Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ЮЖНО-УРАЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ФАКУЛЬТЕТ «ЭКОНОМИКИ И ПРЕДПРИНИМАТЕЛЬСТВА»
Кафедра «Информационной безопасности»
КУРСОВАЯ РАБОТА
По курсу: Теория информационной безопасности и методология защиты информации (ТИБиМЗИ)
Тема: «ТЕОРИЯ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АДВОКАТСКОЙ КОНТОРЕ»
Работу выполнил:
студентка гр. ЭиП-284
Баликаева Ю.А.
Работу проверил:
Астахова Л.В.
Челябинск
2008
1. Введение
1.1. Краткая характеристика (паспорт) предприятия
1.2. Обоснование актуальности проблемы защиты информации в адвокатской фирме
1.3. Цели
1.4. Задачи
2. Заключение
2.1. Концепция защиты информации в адвокатской фирме «Юстина»
2.2. Оценка степени важности полученной информации
3. Рекомендации
4. Информационно-аналитический обзор
4.1. Цели и задачи защиты информации в адвокатской конторе
4.2. Объекты и предметы защиты в адвокатской конторе
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
4.4. Угрозы защищаемой информации в адвокатской конторе
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе
4.8. Основные направления, методы и средства защиты информации в адвокатской конторе
4.9. Организация комплексной системы защиты информации в адвокатской конторе
5. Источники информации и оценка их надежности
5.1. Список выявленной литературы
5.1.1. Консультант–Плюс
5.1.2. Текущие библиографические указатели и реферативные журналы
5.1.3. Электронный каталог
5.1.4. Информационно–поисковые системы Интернет
5.1.5. Сплошной просмотр периодических изданий
5.2. Список использованной литературы
5.2.1. Вторичные источники
5.2.2. Первичные источники
5.2.3. Оценка надежности использованных источников
6. Недостающая информация
7. Основная и альтернативная гипотезы
1.1. Краткая характеристика (паспорт) предприятия
1. Адвокатская фирма "Юстина" (Россия, 119019, г.Москва, Лебяжий переулок, д. 8/4, стр.1. Teл./факс: (495) 202-45-02, 202-35-25; 203-71-49, 203-43-53; 637-59-56, 637-26-51. E-mail: law@yustina.ru)
. Фирма основана 25 марта 1992 года в городе Москве в форме товарищества юристов для оказания высококвалифицированных юридических услуг бизнесу.
. Основной целью создания и деятельности фирмы было и остается предоставление юридических услуг российским и иностранным юридическим и физическим лицам в сфере бизнеса. Оказываемые услуги:
Защита интересов в суде
Фирма осуществляет представление и защиту интересов Клиента по любой категории дел во всех видах судопроизводства (арбитражных судах, судах общей юрисдикции, третейских судах, Конституционном Суде РФ, в Европейском Суде по правам человека) и на любых его стадиях.
Практика в области собственности
Специалисты Адвокатской фирмы «Юстина» по заданию Клиента осуществляют проведение юридических проверок (due diligence) предприятий, а также правовое сопровождение сделок с землей и другим недвижимым имуществом (изучение правоустанавливающих документов и «правовой истории» объекта недвижимости, выработка правовой концепции его приобретения, отчуждения, оптимизация налогообложения сделки, подготовка проекта договора, привлечение при необходимости нотариуса, оценщика, страховой организации).
Корпоративное право
Консультирование по любым вопросам корпоративных отношений. Подготовка правовой документации и организация проведения общих собраний акционеров крупных предприятий. Приобретение предприятий. Выработка рекомендаций по сохранению и защите собственности, организация учета и хранения прав собственника. Защита собственников предприятий от недружественных поглощений. Реструктуризация бизнеса. Сопровождение процесса приватизации государственных предприятий, акционерных обществ, созданных в порядке приватизации.
