Защита конфиденциальной информации на предприятии

Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.

Рубрика Менеджмент и трудовые отношения
Вид дипломная работа
Язык русский
Дата добавления 25.11.2010
Размер файла 167,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом организации, документами, делами и базами данных (59, с.58).

Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, перехвате информации, имеющей звуковую, зрительную или иную форму отображения. Основными техническими каналами являются акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, они носят стандартный характер и прерываются стандартными средствами противодействия. Например, в соответствии с ГОСТ РВ 50600-93. "Защита секретной информации от технической разведки. Система документов. Общие положения" (26).

Обычным и профессионально грамотным является творческое сочетание в действиях злоумышленника каналов обоих типов, например установление доверительных отношений с работниками организации и перехват информации по техническим каналам с помощью этого работника.

Вариантов и сочетаний каналов может быть множество, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации (64, с.80).

В целях реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации организации, но и совокупность методов получения этой информации.

Для того чтобы защищать информацию на должном уровне, необходимо "знать врага" и используемые методы добычи информации.

Легальные методы (61, с.74) входят в содержание понятий и "своей разведки в бизнесе", отличаются правовой безопасностью и, как правило, определяют возникновение интереса к организации. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе "своей разведки" лежит кропотливая аналитическая работа злоумышленников и конкурентов специалистов-экспертов над опубликованными и общедоступными материалами организации. Одновременно изучаются деятельность и предоставляемые услуги организации, рекламные издания, информация, полученная в процессе официальных и неофициальных бесед и переговоров с работниками предприятия, материалы пресс-конференций, презентаций фирмы и услуг, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей, в том числе из Интернета. Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих сведений, которые предстоит добыть нелегальными методами, а некоторые уже и не надо добывать в связи с кропотливым анализом открытой информации.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в организации наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации. Формирование таких каналов при их отсутствии и реализация плана практического использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, подкуп, шантаж, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т.д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной финансовой информации. К нелегальным методам относятся также: перехват информации, объективно распространяемой по техническим каналам, визуальное наблюдение за зданиями и помещениями банка и персоналом, анализ объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ бумажного мусора, выносимого и вывозимого из предприятия (50, с.32).

Таким образом, утечка информации с ограниченным доступом может наступить:

1. При наличии интереса организаций лиц, конкурентов к конкретной информации;

2. При возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;

3. При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. (71, с.47).

Данные условия могут включать:

1. Отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз и каналов утечки информации, степени риска нарушений информационной безопасности организации;

2. Неэффективную, слабо организованную систему защиты информации фирмы или отсутствие этой системы;

3. Непрофессионально организованную технологию закрытого (конфиденциального) финансового документооборота, включая электронный, и делопроизводства по документированной информации с ограниченным доступом;

4. Неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

5. Отсутствие системы обучения сотрудников правилам работы с документированной информацией с ограниченным доступом;

6. Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;

7. Бесконтрольное посещение помещений организации посторонними лицами. (50, с.33).

Каналы несанкционированного доступа и утечки информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами (63, с.39).

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.

Желательна предварительная оценка аналитиками подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных изданий и т.п., их участие в презентациях, выставках, собраниях акционеров, переговорах, а также собеседованиях и тестированиях кандидатов на должности. Последнее является одной из основных и наиболее важных обязанностей информационно-аналитической службы, так как именно на этом этапе можно с определенной долей вероятности перекрыть один из основных организационных каналов - поступление злоумышленника на работу в фирму (84, с.35).

1.4 Угрозы и система защиты конфиденциальной информации

Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных (101, с.36).

Информация является одним из важнейших видов продуктов и видов товара на рынке, в том числе на международном. Средства ее обработки, накопления, хранения и передачи постоянно совершенствуются. Информация как категория, имеющая действительную или потенциальную ценность, стоимость, как и любой другой вид ценности, - охраняется, защищается ее собственником или владельцем.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для ее собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи

Под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником (66, с.27).

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

ѕ защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

ѕ защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

ѕ защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям (71, с.7).

Защита информации - это деятельность собственника информации или уполномоченных им лиц по: обеспечению своих прав на владение, распоряжение и управление защищаемой информацией; предотвращению утечки и утраты информации; сохранению полноты достоверности, целостности защищаемой информации, ее массивов и программ обработки, сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами (74, с.18).

Сохранение сведений в тайне, владение секретами дает определенные преимущества той стороне, которая ими владеет. Защищаемая информация, как и любая другая информация, используется человеком или по его воле различными созданными искусственно или существующими естественно системами в интересах человека. Она носит семантический, то есть смысловой, содержательный характер. Это дает возможность использовать одну и ту же информацию разными людьми, народами независимо от языка ее представления и знаков, которыми она записана, формы ее выражения и т.д. В то же время защищаемая информация имеет и отличительные признаки:

ѕ засекречивать информацию, то есть ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;

ѕ чем важнее для собственника информация, тем тщательнее он ее защищает. А для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;

ѕ защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства.

Основной угрозой информационной безопасности является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации с ограниченным доступом и, как результат, овладение информацией и незаконное, противоправное ее использование.

Разработка мер, и обеспечение защиты информации осуществляются подразделениями по защите информации (служба безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации (69, с.63).

