallisuudesta

Johdanto

Yhtä minkä tahansa maan kansallisen turvallisuuden tärkeimmistä komponenteista kutsutaan nykyään yksimielisesti sen tietoturvaksi. Tietoturvan varmistamisen ongelmat ovat yhä monimutkaisempia ja käsitteellisesti merkittäviä, koska tietotekniikan hallinnassa siirrytään massiivisesti paperittomaan, automatisoituun pohjaan.

Tämän lopullisen tutkintotyön aiheen valinta johtuu siitä, että nykyaikaisessa Venäjän markkinataloudessa edellytys yrittäjän menestymiselle liiketoiminnassa, voiton saamiselle ja hänen luomansa organisaatiorakenteen eheyden ylläpitämiselle on hänen toimintansa taloudellinen turvallisuus. Ja yksi taloudellisen turvallisuuden pääkomponenteista on tietoturva.

Tämän työn tutkimuksen kohteena on tietoresurssien muodostuminen ja toiminta organisaation johtamisjärjestelmässä.

Tutkimuspohja on OJSC "ChZPSN - Profnastil"

Tutkimuksen aiheena on toiminta tietoresurssien turvallisuuden varmistamiseksi organisaation johtamisjärjestelmässä.

Tutkimuksen tarkoituksena on analysoida nykyaikaisia ​​tekniikoita, menetelmiä, menetelmiä ja keinoja yrityksen luottamuksellisten tietojen suojaamiseksi.

Tutkimuksen tavoitteita tavoitteen mukaisesti ovat mm.

1. Paljasta tietoturvan pääkomponentit;

2. Määrittää luottamuksellisiksi luokiteltavien tietojen kokoonpanon;

3. Tunnista yleisimmät uhat, jakelukanavat ja tietosuojavuodot;

4. Harkitse menetelmiä ja keinoja luottamuksellisten tietojen suojaamiseksi;

5. Analysoi luottamuksellisten asiakirjojen hallinnan sääntelykehys;

6. perehtyä luottamuksellisiin tietoihin pääsyn järjestämisen turvallisuuspolitiikkaan ja luottamuksellisten asiakirjojen parissa työskentelevän henkilöstön menettelytapaan;

7. Harkitse teknisiä järjestelmiä luottamuksellisten asiakirjojen käsittelyyn;

8. Arvioi yrityksen JSC ChZPSN - Profnastil tietoturvajärjestelmä ja anna suosituksia sen parantamiseksi.

Työssä käytettiin seuraavia tutkimusmenetelmiä: kognitiiviset menetelmät (kuvaus, analyysi, havainto, kysely); yleiset tieteelliset menetelmät (aihetta koskevien julkaisujen analyysi) sekä dokumentaarinen menetelmä, kuten yrityksen dokumentaation analyysi.

Tutkinnon suorittavan työn sääntelykehys perustuu ensisijaisesti perustuslakiin, joka on Venäjän federaation peruslaki) (1). Venäjän federaation perustuslain 23 § takaa oikeuden henkilökohtaisiin ja perheen salaisuuksiin, kirjeenvaihdon, puhelinkeskustelujen, postin, lennätin ja muun viestinnän yksityisyyteen. Tämän oikeuden rajoittaminen on kuitenkin sallittua vain tuomioistuimen päätöksellä. Venäjän federaation perustuslaki ei salli (24 artikla) ​​henkilön yksityiselämää koskevien tietojen keräämistä, tallentamista, käyttöä ja levittämistä ilman hänen suostumustaan ​​(1).

Luottamuksellisten tietojen käsittelyssä syntyvien suhteiden säätelyä koskevat säännöt sisältyvät myös Venäjän federaation siviililakiin. Samaan aikaan luottamukselliset tiedot luokitellaan aineettomiksi hyödyiksi Venäjän federaation siviililaissa (150 artikla) ​​(2).

