Теория и методология защиты информации в адвокатской конторе

ь персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника[20]).

· защищаемая от утраты общедоступная информация:

ь документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

ь информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки)

· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

· средства защиты информации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система сигнализации, антижучки и др.)

· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов)

Предметом защиты информации в адвокатской конторе являются носители информации, на которых зафиксированы, отображены защищаемые сведения [4, с.311]:

· Личные дела клиентов в бумажном и электронном (база данных клиентов) виде;

· Личные дела работников в бумажном и электронном (база данных работников) виде;

· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

4.3. Факторы, влияющие на защиту информации в адвокатской конторе

Внешние факторы:

деятельность конкурентных юридических фирм, направленная против интересов фирмы «Юстина»;

деятельность правоохранительных органов власти, направленная на удовлетворение собственных интересов и не учитывающая при этом интересы адвокатской фирмы (обыски адвокатов без предварительного получения решения суда; изъятие в ходе обысков документов, содержащих конфиденциальную информацию; формальный подход судей при вынесении решений о проведении обыска у адвоката; обыск в помещениях занимаемых адвокатом в отсутствие адвоката; незаконный досмотр адвокатского производства адвокатов как один из способов незаконного доступа к адвокатской тайне) [8, 14];

недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика (например, несостыковка пунктов Уголовно-процессуального кодекса Российской Федерации и закона «Об адвокатской деятельности и адвокатуре в Российской Федерации», закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», предписывающий адвокатам выполнять роль секретных сотрудников правоохранительных органов) [8, 14, 21].

Внутренние факторы:

недостаточное внимание к обеспечению защиты информации со стороны руководства (в адвокатской фирме нет отдельной службы защиты информации);

довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);

недостаточное финансирование мероприятий по обеспечению информационной безопасности предприятия;

недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в адвокатской фирме (в данный момент в штате фирмы «Юстина» нет ни одного специалиста по защите информации).

4.4. Угрозы защищаемой информации в адвокатской конторе

Внешние угрозы:

· Конкуренты (адвокатские фирмы, являющиеся конкурентами «Юстине»);

· Административные органы (органы государственной власти);

· Преступники, хакеры.

Внутренние угрозы:

· Персонал;

· Администрация предприятия.

Классификация угроз:

1. По объектам:

1.1. Персонал;

1.2. Материальные ценности;

1.3. Финансовые ценности.

2. По ущербу:

2.1. Материальный;

2.2. Моральный.

3. По величине ущерба:

3.1. Предельный (полное разорение);

3.2. Значительный (некоторая валового дохода);

3.3. Незначительный (потеря прибыли).

4. По отношению к объекту:

4.1. Внутренние;

4.2. Внешние.

5. По вероятности возникновения:

5.1. Весьма вероятные;

5.2. Вероятные;

5.3. Маловероятные.

6. По характеру воздействия:

6.1. Активные;

6.2. Пассивные.

7. По причине проявления:

7.1. Стихийные;

7.2. Преднамеренные.

4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

К источникам дестабилизирующего воздей-ствия на информацию относятся [4, с.203]:

люди;

технические средства отображения (фикса-ции), хранения, обработки, воспроизведения, пе-редачи информации, средства связи и системы обеспечения их функционирования;

природные явления.

Самым распространенным, многообразным и опасным источником дестабилизирующего воздей-ствия на защищаемую информацию являются люди. К ним относятся:

сотрудники данной адвокатской фирмы;

лица, не работающие в фирме, но име-ющие доступ к защищаемой информации предпри-ятия в силу служебного положения (из контролирующих органов государственной и муниципальной власти и др.);

сотрудники конкурирующих отечественных и зарубежных фирм;

лица из криминальных структур, хакеры.

Эти категории людей подразделяются на две группы:

имеющие доступ к носителям данной защища-емой информации, техническим средствам ее ото-бражения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функциони-рования и

не имеющие такового.

Самым многообразным этот источник являет-ся потому, что ему, по сравнению с другими ис-точниками, присуще значительно большее количе-ство видов и способов дестабилизирующего воз-действия на информацию [4, с. 204].

Самым опасным этот источник является пото-му, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и ока-зываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников - к отдельным фор-мам).

К техническим средствам отображения, хране-ния, обработки, воспроизведения, передачи информации и средствам связи в адвокатской конторе относятся электронно-вычислительная техника (персональные компьютеры); копировально-множительная техника (ксероксы, принтеры, сканеры); средства видео- и звукозаписывающей и вос-производящей техники (видеокамеры, диктофоны) и средства телефонной, телеграфной, факси-мильной, громкоговорящей передачи информации.