Под злоумышленником понимается лицо, действующее в интересах противника, конкурента или в личных корыстных интересах (на сегодняшний день - террористы любых мастей, промышленный и экономический шпионаж, криминальные структуры, отдельные преступные элементы, лица, сотрудничающие со злоумышленником, психически больные лица и т.п.) (73, с.64).

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники милиции, МЧС, коммунальных служб, медицинской помощи, прохожие и др.), посетители организации, работники других организаций, включая контролирующие органы, а также работники самого предприятия, не обладающие правом доступа в определенные здания и помещения, к конкретным документам, базам данных (70, с.2).

Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом конкурента и т.п., но может и не быть им. (65, с.64)

Наиболее часто встречающимися угрозами (опасностями) конфиденциальных сведении в документопотоках могут быть:

1. Несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;

2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6. Гибель документов в условиях экстремальных ситуаций (52, с.24).

Для электронных документов угрозы особенно реальны, т.к. факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

1. Непреднамеренные ошибки пользователей, референтов, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

2. Кражи и подлоги информации;

3. Стихийные ситуации внешней среды;

4. Заражение вирусами.

В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Следует внимательнее относиться к вопросам отнесения информации к различным грифам секретности и, соответственно, к обеспечению уровня ее защиты.

Защита информации представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.

Комплексная система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке и разглашению (62, с.9).

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений предприятия и государства по поводу правомерности использования системы защиты информации (системы лицензирования в области защиты информации и сертификации средств защиты информации); на обязанности персонала: соблюдать установленные собственником информации ограничительные и технологические меры режимного характера защиты информационных ресурсов организации.

Правовое обеспечение системы защиты информации включает:

1. Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;

2. Формулирование и доведение до сведения всего персонала банка (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

3. Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации (83, с.58).

Организационный элемент, как одна из основных частей системы защиты информации содержит меры управленческого, режимного (ограничительного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты информации фирмы. Эти меры связаны с установлением режима секретности (конфиденциальности) информации в организации.

Организационно-документационное обеспечение включает в себя документирование и регламентацию:

1. Формирования и организации деятельности службы безопасности организации, службы кадров и службы закрытого (конфиденциального) документационного обеспечения управления (ДОУ) (или менеджера по безопасности, или помощника (референта) руководителя предприятия), обеспечения деятельности этих служб нормативно-методическими документами по организации и технологии защиты информации;

2. Составления и регулярного обновления состава перечня защищаемой информации организации, составления и ведения перечня защищаемых бумажных и электронных документов организации;

3. Разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой и охраняемой информации предприятия;

4. Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования работников;

5. Направлений и методов воспитательной работы с персоналом, контроля соблюдения работниками порядка защиты информации;

6. Технологии защиты, обработки и хранения бумажных и электронных документов, баз данных предприятия (делопроизводственной, электронной и смешанной технологий);

7. Внемашинной технологии защиты электронных документов - защиты носителей информации;

8. Порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий работников банка;

9. Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями контрольных органов, средств СМИ, рекламных агентств и т.д.;

10. Оборудования и аттестации зданий и помещений, рабочих зон, выделенных для работы с документированной информацией (62, с.23).

Инженерно-технический элемент предназначен для пассивного и активного противодействия средствами технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.

Элемент включает в себя:

1. Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещение (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы);

2. Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов;

3. Средства защиты помещений от визуальных способов технической разведки;

4. Средства обеспечения охраны территории, здания и помещений (средств наблюдения, оповещения, сигнализация);

5. Средства противопожарной охраны;

6. Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры);

7. Технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг (72, с.36).

Программно-математический элемент предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Элемент включает в себя:

1. Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

2. Регламентацию специальных средств и продуктов программной защиты;

3. Регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирования (шифрования) текста документов при передаче их по каналам телеграфной и факсимильной связи, при пересылке почтой;

4. Регламентацию доступа персонала в режимные (охраняемые) помещения с помощью идентифицирующих кодов, магнитных карт, биологических идентификаторов (72, с.37).

Криптографическое обеспечение включает в регламентацию:

1. Использования различных криптографических методов в компьютерах и серверах, корпоративных и локальных сетях, различных информационных системах;

2. Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи; регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной, спутниковой и радиосвязи;

3. Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами; регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров (например, на сегодняшний день вошло в практику использования, как идентифицирующий кодов системы паролей, отпечатков пальцев и сетчатки глаза человека) (72, с.39).

Составные части криптографической защиты, пароли и другие ее атрибуты разрабатываются и меняются специализированными организациями, входящими в структуру Федеральной службы по техническому и экспертному контролю России. Применение пользователями иных систем шифровки не допускается (49, с. 19).

Таким образом, наиболее часто встречающимися угрозами (опасностями) конфиденциальных документов являются:

1. Несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;

2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6. Гибель документов в условиях экстремальных ситуаций (52, с.24).

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, классифицируются по степени риска следующим образом:

1. Непреднамеренные ошибки пользователей, референтов, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

2. Кражи и подлоги информации;

3. Стихийные ситуации внешней среды;

4. Заражение вирусами.

