У вас вопросы?
У нас ответы:) SamZan.net

информационная безопасность и понятие конфиде

Работа добавлена на сайт samzan.net: 2015-07-05

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 27.4.2025

Оглавление:

[1] О᠌г᠌л᠌а᠌в᠌л᠌е᠌н᠌и᠌е:

[1.1] Введение

[1.2]
1. О᠌с᠌н᠌о᠌в᠌ы информационной безопасности и з᠌а᠌щ᠌и᠌т᠌ы и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌и

[1.3] 1.1 Э᠌в᠌о᠌л᠌ю᠌ц᠌и᠌я т᠌е᠌р᠌м᠌и᠌н᠌а «и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌о᠌н᠌н᠌а᠌я б᠌е᠌з᠌о᠌п᠌а᠌с᠌н᠌о᠌с᠌т᠌ь» и п᠌о᠌н᠌я᠌т᠌и᠌е к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌о᠌с᠌т᠌и

[1.4] 1.2 Ц᠌е᠌н᠌н᠌о᠌с᠌т᠌ь и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌и

[1.5] 1.3 К᠌а᠌н᠌а᠌л᠌ы р᠌а᠌с᠌п᠌р᠌о᠌с᠌т᠌р᠌а᠌н᠌е᠌н᠌и᠌я и у᠌т᠌е᠌ч᠌к᠌и конфиденциальной информации

[1.6] 2. О᠌р᠌г᠌а᠌н᠌и᠌з᠌а᠌ц᠌и᠌я р᠌а᠌б᠌о᠌т᠌ы с д᠌о᠌к᠌у᠌м᠌е᠌н᠌т᠌а᠌м᠌и, с᠌о᠌д᠌е᠌р᠌ж᠌а᠌щ᠌и᠌м᠌и к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌ы᠌е с᠌в᠌е᠌д᠌е᠌н᠌и᠌я

[1.7] 2.1 Н᠌о᠌р᠌м᠌а᠌т᠌и᠌в᠌н᠌о-м᠌е᠌т᠌о᠌д᠌и᠌ч᠌е᠌с᠌к᠌а᠌я б᠌а᠌з᠌а к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌о᠌г᠌о д᠌е᠌л᠌о᠌п᠌р᠌о᠌и᠌з᠌в᠌о᠌д᠌с᠌т᠌в᠌а

[1.8] 2.2 О᠌р᠌г᠌а᠌н᠌и᠌з᠌а᠌ц᠌и᠌я д᠌о᠌с᠌т᠌у᠌п᠌а и п᠌о᠌р᠌я᠌д᠌о᠌к р᠌а᠌б᠌о᠌т᠌ы п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌а с к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌ы᠌м᠌и с᠌в᠌е᠌д᠌е᠌н᠌и᠌я᠌м᠌и, д᠌о᠌к᠌у᠌м᠌е᠌н᠌т᠌а᠌м᠌и и б᠌а᠌з᠌а᠌м᠌и д᠌а᠌н᠌н᠌ы᠌х

[1.9]
3.З᠌а᠌щ᠌и᠌т᠌а и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌и о᠌г᠌р᠌а᠌н᠌и᠌ч᠌е᠌н᠌н᠌о᠌г᠌о д᠌о᠌с᠌т᠌у᠌п᠌а в

[1.10] ОАО «Ч᠌З᠌П᠌С᠌Н – П᠌р᠌о᠌ф᠌н᠌а᠌с᠌т᠌и᠌л»

[1.11] 3.1 Х᠌а᠌р᠌а᠌к᠌т᠌е᠌р᠌и᠌с᠌т᠌и᠌к᠌а ОАО «ЧЗПСН – П᠌р᠌о᠌ф᠌н᠌а᠌с᠌т᠌и᠌л»

[1.12] 3.2 С᠌и᠌с᠌т᠌е᠌м᠌а з᠌а᠌щ᠌и᠌т᠌ы и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌и в ОАО «Ч᠌З᠌П᠌С᠌Н – П᠌р᠌о᠌ф᠌н᠌а᠌с᠌т᠌и᠌л»

[1.13] 3.3 С᠌о᠌в᠌е᠌р᠌ш᠌е᠌н᠌с᠌т᠌в᠌о᠌в᠌а᠌н᠌и᠌е с᠌и᠌с᠌т᠌е᠌м᠌ы б᠌е᠌з᠌о᠌п᠌а᠌с᠌н᠌о᠌с᠌т᠌и и᠌н᠌ф᠌о᠌р᠌м᠌а᠌ц᠌и᠌и ограниченного д᠌о᠌с᠌т᠌у᠌п᠌а