Системы обеспечения функционирования технических средств отображения, хранения, обра-ботки, воспроизведения и передачи информации это системы электро-снабжения, водоснабжения, теплоснабжения, кон-диционирования и вспомогательные электрические и радиоэлектрон-ные средства (электрические часы, бытовые магнитофоны и др.).

Природные явления включа-ют стихийные бедствия и атмос-ферные явления.

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям[4, с. 207].

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

1. Непосредственное воздействие на носители за-щищаемой информации.

2. Несанкционированное распространение конфиденциальной информации.

3. Вывод из строя технических средств отобра-жения, хранения, обработки, воспроизведения, пе-редачи информации и средств связи.

4. Нарушение режима работы перечисленных средств и технологии обработки информации.

5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Способами непосредственного воздействия на носители защищаемой информации могут быть:

физическое разрушение носителя (поломка, разрыв и др.);

создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);

удаление информации с носителей (замазыва-ние, стирание, обесцвечивание и др.);

создание искусственных магнитных полей для размагничивания носителей;

внесение фальсифицированной информации в носители;

непреднамеренное оставление их в нео-храняемой зоне, чаще всего в общественном транс-порте, магазине, на рынке, что приводит к потере носителей[4].

Несанкционированное распространение конфиденциальной информации может осуществ-ляться путем:

словесной передачи (сообщения) информа-ции;

передачи копий (снимков) носителей инфор-мации;

показа носителей информации;

ввода информации в вычислительные сети;

опубликования информации в открытой пе-чати;

использования информации в открытых пуб-личных выступлениях, в т.ч. по радио, телевидению;

потеря носителей информации.

К способам вывода из строя технических средств отображения, хранения, обработки, вос-произведения, передачи информации и средств связи и систем обеспечения их функционирования, при-водящим к уничтожению, искажению и блокированию, можно отнести:

неправильный монтаж средств;

поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;

создание аварийных ситуаций для техничес-ких средств (поджог, искусственное затопление, взрыв и др.);

отключение средств от сетей питания;

вывод из строя или нарушение режима рабо-ты систем обеспечения функционирования средств;

вмонтирование в ЭВМ разрушающих радио- и программных закладок;

нарушение правил эксплуатации систем.

Способами нарушения режима работы тех-нических средств отображения, хранения, обра-ботки, воспроизведения, передача информации, средств связи и технологии обработки информа-ции, приводящими к уничтожению, искажению и бло-кированию информации, могут быть:

повреждение отдельных элементов средств;

нарушение правил эксплуатации средств;

внесение изменений в порядок обработки ин-формации;

- заражение программ обработки информации вредоносными программами;

выдача неправильных программных команд;

превышение расчетного числа запросов;

создание помех в радио эфире с помощью до-полнительного звукового или шумового фона, из-менения (наложения) частот передачи информа-ции;

- передача ложных сигналов - подключение подавляющих фильтров в инфор-мационные цепи, цепи питания и заземления;

нарушение (изменение) режима работы сис-тем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизве-дения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искаже-нию, блокированию, разглашению (соединение с номером телефона не того або-нента, который набирается, или слышимость раз-говора других лиц из-за неисправности в цепях ком-мутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.

К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, навод-нение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, унич-тожению, искажению, блокированию и хищению.

Способами воздействия со стороны и стихий-ных бедствий и атмосферных явлений могут быть:

- разрушение (поломка);

- затопление;

- сожжение но-сителей информации, средств отображения, хра-нения, обработки, воспроизведения, передачи ин-формации и кабельных средств связи, систем обес-печения функционирования этих средств;

- наруше-ние режима работы средств и систем, а также тех-нологии обработки информации.

4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе

К причинам, вызывающим преднамеренное дес-табилизирующее воздействие, следует отнести [4, с. 213]:

стремление получить материальную выгоду (подзаработать);

стремление нанести вред (отомстить) руковод-ству или коллеге по работе;

стремление оказать бескорыстную услугу при-ятелю из конкурирующей фирмы;

стремление продвинуться по службе;

стремление обезопасить себя, родных и близ-ких от угроз, шантажа, насилия;

физическое воздействие (побои, пытки) со сто-роны злоумышленника;

стремление показать свою значимость.