Рис.1. Самые опасные ИТ-угрозы (исследование Infowatch, 2004).

Cистема защиты информационных ресурсов включает в себя следующие элементы:

ѕ правовой;

ѕ организационный;

ѕ инженерно-технический;

ѕ программно-аппаратный;

ѕ криптографический (51, с.26)

В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости от: поставленных задач защиты организации; величины фирмы.

Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.

Одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.

В общем виде цели защиты информации сводятся к режимно-секретному информационному обеспечению деятельности государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информации.

2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях (103, с.52).

Риск угрозы утечки любых информационных ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица. Пример тому - сбой электроснабжения в Москве в 2005 году, последствия которого до сих пор испытывают некоторые организации (60, с.145).

Главная задача защиты информации, по мнению большинства специалистов, - защитить доступ (физический или программный) к месту пребывания электронной конфиденциальной информации таким образом, чтобы максимально удорожить процесс несанкционированного доступа к защищаемым данным (101, с.220).

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая база конфиденциального делопроизводства

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих конфиденциальную информацию регулируются соответствующими законодательными и подзаконными актами.

К числу базовых относится, в первую очередь, Конституция РФ. В ст.23 (1) установлено право неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

27 июля 2006 года Президент РФ В.В. Путин подписал два важнейших для сферы документационного обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9).

10 января 2002 года Президентом был подписан закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…".

Основными также являются законы РФ: "О государственной тайне" от 22 июля 2004 г. (4); "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6); "Об утверждении Перечня сведений конфиденциального характера" (11); "Об утверждении Перечня сведений, отнесенных к государственной тайне" (12); "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13). Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: "Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации (15), "Об утверждении правил оказания услуг телеграфной связи"" (17) и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование (ст.137, 138, c.310).

Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом (см., например, ст.165 Таможенного кодекса РФ). Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (26).

Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.

В целом же, в нашей стране не имеется нормативного правового акта, который устанавливал бы единый порядок учета, хранения и использования документов, содержащих конфиденциальную информацию. Это объясняется тем, что понятие "конфиденциальная информация" включает в себя самые разные категории информации ограниченного доступа. По этой же причине крайне сложной и вряд ли целесообразной представляется разработка какого-либо единого нормативного документа, регламентирующего работу с документами, содержащими все виды конфиденциальной информации.

Как отмечают аналитики, наша законодательная база явно не полна (33; 53. c.50).

Подводя итог можно наметить следующие основные направления деятельности на законодательном уровне:

1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;

2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;

3. Интеграция в мировое правовое пространство;

4. Учет современного состояния информационных технологий (51, с.8).

2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных

В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.

Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией (93, с.56).

Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты (57, с.215).

Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.

Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей (50, с.29).

Регламентация доступа - установление правил, определяющих порядок доступа (51, с.29).

Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа (51, с.30).

Информационная безопасность организации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и преступного использования информации, составляющей какую-либо конфиденциальную, коммерческую тайну. Задачи обеспечения информационной безопасности реализуются комплексной системой защиты информации, которая предназначена для решения множества проблем, возникающих в процессе работы с информацией, в том числе и финансовой.

Надо, чтобы обязанности сотрудников по обращению с информацией различного рода были четко прописаны в соответствующих инструкциях (которые сами должны носить гриф "для ограниченного доступа").

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим конфиденциальности проводимых фирмой работ представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем, виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд, в пограничную зону, на посещение воинской части.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу (77, с.58).

Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных (33).

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу "чем выше уровень доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников может их знать".

Формы письменной индивидуальной регламентации разрешения на доступ - резолюции, перечни, списки, матрицы и т.п. В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения (40, с.125).

Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальная информация по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.

При составлении конфиденциальных документов следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе зашиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях (42, с.7).

Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции (39, с.41).

Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы (59, с.105). Ответственные исполнители работ (направлений деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем (46, с.79).

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы Он несет за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде, резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п. Без дополнительного разрешения допускаются к документам их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциального делопроизводства обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа (51, с.47).

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы (57, с.13).

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

ѕ доступ к ПК, серверу или рабочей станции;

ѕ доступ к машинным носителям информации, хранящимся вне ЭВМ.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

ѕ определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи,

ѕ регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.),

ѕ организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы, указанных технических средств в рабочее время,

ѕ организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них,

ѕ организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений,

ѕ организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей (56, с.302).

Любое несанкционированное или санкционированное обращение к информации должно регистрироваться. Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматический стираться

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести "уборку мусора").

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

ѕ организацию учета и выдачи сотрудникам чистых машинных носителей информации,

ѕ организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных),

ѕ определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциального делопроизводства учтенные машинные носители информации;

ѕ организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

ѕ организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя,

ѕ организацию хранения машинных носителей в службе конфиденциального делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях,

ѕ определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу конфиденциального делопроизводства в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.

Работа сотрудников службы конфиденциального делопроизводства и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным документооборотом.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете, он может просто унести компьютер или вынуть из него и унести жесткий диск, не "взламывая" базу данных (53; 50).

Обычно доступ к базам данных и файлам подразумевает:

1. определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

2. наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

3. учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

4. регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

5. регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.