[1.14] З᠌а᠌к᠌л᠌ю᠌ч᠌е᠌н᠌и᠌е

[1.15]
С᠌п᠌и᠌с᠌о᠌к и᠌с᠌п᠌о᠌л᠌ь᠌з᠌о᠌в᠌а᠌н᠌н᠌ы᠌х и᠌с᠌т᠌о᠌ч᠌н᠌и᠌к᠌о᠌в:


Введение

Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО «ЧЗПСН – Профнастил».

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

Раскрыть основные составляющие информационной безопасности;

Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

Рассмотреть методы и средства защиты конфиденциальной информации;

Проанализировать нормативно-правовую базу конфиденциального делопроизводства;

Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;

Рассмотреть технологические системы обработки конфиденциальных документов;

Дать оценку системе защиты информации предприятия ОАО «ЧЗПСН – Профнастил» и привести рекомендации по ее совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа работы базируется в первую очередь на Конституции как основном законе Российской Федерации). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150).

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.


1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина «информационная безопасность» и понятие конфиденциальности

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации.

Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность.

Конфиденциальность - защита от несанкционированного доступа. Следующее определение конфиденциальности дает ФЗ «Об информации, информационных технологиях и о защите информации» ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.1

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.

Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Секретность - правила и условие доступа и допуска к объектам информации.

Таким образом, словосочетание «информационная безопасность» не сводится исключительно к защите от несанкционированного доступа к информации.

Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом.2

1.2 Ценность информации

К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан).

Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа.

При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов.

Информация может быть разделена на три категории.

Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.

Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

Доступную для всех сотрудников фирмы;

Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.

Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной.

Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен.

Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ. К ним относятся:

Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;

Отсутствие свободного доступа к этой информации на законном основании;

Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.3

Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:

Определение состава информации, которую целесообразно отнести к категории конфиденциальной;

Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;

Организация делопроизводства с конфиденциальными документами.

Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.

Согласно ФЗ «Об информации, информационных технологиях и о защите информации» не могут составлять коммерческую тайну:

Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);

Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;

Документы о платежеспособности;

Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

Документы об уплате налогов и обязательных платежах;

Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;

Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.4

Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы. Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны.5

Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.

Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральным законом (служебная тайна).6

Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ и федеральным законом (врачебная, нотариальная, адвокатская, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна).

Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.

Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:

Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п.;

Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.7

Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы.

Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную.

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.

Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы.8

Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.

Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).

Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.

1.3 Каналы распространения и утечки конфиденциальной информации

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Уязвимость документированной информации приводит или может привести к утрате или утечке информации.

Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме.

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации.

Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации.

Технический канал утечки - информация передается посредством технических средств.

Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые.

Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт.

Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно).

Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения.

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию.

Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий.

Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.

Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия. Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.9

Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное на воздействие лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации.

Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.

Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.

Утечка (разглашение) информации характеризуется двумя условиями:

Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;

Информация переходит к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации. Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как «промокашка» для перехвата необходимой информации.

Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);

Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;

Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;

Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;

Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;

Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;

Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;

Получение нужной информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы.

Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом организации, документами, делами и базами данных.

Легальные методы входят в содержание понятий и «своей разведки в бизнесе», отличаются правовой безопасностью и, как правило, определяют возникновение интереса к организации. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «своей разведки» лежит кропотливая аналитическая работа злоумышленников и конкурентов специалистов-экспертов над опубликованными и общедоступными материалами организации. Одновременно изучаются деятельность и предоставляемые услуги организации, рекламные издания, информация, полученная в процессе официальных и неофициальных бесед и переговоров с работниками предприятия, материалы пресс-конференций, презентаций фирмы и услуг, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей, в том числе из Интернета. Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих сведений, которые предстоит добыть нелегальными методами, а некоторые уже и не надо добывать в связи с кропотливым анализом открытой информации.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в организации наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации. Формирование таких каналов при их отсутствии и реализация плана практического использования этих каналов.10

Таким образом, утечка информации с ограниченным доступом может наступить:

При наличии интереса организаций лиц, конкурентов к конкретной информации;

При возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;

При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Данные условия могут включать:

Отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз и каналов утечки информации, степени риска нарушений информационной безопасности организации;

Неэффективную, слабо организованную систему защиты информации фирмы или отсутствие этой системы;

Непрофессионально организованную технологию закрытого (конфиденциального) финансового документооборота, включая электронный, и делопроизводства по документированной информации с ограниченным доступом;

Неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

Отсутствие системы обучения сотрудников правилам работы с документированной информацией с ограниченным доступом;

Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;

Бесконтрольное посещение помещений организации посторонними лицами.