Причинами непреднамеренного дестабилизиру-ющего воздействия на информацию со стороны людей могут быть:

неквалифицированное выполнение операций;

халатность, безответственность, недисциплини-рованность, недобросовестное отношение к выпол-няемой работе;

небрежность, неосторожность, неаккуратность;

- физическое недомогание (болезни, переутом-ление, стресс, апатия).

Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:

- недостаток или плохое качество средств;

низкое качество режима функционирования средств;

перезагруженность средств;

низкое качество технологии выполнения работ.

В основе дестабилизирующего воздействия на информацию со стороны природных явлений ле-жат внутренние причины и обстоятельства, непод-контрольные людям, а, следовательно, и не поддаю-щиеся нейтрализации или устранению.

4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе

К числу наиболее вероятных каналов утечки информации можно отнести [15]:

· совместную с другими фирмами деятельность, участие в переговорах;

· фиктивные запросы со стороны о возможности работать в фирме на различных должностях;

· посещения фирмы;

· общения представителей фирмы о характеристиках предоставляемых услуг;

· чрезмерную рекламу;

· консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;

· публикации в печати и выступления;

· совещания, конференции и т.п.;

· разговоры в нерабочих помещениях;

· обиженных сотрудников фирм;

· технические каналы;

· материальные потоки (транспортировка спецпочты).

При организации защиты информации в адвокатской конторе необходимо учитывать следующие возможные методы и способы сбора информации:

· опрос сотрудников изучаемой фирмы при личной встрече;

· навязывание дискуссий по интересующим проблемам;

· рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет;

· ведение частной переписки научных центров и ученых со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.

Наиболее вероятно использование следующих способов добывания информации [15]:

· визуальное наблюдение;

· подслушивание;

· техническое наблюдение;

· прямой опрос, выведывание;

· ознакомление с материалами, документами, изделиями и т.д.;

· сбор открытых документов и других источников информации;

· хищение документов и других источников информации;

· изучение множества источников информации, содержащих по частям необходимые сведения.

4.8. Основные направления, методы и средства защиты информации в адвокатской конторе

Направления защиты информации

Правовая защита - специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Правовые меры, регулирую-щие вопросы защиты конфиденциальной информа-ции, можно разделить на две основные группы. К первой группе относятся законодательные акты государства, регла-ментирующие деятельность предприятий в области защиты различных видов тайн, определяющие объем их прав и обязанностей в области защиты. К этой группе можно отнести такие законы, принятые в Российской Федерации, как: «О коммерческой тайне» от 29 июля 2004 года; «Об адвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002; «О персональных данных» от 27.07.2006; «О предприятиях и предпринимательской деятельности» от 25 декабря 1990 г.; «О частной детективной и охранной деятель-ности в РФ» от 11 марта 1992 г.; «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22 марта 1991 г.; Гражданский кодекс; Кодекс профессиональной этики адвоката от 31.01.2003; Трудовой кодекс Российской Федерации от 30.12.2001 и др.

Ко второй группе относятся нормативно-правовые докумен-ты, регламентирующие организацию, порядок и правила защиты конфиденциальной информации на предприятии. К ним относятся:

Устав предприятия, в котором указываются цели его деятельности, права, в том числе право иметь тайну и осуществлять ее защиту.

Коллективный договор, в котором определяются права и
обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий и средств ее защиты.

Правила внутреннего трудового распорядка, в которые также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе защищать и различные виды тайн.

Инструкция, определяющая организацию, порядок и правила защиты тайны на предприятии. Могут быть под-готовлены различные положения, регламентирующие права и де-ятельность различных подразделений этого предприятия, напри-мер, службы защиты информации предприятия.

5. Документы, типа перечня, реестра и т.п., определяющие ка-тегории сведений, которые отнесены к конфиденциальной ин-формации предприятия. В этих перечнях следует также указывать сроки засекречивания информации и уровень ее защиты.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом приме-нения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступле-ния, к уголовной ответственности.

Кроме того, нарушения режима секретности, правил сохране-ния тайны, не являющиеся пре-ступлением, могут повлечь ответственность материального, дис-циплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оп-лачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:

р Организация режима охраны, работы с кадрами, документами;

р Использование технических средств безопасности;

р Использование информационно-аналитической работы по выявлению угроз.

Организационная служба защиты информации состоит из:

1. Подразделение режима и охраны предприятия;

2. Специальных подразделений обработки документов конфиденциального характера, а также инженерно-технических подразделений;

3. Информационно-аналитический подразделений.

Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осу-ществлять мероприятия по защите информации, обучение сотруд-ников правилам защиты засекреченной информации, осуществле-ние на практике принципов и методов защиты информации.

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

р Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

р Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

р Программные средства.

Методы защиты информации

Метод - в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность [4, с. 270].

Основными методами, используемыми в защите информации в адвокатской конторе, являются следующие: скрытие, ранжирова-ние, морально-нравст-венные методы и учет.

Скрытие - как метод защиты информации является реализацией максимального огра-ничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем засекречивания информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секрет-ности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности; устранения или ослабления технических демаскирующих при-знаков объектов защиты и технических каналов утечки сведений о них.

Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени сек-ретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивиду-альных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных опера-ций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности инфор-мации и определяется матрицей доступа. Т.е. пользователь не допускается к ин-формации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Морально-нравственные методы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секре-там, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (понимания важности и полезности за-щиты информации и для него лично), и обучение сотрудника, ос-ведомленного в сведениях, составляющих охраняемую тайну, пра-вилам и методам защиты информации, привитие ему навыков ра-боты с носителями секретной и конфиденциальной информации.

Учет обеспечивает возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и мес-тонахождении всех носителей засекреченной информации, а также данные обо всех пользователях этой информации.

Принципы учета засекреченной информации:

- обязательность регистрации всех носителей защищаемой информации;

- однократность регистрации конкретного носителя такой информации;

- указание в учетах адреса, где находится в данное время дан-ный носитель засекреченной информации (в СлЗИ, у исполнителя и т.д.);

- единоличная ответственность за сохранность каждого носи-теля защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

Средства защиты информации

Средства защиты информации - это совокупность инженер-но-технических, электрических, электронных, оптических и дру-гих устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения раз-личных задач по защите информации, в том числе предупрежде-ния утечки и обеспечения безопасности защищаемой информа-ции [4, с. 273].

В качестве основания классификации средств защиты инфор-мации используются основные группы задач, решаемые с помощью технических средств:

создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);

выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);

предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);

поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;

нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);

комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;

комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.

Знание возможностей методов и средств защи-ты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденци-альной информации.

4.9. Организация комплексной системы защиты информации в адвокатской конторе

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;

предотвратить кражу и утечку секретов, любую порчу конфиденциальной информации;

документировать процесс защиты тайны, чтобы в случае попы-ток незаконного завладения какой-либо тайной предприятия можно было защитить свои права юридически и наказать нару-шителя.

Для определения объема информации, нуждающейся в защи-те, следует привлекать работников предприятия. Во главе этой работы должен стоять опытный менеджер.

Программа будет отражать размер данного предприятия, тип технологии и деловой информации, которую необходимо защи-щать, финансовые возможности предприятия, прошлые случаи кражи подобной информации, реальный, имевший место в про-шлом, или потенциальный урон от таких краж и другие обстоя-тельства. В программе должны учитываться возможные источни-ки и каналы утечки информации.

Для построения системы защиты конфиденциальной информации на предприятии необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия. Структура и штат СлЗИ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, как правило, должны комплектоваться инженерно-техническими работниками - специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СлЗИ предприятия (фирмы), а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Основны-ми функциями СлЗИ являются проблемы организации защиты све-дений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работ-ников предприятия умению хранить секреты своей фирмы; под-готовку различных методических документов, связанных с защи-той тайны, плакатов, разъясняющих правила защиты конфиден-циальной информации и др.

СлЗИ готовит руководству предприятия предложения по вопро-сам защиты конфиденциальной информации, порядка определения и пере-смотра перечня сведений, составляющих эту информацию, степени и сроков секретности такой информации; определение круга и по-рядка допуска лиц к сведениям, составляющим различные виды тайн. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии рынка, конкурентах, финансовых возможностях партнеров по переговорам и др.