Kriteerit, joiden mukaan tietoa pidetään virka- ja liikesalaisuutena , ne sisältyvät Venäjän federaation siviililain 139 §:ään. Siinä todetaan, että tiedot ovat virka- tai liikesalaisuuksia, jos:

1. Näillä tiedoilla on todellista tai mahdollista arvoa, koska ne ovat kolmansien osapuolien tuntemattomia;

2. Näihin tietoihin ei ole vapaata pääsyä oikeusperustalla, ja tietojen omistaja ryhtyy toimenpiteisiin niiden luottamuksellisuuden suojelemiseksi (2).

Lisäksi kaupallisten tietojen luottamuksellisuuden määritelmä sisältyy Venäjän federaation siviililain 727 §:ään (2).

27. heinäkuuta 2006 hyväksyttiin kaksi liittovaltion lakia, jotka olivat tärkeintä luottamuksellisten tietojen suojaamisen kannalta: nro 149-FZ ”Tiedoista, tietotekniikasta ja tietosuojasta” (8) ja nro 152-FZ ”henkilötiedoista ”(9). Ne tarjoavat peruskäsitteitä tiedosta ja sen suojasta. Kuten "tiedot", "tietojen luottamuksellisuus", "henkilötiedot" jne.

Venäjän federaation presidentti allekirjoitti 10. tammikuuta 2002 erittäin tärkeän lain "Sähköisestä digitaalisesta allekirjoituksesta" (5), jossa kehitettiin ja täsmennettiin edellä olevan "Tiedoista..." (8) määräyksiä.

Myös seuraavat Venäjän federaation lait ovat keskeisiä luottamuksellisen tietoturvan alalla:

2. ”Liikesalaisuuksista”, päivätty 29. heinäkuuta 2004 (se sisältää liikesalaisuuden muodostavat tiedot, liikesalaisuusjärjestelmä, liikesalaisuuksia muodostavien tietojen paljastaminen) (6);

3. "Luottamuksellisten tietojen luettelon hyväksymisestä" (11);

4. Luettelon hyväksymisestä tiedoista, jotka eivät voi muodostaa liikesalaisuuksia" (13).

Tietoturva-alan perustermit ja -määritelmät vahvistava standardi on GOST R 50922-96 (29).

Luottamuksellisten asiakirjojen hallinnan sääntely- ja metodologiset perusteet esitellään yksityiskohtaisesti tämän työn toisessa luvussa. Lopullisessa karsintatyössä käytettiin johtavien dokumenttiasiantuntijoiden töitä: I.V. Kudrjaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pshenko (98), L.V. Sankina (92), E.A. Stepanova (81; 96).

Tietoturvan käsite ja sen pääkomponentit on esitetty V.A.:n teoksissa. Galatenko (82), V.N. Yarochkina (56), G. Zotova (66).

K. Iljin (52) pohtii töissään tietoturvakysymyksiä sähköisessä dokumentinhallinnassa). Tietoturvaan liittyviä näkökohtia kuvataan V.Yan artikkeleissa. Ishcheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuka (74), V.K. Senchagova (93), E.A. Stepanova (96).

Tietoturvajärjestelmä on kuvattu E.A.:n teoksissa. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkova (69), G.G. Aralbaeva (100), A.A. Shiverskogo (103), V.N. Martynov ja V.M. Martynova (49).

Seuraavien tekijöiden teokset ovat omistettu rajoitetun tiedon oikeudelliseen sääntelyyn: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). Jälkimmäinen huomauttaa artikkelissaan lainsäädännön epätäydellisyydestä tarkasteltavana olevalla alueella.

R.N. omisti teoksensa luottamuksellisten asiakirjojen käsittelytekniikoille. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksentseva (32).

Työn valmisteluvaiheessa alan johtavat asiantuntijat kuten A.I. Aleksentsev (31; 32) ja E.A. Stepanov (81; 96).