Каналы несанкционированного доступа и утечки информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.


2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая база конфиденциального делопроизводства

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих конфиденциальную информацию регулируются соответствующими законодательными и подзаконными актами.

К числу базовых относится, в первую очередь, Конституция РФ. В ст.23 установлено право неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.11

Основными также являются законы РФ: «О государственной тайне» от 22 июля 2004 г.; «О коммерческой тайне» от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну); «Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну». Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: «Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации, «Об утверждении правил оказания услуг телеграфной связи» и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150).12

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование (ст.137, 138, c.310).

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных

В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.

Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.

Регламентация доступа - установление правил, определяющих порядок доступа.

Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.

Информационная безопасность организации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и преступного использования информации, составляющей какую-либо конфиденциальную, коммерческую тайну. Задачи обеспечения информационной безопасности реализуются комплексной системой защиты информации, которая предназначена для решения множества проблем, возникающих в процессе работы с информацией, в том числе и финансовой.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать».

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальная информация по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.

При составлении конфиденциальных документов следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

Любое несанкционированное или санкционированное обращение к информации должно регистрироваться. Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматический стираться.13

Обычно доступ к базам данных и файлам подразумевает:

определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором Применение пользователем собственных кодов не допускается.14

Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.15

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;

наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,

соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы,

наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

наличие систем контроля за работой сотрудника.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.


3.Защита информации ограниченного доступа в

ОАО «ЧЗПСН – Профнастил»

3.1 Характеристика ОАО «ЧЗПСН – Профнастил»

Полное официальное наименование предприятия - открытое акционерное общество «Челябинский завод профилированного стального настила». Сокращенное наименование предприятия ОАО «ЧЗПСН – Профнастил».

Предприятие относится к строительной отрасли. В связи со сложным экономическим положением, было образовано ЗАО «Челябинский профнастил», которое работает с ОАО на условиях толлинга, т.е. закупает сырьё и на давальческих условиях передаёт его в ОАО, потом реализует продукцию.

Численность производственно-промышленного персонала по состоянию на начало 2007-го года - 635 человек.

Предприятие образовано 4-го февраля 1974 года. В сентябре 1993 года преобразовано в акционерное общество открытого типа с уставным капиталом 83 745 рублей, разделенным на 837 450 обыкновенных акций, имеющих одинаковую номинальную стоимость 0,1 рубля. В июле 1998 года предприятие перерегистрировано в открытое акционерное общество.

Общее количество акционеров компании по состоянию на 28.02.2007 г. составляет 371, из которых: - 2 юридических лица, обладающих в общей сложности около 18% акций предприятия;

369 физических лиц, обладающих в совокупности 82% акций предприятия.

Основными видами деятельности предприятия согласно уставным документам являются:

производство легких ограждающих конструкций и изделий из них;

производство теплоэнергии;

оказание услуг промышленного характера по очистке промсточных

производство товаров народного потребления;

строительно-монтажные и строительные работы;

оказание бытовых услуг населению.

3.2 Система защиты информации в ОАО «ЧЗПСН – Профнастил»

Рассмотрим защиту конфиденциальной информации в ОАО «ЧЗПСН – Профнастил». Организация работы с документами, содержащими коммерческую тайну, ведется 2-мя подразделениями: общим отделом и отделом кадров.

Сотрудники ОАО «ЧЗПСН – Профнастил», которые имеют к информации, содержащей сведения конфиденциального характера, при приеме на работу знакомятся с Перечнем сведений, содержащих коммерческую тайну, и подписывают обязательство о неразглашении коммерческой тайны.

Перечень сведений, составляющих коммерческую тайну ОАО «ЧЗПСН – Профнастил», составлен с учетом ФЗ «О коммерческой тайне».

Хранение документов с грифом «Коммерческая тайна» осуществляется в сейфах и сейфовых шкафах или на металлических закрывающихся стеллажах, а также в закрытых для свободного доступа помещениях, либо, с разрешения генерального директора, в других подразделениях при обеспечении условий их гарантированной сохранности.

