Главная
База знаний "Allbest"
Менеджмент и трудовые отношения
Защита конфиденциальной информации на предприятии
Защита конфиденциальной информации на предприятии
Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.
| Рубрика | Менеджмент и трудовые отношения |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 25.11.2010 |
| Размер файла | 167,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
6. установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;
7. отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором Применение пользователем собственных кодов не допускается (65. c.64).
Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.
Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:
ѕ наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;
ѕ наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,
ѕ соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;
ѕ знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы,
ѕ наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;
ѕ наличие систем контроля за работой сотрудника.
Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.
2.3 Технологические основы обработки конфиденциальных документов
Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных сведений:
1. Прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных документов;
2. Учет поступивших документов и формирование справочно-информационного банка данных по документам;
3. Предварительное рассмотрение и распределение поступивших документов;
4. Рассмотрение документов руководителям! и передача документов на исполнение;
5. Ознакомление с документами исполните лей, использование или исполнение документов. (47, с.120).
Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:
1. Исполнение документов (этапы: определение уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, его изготовление и издание);
2. Контроль исполнения документов;
3. Обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);
4. Систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирование и закрытие дел;
5. Подготовка и передача дел в ведомственный архив (архив фирмы).
В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:
1. Инвентарный учет документов, дел и носителей информации, не включаемых в номенклатуру дел;
2. Проверка наличия документов, дел и носителей информации;
3. Копирование и тиражирование документов;
4. Уничтожение документов, дел и носителей информации. (47, с.120).
Стадии, составляющие тот или иной документопоток, реализуются специализированной технологической системой обработки и хранения конфиденциальных документов.
Под технологической системой обработки и хранения конфиденциальных документов понимается упорядоченный комплекс организационных и технологических процедур и операций, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока (53, с.42). Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.
В отличие от открытых документов к обработке конфиденциальных документов предъявляются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач:
1. Централизации всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;
2. Учета всей без исключения конфиденциальной информации;
3. Операционного учета технологических действий, производимых с традиционным (бумажным) или электронным носителем (в том числе чистым) и документом, учет каждого факта "жизненного цикла" документа;
4. Обязательного контроля правильности выполнения учетных операций;
5. Учета и обеспечения сохранности не только документов, но и учетных форм;
6. Ознакомления или работы с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;
7. Обязательной росписи руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;
8. Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;
9. Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;
10. Коллегиальности процедуры уничтожения документов, дел и баз данных;
11. Письменного санкционирования полномочным руководителем процедур копирования и тиражирования бумажных и электронных конфиденциальных документов, контроль технологии выполнения этих процедур. Технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.
Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными (104, с.32). Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является наиболее универсальной. Она надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не автоматизированной. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными.
Традиционная технологическая система обработки и хранения конфиденциальных документов лежит в основе широко известного понятия "делопроизводство" или "документационное обеспечение управления" (в его узком, но часто встречающемся в научной литературе понимании как синонима делопроизводства). С другой стороны, делопроизводство часто рассматривается в качестве организационно-правового и технологического инструмента построения ДОУ. Автоматизированная технология (как и традиционная, делопроизводственная) является обеспечивающей и обслуживает конкретные потребности персонала в конфиденциальной информации. Автоматизированная система, обслуживающая работу с конфиденциальными документами, должна в принципе обеспечивать:
1. Сокращение значительного объема рутинной работы с документами и числа технических операций, выполняемых ручными методами;
2. Реализацию возможности для персонала организации (фирмы) работать с электронными документами в режиме безбумажного документооборота;
3. Достаточную гарантию сохранности и целостности информации, регулярного контроля и противодействия попыткам несанкционированного входа в банк данных;
4. Аналитическую работу по определению степени защищенности информации и поиску возможных каналов ее утраты;
5. Единство технологического процесса с режимными требованиями к защите информации (допуск, доступ, регламентация коллегиальности выполнения некоторых процедур, операций и т.п.);
6. Персональную ответственность за сохранность конфиденциальных сведений в машинных массивах и на магнитных носителях вне ЭВМ;
7. Возможность постоянного учета местонахождения традиционного или электронного документа и проверки его наличия и целостности в любое время;
8. Предотвращение перехвата информации из ЭВМ по техническим каналам, наличие надежной охраны помещений, в которых находится вычислительная техника, охрана компьютеров и линий компьютерной связи;
9. Исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки конфиденциальных документов с сетями, обеспечивающими работу с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории) (67, с.61).