Teoksia I.L. Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaja (48), V.M. Kravtsova (51) on omistautunut tietoturvan kiistanalaisille puolille.

Yleisesti voidaan sanoa, että tietoturvaongelma on yleisesti ottaen lähteistä, lähdekanta mahdollistaa osoitettujen tehtävien korostamisen. Tätä aihetta käsittelevän kirjallisuuden merkitys on suuri ja vastaa sen relevanssia.

Mutta maassamme ei ole säädöstä, joka vahvistaisi yhtenäisen menettelyn luottamuksellisia tietoja sisältävien asiakirjojen tallentamiseksi, säilyttämiseksi ja käyttämiseksi. Ja analyytikkojen mukaan, joiden artikkeleita työssä käytettiin, E.A. Voynikanis (40), T.A. Partyki (57), V.A. Mazurov (71) ja muut, tämä tuskin on suositeltavaa.

Lopullinen pätevä työ koostuu johdannosta, kolmesta luvusta, johtopäätöksestä, luettelosta käytetyistä lähteistä ja kirjallisuudesta sekä sovelluksista.

Johdannossa muotoillaan aiheen relevanssi ja käytännön merkitys, tutkimuksen tarkoitus, tavoitteet, tutkittavan ongelman kehitysaste, kohde, aihe, tutkimuksen perusteet, tutkimusvälineet, lopputyön rakenne ja sisältö pätevä työ

Ensimmäinen luku ”Tietoturvan ja tietoturvan perusteet” sisältää asian historian ja tietoturvan peruskäsitteet. Kuten tiedon arvo, luottamuksellisuus. Kohdassa 1.2 kerrotaan jakelu- ja tietovuodot, seuraavassa jaksossa käsitellään uhkajärjestelmää ja luottamuksellisten tietojen suojausjärjestelmää.

Luku "Luottamuksellisten asiakirjojen käsittelyn järjestäminen." koostuu luottamuksellisen toimistotyön sääntely- ja metodologisista perusteista, joita seuraa työntekijöiden työmenettely ja heidän pääsynsä luottamuksellisiin tietoihin. Ilmoitettujen tietojen kanssa työskentelytekniikka on kuvattu toisen luvun viimeisessä kappaleessa.

Kolmannessa luvussa tarkastellaan yrityksen JSC ChZPSN - Profnastil esimerkkiä järjestelmää, jolla suojataan rajoitetun pääsyn tietoja ja analysoidaan luottamuksellisia asiakirjoja. Yrityksessä muodostuvaan luottamuksellisen toimistotyön tekniikkaan annetaan suosituksia, muutoksia ja lisäyksiä.

Tietoturva. Luentokurssi Artemov A.V.

Kysymys 3. Luottamuksellisten tietojen suojajärjestelmä

Yrityksen tietoturvapolitiikan (konseptin) käytännön toteutus on teknologinen tietoturvajärjestelmä. Tietosuoja on tiukasti säännelty ja dynaaminen teknologinen prosessi, joka estää arvokkaiden tietoresurssien saatavuuden, eheyden, luotettavuuden ja luottamuksellisuuden loukkaukset ja viime kädessä varmistaa riittävän luotettavan tietoturvan yrityksen johtamis- ja tuotantoprosessissa.

Tietoturvajärjestelmä on järkevä joukko ohjeita, menetelmiä, keinoja ja toimenpiteitä, jotka vähentävät tiedon haavoittuvuutta ja estävät luvattoman pääsyn tietoon, sen paljastamisen tai vuotamisen. Tärkeimmät vaatimukset järjestelmän tehokkaan toiminnan järjestämiselle ovat: johtajien ja työntekijöiden henkilökohtainen vastuu tiedotusvälineiden turvallisuudesta ja tietojen luottamuksellisuudesta, luottamuksellisten tietojen ja suojeltavien asiakirjojen koostumuksen sääntely, henkilöstön pääsymenettelyn sääntely luottamuksellisiin tietoihin ja asiakirjoihin erikoistuneen tietoturvapalvelun läsnäolo, joka varmistaa järjestelmän suojauksen käytännön toteutuksen sekä sääntely- ja metodologisen tuen tämän palvelun toiminnalle.

