Защита офисной информации
Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.
Рубрика | Менеджмент и трудовые отношения |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 20.11.2012 |
Размер файла | 46,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Государственное бюджетное образовательное учреждение
Среднего профессионального образования Республики Башкортостан Уфимский колледж библиотечного дела и массовых коммуникаций
КУРСОВАЯ РАБОТА
По междисциплинарному курсу
«Документационное обеспечение управления»
Профессионального модуля,
«Организация документационного обеспечения управления
И функционирования организации»
Защита офисной информации
Выполнила: О.М.Галкина,
студентка гр. Д-29,
очная форма обучения
Руководитель:
Л.А. Марешова
2012
Содержание
Введение
I. Основные направления обеспечения безопасности информационных ресурсов
1.1. Угрозы конфиденциальной информации
1.2. Идентификация и аутентификация
II. Особенности работы с персоналом, владеющим конфиденциальной информацией
2.1. Персонал как основная опасность утраты конфиденциальной информации
2.2. Доступ персонала к конфиденциальным сведениям, документам и базам данных
2.3. Особенности увольнения сотрудников владеющих конфиденциальной информацией
III. Обеспечение безопасности информации на наиболее уязвимых участках офисной деятельности
3.1. Защита информации при проведении совещаний и переговоров
Заключение
Список использованной литературы
Введение
С самого начала человеческой истории возникла потребность передачи и хранения информации.
Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность.
В настоящее время развитые страны мира (США, Япония, страны Западной Европы) фактически уже вступили в информационное общество. Другие же, в том числе и Россия, находятся на ближних подступах к нему.
В качестве критериев развитости информационного общества можно выделить: наличие компьютеров, уровень развития компьютерных сетей и количество населения, занятого в информационной сфере, а также использующего информационные и коммуникационные технологии в своей повседневной деятельности.
Объектом курсовой работы является информация. На сегодняшний день информация стоит дорого и её необходимо охранять. Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т.д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины»,к которой имеют доступ многие люди.
Целью курсовой работы является предотвратить потерю информации. Разрабатываются различные механизмы её защиты, которые используются на всех этапах работы с ней. Защищать от повреждений и внешних воздействий надо и устройства, на которых хранится секретная и важная информация, и каналы связи.
Повреждения могут быть вызваны поломкой оборудования или канала связи, подделкой или разглашением секретной информации. Внешние воздействия возникают как в результате стихийных бедствий, так и в результате сбоев оборудования или кражи.
Для сохранения информации используют различные способы защиты:
- безопасность зданий, где хранится секретная информация;
- контроль доступа к секретной информации;
- разграничение доступа;
- дублирование каналов связи и подключение резервных устройств;
- криптографические преобразования информации (5, с. 56).
Практическая значимость заключается в решении проблемы информационной безопасности. Значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.
Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно - технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информации (9, с. 47).
В курсовой работе были использованы материалы специалистов: В.К. Левина, А.В. Спесивцева, П.И. Семьянова, Д.П. Зегжда, Н.Н. Безрукова, Д.Ю. Мостовой. Даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование.
Структура курсовой работы включает в себя: введение, три главы, заключение, список использованной литературы.
1. Основные направления обеспечения безопасности информационных ресурсов
1.1 Угрозы конфиденциальной информации
Подконфиденциальной информациейбудем понимать информацию, на которую распространяются правила разграничения доступа.
Подправилами разграничения доступабудем понимать совокупность положений, регламентирующих права доступа лиц и процессов к единицам информации.
Можно выделить два вида конфиденциальной информации:служебнаяи предметная. К служебной информации в частности относятся имена и пароли пользователей.Зная служебную информацию можно получить доступ к предметной информации.
Несанкционированный доступ к информации возможен:
- при отсутствии системы разграничения доступа;
- при ошибках в системе разграничения доступа;
- при сбое/отказе программного или аппаратного обеспечения;
- при ошибочных действиях пользователей или обслуживающего персонала;
- при фальсификации полномочий;
- при использовании специальной аппаратуры и ПО.