В соответствии с этим автоматизированная технологическая система обработки и хранения по сравнению с аналогичными системами, оперирующими общедоступной информацией имеет ряд серьезных принципиальных особенностей:
1. Архитектурно локальная сеть базируется на главном компьютере (сервере) находящемся у ответственного за КИ; автоматизированные рабочие места, рабочие станции сотрудников могу быть увязаны в локальную сеть только по вертикали;
2. В некрупных фирмах конфиденциальная нформация обрабатывается секретарем-референтом на единичном защищенном компьютере, не имеющем выхода в какую-либо локальную сеть;
3. Обязательное наличие иерархической и утвержденной первым руководителем организации (фирмы) системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа всех категорий персонала;
4. Закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей; исключение возможности для пользователя "покопаться" в базе данных системы;
5. Автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения документов, работы с электронными документами, факсами и электронными аналогами бумажных документов;
6. Сохранение информационной базы учетной функции (в правовом понимании, а также как элемента формирования страхового массива информации) и функции персональной ответственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматически - на принтере ПЭВМ; автоматическая допечатка в указанные формы изменений и дополнений при движении документов;
7. Обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка реального наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкционированных копий;
8. Необходимость исключения технической возможности копирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);
9. Жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности, правила, что все операции с информацией в компьютере должны быть письменно санкционированы полномочным должностным лицом и протоколироваться в машинном журнале; протоколы подлежат регулярному контролю и анализу руководством организации (фирмы);
10. Изъятие конфиденциальной информации из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в службу конфиденциальной документации (63, с.126).
Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной системы защиты компьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы данных, компьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ПК, должны иметь защиту от технических средств промышленного шпионажа, надежную круглосуточную охрану и пропускной режим. Кроме того, следует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный документ, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ПК является также необходимость постоянного дублирования информации на нескольких носителях с целью исключения опасности ее утраты или искажения по техническими причинам. Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копирования и подмены. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе (77, с.58).
Таким образом, в настоящее время наиболее широко используют смешанную технологическую систему обработки и хранения конфиденциальных документов, совмещающую традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых сведений о документах и самих документов автоматизированные системы делопроизводственной ориентации имеют в большинстве случаев информационно-справочный характер.
Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, что порождает сохранение рутинных делопроизводственных операций и не совершенствует документооборот.
Операции по обработке и хранению конфиденциальных документов организации (фирмы) должны базироваться на устоявшихся основополагающих принципах, предполагающих использование специализированных методов защиты документопотоков и применения автономной эффективной технологической системы обработки и хранения документов. Только в этом случае можно в определенной степени гарантировать сохранность носителя и самой конфиденциальной информации, обеспечить безопасность интеллектуальной собственности организации (фирмы).
Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
Полное официальное наименование предприятия - открытое акционерное общество "Челябинский завод профилированного стального настила". Сокращенное наименование предприятия ОАО "ЧЗПСН - Профнастил".
Местонахождение предприятия - Российская Федерация, г. Челябинск, ул. Валдайская, 7.
Предприятие относится к строительной отрасли. В связи со сложным экономическим положением, было образовано ЗАО "Челябинский профнастил", которое работает с ОАО на условиях толлинга, т.е. закупает сырьё и на давальческих условиях передаёт его в ОАО, потом реализует продукцию.
Численность производственно-промышленного персонала по состоянию на начало 2007-го года - 635 человек.