СлЗИ проводит контрольные и аналитические функции. Кон-троль за соблюдением работниками предприятия, связанными по службе с тайной, правил ее защиты. Анализ посту-пающей информации с целью выявления попыток конкурентов получить несанкционированный доступ к защищаемой предпри-ятием информации и т.д. Она должна находиться на высоком уровне в организационной структуре предприятия с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостат-ков в области защиты конфиденциальной информации. Сотрудники фирмы должны знать политику фирмы по защите этой информации и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию предприятия, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня - исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

Система доступа к сведениям, составляющим какую-либо тайну, должна обеспечить безусловное ознакомление с такими материалами только тех лиц, которым они нужны по службе. Сис-тема доступа к конфиденциальной информации - есть комплекс административно-правовых норм, обеспечивающих получение необходимой для работы информации каждым исполнителем и руководителем секретных работ. Цель системы - обеспечить только санкционированное получение необходимого объема конфиденциальной информации. В структуру этой системы входят:

§ разрешительная система доступа к документальной конфиденциальной информации;

§ система пропусков и шифров, обеспечивающая только санкционированный доступ в поме-щения, где ведутся секретные работы.

Для обеспечения физической сохранности носителей засекре-ченной информации и предотвращения доступа посторонних лиц нужна система охраны, кото-рая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носите-лям защищаемой информации. Обеспечение физической целост-ности и сохранности конфиденциаль-ных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается ис-пользованием сейфов и металлических шкафов для хранения кон-фиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов, введением специ-альных пропусков или магнитных карточек для доступа в помеще-ния, где ведутся работы с носителями конфиденциальной инфор-мации. Помещения, в которых ведутся такие работы с документа-ми, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.

Осуществление мер - это деятельность администрации и СлЗИ по защите конфиденциальной информации, направленная на реализацию за-ложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают:

- во-первых, повседневный контроль со стороны руководства предприятия и СлЗИ за соблюдением всеми сотрудниками, связан-ными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников предприятия, имеющих постоянное общение с населением;

- во-вторых, обеспечение соблюдения всеми сотрудниками предприятия требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, ин-струкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирую-щими поведение работников на предприятии.

Все посещения предприятия посторонними лицами должны быть строго регламентированы. Вход - только через одну проходную по разовым пропускам или отметкам в жур-нале: данные о пришедшем, откуда, к кому, время входа и выхода. Продвижение по фирме только в сопровождении принимающего его сотрудника.

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциаль-ные сведения;

- в-третьих, выявление каналов и источников утечки защищае-мой информации и принятие мер по их перекрытию. Утечка за-щищаемой информации происходит чаще всего по вине сотруд-ников предприятия, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в техни-ческих средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщатель-но проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не свя-занную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;

- в-четвертых, защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой ин-формации в открытых публикациях сотрудниками предприятия, особенно при подготовке и публи-кации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специ-алистами и руководящими работниками предприятия;

- в-пятых, важным звеном защиты конфиденциальной информации пред-приятия является работа с клиентами, партнерами и др. При ведении таких переговоров важно убедиться, что другая сторона преследует в переговорах те же цели, что и вы, то есть заключить взаимовыгод-ное соглашение, а не получение конфиденциальной информации о вашей фирме.

Приступая к разработке системы мер по обеспечению защиты информации на предприятии, его руководитель (или начальник СлЗИ) должен получить ответы на следующие вопросы:

· что конкретно необходимо защищать (охранять), от кого и когда?

· кто организует и обеспечивает защиту (охрану)?

· как оценивать эффективность и достаточность защиты (охраны)?

Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения [15]:

· простота защиты;

· приемлемость защиты для пользователей;

· подконтрольность системы защиты;

· постоянный контроль за наиболее важной информацией;

· дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;

· минимизация привилегий по доступу к информации;

· установка ловушек для провоцирования несанкционированных действий;

· независимость системы управления для пользователей;

· устойчивость защиты во времени и при неблагоприятных обстоятельствах;

· глубина защиты, дублирование и перекрытие защиты;

· особая личная ответственность лиц, обеспечивающих безопасность информации;

· минимизация общих механизмов защиты.

Алгоритм создания системы защиты конфиденциальной информации таков [23]:

1. Определяется предмет защиты. Разрабатывается Перечень сведений, составляющих различные виды тайн, в котором выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.

2. Устанавливаются периоды существования конкретных сведений в качестве различных видов тайн.

3. Выделяются категории носителей ценной информации: персонал, документы, изделия и материалы; технические средства хранения, обработки и передачи информации; физические излучения. Для обеспечения восприятия разрабатываемой системы защиты можно составить схему, в которой указываются конкретные сотрудники, осведомленные о различных видах тайн, названия (категории) классифицированных документов и т.п.

4. Перечисляются стадии (этапы) работ, время материализации различных видов тайн в носителях информации применительно к пространственным зонам (местам работы с ними внутри и за пределами предприятия). Например, договоры, подписываемые за пределами предприятия; выступления участников отчетных совещаний в конкретных кабинетах; размножение классифицированных документов на множительном участке и т.п.