Полный переченьспособов несанкционированного получения информации:
- использование подслушивающих устройств (закладок);
- использование дистанционного фотографирования;
- перехват электромагнитного излучения;
- принудительное электромагнитное излучение (подсветка);
- маскировка под запросы системы;
- перехват звуковых волн. Современные технические средства позволяют улавливать звук на большом расстоянии;
- восстановление текста напечатанного принтером;
- хищение носителей информации и производственных отходов (анализ бумажных отходов является одним из эффективных приемов добычи информации, которым всегда пользовались разведки всего мира);
- считывание данных с компьютеров пользователей. Доступ может быть и непосредственный, и путем подключения к устройствам внешней памяти, и посредством удаленной консоли;
- считывание остаточной информации из памяти (оперативной или внешней) системы;
- копирование носителей информации с преодолением средств защиты (13, с. 21).
1.2 Идентификация и аутентификация
Важным средством защиты объектов безопасности является идентификация и аутентификация.
Идентификация - это передача субъекта (пользователя или процесса) системе своего имени (идентификатора). На этапе аутентификации происходит проверка подлинности переданного имени. Подтвердить свою подлинность субъект может следующими двумя способами:
- посредством некоторого устройства аутентификации, например электронной карточки;
- посредством некоторого неотъемлемого от субъекта признака (отпечаток пальцев, рисунок сетчатки глаза, последовательность байтов, однозначно идентифицирующих процесс).
При парольной аутентификации важным является защита пароля от попадания в руки злоумышленников. Получить пароль можно из различных источников:
У владельца пароля; иногда для хранения паролей используется обычная записная книжка или файл, откуда случайно или намеренно пароль может попасть злоумышленнику; иногда пароль сообщают сослуживцу; пароль можно подсмотреть. Пароль можно получить посредством программ - шпионов, которые перехватывают функции ввода и передают пароль злоумышленникам, поэтому должен быть строгий контроль над программным обеспечением, работающим в системе. Пароль можно просто подобрать, ориентируясь на трафаретное мышление большинства людей (год рождения, фамилии и имена близких и т.п.). Существуют даже программы, которые подбирают пароль на основе некоторых трафаретных шаблонов. Пароль может быть перехвачен при передаче по сети.
Для защиты парольного входа используются следующие методы:
- установка минимальной длины паролей;
- пароль должен быть составлен из символов разного регистра, знаков препинания, цифр;
- для каждого пароля должен быть установлен промежуток, по истечению которого пароль должен быть сменен;
- защита файлов, где хранятся пароли;
- использование программ-генераторов паролей;
- использование одноразовых паролей;
Пользователю известен только ключ, при вводе которого каждый раз генерируется новый пароль, который и передается системе.
Таким образом, по сети каждый раз передается разный пароль. Разумеется, зная ключ и алгоритм генерации можно сгенерировать нужный пароль.
Наиболее известным сервером аутентификации является Kerberos (4, с. 24).
Несколько слов следует сказать о биометрических способах аутентификации. Эти методы основываются на физиологических и поведенческих признаках человека. Физиологический подход может основываться на таких параметрах как отпечатки пальцев, геометрия рук или сетчатки глаз и т.д. К поведенческим признакам относится, например, динамика работы с клавиатурой, подпись и др. Принцип использования биометрических показателей заключается в следующем: в начале создается база данных с биометрическими данными. При аутентификации (и одновременно идентификации) программа сканирует базу данных шаблонов в поисках соответствующего шаблона. Обычно биометрический способ аутентификации является лишь одним из этапов полной аутентификации и комбинируется также с парольным подходом. (10, с. 267).
Разграничение доступа является одним изосновных способов сохранения конфиденциальности информации и является дополнением таких процедур как идентификация и аутентификация.
Но разграничение доступа не только позволяет сохранять конфиденциальность информации, но и защищает ее от угроз доступности и целостности. Правильное распределение ролей в системе может уберечь объекты безопасности от случайных или некомпетентных действий, которые могут вызвать потерю или искажение информации.