Tietoresurssien omistajat, mukaan lukien valtion virastot, järjestöt ja yritykset, määrittävät itsenäisesti (lukuun ottamatta valtiosalaisuudeksi luokiteltuja tietoja) resurssien vaaditun turvallisuusasteen ja järjestelmän tyypin, suojausmenetelmät ja -keinot arvon perusteella. tieto. Tiedon arvo ja sen suojauksen vaadittu luotettavuus ovat suoraan riippuvaisia. On tärkeää, että turvajärjestelmän rakenne kattaa sähköisten tietojärjestelmien lisäksi koko yrityksen johtamiskompleksin sen todellisten toiminta- ja tuotantoyksiköiden, perinteisten dokumentointiprosessien yhtenäisyydessä. Aina ei ole mahdollista luopua paperidokumenteista ja usein rutiininomaisesta, historiallisesti vakiintuneesta hallintatekniikasta, varsinkin jos kysymys on arvokkaan, luottamuksellisen tiedon turvallisuudesta.

Järjestelmän pääominaisuus on sen monimutkaisuus, eli se, että siinä on pakollisia elementtejä, jotka kattavat kaikki tietosuojan osa-alueet. Elementtien ja niiden sisällön suhde varmistaa tietoturvajärjestelmän rakentamisen yksilöllisyyden tietylle yritykselle ja takaa järjestelmän ainutlaatuisuuden ja sen ylittämisen vaikeuden. Erityinen suojajärjestelmä voidaan kuvitella tiiliseinänä, joka koostuu useista eri elementeistä (tiilet). Järjestelmän elementit ovat: juridiset, organisatoriset, tekniset, laitteistot ja ohjelmistot sekä kryptografiset.

Oikeudellinen elementti tietoturvajärjestelmä perustuu tietolainsäädännön normeihin ja käsittää yrityksen ja valtion välisen suhteen oikeudellisen lujittamisen tietoturvajärjestelmän käytön laillisuuden osalta, yrityksen ja henkilöstön henkilöstön velvollisuudesta noudattaa rajoittavia ja Tietojen omistajan määräämät tekniset suojatoimenpiteet sekä henkilöstön vastuu suojausmenettelytietojen rikkomisesta. Tämä tuote sisältää:

Luottamuksellisten tietojen suojaamista koskevien määräysten ja velvollisuuksien läsnäolo yrityksen organisaatioasiakirjoissa, sisäisissä työsäännöissä, työntekijöiden kanssa tehdyissä sopimuksissa, toimenkuvauksissa ja työohjeissa;

Laaditaan ja tuodaan kaikkien yrityksen työntekijöiden tietoon (mukaan lukien ne, jotka eivät liity luottamuksellisiin tietoihin) oikeudellista vastuuta koskevien määräysten laatiminen luottamuksellisten tietojen paljastamisesta, asiakirjojen luvattomasta tuhoamisesta tai väärentämisestä;

Palkatuille henkilöille selvitys säännöksistä, jotka koskevat heidän omiensa rajoitusten vapaaehtoisuutta liittyen tietosuojavelvoitteiden täyttämiseen.