Предприятие образовано 4-го февраля 1974 года. В сентябре 1993 года преобразовано в акционерное общество открытого типа с уставным капиталом 83 745 рублей, разделенным на 837 450 обыкновенных акций, имеющих одинаковую номинальную стоимость 0,1 рубля. В июле 1998 года предприятие перерегистрировано в открытое акционерное общество.
Общее количество акционеров компании по состоянию на 28.02.2007 г. составляет 371, из которых: - 2 юридических лица, обладающих в общей сложности около 18% акций предприятия;
369 физических лиц, обладающих в совокупности 82% акций предприятия.
Высшим органом управления предприятия является общее Собрание акционеров, к исключительной компетенции которого, в числе прочего, относится избрание членов Совета директоров. Совет директоров, состоящий из 7 человек, выбирает из своего состава генерального директора предприятия, который возглавляет правление - коллегиальный исполнительный орган, осуществляющий руководство текущей деятельностью предприятия. Правление состоит также из 7 человек.
Структуры акционеров и органов управления предприятия с июля 1999 года претерпели серьезные изменения. В частности, большие пакеты акций были приобретены физическими лицами, ныне занимающими ключевые должности в акционерном обществе.
Основными видами деятельности предприятия согласно уставным документам являются:
ѕ производство легких ограждающих конструкций и изделий из них;
ѕ производство теплоэнергии;
ѕ оказание услуг промышленного характера по очистке промсточных
ѕ производство товаров народного потребления;
ѕ строительно-монтажные и строительные работы;
ѕ оказание бытовых услуг населению.
Функции основных структурных подразделений
В рамках ныне существующей организационной структуры управления ОАО "ЧЗПСН - Профнастил" генеральный директор имеет 7 заместителей.
ОАО "ЧЗПСН - Профнастил" состоит из следующих структурных подразделений (Рис.1).
|
Нач. центра региональных продаж |
|
Нач. центра продаж |
|
Центррегиональных продаж |
|
Центр продаж |
Рисунок 1. Организационная структура ОАО “ЧЗПСН - ПРОФНАСТИЛ”
Отдел главного энергетика (ОГЭ) организует обслуживание, ремонт и модернизацию энергетического и теплового оборудования, обеспечивает поставки и распределение энергетической и тепловой энергии на предприятии и потребителям, контролирует расход энергии, воды, энергоносителей (природный газ, мазут). Главному энергетику также подчинены энергетический цех (ЭЦ) и ремонтно-энергетический цех (РЭЦ).
Отдел главного механика (ОГМ) организует обслуживание, ремонт и модернизацию технологического оборудования, инструмента и оснастки. Главному механику также подчиняется ремонтно-механический цех (РМЦ).
Отдел охраны труда и техники безопасности (ООТ и ТБ) организует весь спектр работ по охране труда и соблюдению правил техники безопасности на предприятии.
Цех ПЛОК (производство легких ограждающих конструкций) выпускает основную продукцию предприятия-профили, панели, окрашенную рулонную сталь, метизы. Этот цех состоит из 5 участков:
Участок профилей. Здесь производят профили, подоконные сливы, коньки, различные фрагменты обрамления.
Участок панелей. Здесь производят панели из пенополиуретана (на линии немецкой фирмы “Elastogran”) и минеральной ваты (эти панели собирают на стендах вручную).
Участок окраски. Здесь производят окраску тонколистовой стали в рулонах.
Участок метизов выпускает болты, винты и заклепки как для укомплектования профилей и панелей, так и для реализации. Здесь установлено высококачественное оборудование швейцарской фирмы “Safeed”, итальянской “Ingramatik”, английской “Greenbat" и немецких “Platarg” и “Wafios”.
Участок отгрузки. Здесь производят выгрузку поступающего на предприятие сырья и отправку готовой продукции потребителям (в том числе железнодорожным транспортом).
ЦЭМК (цех по изготовлению эффективных металлоконструкций) изготавливает несущие конструкции быстровозводимых зданий.