В общем случае постановка задачи следующая. Имеется множество субъектов безопасности (пользователи или процессы), доступ которых к информации предполагается регулировать. С другой стороны имеется множество объектов данных, доступ к которым субъектов безопасности может регулироваться. В качестве объектов могут выступать самые разные элементы. персонал конфиденциальный информация увольнение
Для реляционных баз данных это могут базы данных, таблицы, столбцы, строки и т.д. Для каждой пары «субъект-объект» должно быть определено множество операций, которые субъект может выполнять над объектом.
Операции могут быть простыми, такими как добавление данных, удалениеданных, обновление данных, а могут представлять собой хранимые процедуры, содержащие множество различных действия.
Кроме ограничений на действия с данными для субъектов безопасности, субъекту могут даваться разрешения на операции выдачи прав или введение ограничений на действия с данными других субъектов. Это особо тонкая работа, требующая вдумчивого подхода. Достаточно случайно дать дополнительные права какому-либо пользователю, и он сам сможет расширить свои права для работы с данными или создать нового пользователя с расширенными правами.
Использование ролей не только помогает управлять доступом целой группы пользователей, но и вносит дополнительные сложности для администратора.
Таким образом, перед тем как разрешить, или запретить какие либо действия над данными необходимо проанализировать все роли, в которые данный пользователь прямо или косвенно (через вложенные роли) входит. При этом может оказаться, что в одной роли данное действие разрешено, а в другой запрещено. Обычно придерживаются следующего правила: запрет всегда сильнее разрешения. Поэтому, если пользователь является членом множества ролей и только в одной роли указан запрет на определенное действие, то для пользователя это действие будет запрещено. В некоторых системах (например, в MS SQLServer) объекты безопасности также могут объединяться в группы (в MS SQLServer -они называются схемами). В этом случае, можно разрешить или запретить какие либо действия для целой группы объектов (14, с. 352).
Одним из наиболее мощных средств обеспечения конфиденциальности является шифрование.
Используют два способа шифрования: симметричное и ассиметричное. В первом случае один и тот же ключ используется и для шифрования и для расшифровки. В России разработан и существует стандарт для такого шифрования ГОСТ 28147-89. При передаче шифрованного сообщения между отправителем и получателем и тот и другой должны иметь в своем распоряжении один и тот же ключ. При этом,разумеется, ключ следует содержать в тайне. Когда два человека имеют в своем распоряжении один и тот же ключ, то возрастает вероятность, что ключ попадет и в третьи руки. Кроме этого, получатель не может доказать третьему лицу, что полученное зашифрованное сообщение написано отправителем, так как и сам получатель при желании мог сгенерировать такое сообщение (11, с. 400).
ГОСТ 28147-89 - единственный российский стандарт симметричного шифрования. Стандарт был введен в 1990 году и объявлен полностью открытым в 1994 году. Однако разработан он был гораздо раньше в одном из закрытых НИИ Советского Союза. Это высоконадежный и простой в реализации алгоритм шифрования.
В ассиметричных подходах используются два ключа. Один из них называется открытым (или публичным) и может свободно передаваться третьим лицам. Это ключ может быть предназначен и для шифрования и для расшифровки. Все зависит от того, для чего используется шифрование. Второй ключ называется закрытым (или секретным), он должен быть известен только одному субъекту. Если ассиметричное шифрование используется для получения сообщений от многих субъектов, закрытым является ключ для расшифровки. В противоположной ситуации, когда один субъект посылает шифрованные сообщения многим субъектам, то закрытым ключом является ключ для шифрования.
Электронная подпись решает проблему идентификации передаваемых данных. Электронная подпись представляет собой некоторую вставку в данные (документ), зашифрованную закрытым ключом. При этом сами данные могут быть как в зашифрованном, так и в открытом виде. В состав электронной подписи обычно входит информация, идентифицирующая как передаваемые данные (например, контрольная сумма, позволяющая проверить целостность данных), так и того, кто передает эти данные (некий личный идентификатор известный получателю). В качестве параметра, определяющего правильность производимой расшифровки, в электронной подписи может содержаться в частности и сам открытый ключ, которым эта подпись расшифровывается (17).