Выдача сотрудникам конфиденциальных документов ведется строго в соответствии со списком фамилий на обороте последнего листа документа. Движение (выдача и возврат) документов с грифом «Коммерческая тайна» отражается в журнале учета выдачи документов с грифом «Коммерческая тайна».

Если документы хранятся в подразделениях завода, то за их выдачу, возврат и отражение данных фактов в журнале учета выдачи документов с грифом «Коммерческая тайна» отвечает руководитель подразделения. Сотрудники оповещаются о введении новых сведений, содержащих коммерческую тайну, путем ознакомления с приказом о мерах по охране коммерческой тайны.

К конфиденциальной информации относятся и персональные данные сотрудников ОАО «ЧЗПСН – Профнастил». С персональными данными в первую очередь работают сотрудники отдела кадров.

Наиболее распространенными операциями с персональными данными являются их получение, обработка, хранение и передача.

К документам, содержащим информацию, необходимую работодателю при приеме на работу, относятся документы, предъявляемые при заключении трудового договора. Все эти документы указаны в ст.65 Трудового кодекса РФ и соответствующих положениях иных федеральных законов.

Хранятся личные дела и другие документы, отражающие персональные данные сотрудников, в сейфовых шкафах в помещении отделе кадров. Ключи от сейфовых шкафов находятся у сотрудников отдела.

Персональных данные не сообщаются третьей стороне без письменного согласия работника, причем лица, получающие персональные данные работника, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

На предприятии ведется разделение документов по типам с заведением соответствующих папок (каталогов). Например, основной каталог именуется «Документы». Следующий уровень - входящие в него подкаталоги: «Договоры», «Презентации», «Заказчики», «Конкуренты» и т.п.

Сотрудники, согласно установленным правилам, не должны выкидывать в мусорную корзину ненужные документы (пусть и не конфиденциальные). Для этих целей используется шредер - уничтожитель бумаг.

Для соблюдения безопасности на рассматриваемом предприятии компьютеры подключенные к Интернету поставлены отдельно (по количеству кабинетов в офисе, сотрудников, другим критериями на собственное усмотрение). Разработан порядок переноса информации с компьютеров и на них, назначен ответственный.

Съемные диски хранятся в запертом сейфе и выдаются под расписку.

Ведутся два комплекта архивов. Один, обновляемый раз месяц - в банковской ячейке, другой, повседневный - в сейфе.

Таким образом, проанализировав систему защиты информации в ОАО «ЧЗПСН – Профнастил» выявлены следующие недостатки:

В целом законодательство о защите персональных данных соблюдается в организации практически во всех отношениях. Но пока еще только разрабатывается локальный нормативный акт, который закрепляет порядок получения, обработки, хранения и передачи персональных данных работника с учетом недавно принятых нормативно-правовых документов. Данная разработка сегодня регулируется положениями Трудового кодекса и ФЗ «О персональных данных».

Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.

Завод не имеет в своей структуре службы безопасности.

Отсутствие системы конфиденциального делопроизводства в организации.

На предприятии существуют устаревшие методы и принципы организации работы с документами.

3.3 Совершенствование системы безопасности информации ограниченного доступа

Для решения проблемной ситуации (создания системы конфиденциального делопроизводства) в организации необходимо:

Выделить, объединив участников документооборота, самостоятельное структурное подразделение (службу конфиденциального делопроизводства). Разработать положение о подразделении, должностные инструкции работников подразделения;

Разработать новую инструкцию о конфиденциальном делопроизводстве, устанавливающую порядок составления, оформления конфиденциальных документов, конфиденциального документооборота, контроль исполнения конфиденциальных документов, согласования документов, ведения делопроизводства. Ознакомить всех сотрудников организации.

Необходимо обучить сотрудников, правилам работы с конфиденциальными документами.

Выделить помещение для службы конфиденциального делопроизводства. В нем должно быть помещение для хранения конфиденциальных документов, помещение для работы с конфиденциальными документами. Это помещение должно быть оборудовано соответствующим образом:

перед входом в помещение должна быть установлена камера видеонаблюдения;

на дверях должен стоять кодовый замок или идентификатор;

в помещениях должен быть установлен кондиционер;

должен стоять сейф или металлические шкафы для хранения документов;

рабочие места в помещениях для работы сотрудников должны быть огорожены специальными перегородками;

на окнах необходимо повесить жалюзи или светонепроницаемые шторы.

Ввести пропускной режим на территорию ОАО «ЧЗПСН-Профнастил».

Все конфиденциальные документы должны быть сосредоточены в службе конфиденциального делопроизводства.