Organisatorinen elementti Tietoturvajärjestelmä sisältää johtamis-, rajoittamis- (järjestelmä) ja teknologisia toimenpiteitä, jotka määrittävät turvajärjestelmän perusteet ja sisällön, jotka kannustavat henkilöstöä noudattamaan yrityksen luottamuksellisten tietojen suojaamista koskevia sääntöjä. Nämä toimenpiteet liittyvät salassapitovelvollisuuden luomiseen yhtiöön. Elementti sisältää säätelyn:

Turvapalvelun ja luottamuksellisen dokumentaation palvelun (tai turvapäällikön tai ensimmäisen johtajan avustajan) toiminnan muodostaminen ja organisointi, tarjoamalla näiden palvelujen toimintaan (työntekijä) säädös- ja metodologisia asiakirjoja turvallisuuden organisaatiosta ja tekniikasta. tietoturva;

Yhtiön suojattujen tietojen koostumuksen (luettelo, luettelo, matriisi) kokoaminen ja säännöllinen päivittäminen, yrityksen suojattujen paperi-, koneellisesti luettavien ja sähköisten asiakirjojen luettelon (luettelon) laatiminen ja ylläpito;

Lupajärjestelmä (hierarkkinen järjestelmä), jolla rajoitetaan henkilökunnan pääsyä suojattuun tietoon;

Menetelmät henkilöstön valitsemiseksi työskentelemään suojatun tiedon parissa, koulutus- ja ohjeistusmenetelmät;

Ohjeet ja menetelmät koulutustyössä henkilöstön kanssa, valvomalla, että työntekijät noudattavat tietosuojamenettelyjä;

Tekniikat paperin, koneellisesti luettavien ja sähköisten asiakirjojen suojaamiseen, käsittelyyn ja varastointiin (toimisto-, automatisoidut ja sekatekniikat); koneen ulkopuolinen tekniikka elektronisten asiakirjojen suojaamiseen;

Menettely arvokkaiden yritystietojen suojaamiseksi henkilökunnan tahattomalta tai tahalliselta luvattomalta toiminnalta;

Kaikentyyppisen analyyttisen työn komennot;

Menettely tietojen suojaamiseksi kokousten, istuntojen, neuvottelujen, vierailijoiden vastaanoton, mainostoimistojen ja tiedotusvälineiden edustajien kanssa työskentelyn aikana;

Luottamuksellisten tietojen kanssa työskentelyyn tarkoitettujen tilojen ja työtilojen laitteet ja sertifiointi, teknisten järjestelmien ja tietoturva- ja -turvakeinojen lisensointi, suojattujen tietojen käsittelyyn tarkoitettujen tietojärjestelmien sertifiointi;

Kulunvalvonta yrityksen alueella, rakennuksessa ja tiloissa, henkilöstön ja vierailijoiden tunnistaminen;

Turvajärjestelmät yrityksen alueelle, rakennukseen, tiloihin, laitteisiin, kuljetuksiin ja henkilöstöön;

Henkilöstön toimet äärimmäisissä tilanteissa;

Tietoturvan ja tietoturvan teknisten välineiden hankinnan, asennuksen ja käytön organisatoriset kysymykset;

Henkilökohtaisten tietokoneiden, tietojärjestelmien, paikallisverkkojen suojaamiseen liittyvät organisatoriset kysymykset;

Työ tietoturvajärjestelmän hallinnassa;

Kriteerit ja menettelyt arviointitoimien suorittamiseksi tietoturvajärjestelmän tehokkuuden määrittämiseksi.

Organisaation suojaamisen elementti on tarkasteltavan monimutkaisen järjestelmän ydin, pääosa. Useimpien asiantuntijoiden mukaan organisaation tietoturvatoimet muodostavat 50–60 % useimpien tietoturvajärjestelmien rakenteesta. Tämä johtuu useista tekijöistä ja myös siitä, että tärkeä osa organisaation tietoturvaa on tietoturvajärjestelmän käytännössä toteuttavan henkilöstön valinta, sijoittaminen ja koulutus. Henkilöstön tietoisuutta, koulutusta ja vastuullisuutta voidaan oikeutetusti kutsua minkä tahansa, jopa teknisesti edistyneimmän tietoturvajärjestelmän kulmakiveksi. Organisaation suojatoimenpiteet näkyvät turvallisuuspalvelun, laitoksen tai yrityksen luottamuksellisen dokumentaation säädös- ja menetelmäasiakirjoissa. Tässä suhteessa käytetään usein yhtä nimeä kahdelle yllä mainitulle turvajärjestelmän elementille - "tietojen organisatorisen ja oikeudellisen suojan elementille".