2. Особенности работы с персоналом, владеющим конфиденциальной информацией
2.1 Персонал как основная опасность утраты конфиденциальной информации
В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.
В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно - технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы.
Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая фирма, которая использует в работе достаточные объемы конфиденциальных сведений (12, с. 27).
В современных предпринимательских структурах практически каждый основной сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов и криминальных структур. В контексте безопасности кадровая политика имеет профилактическую роль по отношению к такому типу угрозы, как неблагонадежность отдельных сотрудников. Вопросы управления персоналом, работа которого связана с обработкой, хранением и использованием конфиденциальных сведений, документов и баз данных, в настоящее время все в большей степени в концептуальном и практическом аспектах включаются в число главных, при решении проблем информационной безопасности (16).
Информационная безопасность понимается как защищенность информации на любых носителях от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений. Помимо профессиональных способностей сотрудники, связанные с секретами фирмы, должны обладать высокими моральными качествами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на определенные ограничения в использовании информационных ресурсов и вырабатывают в себе самодисциплину, самоконтроль действий, поступков и высказываний.
Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы. Повышение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика работников. Люди рассматриваются как самый ценный ресурс фирмы и решают, с одной стороны, производственные и коммерческие задачи, а с другой - получают во владение ценные и конфиденциальные сведения фирмы и обеспечивают их правильное использование и сохранность (6, с. 5).
Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудовых и творческих способностей каждого члена коллектива, воспитание в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях.
Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов.
Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
- инструктирование и обучение сотрудников практическим действиям по защите информации.
А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:
- большой ценой решения о допуске лица к тайне предприятия;
- наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
- разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.
Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.
Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:
- всех сотрудников данной фирмы, ее персонал;
- сотрудников других фирм;
- сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;
- журналистов средств массовой информации, сотрудничающих с фирмой,
- посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
- посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;
- родственников, знакомых и друзей всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений (7, с. 78).
Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причем овладение требуемой информацией происходит в значительном числе случается в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств (18).
2.2 Доступ персонала к конфиденциальным сведениям, документам и базам данных
В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и защите информации» вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами. Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации (2, 164).
Разрешительная система доступа лежит в основе организационно - правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной коммерческой тайне. В соответствии с Федеральным законом «О коммерческой тайне» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем (3, с. 24).
К обязательным мерам по защите охраняемой информации в соответствии с положениями ст. 10 Федерального закона «О коммерческой тайне» относятся: ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, составляющей коммерческую тайну.
Система доступа персонала предприятия предусматривает установление на предприятии единого порядка обращения с носителями сведений, определение ограничений на доступ к ним различных категорий персонала и степени ответственности за сохранность указанных носителей сведений. Создание и реализация разрешительной системы доступа персонала к информации, составляющей коммерческую тайну, - важная часть общей системы организационных мер по защите информации на предприятии.
Актуальность использования разрешительной системы доступа к информации обусловлена особым значением информационной составляющей любого производственного процесса на современном предприятии, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым может привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба предприятию. Создание и функционирование разрешительной системы доступа персонала предприятия к информации направлены, в первую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.
Основополагающим принципом нормативно - правового регулирования процесса ознакомления конкретного работника предприятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям. Основные условия правомерного доступа персонала к коммерческой информации включают: подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства; наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну; наличие утвержденных руководителем предприятия должностных обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации; оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями. Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения полномочных должностных лиц.
Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну. Чтобы понять роль разрешительной системы доступа к информации всех категорий сотрудников, в том числе командированных лиц, в совокупности с другими организационными, правовыми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия. В структуре управления процессом доступа особое место занимают руководитель предприятия и его заместители.