Энергетический цех (ЭЦ) был образован в марте 2000 года из паросилового цеха (ПСЦ) и цеха очистки промышленных сточных вод (ЦОПСВ). ПСЦ производит и подает пар и горячую воду не только на завод, но и потребителям - близлежащим предприятиям (ОАО “АКСИ”, ОАО “Уралгипс-Knauff”, ООО ПСО “КПД и СК”, ЗАО “ЖБИ-1” и др.). Здесь также установлены емкости для хранения мазута общим объемом 10 тыс.тонн. ЦОПСВ производит очистку сточных вод не только ОАО “ЧЗПСН-Профнастил”, но и соседних предприятий.
Ремонтно-энергетический цех (РЭЦ) организует обслуживание, ремонт и модернизацию энергетического оборудования.
Ремонтно-механический цех (РМЦ) организует обслуживание, ремонт и модернизацию технологического оборудования, инструмента и оснастки.
Отдел технического контроля и метрологии (ОТК) ранее также находился в подчинении технического директора. С целью повышения качества выпускаемой продукции во второй половине 1999 года эта служба получила большую самостоятельность, а ее руководитель - должность заместителя генерального директора по качеству выпускаемой продукции. Отдел осуществляет контроль качества выпускаемой продукции, организует входной контроль качества поступающих на предприятие сырья и материалов, совместно с конструкторско-технологическим отделом проводит сертификацию выпускаемой продукции.
Коммерческий директор в настоящее время имеет в своем подчинении отдел материально-технического снабжения, ремонтно-строительный участок и транспортный цех.
Отдел материально-технического снабжения (ОМТС) находит и определяет поставщиков ресурсов, необходимых предприятию, заключает договоры с поставщиками, организует доставку ресурсов на склад предприятия, обеспечивает их хранение и выдачу цехам по требованиям. В ведении этого отдела находятся несколько складов, участка транспортировки железнодорожным транспортом и участка транспортировки автомобильным транспортом. В обязанности этого цеха входят организация перевозки грузов внутри предприятия и за его пределами, а также доставка работников предприятия к месту работы и обратно.
Отдел маркетинга возглавляет директор по маркетингу и сбыту.
Транспортный цех (ТрЦ) состоит из двух участков - участка транспортировки железнодорожным транспортом и участка транспортировки автомобильным транспортом. В обязанности этого цеха входят организация перевозки грузов внутри предприятия и за его пределами, а также доставка работников предприятия к месту работы и обратно.
Введена новая должность финансового директора. Ему подчиняется финансовый отдел, бухгалтерия и планово - экономический отдел.
Финансовый отдел (ФО) управляет финансовыми операциями предприятия, контролирует поступление на расчетный счет денежных средств и порядок их расходования, обеспечивает получение кредитов. осуществление расчетов и контроль денежных потоков; расчёт плановой себестоимости продукции; утверждение регулируемых тарифов; организация и ведение управленческого учёта; составление бюджета предприятия; анализ фактического выполнения бюджета; расчёт и анализ фактической себестоимости продукции; расчёт и анализ затрат на качество; поиск резервов снижения себестоимости; расчёт экономической эффективности инвестиционных проектов; работа по совершенствованию организации труда, форм и систем заработной платы, материального и морального стимулирования; подготовка штатного расписания и штатной расстановки; инновационная деятельность; участие в выработке предложений по совершенствованию действующей системы менеджмента качества.
Главный бухгалтер возглавляет бухгалтерию, которая учитывает поступление и расходование материальных и финансовых ресурсов на предприятии, рабочей силы, готовит отчеты о деятельности предприятия и предоставляет их руководству предприятия, а также государственным и местным хозяйственным органам.
Отдел кадров (ОК) осуществляет наем и увольнение работников, регистрацию явки персонала на работу, контроль за соблюдением режима рабочего дня и трудовой дисциплины, обучение кадров.
Общий отдел организует документационное обеспечение управления предприятием, медицинское и медико-профилактическое обслуживание персонала, питание на предприятии и т.п.