5. Составляется схема работ с конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого их перемещения. Рассматриваются возможные для предприятия несанкционированные перемещения, которые могут быть использованы конкурентами для овладения различными видами тайн.

6. Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа к конкретным сведениям, составляющим различные виды тайн.

7. Определяется, кто реализует мероприятия и кто несет ответственность за защиту конкретной информации, процессов работ с классифицированными данными. Намечаются меры по координации, назначаются конкретные исполнители.

8. Планируются действия по активизации и стимулированию лиц, задействованных в защите.

9. Проверяется надежность принятых к реализации мер обеспечения защиты.

Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СлЗИ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности конфиденциальной информации [25].

Планируемые мероприятия должны [15]:

· способствовать достижению определенных задач, соответствовать общему замыслу;

· являться оптимальными.

Не должны [15]:

· противоречить законам, требованиям руководителя фирмы (интересам кооперирующихся фирм);

· дублировать другие действия.

Таким образом, система организации защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.

5. Источники информации и оценка их надежности

5.1. Список выявленной литературы

5.1.1. Консультант-Плюс

1. Российская Федерация. Законы. Гражданский кодекс Российской Федерации (часть первая): федер. закон: [от 30.11.1994 № 51-ФЗ; принят Гос.Думой 21.10.1994; в ред. от 03.06.2006].- КонсультантПлюс.- (http://www.consultant.ru).

2. Российская Федерация. Законы. Гражданский кодекс Российской Федерации (часть вторая): федер. закон: [от 26.01.1996 № 14-ФЗ; принят Гос.Думой 22.12.1995; в ред. от 02.02.2006].- КонсультантПлюс.- (http://www.consultant.ru).

3. Российская Федерация. Законы. Кодекс профессиональной этики адвоката: [принят Всероссийским съездом адвокатов 31.01.2003; в ред. от 08.04.2005].- КонсультантПлюс.- (http://www.consultant.ru).

4. Российская Федерация. Законы. Об адвокатской деятельности и адвокатуре в Российской Федерации: федер. закон: [от 31.05.2002 № 63-ФЗ; в ред. от 20.12.2004].- КонсультантПлюс.- (http://www.consultant.ru).

5. Российская Федерация. Законы. Об утверждении перечня сведений конфиденциального характера: указ Президента РФ: [от 06.03.1997 N 1300; в ред. от 10.01.2000].- КонсультантПлюс.- (http://www.consultant.ru).

6. Российская Федерация. Законы. О коммерческой тайне: федер. закон: [от 29.07.2004 № 98-ФЗ; принят Гос.Думой 09.07.2004; в ред. от 02.02.2006].- КонсультантПлюс.- (http://www.consultant.ru).

7. Российская Федерация. Законы. О персональных данных: федер. закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой 08.07.2006].- КонсультантПлюс.- (http://www.consultant.ru).

8. Российская Федерация. Законы. О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма: федер. закон: [от 07.08.2001 № 115-ФЗ; принят Гос.Думой 13.07.2001; в ред. от 16.11.2005].- КонсультантПлюс.- (http://www.consultant.ru).

9. Российская Федерация. Законы. О федеральной службе безопасности: федер. закон: [принят Гос. Думой 22.02.1995; в ред. от 15.04.2006].- КонсультантПлюс.- (http://www.consultant.ru).

10. Российская Федерация. Законы. Трудовой кодекс Российской Федерации: федер. закон: [от 30.12.2001 № 197-ФЗ; принят Гос.Думой 21.12.2001; в ред. от 09.05.2005].- КонсультантПлюс.- (http://www.consultant.ru).

5.1.2. Текущие библиографические указатели и реферативные журналы

1. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.58-59.

2. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун-та.- Сер.Информат, 2005.- № 8.- С.53-55

3. Кальченко, Д. Безопасность в цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,38-41.

4. Колесников, К.А. Социальные факторы информационного управления и информационная безопасность в России/ К.А.Колесников// Интеллектуальная собственность: правовые, экономические и социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М., 2005.-Ч.2.-С.140-143.

5. Минакова, Н.Н. Особенности подготовки специалистов по информационной безопасности автоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч. центра САН ВШ, 2005.- № 8.- С.125-128.