Налогообложение
Обжалование решений налоговых органов, действий должностных лиц в вышестоящих налоговых органах и судах. Обжалование нормативных правовых актов о налогах и сборах в судах. Защита интересов налогоплательщика путем обращения в Конституционный Суд РФ, в Европейский Суд по правам человека. Составление и подача заявлений, жалоб, других документов правового характера, представление интересов налогоплательщика в этих судах. Помощь руководству организаций и физическим лицам в принятии бизнес-решений, связанных с налогообложением. Правовой анализ документов, подготовка заключений, правовых позиций, выработка концепции защиты по сложным ситуациям и спорам (судебным делам) с налоговыми органами. Консультирование по вопросам налогообложения и ведения предпринимательской деятельности.
Медиация
Адвокаты Фирмы имеют опыт проведения согласительных процедур и участвуют в работе Объединенной службы медиации (посредничества) при РСПП.
Финансовое право, ценные бумаги
Оказание юридической поддержки компаниям, осуществляющим выпуск своих ценных бумаг, подготовка необходимых юридических документов. Рекомендации в области банковского права, в том числе при осуществлении международных финансовых операций. Правовое обслуживание банков и иных финансовых учреждений.
Антикризисные (банкротные) процедуры
Выработка рекомендаций по наиболее оптимальной процедуре банкротства предприятия-должника (внешнее управление, конкурсное производство), разработка концепции и сценария выбранной процедуры банкротства и ее правовое сопровождение.
Страхование
Выработка рекомендаций при подготовке сделок с участием страховых организаций. Оказание помощи в выборе типа страхования любого объекта –от сделки до недвижимого имущества. Представительство в арбитражных судах, судах общей юрисдикции при разрешении споров, связанных со страховыми отношениями.
Международное право
Правовая помощь при заключении контрактов и иных сделок с участием иностранных партнеров. Оказание услуг по разрешению вопросов, связанных с международным частным правом. Подготовка и правовая поддержка инвестиционных проектов.
Защита интеллектуальной собственности
Консультирование по вопросам владения, пользования, применения и распоряжения результатами интеллектуальной деятельности и другими, приравненными к ним объектами. Оказание правовой помощи в области авторского, патентного права, права на товарный знак и других средств индивидуализации участников гражданского оборота. Защита интеллектуальной собственности в суде.
Защита нематериальных благ (честь, достоинство, деловая репутация, доброе имя)
Правовая экспертиза перспективы защиты нематериальных благ. Представление интересов заказчика в суде.
Экологическое право
Консультирование по вопросам ответственности за экологические преступления. Участие в разработке проектов строительства промышленных объектов. Представительство в судебных инстанциях по вопросам применения экологического права.
Уголовное и административное право
Участие на предварительном следствии и в суде по уголовным делам в качестве защитника, представителя потерпевших, гражданских истцов и ответчиков. Защита интересов при производстве дел об административных правонарушениях, нарушениях таможенного и налогового законодательства. Представление прав и законных интересов руководителей компаний и граждан во всех правоохранительных и иных государственных органах в экстренных случаях с выездом на место конфликтной ситуации 24 часа в сутки. Кроме этого, адвокатская фирма «Юстина» активно участвует в обучении юристов, менеджеров и других специалистов коммерческих организаций, частных предпринимателей основам гражданского права.
. Организационная структура:
5. В составе фирмы сейчас 33 адвоката, 2 секретаря, 2 бухгалтера, 1 системный администратор, 2 охранника. «Юстина» состоит из дипломированных специалистов, среди которых доктора и кандидаты юридических наук, а также адвокаты со значительным опытом работы, профессиональный уровень которых подтвержден результатами практики. Партнеры фирмы являются членами Международного союза (Содружества) адвокатов и Федерального союза адвокатов России.
. Средний доход предприятия за последние три года составляет примерно $ 245 тыс. Но при этом следует учитывать, что юридическая фирма уплачивает налоги в размере около 40% от чистой прибыли (доходы минус расходы). Кроме того, за счет получаемого вознаграждения адвокаты отчисляют средства на общие нужды адвокатской палаты; содержание соответствующего адвокатского образования; страхование профессиональной ответственности и иные расходы, связанные с осуществлением адвокатской деятельности.