Отдел капитального строительства (ОКС) занимается организацией небольших по объему строительных работ.
В подчинении заместителя генерального директора и директора по маркетингу имеется два подразделения - центр продаж и центр региональных продаж. Оба подразделения практически занимаются поиском заказчиков и оформлением договоров на продажу продукции предприятия.
Экономический отдел разрабатывает текущие планы деятельности предприятия, организует анализ хозяйственной деятельности предприятия, а также разрабатывает порядок нормирования труда персонала и осуществляет его, устанавливает по согласованию с генеральным директором и представителями трудового коллектива систему и уровень оплаты труда, ведет работу по совершенствованию организации труда, следит за соблюдением законов о труде.
3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
Рассмотрим защиту конфиденциальной информации в ОАО "ЧЗПСН - Профнастил". Организация работы с документами, содержащими коммерческую тайну, ведется 2-мя подразделениями: общим отделом и отделом кадров.
Среди функций секретаря генерального директора есть функция "Работа с конфиденциальными документами, участие в разработке и пополнении "Перечня сведений, составляющих коммерческую тайну" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации".
Секретарь подчиняется заместителю директора предприятия.
На отдел кадров возложено:
ѕ документирование трудовых правоотношений организации со штатным и временным персоналом;
ѕ разработка "Перечня сведений, составляющих коммерческую тайну" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
ѕ хранение и ведение документации по личному составу, трудовых книжек и личных дел;
ѕ защита персональных данных работников организации.
Отдел кадров является самостоятельным структурным подразделением, подчиненным непосредственно первому заместителю директора. В отделе кадров два менеджера по персоналу, один из которых занимается оформлением кадровой документации, а другой - текущими вопросами (подбором персонала, подготовкой нормативных документов, организацией корпоративных мероприятий и т.п.).
Разработка документов по защите коммерческой тайны возложена на отдел кадров. Подготовка этих документов осуществляется при содействии секретаря и юридического отдела.
Сотрудники ОАО "ЧЗПСН - Профнастил", которые имеют к информации, содержащей сведения конфиденциального характера, при приеме на работу знакомятся с Перечнем сведений, содержащих коммерческую тайну, и подписывают обязательство о неразглашении коммерческой тайны.
Перечень сведений, составляющих коммерческую тайну ОАО "ЧЗПСН - Профнастил", составлен с учетом ФЗ "О коммерческой тайне".
Хранение документов с грифом "Коммерческая тайна" осуществляется в сейфах и сейфовых шкафах или на металлических закрывающихся стеллажах, а также в закрытых для свободного доступа помещениях, либо, с разрешения генерального директора, в других подразделениях при обеспечении условий их гарантированной сохранности.
Выдача сотрудникам конфиденциальных документов ведется строго в соответствии со списком фамилий на обороте последнего листа документа. Движение (выдача и возврат) документов с грифом "Коммерческая тайна" отражается в журнале учета выдачи документов с грифом "Коммерческая тайна".
Если документы хранятся в подразделениях завода, то за их выдачу, возврат и отражение данных фактов в журнале учета выдачи документов с грифом "Коммерческая тайна" отвечает руководитель подразделения. Сотрудники оповещаются о введении новых сведений, содержащих коммерческую тайну, путем ознакомления с приказом о мерах по охране коммерческой тайны.
Управлению кадров в настоящее время поручена разработка новой документации по работе с конфиденциальными документами: Положения о коммерческой тайне и корректировка Перечня сведений, содержащих коммерческую тайну.
Функции работника по обработке секретных документов и документов с грифом "Коммерческая тайна" выполняет секретарь.
К конфиденциальной информации относятся и персональные данные сотрудников ОАО "ЧЗПСН - Профнастил". С персональными данными в первую очередь работают сотрудники отдела кадров.
Наиболее распространенными операциями с персональными данными являются их получение, обработка, хранение и передача.