Tekninen elementti tietoturvajärjestelmät on suunniteltu vastustamaan passiivisesti ja aktiivisesti teknisiä tiedusteluvälineitä ja muodostamaan turvalinjoja alueille, rakennuksille, tiloille ja laitteille teknisten keinojen komplekseja käyttäen. Tietojärjestelmiä suojattaessa tämä elementti on erittäin tärkeä, vaikka teknisen suojauksen ja turvalaitteiden kustannukset ovat korkeat. Tuote sisältää:

Fyysisen (teknisen) suojan rakenteet luvattomien henkilöiden pääsyä vastaan ​​alueelle, rakennukseen ja tiloihin (aidat, tangot, teräsovet, yhdistelmälukot, tunnisteet, kassakaapit jne.);

Keinot suojata teknisiä tietovuotoja, joita esiintyy tietokoneiden, viestinnän, kopiokoneiden, tulostimien, faksien ja muiden laitteiden ja toimistolaitteiden käytön aikana, kokouksissa, kokouksissa, keskusteluissa vierailijoiden ja työntekijöiden kanssa, asiakirjojen sanelussa jne.;

Keinot suojata tiloja visuaalisilta teknisen tiedustelun menetelmiltä;

Keinot alueen, rakennusten ja tilojen suojelun varmistamiseksi (tarkkailu-, varoitus-, hälytys-, tiedotus- ja tunnistusvälineet);

Palontorjuntalaitteet;

Keinot teknisten tiedusteluvälineiden ja -laitteiden havaitsemiseksi (salakuuntelu- ja lähetyslaitteet, salaa asennetut pienoisäänentallennus- ja televisiolaitteet jne.);

Tekniset ohjausvälineet, jotka estävät henkilöstöä poistamasta erityismerkittyjä esineitä, asiakirjoja, levykkeitä, kirjoja jne. tiloista. Ohjelmisto- ja laitteistoelementti tietoturvajärjestelmät on suunniteltu suojaamaan tietokoneissa, palvelimissa ja paikallisverkkojen työasemissa ja erilaisissa tietojärjestelmissä käsiteltyä ja tallennettua arvokasta tietoa. Tämän suojan osia voidaan kuitenkin käyttää liitännäisvälineinä suunnittelussa, teknisessä ja organisatorisessa suojauksessa. Tuote sisältää:

Autonomiset ohjelmat, jotka tarjoavat tietojen suojaa ja hallitsevat sen suojausastetta;

Tietoturvaohjelmat, jotka toimivat yhdessä tietojenkäsittelyohjelmien kanssa;

Tietoturvaohjelmat, jotka toimivat yhdessä teknisten (laitteistojen) tietoturvalaitteiden kanssa (keskeyttävät tietokoneen toiminnan, kun pääsyjärjestelmää rikotaan, poistavat tietoja tietokantaan luvattoman pääsyn sattuessa jne.).

Kryptografinen elementti tietoturvajärjestelmät on suunniteltu suojaamaan luottamuksellisia tietoja salausmenetelmillä. Tuote sisältää:

Erilaisten salausmenetelmien käytön säätely tietokoneissa ja paikallisissa verkoissa;

Asiakirjatekstin salakirjoituksen ehtojen ja menetelmien määrittäminen, kun se lähetetään suojaamattomien posti-, lennätin-, telekopio-, faksi- ja sähköisen viestinnän kanavien kautta;

Salausmenetelmien käytön sääntely suojaamattomien puhelin- ja radioviestintäkanavien kautta käytävissä neuvotteluissa;

Tietokantoihin, tiedostoihin, sähköisiin asiakirjoihin pääsyn säätely henkilökohtaisilla salasanoilla, tunnistuskomentoilla ja muilla menetelmillä;

Henkilöstön pääsyn säätely määrättyihin tiloihin tunnistekoodeilla ja salakirjoilla.