. Характеристика информационной системы предприятия.
Программно-аппаратные средства: система правового обеспечения LIGA; пакет Microsoft Office; 1С:Предприятие, Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система видеонаблюдения внутри помещений, антижучки Профи (Antibug Profi): детекторы жучков и видеокамер, система сигнализации.
В офисе установлено 35 персональных компьютеров (у каждого адвоката свой, т.к. каждый занимается определенной отраслью права, + компьютер секретаря + компьютер системного администратора), 5 принтеров, 2 ксерокса, 2 сканера.
1С: Предприятие –это специализированная объектно-ориентированная система управления базами данных, предназначенная для автоматизации деятельности предприятия. В "Юстине" 1С-предприятие автоматизирует учетные задачи: кадровый учет, расчет зарплаты, бухгалтерский учет.
Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз Advanced на платформе Windows (от ИТ Энигма). В состав программного обеспечения входят прокси-сервер, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика.
Так как фирма хранит данные, не подлежащие разглашению (т.е. доступ к которым разрешен не всем), в фирме установлен биометрический турникет ТБИ 1.3. Человек, проходящий через турникет, автоматически сравнивается с базой данных людей, которым разрешен вход. Доступ разрешен только в случае совпадения лица человека с его трехмерной фотографией в базе данных. Изображения лиц, которым отказано в доступе, записываются для выявления попыток нарушения. Для защиты помещений –антижучки Профи (Antibug Profi): детекторы жучков и видеокамер и система видеонаблюдения внутри помещений.
На улице установлен уличный комплект UPC-26-220(24) для осуществления видеонаблюдения возле офиса. В комплект входит видеокамера, система термостабилизации, источник питания, коммутационная коробка. Расстояние передаваемого сигнала через видеолинию до 1500 м, температура окружающей среды от -40С до +50С.
1.2. Обоснование актуальности проблемы защиты информации в адвокатской фирме
|
"Чтобы получать от адвокатов необходимую помощь, люди должны доверять им такую информацию, которую они никому и ни при каких условиях не доверили бы..." |
|
"Теория адвокатуры", с.296. |
Эффективность современного предприятия (фирмы, организации и т.п.) сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит защита информации на предприятии.
Обеспечение защиты информации в адвокатской конторе предусматривает необходимость защиты нескольких видов тайн: адвокатской, коммерческой и персональных данных. Наиболее важной представляется защита адвокатской тайны, т.к. адвокат не может оказывать результативную профессиональную помощь доверителю без полного взаимопонимания. Доверитель должен чувствовать абсолютную уверенность в том, что вопросы, обсуждаемые с адвокатом, и предоставленная им адвокату информация останутся конфиденциальными, без каких-либо требований или условий. Это одно из условий необходимости защиты информации в адвокатской конторе. Но кроме этого в адвокатской конторе, как и в любой другой фирме, существует необходимость защиты и некоторых других видов конфиденциальной информации, а именно персональных данных и коммерческой тайны. В связи с этим система обеспечения информационной безопасности в адвокатской конторе является крайне важной.
1.3. Цели
Поэтому целью руководителя адвокатской конторы является обеспечение надежной защиты информации на предприятии для его нормального функционирования. Следовательно, моя цель, как аналитика, заключается в разработке концепции защиты информации в адвокатской фирме «Юстина», которая могла бы стать основой для формирования комплексной системы защиты информации на этом предприятии, при этом соответствовала требованиям к системе безопасности адвокатской конторы и помогала избежать неоправданных расходов и возрастания вероятности угроз.