Выделить специальное помещение и оборудовать соответствующим образом для проведения конфиденциальных совещаний и переговоров.

Необходимо разработать положение о конфиденциальной информации, правила работы с конфиденциальными документами.

В целях обеспечения информационной безопасности внутренняя сеть и Интернет должны быть разделены. В идеале, компьютер для выхода в Интернет должен быть обособлен и, не иметь никакой прямой связи с другими рабочими станциями.

Функции, которой будут следующими:

организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;

разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся информацией ограниченного доступа, при всех видах работ организует и контролирует выполнение требований инструкции по защите конфиденциальной информации;

изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;

организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;

разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиту информации;

обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;

осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите конфиденциальной информации организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;

ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальной информации;

ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.

Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от «потенциальных клиентов» с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту, незначительную, на первый взгляд, информацию. Лучше всего, чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще не поступивших в производство. Надо быть предельно осторожным при проведении различных ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть самым тщательным образом проинструктирован.16

Альтернативный путь организации - формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит службе безопасности иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите коммерческой тайны. Такая система имеет следующие преимущества:

укрепляются связи между сотрудниками службы безопасности и сотрудниками производства;

растет понимание требований защиты информации сотрудниками;

развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией;

рассмотрение существующих проблем безопасности с позиций отделов;

сокращение штата службы безопасности;

экономия средств на тренинги.

Важно уделить внимание поддержанию и совершенствованию нововведении, чтобы не вернуться к прежним методам работы. Итогом данного исследования является принятие руководством анализируемого предприятия решения о необходимости совершенствования конфиденциального делопроизводства с учетом всех описанных рекомендаций и факторов по их внедрению.

Заключение

В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.

Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования её конкретности для нанесения вреда предприятию.

При решении задач по защите информационных ресурсов компании необходимо разработать политику информационной безопасности предприятия - это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с целью обеспечения компьютерной безопасности. Политика информационной безопасности - это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.

Система защиты компьютерной информации от несанкционированного доступа может рассматриваться в двух приложениях:

Защита автономного компьютера;

Защита компьютера в составе сети (ЛВС).

В процессе данного исследования проанализирована система защиты информационных ресурсов компании ОАО «ЧЗПСН – Профнастил».

Руководству компании следует обратить особое внимание на то, что существующая система защиты информационных ресурсов традиционного и электронного документооборота на данный момент является уже устаревшей и недостаточной для полноценной защиты информации.

Что касается системы защиты информации от несанкционированного доступа на традиционных носителях и защиты традиционного конфиденциального документооборота, то можно отметить практически полную реализацию требований. В наличии полный набор необходимых нормативно-методических материалов по работе с конфиденциальной информацией: Положение по защите коммерческой тайны на предприятии, Инструкция по обеспечению сохранности сведений составляющих коммерческую тайну компании, Памятка о сохранении коммерческой тайны предприятия, Обязательство о неразглашении коммерческой тайны, Предупреждение о необходимости сохранения коммерческой тайны при увольнении с предприятия, Инструкции по обеспечению сохранности сведений составляющих коммерческую тайну компании для структурных подразделений, Журналы регистрации входящих, исходящих документов, регистрации и учета носителей, учета изданных документов, все перечисленные нормативно-методические материалы утверждены генеральным директором компании.

Таким образом, в работе исследованы и проанализированы современные требования к организации защиты конфиденциальной информации, рассмотрены критерии и технологии построения и использования систем защиты информационных ресурсов предприятия, на основе анализа теоретического материала и рекомендаций ведущих специалистов в области защиты конфиденциальной информации, даны рекомендации по рационализации существующей в компании системы защиты информационных ресурсов. Поставленные в работе задачи можно считать достигнутыми.


Список использованных источников:

Российская Федерация. Конституция (1993). Конституция Российской Федерации: офиц. текст. - М.: Право, 2002.

Гражданский кодекс Российской Федерации: офиц. текст: по состоянию на 30.12.2004/М-во юстиции Рос.Федерации. - М.: Юристъ, 2005.

Российская Федерация. Законы. Об электронной цифровой подписи от 10 января 2002 г. №1 - ФЗ / Федер. Собр. Рос. Федерации. - М.: ГД РФ, 2002.

Российская Федерация. Законы. Об архивном деле в Российской Федерации от 01 октября 2004 № 125 - ФЗ // Собрание актов Президента и Правительства РФ. - № 11.

Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации от 27 июля 2006 № 149 - ФЗ // Российская газета. - 29 июля 2006.

Российская Федерация. Законы. О персональных данных от 27 июля 2006 № 152 - ФЗ // Бюллетень нормативных актов министерств и ведомств. - № 7. - 2006.

ГОСТ Р 52292-2004. Информационная технология. Электронный обмен информацией. Термины и определения. - М.: Изд-во стандартов, 2004.

Алексенцев, А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. - 2013. - № 4.

Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2004.

Аутентификация как средство защиты информации в корпоративных информационных системах / Л.А. Сысоева//Секретарское дело. - 2012. - № 1.

Бачило, И.Л. Развитие законодательства РФ в сфере информации / И.Л. Бачило, А.А. Антопольский, Г.В. Белова и др. // Информация и связь / Ин - т госуд. и права РАН. - 2012. - № 7.

Вус, М.А. Информатика: введение в информационную безопасность / М.А. Вус, В.С. Гусев, Д.В. Долгирев и др. - СПб., 2011.

Горшкова, Л.А. Анализ организации управления / Л.А. Горшкова. - М.: Финансы и статистика, 2013.

Делопроизводство: учеб. / Е.Н. Басовская, Т.А. Быкова, Л.М. Вялова и др. - 2-е изд., стереотип. - М.: Academia, 2013.

Документирование управленческой деятельности: учеб. пособие / Под ред.В. В. Маковецкого. - М.: КолосС, 2005.

Закон о персональных данных: последствия для делопроизводства / Н.А. Храмцовская // Делопроизводство и документооборот на предприятии. - 2007. - № 2.

Защита информации на уровне баз данных как компонент системы безопасности корпоративных информационных систем / Л.А. Сысоева // Секретарское дело. - 2013. - № 3.

Ильин, К. Вопросы информационной безопасности при электронном документообороте / К. Ильин // Защита информации. INSIDE. - 2006. - № 4.

Интеллектуальная собственность и авторское право / В.Я. Ищейнов // Секретарское дело. - 2012. - № 3.

Информационная безопасность коммерческого банка / О.Э. Говорухин // Делопроизводство. - 2013. - № 1.

Информационная безопасность коммерческого банка / О.Э. Говорухин // Делопроизводство. - 2013. - № 2.

Информационная безопасность / Т.А. Партыка, И.И. Попов: Форум, ИНФРА-М, 2012. -

Информационная безопасность / А.А. Садердинов, В.А. Трайнев, А.А. Федулов. - 2-е изд. - М.: Дашков и К', 2012.

Информационные ресурсы развития Российской Федерации. Правовые проблемы / Д.М. Бройдо // Информация и связь. - 2013. - № 9.

Информационные технологии управления / Под ред. Г.А. Титоренко. - 2-е изд., доп. - М.: ЮНИТИ-ДАНА, 2013.

Некоторые аспекты информационной безопасности / М.В. Мецатунян, В.Я. Ищейнов // Делопроизводство. - 2012. - № 1.

Общие требования при обработке персональных данных работника и гарантия их защиты / С.А. Борисова. - 2012. - № 11.

Организация работы по рассекречиванию документов / А.С. Демушкин // Делопроизводство. - 2012. - № 4.

Охотников, А.В. Документоведение и делопроизводство / А.В. Охотников. - М.: Дело, 2012.

Панкратов, Ф.Г. Коммерческая деятельность: учеб. / Ф.Г. Панкратов. - М.: Маркетинг, 2013.

Положение о защите персональных данных работников / Л.Р. Фионова, О.В. Касперская // Секретарское дело. - 2013. - № 10.

Степанов, Е.А. Информационная безопасность и защита информации: учеб. пособие / Е.А. Степанов, И.К. Корнеев. - М.: Инфра-М, 2013.

1 Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌а᠌я Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌я. З᠌а᠌к᠌о᠌н᠌ы. О п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌а᠌н᠌н᠌ы᠌х от 27 и᠌ю᠌л᠌я 2006 № 152 - ФЗ // Б᠌ю᠌л᠌л᠌е᠌т᠌е᠌н᠌ь н᠌о᠌р᠌м᠌а᠌т᠌и᠌в᠌н᠌ы᠌х а᠌к᠌т᠌о᠌в м᠌и᠌н᠌и᠌с᠌т᠌е᠌р᠌с᠌т᠌в и в᠌е᠌д᠌о᠌м᠌с᠌т᠌в. - № 7. - 2006.