Salaussuojauksen komponentit, koodit, salasanat ja sen muut attribuutit on kehitetty ja muutettu erikoistuneen organisaation toimesta. Käyttäjät eivät saa käyttää omia salausjärjestelmiään.

Kussakin suojaelementissä voidaan käytännössä toteuttaa vain yksittäisiä komponentteja riippuen suojaustehtävistä eri profiilien suurissa ja keskisuurissa yrityksissä ja pienissä yrityksissä. Järjestelmän rakenne, elementtien koostumus ja sisältö, niiden välinen suhde riippuvat suojattavan tiedon määrästä ja arvosta, tietoturvallisuutta uhkaavien uusien uhkien luonteesta, suojauksen vaaditusta luotettavuudesta ja suojauksen kustannuksista. järjestelmä. Esimerkiksi pienessä yrityksessä, jossa on vähän suojattua tietoa, voit rajoittua asiakirjojen käsittely- ja säilytystekniikan säätelyyn sekä henkilökunnan pääsyyn asiakirjoihin ja tiedostoihin. Lisäksi voit tunnistaa ja merkitä arvokkaat paperi-, koneellisesti luettavat ja sähköiset asiakirjat omaan ryhmään, pitää niistä luetteloa, vahvistaa työntekijöiden allekirjoitusvelvollisuuden olla paljastamatta yrityssalaisuuksia, järjestää työntekijöille säännöllistä koulutusta ja ohjausta sekä tehdä analyyttistä ja valvontatyötä. Yksinkertaisimpien suojausmenetelmien käyttö antaa yleensä merkittävän vaikutuksen.

Suurissa tuotanto- ja tutkimusyrityksissä, joissa on paljon tietojärjestelmiä ja merkittävä määrä suojattua tietoa, muodostuu monitasoinen tietoturvajärjestelmä, jolle on ominaista hierarkkinen tiedon saatavuus. Nämä järjestelmät, kuten yksinkertaisimmat suojakeinot, eivät kuitenkaan saisi aiheuttaa vakavaa haittaa työntekijöille työssä, eli niiden tulee olla "läpinäkyviä".

Tietosuojauksen elementtien, menetelmien ja keinojen sisältöä on säännöllisesti muutettava minkä tahansa turvajärjestelmän puitteissa, jotta asianomainen ei paljasta niitä. Yrityksen tietoturvajärjestelmä on aina ehdottoman luottamuksellinen ja salainen. Käytännössä järjestelmää käytettäessä tulee muistaa, että järjestelmää suunnittelevat ja modernisoivat, sen toimintaa valvovat ja analysoivat henkilöt eivät voi olla järjestelmän käyttäjiä.

Johtopäätös: tietoturva on nykyaikaisissa tietoprosessien tietokoneistamisolosuhteissa olennaisen tärkeä arvokkaan tiedon laittoman ja usein rikollisen käytön estämiseksi. Tietoturvan varmistamisen tehtävät toteutetaan kattavalla tietoturvajärjestelmällä, joka tarkoituksenmukaisesti pystyy ratkaisemaan monia luottamuksellisten tietojen ja asiakirjojen käsittelyssä ilmeneviä ongelmia. Pääehto rajoitetun pääsyn tietoresurssien turvaamiselle erityyppisiltä uhilta on ennen kaikkea analyyttisen tutkimuksen organisointi, joka on rakennettu nykyaikaiselle tieteelliselle tasolle ja mahdollistaa jatkuvan tiedon suojan tehokkuudesta. järjestelmä ja sen parantamisohjeet esiin tulevien tilanneongelmien mukaisesti.