Однако наиболее важная роль в этой структуре отводится руководителям структурных подразделений предприятия, сотрудники которых непосредственно допускаются к коммерческой тайне (работают с носителями сведений, составляющих коммерческую тайну). Эти руководители наделяются правом определять степень доступа непосредственно подчиненных им сотрудников к конкретным сведениям (носителям). В зависимости от категорий сотрудников предприятия или командированных лиц, необходимости ознакомления их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.
Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структурных подразделений в отношении непосредственно подчиненных им сотрудников.
Основным внутренним организационно - распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну.
Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности. Члены комиссии должны знать специфику работы предприятия, порядок организации и обеспечения защиты конфиденциальной информации.
В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях более точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тематики) комиссия может включать несколько подкомиссий. Методическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.
Разработке положения предшествует всесторонний анализ различных документов (материалов), проводимый в целях выявления и классификации всех информационных потоков, существующих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодействие с организациями - соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура положения (готовится его проект).
Основными разделами положения являются: общие требования по доступу работников к коммерческой тайне; порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности; порядок доступа к делам и документам архивного хранения; порядок копирования (размножения) документов и рассылки их нескольким адресатам; порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов; порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий (8, с. 234).
В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий особая роль отводится службе безопасности, в задачи которой входит: проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям); выявление фактов неправомерного доступа лиц к коммерческой тайне; оценка эффективности принимаемых руководителями структурных подразделений предприятия мер по исключению утечки информации; подготовка предложений о внесении изменений в должностные инструкции и иные документы, определяющие задачи и функции подразделений (отдельных должностных лиц) предприятия; разработка и представление на утверждение руководителю предприятия проектов внутренних организационно - распорядительных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешительной системы доступа; методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разрешительной системе доступа к коммерческой тайне предприятия.
Наиболее важная функция службы безопасности предприятия - контроль над соблюдением его сотрудниками положений организационно - плановых, распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа, в целях исключения случаев неправомерного доступа сотрудников предприятия, а также командированных лиц к коммерческой тайне.
Служба безопасности контролирует: наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне; соответствие выданного руководителем структурного подразделения предприятия разрешения требованиям разрешительной системы; правомерность передачи носителей сведений, содержащих коммерческую тайну, на другие предприятия; соблюдение работниками предприятия установленных требований по работе с носителями сведений, составляющих коммерческую тайну, на рабочих местах; правомочность и целесообразность использования материалов, содержащих коммерческую тайну, на конференциях, совещаниях и других мероприятиях, проводимых с привлечением представителей других организаций.
Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений организационно - распорядительных документов, регулирующих вопросы функционирования разрешительной системы на предприятии (14, с. 352).
2.3 Особенности увольнения сотрудников, владеющих конфиденциальной информацией
Почти любой сотрудник организации является носителем конфиденциальной или секретной информации. Правила работы с секретными документами, слабые места системы охраны, служебные проступки сотрудников или организации в целом, контакты с клиентами и т.д. вся эта информация является конфиденциальной, знают многие сотрудники.
Защититься от утечки такой информации невозможно: каждый сотрудник является носителем каких-то секретов, какой-то служебной информации. Эта информация уйдет с сотрудником. Вопрос только в том будет ли он ее применять, и нанесет ли это организации ущерб.
Лояльность сотрудника в отношении организации является в настоящее время достаточно динамичной величиной: если предложение другой организации будет значительно превышать зарплату и пакет социальных услуг данной организации, то сотрудник в течении небольшого срока может уволиться. К тому же сейчас больше ценятся специалисты, которые проработали в нескольких организациях, чем те, которые десять - двадцать лет проработали в одной.
Поэтому возможность увольнения любого сотрудника (в т.ч. ведущих сотрудников и заместителей начальника организации) необходимо учитывать при организации защиты информации.