6. Мешкова, Т.А. Безопасность в условиях глобальной информатизации: новые вызовы и новые возможности: автореф. дис….канд. наук/ Мешкова Т.А.; МГУ им.М.В.Ломоносова.- М., 2003.-26 с.

5.1.3. Электронный каталог

1. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд-во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.

2. Буробин, В.Н. Адвокатская тайна/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин.- М.: Статут, 2006.- 253 с.

3. Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 1995.- 39 с.

4. Курело, А.П. Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов, В.В.Андрианов и др.- М.: БДЦ-пресс, 2005.- (t-Solutions).- 511 с.

5. Петрухин, И.Л. Личные тайны: человек и власть/ И.Л.Петрухин.- М.: ЦГПАН, 1998.- 230 с.

6. Поздняков, Е.Н. Защита объектов: Рекомендации для руководителей и сотрудников служб безопасности/ Е.Н.Поздняков.- М.: Концерн «Банковский деловой центр», 1997.- (Советы «профи»).- 222 с.

7. Соловьев, Э. Коммерческая тайна и её защита/ Э.Соловьев.- М.: Главбух, 1995.- 48 с.

8. Шафикова, Г.Х. К вопросу о защите персональных данных работника/ Г.Х.Шафикова// Региональная информационная экономика: проблемы формирования и развития: Сб. науч. тр. Междунар. науч-практ. конф. 25-26 октября 2002.- Челябинск: Изд-во ЮУрГУ, 2003.- С. 359-362.

9. Ярочкин, В.И. Коммерческая информация фирмы: утечка или разглашение конфиденциальной информации/ В.И.Ярочкин.- М.: Ось-89, 1997.- 160 с.

5.1.4. Информационно-поисковые системы Интернет

1. Адвокатская тайна/ Юридическая библиотека [Электронный ресурс]// Юридическая библиотека URKA.ru.- (http://www.urka.ru/library.php/chat/chat/library/arch/library.php?parent=419).

2. Анализ угроз и построение системы информационной безопасности [Электронный ресурс]// МРЦБ. Консультационная фирма. IT-консалтинг.- (http://www.mrcb.ru/).

3. Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html).

4. Аудит информационной безопасности [Электронный ресурс]// Микротест. IT-услуги.- (http://www.microtest.ru/services/).

5. Брединский, А. Защита коммерческой тайны. Теория и практика/ А.Брединский, А.Беручашвили [Электронный ресурс]// Информационно-справочный сайт «Безопасность для всех».- (http://www.sec4all.net/).

6. Буробин, В.Н. Кто посягнул на адвокатскую тайну/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронный ресурс]// Дайджест правовой прессы в Санкт-Петербурге на информационно-правовом портале Кадис.- (http://www.kadis.ru/daily/).

7. Буробин, В.Н. Нарушения адвокатской тайны в России / В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронный ресурс]// Адвокатская фирма «Юстина», Новости- (http://www.yustina.ru/).

8. Васильевский, А. Защита коммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронный ресурс]// Valex Consult- (http://www.valex.net/).

9. Демин, В. Правовое обеспечение системы защиты информации на предприятии/ В.Демин, В.Свалов [Электронный ресурс]// Компьютер-информ.- (http://www.ci.ru/inform11_97/f1.htm).

10. Касперский, Е. Защита коммерческой тайны/ Е.Касперский [Электронный ресурс]// Электронная версия журнала «Консультант».- (http://www.berator.ru/consultant/article/).

11. Комплексные системы защиты информации [Электронный ресурс]// AM-SOFT. Деятельность компании. Защита информации.- (http://am-soft.ua/site/page4044.html).

12. Корня, А. Защиту пробили. Адвокатская тайна может быть упразднена/ А.Корня [Электронный ресурс]// Новая газета.- (http://www.ng.ru/politics/).

13. Кучерена, А. Адвокатская тайна/ А.Кучерена [Электронный ресурс]// reflexion.ru/Library.- (http://www.reflexion.ru/Library).

14. Михеева, М.Р. Проблема правовой защиты персональных данных/ М.Р.Михеева [Электронный ресурс]// Владивостокский центр исследования организованной преступности.- (http://www.crime.vl.ru/).

15. Определение Конституционного Суда Российской Федерации от 8 ноября 2005 г. N 439-О по жалобе граждан С.В. Бородина, В.Н. Буробина, А.В. Быковского и других на нарушение их конституционных прав статьями 7, 29, 182 и 183 Уголовно-процессуального кодекса Российской Федерации [Электронный ресурс]// Российская газета.- (http://www.rg.ru/).