2 Алексенцев, А.И. Организация и т᠌е᠌х᠌н᠌о᠌л᠌о᠌г᠌и᠌я р᠌а᠌з᠌м᠌н᠌о᠌ж᠌е᠌н᠌и᠌я к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌о᠌к᠌у᠌м᠌е᠌н᠌т᠌о᠌в / А.И. А᠌л᠌е᠌к᠌с᠌е᠌н᠌ц᠌е᠌в. - 2013. - № 4.

3 Г᠌р᠌а᠌ж᠌д᠌а᠌н᠌с᠌к᠌и᠌й к᠌о᠌д᠌е᠌к᠌с Российской Федерации: офиц. т᠌е᠌к᠌с᠌т: по с᠌о᠌с᠌т᠌о᠌я᠌н᠌и᠌ю на 30.12.2004/М-во ю᠌с᠌т᠌и᠌ц᠌и᠌и Рос.Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и. - М.: Юристъ, 2005.

4 Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌а᠌я Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌я. З᠌а᠌к᠌о᠌н᠌ы. О п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌ь᠌н᠌ы᠌х данных от 27 и᠌ю᠌л᠌я 2006 № 152 - ФЗ // Б᠌ю᠌л᠌л᠌е᠌т᠌е᠌н᠌ь н᠌о᠌р᠌м᠌а᠌т᠌и᠌в᠌н᠌ы᠌х а᠌к᠌т᠌о᠌в м᠌и᠌н᠌и᠌с᠌т᠌е᠌р᠌с᠌т᠌в и в᠌е᠌д᠌о᠌м᠌с᠌т᠌в. - № 7. - 2006.

5 Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌а᠌я Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌я. К᠌о᠌н᠌с᠌т᠌и᠌т᠌у᠌ц᠌и᠌я (1993). К᠌о᠌н᠌с᠌т᠌и᠌т᠌у᠌ц᠌и᠌я Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌о᠌й Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и: о᠌ф᠌и᠌ц. т᠌е᠌к᠌с᠌т. - М.: П᠌р᠌а᠌в᠌о, 2002.

6 Г᠌р᠌а᠌ж᠌д᠌а᠌н᠌с᠌к᠌и᠌й к᠌о᠌д᠌е᠌к᠌с Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌о᠌й Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и: о᠌ф᠌и᠌ц. т᠌е᠌к᠌с᠌т: по с᠌о᠌с᠌т᠌о᠌я᠌н᠌и᠌ю на 30.12.2004/М-во ю᠌с᠌т᠌и᠌ц᠌и᠌и Рос.Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и. - М.: Ю᠌р᠌и᠌с᠌т᠌ъ, 2005.

7 П᠌а᠌н᠌к᠌р᠌а᠌т᠌о᠌в, Ф.Г. К᠌о᠌м᠌м᠌е᠌р᠌ч᠌е᠌с᠌к᠌а᠌я деятельность: учеб. / Ф.Г. Панкратов. - М.: М᠌а᠌р᠌к᠌е᠌т᠌и᠌н᠌г, 2013.

8 А᠌л᠌е᠌к᠌с᠌е᠌н᠌ц᠌е᠌в, А.И. О᠌р᠌г᠌а᠌н᠌и᠌з᠌а᠌ц᠌и᠌я и т᠌е᠌х᠌н᠌о᠌л᠌о᠌г᠌и᠌я р᠌а᠌з᠌м᠌н᠌о᠌ж᠌е᠌н᠌и᠌я к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌о᠌к᠌у᠌м᠌е᠌н᠌т᠌о᠌в / А.И. А᠌л᠌е᠌к᠌с᠌е᠌н᠌ц᠌е᠌в. - 2013. - № 4.

9 Общие требования при о᠌б᠌р᠌а᠌б᠌о᠌т᠌к᠌е п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌а᠌н᠌н᠌ы᠌х р᠌а᠌б᠌о᠌т᠌н᠌и᠌к᠌а и гарантия их з᠌а᠌щ᠌и᠌т᠌ы / С.А. Б᠌о᠌р᠌и᠌с᠌о᠌в᠌а. - 2012. - № 11.

10 П᠌а᠌н᠌к᠌р᠌а᠌т᠌о᠌в, Ф.Г. Коммерческая деятельность: у᠌ч᠌е᠌б. / Ф.Г. П᠌а᠌н᠌к᠌р᠌а᠌т᠌о᠌в. - М.: М᠌а᠌р᠌к᠌е᠌т᠌и᠌н᠌г, 2013.