К документам, содержащим информацию, необходимую работодателю при приеме на работу, относятся документы, предъявляемые при заключении трудового договора. Все эти документы указаны в ст.65 Трудового кодекса РФ и соответствующих положениях иных федеральных законов.
Хранятся личные дела и другие документы, отражающие персональные данные сотрудников, в сейфовых шкафах в помещении отделе кадров. Ключи от сейфовых шкафов находятся у сотрудников отдела.
Выдача персональной информации о сотрудниках осуществляется по первому их требованию, сотрудники получают полную информацию об их персональных данных и обработке этих данных, имеют свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника.
Персональных данные не сообщаются третьей стороне без письменного согласия работника, причем лица, получающие персональные данные работника, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
На предприятии ведется разделение документов по типам с заведением соответствующих папок (каталогов). Например, основной каталог именуется "Документы". Следующий уровень - входящие в него подкаталоги: "Договоры", "Презентации", "Заказчики", "Конкуренты" и т.п.
В каждом подкаталоге заведены папки с различными наименованиями. В "Договорах" каждому из них присвоен № - в одной папке хранится вся документация по данному конкретному договору, для "Конкурентов" используются буквы алфавита и цифры, в них уже находятся папки с наименованием конкурента со складируемой о нем информацией и т.д.
Все сотрудники уведомлены в том, что документы не следует оставлять на рабочем столе, необходимо помещать их в соответствующую папку. Ответственность за соблюдение этого правила несет специально назначенный сотрудник.
Сотрудники, согласно установленным правилам, не должны выкидывать в мусорную корзину ненужные документы (пусть и не конфиденциальные). Для этих целей используется шредер - уничтожитель бумаг.
Для соблюдения безопасности на ассматриваемом предприятии компьютеры подключенные к Интернету поставлены отдельно (по количеству кабинетов в офисе, сотрудников, другим критериями на собственное усмотрение). Разработан порядок переноса информации с компьютеров и на них, назначен ответственный.
Съемные диски хранятся в запертом сейфе и выдаются под расписку.
Ведутся два комплекта архивов. Один, обновляемый раз месяц - в банковской ячейке, другой, повседневный - в сейфе.
Таким образом, проанализировав систему защиты информации в ОАО "ЧЗПСН - Профнастил" выявлены следующие недостатки:
1. В целом законодательство о защите персональных данных соблюдается в организации практически во всех отношениях. Но пока еще только разрабатывается локальный нормативный акт, который закрепляет порядок получения, обработки, хранения и передачи персональных данных работника с учетом недавно принятых нормативно-правовых документов. Данная разработка сегодня регулируется положениями Трудового кодекса и ФЗ "О персональных данных".
2. Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.
3. Нет документа, четко устанавливающего порядок конфиденциального документооборота в организации, требования к составлению и оформлению конфиденциальных документов, а также к обработке. Не ведется учет объема конфиденциального документооборота.
4. Завод не имеет в своей структуре службы безопасности.
5. Отсутствие системы конфиденциального делопроизводства в организации.
6. На предприятии существуют устаревшие методы и принципы организации работы с документами.
3.3 Совершенствование системы безопасности информации ограниченного доступа
Для решения проблемной ситуации (создания системы конфиденциального делопроизводства) в организации необходимо:
1. Выделить, объединив участников документооборота, самостоятельное структурное подразделение (службу конфиденциального делопроизводства). Разработать положение о подразделении, должностные инструкции работников подразделения;
2. Разработать новую инструкцию о конфиденциальном делопроизводстве, устанавливающую порядок составления, оформления конфиденциальных документов, конфиденциального документооборота, контроль исполнения конфиденциальных документов, согласования документов, ведения делопроизводства. Ознакомить всех сотрудников организации.
3. Необходимо обучить сотрудников, правилам работы с конфиденциальными документами.