16. Организация защиты коммерческой тайны на предприятии [Электронный ресурс]// Пензенский деловой портал.- (http://www.penza-job.ru/).

17. Петренко, С. Разработка политики информационной безопасности предприятия/ С.Петренко, В.Курбатов [Электронный ресурс]// Сетевые решения A-Z.- (http://www.nestor.minsk.by/sr/help/2007/07/130100.html).

18. Служба защиты информации на предприятии. Что она из себя представляет и как ее организовать [Электронный ресурс]// Спектр безопасности.- (http://www.spektrsec.ru/).

19. Столяров, Н.В. Разработка системы защиты конфиденциальной информации/ Н.В.Столяров [Электронный ресурс]// 4Delo.ru Библиотека.- (http://www.4delo.ru/inform/articles/).

20. Цыпкин, А.Л. Адвокатская тайна/ А.Л.Цыпкин [Электронный ресурс]// Russian-lawyers.ru..- (http://russian-lawyers.ru/files/cypkin.doc).

21. Чен Энн. Юристы выдвигают аргументы в пользу eRoom/ Энн Чен [Электронный ресурс]// PC WEEK, RE, № 17/2007.- (http://www.pcweek.ru/?ID=629431).

22. Шуличенко, А.А. Адвокатская тайна в показаниях обвиняемого/ А.А.Шуличенко [Электронный ресурс]// Бизнес mix.- (http://www.businessmix.ru/).

23. Щеглов, А.Ю. Часть 12. Общие вопросы построения системы защиты информации/ А.Ю.Щеглов, К.А.Щеглов [Электронный ресурс]// Мост безопасности. Библиотека.- (http://articles.security-bridge.com/).

5.1.5. Сплошной просмотр периодических изданий

1. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 1996.- № 2. - С. 2 - 3.

2. Алябушев, И.Б. Методики защиты баз данных от внутренних злоумышленников/ И.Б.Алябушев, В.В.Бабушкин// Информационно-методический журнал «Защита информации INSIDE».- 2006.- № 6 (12).- С.58.

3. Брединский, А.Г. Люди - источники конфиденциальной информации/ А.Г.Брединский// Информационно-методический журнал «Защита информации Конфидент».- 2004.- № 2 (56).- С.32.

4. Буробин, В.Н. Правовой режим адвокатской тайны/ В.Н.Буробин// «Бизнес-адвокат».- 2006.- № 3, 4.- С.28-33.

5. Журин, С.И. Вопросы оценки благонадежности персонала в подготовке администратора информационной безопасности/ С.И.Журин, М.Ю.Калинкина// Информационно-методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.28.

6. Казанцев, В.Г. Обучение руководителей служб безопасности/ В.Г.Казанцев// Информационно-методический журнал «Защита информации INSIDE».- 2005.- № 6 (06)- С.66.

7. Казанцев, В.Г. Профессиональное образование сотрудников подразделений экономической и информационной безопасности. В.Г.Казанцев// Информационно-методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.30.

8. Как найти и обезвредить сотрудника-саботажника// Информационно-методический журнал «Защита информации INSIDE».- 2005.- № 5 (05).- С.28.

9. Копейкин, В.Г. Экономическая безопасность предприятия: обучение персонала/ В.Г.Копейкин, Н.А.Лапина// Информационно-методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.44.

10. Кучерена А. Адвокатская тайна/ А.Кучерена // Законность.- 2003. - № 2. - С. 47 - 50.

11. Шатунов, В.М. Обучение персонала как составная часть проблемы обеспечения информационной безопасности энергосистемы/ В.М.Шатунов, И.Н.Бабков// Информационно-методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.53.

12. DeviceLock 5.72. - защита от локального администратора!// Information Security.- 2005.- № 4.- С.38.

5.2. Список использованной литературы

5.2.1. Вторичные источники

1. Адвокатская тайна/ Юридическая библиотека [Электронный ресурс]// Юридическая библиотека URKA.ru.- (http://www.urka.ru/library.php/chat/chat/library/arch/library.php?parent=419).

2. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 1996.- № 2. - С. 2 - 3.

3. Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html).

4. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд-во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.

5. Брединский, А. Защита коммерческой тайны. Теория и практика/ А.Брединский, А.Беручашвили [Электронный ресурс]// Информационно-справочный сайт «Безопасность для всех».- (http://www.sec4all.net/).