Если сотрудник в письменной и устной форме сообщает о своем уходе, то необходимо выполнить следующий ряд действий:
- организовать защиту информации до увольнения сотрудника;
- определить причины увольнения;
- побеседовать с сотрудником, обсудить вопрос сохранения коммерческой тайны;
- организовать защиту информации после увольнения сотрудника.
При увольнении сотрудника необходимо провести следующие мероприятия:
- проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему информацию, имеющую отношение к работе, если того не требует служебная необходимость;
- сделать резервную копию файлов увольняемого;
- по мере передачи дел, сокращать права доступа к информации;
- запретить вынос и внос бумажных и электронных носителей.
Внос запрещается по причине возможной замены объекта выноса: стопки дискет или компакт - дисков, книг на полках.
Меры по контролю утечки информации не должны быть слишком настойчивы: может пострадать социально - психологический климат. К тому же от увольняемого сотрудника может понадобиться помощь или консультация после увольнения, поэтому процесс увольнения не должен оказывать сильное негативное воздействие.
Сотрудник может не сообщить истинную причину увольнения: не всегда удобно говорить, что ему очень тяжело работать с этим начальником или коллективом, но необходимо определить истинную причину:
- если сотрудник переходит к конкурентам, например при окончании разработки новой технологии, то необходимо искусственно задержать данного сотрудника;
- если не устраивает зарплата, то при необходимости данного работника можно ему зарплату повысить;
- при наличии психологических причин (конфликты с коллегами, с начальником, плохая организация труда, неудовлетворенность профессией, отсутствие продвижения по службе, несоответствие оплаты труда по сравнению с другими), по возможности попытаться их устранить или просто откровенно поговорить: усотрудника может просто накопиться обида, недовольство, непонимание, и простая беседа поможет ему сбросить тяжесть накопившейся обиды.
Иногда после разговора выясняется, что причина кроется в субъективном (неправильном) понимании сотрудником какой-либо ситуации. И поскольку желание ухода в таких случаях является часто субъективным фактором, то устранив их, можно оставить человека на прежнем рабочем месте.
При передаче имущества необходимо передать все числящиеся документы, базы данных, носители информации, изделия, материалы, проверить их комплектность. Необходимо сдать пропуск (идентификатор) для входа на объект, все ключи и печати. В базе данных системы контроля доступа необходимо заблокировать все идентификаторы пользователя на тот случай, если он сделал себе копию, например магнитной карты.
После увольнения может быть целесообразным еще раз поменять пароли, к которым уволенный мог иметь доступ, проводить оперативную проверку его деятельности в случае работы с конкурентами на предмет использования знаний и технологий, программных комплексов в новой организации.
Увольнение сотрудника по инициативе организации может происходить при плановом сокращении персонала, при общем негативном фоне в отношении данного сотрудника, при его проступках. Однако даже при серьезных проступках рекомендуется не сразу увольнять сотрудника имеющего доступ к сведениям составляющих коммерческую тайну.
Особенно если эта тайна не защищена или ущерб от использования этой информации может принести значительный экономический ущерб в ближайшие полгода. Необходимо перевести сотрудника на другую должность желательно с сохранением зарплаты на это время. После обеспечения условий по защите информации или достаточного снижения ее значимости можно произвести увольнение сотрудника, однако причины увольнения должны быть объективными и проверяемыми, и не должны касаться личных и деловых качеств сотрудника (15).
3. Обеспечение безопасности информации на наиболее уязвимых участках офисной деятельности
3.1 Защита информации при проведении совещаний и переговоров
В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера.
Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно - исследовательских, опытно - конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.
Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к участию в них привлекается только персонал данного предприятия). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела, службы), планирующего проведение данного совещания. Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания, принимаемые руководством предприятия (структурным подразделением, организующим совещание), должны быть как организационными, так и организационно - техническими.
Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту. В целях наиболее эффективного решения задач защиты информации в разрабатываемых организационно - планирующих документах комплексно учитываются все мероприятия, независимо от их содержания и направленности. Поскольку эти мероприятия должны быть увязаны между собой по времени и месту проведения.
Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.
Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше.
Работу по планированию мероприятий в области защиты информации, проводимых в ходе совещания с участием представителей сторонних организаций, возглавляет руководитель предприятия, непосредственное участие в планировании принимает заместитель, в ведении которого находятся вопросы защиты информации на предприятии. На заместителя руководителя предприятия также возлагается общая координация выполнения спланированных мероприятий.
При отсутствии в структуре предприятия данного должностного лица, указанные задачи возлагаются на руководителя подразделения (руководителя службы безопасности).
План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. Определение состава участников и их оповещение - порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями; порядок подготовки и направления таких запросов, формирования их содержания. Подготовка служебных помещений, в которых планируется проведение совещания, работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания, в том числе средствами автоматизации, на которых разрешена обработка конфиденциальной информации; порядок использования средств звукоусиления, кино- и видеоаппаратуры.
Определение объема обсуждаемой информации-порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности; выделение вопросов, к которым допускается узкий круг лиц, участвующих в совещании.
Организация контроля за выполнением требований по защите информации-порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации, утрат хищений носителей информации; структурные подразделения или должностные лица, отвечающие за осуществление контроля; порядок и сроки представления ответственными должностными лицам докладов о наличии носителей конфиденциальной информации выявленных нарушениях в работе по защите информации.
Если в ходе совещания используются сведения, составляющие государственную тайну, его участники должны иметь допуск к ним сведениям по соответствующей форме.
При рассмотрении вопросов, отнесенных к иным видам конфиденциальной информации, участники совещания должны иметь оформленное в уставленном порядке решение руководителя предприятия о допуск данной категории (данному виду) информации.
Должностное лицо, ответственное за проведение совещания, указанию руководителя предприятия (руководителя подразделения, организующего совещание) формирует список лиц, участвующих в совещании.
В списке указывают фамилию, имя, отчество каждого участника, его место работы и должность, номер допуска к сведениям составляющим государственную тайну, или номер решения рук водителя о допуске к иной конфиденциальной информации, и мера вопросов совещания, к обсуждению которых допущен участник. При необходимости в списке могут указываться и другие сведения.
Подготовленный список участников согласовывается с секретно - режимным подразделением (службой безопасности) предприятия совещания и утверждается руководителе этого предприятия, давшим разрешение на проведение совещания.
Включенные в список участники совещания проходят в служебные помещения, в которых оно проводится, предъявляя сотрудникам службы охраны (службы безопасности) документ, удостоверяющий личность. Проход участников совещания в эти помещения может быть организован по пропускам, выдаваемы им исключительно на период проведения совещания и отличающимся от других используемых предприятием-организатором пропусков.
Участники совещания имеют право посещения только тех служебных помещений, в которых будут обсуждаться вопросы, к которым эти участники имеют непосредственное отношение.
Проверку документов, подтверждающих наличие у участников совещания допуска к сведениям, составляющим государственную тайну, и разрешений на ознакомление с конфиденциальной информацией осуществляет служба безопасности предприятия-организатора совещания.
Проверка служебных помещений на предмет возможности обсуждения в них вопросов конфиденциального характера проводится накануне совещания специально назначаемой комиссией, состоящей из специалистов по технической защите информации и противодействию иностранным техническим разведкам (1, с. 1).
Заключение
На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный ресурс, называемый информацией.
Информация становится главным ресурсом научно-технического и социально-экономического развития мирового сообщества.
Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с обеспечением и конфиденциальностью коммерческой информации как вида интеллектуальной собственности.
В процессе работы над поставленными задачами были сделаны выводы: под документами, отнесенными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, компанией или другой структурой, является его собственной, или частной собственной, представляющей значительную ценность для предпринимателя.Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.
Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам ее собственнику (фирме, предприятию).
Документы ограниченного доступа делятся на «несекретные» и «секретные». Обязательным признаком секретного документа является наличие в нем сведений, отнесенных законодательством к государственной тайне.