4. Выделить помещение для службы конфиденциального делопроизводства. В нем должно быть помещение для хранения конфиденциальных документов, помещение для работы с конфиденциальными документами. Это помещение должно быть оборудовано соответствующим образом:
ѕ перед входом в помещение должна быть установлена камера видеонаблюдения;
ѕ на дверях должен стоять кодовый замок или идентификатор;
ѕ в помещениях должен быть установлен кондиционер;
ѕ должен стоять сейф или металлические шкафы для хранения документов;
ѕ рабочие места в помещениях для работы сотрудников должны быть огорожены специальными перегородками;
ѕ на окнах необходимо повесить жалюзи или светонепроницаемые шторы.
5. Ввести пропускной режим на территорию ОАО "ЧЗПСН-Профнастил".
6. Все конфиденциальные документы должны быть сосредоточены в службе конфиденциального делопроизводства.
7. Выделить специальное помещение и оборудовать соответствующим образом для проведения конфиденциальных совещаний и переговоров.
8. Необходимо разработать положение о конфиденциальной информации, правила работы с конфиденциальными документами.
9. В целях обеспечения информационной безопасности внутренняя сеть и Интернет должны быть разделены. В идеале, компьютер для выхода в Интернет должен быть обособлен и, не иметь никакой прямой связи с другими рабочими станциями.
10. Удобнее всего (для постоянного использования) хранить архивы на оптических носителях, которые в конце рабочего дня должны сдаваться в службу конфиденциального делопроизводства.
11. Исходя из ситуации, и в целях совершенствования системы защита информации, нужно, чтобы на предприятии функционировала служба безопасности.
Функции, которой будут следующими:
ѕ организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;
ѕ разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
ѕ разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся информацией ограниченного доступа, при всех видах работ организует и контролирует выполнение требований инструкции по защите конфиденциальной информации;
ѕ изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;
ѕ организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;
ѕ разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиту информации;
ѕ обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;
ѕ осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите конфиденциальной информации
ѕ организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;
ѕ ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальной информации;
ѕ ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.
Возглавлять службу безопасности должен начальник службы в должности заместителя генерального директора по безопасности.
Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от "потенциальных клиентов" с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту, незначительную, на первый взгляд, информацию. Лучше всего, чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще не поступивших в производство. Надо быть предельно осторожным при проведении различных ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть самым тщательным образом проинструктирован.
Альтернативный путь организации - формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит службе безопасности иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите коммерческой тайны. Такая система имеет следующие преимущества:
ѕ укрепляются связи между сотрудниками службы безопасности и сотрудниками производства;
ѕ растет понимание требований защиты информации сотрудниками;
ѕ развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией;
ѕ рассмотрение существующих проблем безопасности с позиций отделов;
ѕ сокращение штата службы безопасности;
ѕ экономия средств на тренинги.
Важно уделить внимание поддержанию и совершенствованию нововведении, чтобы не вернуться к прежним методам работы. Итогом данного исследования является принятие руководством анализируемого предприятия решения о необходимости совершенствования конфиденциального делопроизводства с учетом всех описанных рекомендаций и факторов по их внедрению.
Заключение
На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества.
Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.
В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.
В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.
Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам её собственнику (в том числе фирме, предприятию).
Документы ограниченного доступа делятся на "несекретные" и "секретные". Обязательным признаком секретного документа является наличие в нём сведений, отнесённых законодательством к государственной тайне.
Несекретные документы ограниченного доступа входят в перечень сведений конфиденциального характера, утверждённый Указом Президента РФ от 6 марта 1997 года № 188.
Под конфиденциальным документом, т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые не относятся к государственной тайне и составляют интеллектуальную собственность юридического и физического лица.
Коммерческая тайна - научно-техническая, коммерческая, организационная или иная другая используемая в предпринимательской деятельности информация, которая обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным путём другими липами, которые могли бы получить экономическую выгоду от её разглашения или использования.
Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования её конкретности для нанесения вреда предприятию.
Необходимо знать, что в отличие от открытых документов, процесс исполнения конфиденциальных документов представляет собой достаточно насыщенную различными технологическими этапами и процедурами технологию.