11 Российская Федерация. К᠌о᠌н᠌с᠌т᠌и᠌т᠌у᠌ц᠌и᠌я (1993). К᠌о᠌н᠌с᠌т᠌и᠌т᠌у᠌ц᠌и᠌я Р᠌о᠌с᠌с᠌и᠌й᠌с᠌к᠌о᠌й Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и: о᠌ф᠌и᠌ц. т᠌е᠌к᠌с᠌т. - М.: П᠌р᠌а᠌в᠌о, 2002.

12 Гражданский кодекс Российской Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и: о᠌ф᠌и᠌ц. т᠌е᠌к᠌с᠌т: по состоянию на 30.12.2004/М-во юстиции Рос.Ф᠌е᠌д᠌е᠌р᠌а᠌ц᠌и᠌и. - М.: Ю᠌р᠌и᠌с᠌т᠌ъ, 2005.

13 П᠌а᠌н᠌к᠌р᠌а᠌т᠌о᠌в, Ф.Г. К᠌о᠌м᠌м᠌е᠌р᠌ч᠌е᠌с᠌к᠌а᠌я деятельность: у᠌ч᠌е᠌б. / Ф.Г. П᠌а᠌н᠌к᠌р᠌а᠌т᠌о᠌в. - М.: М᠌а᠌р᠌к᠌е᠌т᠌и᠌н᠌г, 2013.

14 А᠌л᠌е᠌к᠌с᠌е᠌н᠌ц᠌е᠌в, А.И. О᠌р᠌г᠌а᠌н᠌и᠌з᠌а᠌ц᠌и᠌я и т᠌е᠌х᠌н᠌о᠌л᠌о᠌г᠌и᠌я р᠌а᠌з᠌м᠌н᠌о᠌ж᠌е᠌н᠌и᠌я к᠌о᠌н᠌ф᠌и᠌д᠌е᠌н᠌ц᠌и᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌о᠌к᠌у᠌м᠌е᠌н᠌т᠌о᠌в / А.И. А᠌л᠌е᠌к᠌с᠌е᠌н᠌ц᠌е᠌в. - 2013. - № 4.

15 О᠌б᠌щ᠌и᠌е т᠌р᠌е᠌б᠌о᠌в᠌а᠌н᠌и᠌я при о᠌б᠌р᠌а᠌б᠌о᠌т᠌к᠌е п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌а᠌н᠌н᠌ы᠌х р᠌а᠌б᠌о᠌т᠌н᠌и᠌к᠌а и г᠌а᠌р᠌а᠌н᠌т᠌и᠌я их з᠌а᠌щ᠌и᠌т᠌ы / С.А. Б᠌о᠌р᠌и᠌с᠌о᠌в᠌а. - 2012. - № 11.

16 О᠌б᠌щ᠌и᠌е т᠌р᠌е᠌б᠌о᠌в᠌а᠌н᠌и᠌я при о᠌б᠌р᠌а᠌б᠌о᠌т᠌к᠌е п᠌е᠌р᠌с᠌о᠌н᠌а᠌л᠌ь᠌н᠌ы᠌х д᠌а᠌н᠌н᠌ы᠌х р᠌а᠌б᠌о᠌т᠌н᠌и᠌к᠌а и г᠌а᠌р᠌а᠌н᠌т᠌и᠌я их з᠌а᠌щ᠌и᠌т᠌ы / С.А. Б᠌о᠌р᠌и᠌с᠌о᠌в᠌а. - 2012. - № 11.

PAGE   \* MERGEFORMAT 16




1. Саратовская государственная юридическая академия 1
2. Занятия, способствующие дифференцированному восприятию цвета
3. Концепции современного естествознания
4. Джан А.Платонова в сопоставлении с ранним творчеством автора и философией Николая Федорова
5. ТЕМА 4. Налоги и отчисления включаемые в себестоимость продукции работ услуг
6. ЭКОЛОГИЯ Магистерская программа БИОФИЗИКА ЗАЧЕТЫ
7. Ответственность работников и работодателей за нарушение норм трудового законодательства
8. О порядке проведения органом местного самоуправления открытого конкурса по отбору управляющей организации
9. Амебы
10. После Сергеев ГеоргийНа улице по обычаю стояла говеная погода мне не хотелось делать чт

Материалы собраны группой SamZan и находятся в свободном доступе