Несекретные документы ограниченного доступа входят в перечень сведений конфиденциального характера, утвержденный Указом Президент РФ от 6 марта 1997 года №188.
Под конфиденциальным документом, т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом оформленный носитель документированной информации, содержащий сведенья, которые не относятся к государственной тайне и составляют интеллектуальную собственность юридического и финансового лица.
Коммерческая тайна - научно-техническая, коммерческая, организационная или другая используемая в предпринимательской деятельности информации, которая обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным путем другими лицами, которые могли бы получить экономическую выгоду от ее разглашения или использования.
Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования ее конкретности для нанесения вреда предприятию.
Необходимо знать, что в отличие от открытых документов, процесс исполнения конфиденциальных документов представляет собой достаточно насыщенную различными технологическими этапами и процедурами технологию.
Список использованной литературы
1.О средствах массовой информации // [Текст] :федер. закон [принят Гос.Думой от 27 декабря 1991г.] //Собрание законодательства РФ. - 2002г. - №2124. - 1с.
2.Об информации, информатизации и защите информации//[Текст]:федер. закон [принят Гос.Думой 20 февраля 1995г.]//Собрание законодательства РФ.-2006г.-№24.- ст.609. - 164с.
3.О коммерческой тайне//[Текст]:федер. закон [принят Гос.Думой 21 июля 1993г.] //Собрание законодательства РФ.-2003.-№131. - ст.3. - 45с.
4.Безруков,Н.Н.Компьютерныевирусы[Текст] :/Н.Н.Безруков,-М.:Наука,1991г.-24с.
5.Зегжда,Д.П.Защита информации в компьютерных системах [Текст]:/ Д.П.Зегжда [и др.],- М.:Спб.: СПБГТУ,1993г.- 56с.
6.Левин,В.К. Защита информации в информационно-вычислительных системах и сетях [Текст]:/ В.К.Левин - М.:Изд.Программирование,1994г.-№5.-5с.
7.Макарова,Н.В Информатика [Текст] :/ Н.В.Макарова,- М.:Изд. Базовый курс,теория,2004г. -78с.
8.Моисеенков,И.В. Безопасность компьютерных систем [Текст] :/ И.В.Моисеенков,-М.:Изд.Компьютер.Процесс,1993г.-234с.
9.Мостова,Д.Ю. Современные технологии борьбы с вирусами [Текст] :/ Д.Ю.Мостова,- М.:Изд.Мир ПК,-1993г.-№8.-47с.
Подобные документы
Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.
курсовая работа [39,1 K], добавлен 09.06.2011Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.
реферат [15,7 K], добавлен 27.12.2013Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.
реферат [30,3 K], добавлен 27.01.2010Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.
дипломная работа [167,4 K], добавлен 25.11.2010Задачи и основные направления обеспечения защиты корпоративной информации. Получение корпоративной информации. Уязвимые места: промышленный шпионаж, поджог, нападение на сотрудников компании. Служба безопасности: задачи и правила работы ее сотрудников.
контрольная работа [56,5 K], добавлен 19.01.2008Характеристика информационных связей в системе менеджмента качества. Разработка структуры информационной системы для обеспечения непрерывного улучшения. Методика защиты информации от злоумышленных действий пользователей и обслуживающего персонала.
курсовая работа [875,3 K], добавлен 18.02.2014Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа [1,0 M], добавлен 30.12.2011Получение и обработка персональных данных. Анализ программного обеспечения и информационных потоков. Модель угроз информационной безопасности. Основные плюсы и минусы от внедрения системы защиты, содержащих персональные данные сотрудников организации.
курсовая работа [382,0 K], добавлен 23.04.2015В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.
курсовая работа [158,9 K], добавлен 27.06.2008Персонал банка как объект потенциальных угроз. Организация защиты персонала от возможных угроз, вербовки и переманивания сотрудников конкурентами. Защита от шантажа и угроз в адрес сотрудников банка, покушений на сотрудников банка и членов их семей.
контрольная работа [29,4 K], добавлен 02.03.2012