Специалисты выделяют следующие основные направления деятельности на законодательном уровне:
1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
3. Интеграция в мировое правовое пространство;
4. Учет современного состояния информационных технологий (51, с.8).
Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты.
Обобщая все вышесказанное, можно сделать вывод, что система защиты информации представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих незаконному доступу к информации.
Руководитель фирмы лично определяет не только состав ценной информации, но и соответствующие способы и средства защиты, а также меры ответственности персонала за разглашение коммерческой тайны фирмы и комплекс поощрений за соблюдение порядка защиты конфиденциальной информации.
Система защиты должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специфике фирмы по структуре используемых методов и средств защиты, она не должна создавать сотрудникам фирмы неудобства в работе.
Комплексность системы защиты достигается формированием ее из различных элементов: правовых, организационных, технических и программно-аппаратных.
Состав, взаимосвязь элементов системы определяют не только ее единичность, но и конкретно заданный уровень защиты, и стоимость этой системы.
Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной формы задачи и обладает конкретизированным содержанием этих задач. В комплексе эти элементы формируют многоуровневую защиту конфиденциальной информации предприятия, при условии неукоснительного соблюдения всех мер и условий, поставленных данной системой.
При решении задач по защите информационных ресурсов компании необходимо разработать политику информационной безопасности предприятия - это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с целью обеспечения компьютерной безопасности. Политика информационной безопасности - это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены "слабые" места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.
Обобщая все сказанное, отметим, что система технической защиты информации является ключевым звеном политики информационной безопасности, поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной интеграционной процедурой, состоящей из выполнения рассмотренных выше шагов.
Система защиты компьютерной информации от несанкционированного доступа может рассматриваться в двух приложениях:
Защита автономного компьютера;
Защита компьютера в составе сети (ЛВС).
Очевидно, что задача защиты компьютера как самостоятельного объекта, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.
При разработке и проектировании системы защиты информационных ресурсов от несанкционированного доступа, при использовании на предприятии как отдельных компьютеров, так и локальной вычислительной сети необходимо учитывать множество факторов, которые в совокупности дадут желаемый эффект защищенности. В первую очередь, на предприятии необходимо тщательно разработать политику информационной безопасности предприятия, которая в полной мере отразит необходимые требования по защите конфиденциальной информации. Во - вторых, следует разработать комплексный подход в проектировании систем защиты.
Каждая компонента системы защиты должна быть рассчитана на защиту определенного набора возможных каналов несанкционированного доступа. Контролируемыми объектами могут служить не только замкнутость корпусов защищаемых объектов, но и другие компоненты объектовой защиты - двери в помещение, сейфы и др., отсюда следует необходимость комплексирования в единой системе защиты (с единым выделенным сервером безопасности) средств технической, внутрисетевой и объектовой защиты.
В процессе данного исследования проанализирована система защиты информационных ресурсов компании ОАО "ЧЗПСН - Профнастил".
Руководству компании следует обратить особое внимание на то, что существующая система защиты информационных ресурсов традиционного и электронного документооборота на данный момент является уже устаревшей и недостаточной для полноценной защиты информации.
Подобные документы
Организационно-распорядительная документация. Требования к оформлению, порядок обращения с конфиденциальными документами. Способы сохранения конфиденциального делопроизводства. Секретные архивы. Обеспечение безопасность конфиденциального делопроизводства.
курсовая работа [95,1 K], добавлен 15.01.2017Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.
курсовая работа [46,2 K], добавлен 20.11.2012Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.
курсовая работа [39,1 K], добавлен 09.06.2011Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.
реферат [15,7 K], добавлен 27.12.2013Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.
курсовая работа [166,6 K], добавлен 26.09.2012Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.
курсовая работа [42,7 K], добавлен 19.11.2014Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
дипломная работа [1,4 M], добавлен 23.10.2013Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.
реферат [30,3 K], добавлен 27.01.2010В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.
курсовая работа [158,9 K], добавлен 27.06.2008