1.4. Задачи
Для достижения поставленной передо мной цели мне необходимо решить следующие задачи:
Утверждено
постановлением
Президента фирмы «Юстина»
от _______ 200_года № __
Концепция защиты информации в адвокатской фирме «Юстина»
Концепция защиты информации в адвокатской фирме «Юстина» (далее - концепция) представляет собой систему взглядов на содержание проблемы защиты информации, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в адвокатской фирме «Юстина» (в дальнейшем –адвокатская фирма).
Цель разработки и внедрения Концепции –определение основных положений политики адвокатской фирмы в области защиты информации и создание единой системы правовых, организационных, технических и иных мер, надежно обеспечивающих защищенность адвокатской фирмы в информационной сфере.
Концепция служит основой для разработки целевых программ по обеспечению защиты информации адвокатской фирмы и подготовки предложений по их совершенствованию.
I. Общие положения
Отправной точкой при разработке политики адвокатской фирмы в области защиты информации является ясное понимание роли и места системы защиты информации в деятельности адвокатской фирмы и в сфере обеспечения его безопасности в целом. Защита информации является одним из элементов общей политики адвокатской фирмы в области безопасности, которая охватывает более широкий круг вопросов, начиная от охраны материальных ценностей адвокатской фирмы и защиты его персонала до использования криптографических средств защиты информации и предотвращения возможной утечки информации за счет побочных электромагнитных излучений. Элементы общей системы безопасности адвокатской фирмы должны быть взаимосвязаны и согласованы.
Защита информации в адвокатской фирме основывается на ряде основополагающих принципов:
Политика в области защиты информации в адвокатской фирме включает следующие основные этапы:
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.
II. Цели и задачи защиты информации в адвокатской конторе
Целями защиты информации в адвокатской фирме являются:
К задачам защиты информации в адвокатской фирме относятся:
III. Основные объекты защиты
Основными объектами защиты в адвокатской фирме являются:
Подлежащая защите информация может находиться в адвокатской фирме:
IV. Угрозы защищаемой информации и возможные источники их возникновения
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
Источниками (каналами) возникновения угроз могут являться:
V. Меры по обеспечению защиты информации в адвокатской конторе
Основными мерами по обеспечению защиты информации в адвокатской фирме являются:
1. Административно-правовые и организационные меры:
.1. Определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и коммуникационных систем, установление их ответственности за соблюдение нормативных правовых актов адвокатской фирмы в этой сфере;
.2. Разработка перечня возможных нарушений информационной безопасности и локальных нормативных актов, определяющих порядок защиты интересов адвокатской фирмы в сфере защиты информации;
.3. Оценка эффективности действующих в адвокатской фирме локальных нормативных актов по обеспечению защиты информации;
.4. Включение в должностные инструкции сотрудников обязанностей и ответственности в области обеспечения защиты информации;
.5. Совершенствование системы обучения сотрудников адвокатской фирмы по вопросам защиты информации в адвокатской фирме;
.6. Подготовка и повышение квалификации специалистов в области защиты информации;
.7. Аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих адвокатскую тайну и коммерческую тайну адвокатской фирмы;
.8. Разработка правил (регламентов, порядков) эксплуатации технических и программных средств с указанием действий в случаях нарушения режима безопасности (подозрений на нарушение);
.9. Оперативное реагирование (внедрение) на появление новых разработок в области информационных технологий;
.10. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы;
.11. Совершенствование нормативно-правовой базы, регламентирующие порядок обмена конфиденциальной информацией между адвокатской фирмой и сторонними организациями;
.12. Обеспечение принципа разграничения доступа: информация должна быть доступна только тем, кому она предназначена и разрешена;
.13. Предоставление сотрудникам минимально достаточных прав по доступу к информации, необходимых для выполнения ими своих функциональных обязанностей;
.14. Использование E-mail только в служебных целях;
.15. Пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации.
. Технические меры:
.1. Использование лицензионного программного обеспечения;
.2. Использование сертифицированных средств защиты информации для обработки, хранения и передачи конфиденциальной информации;
.3. Соблюдение положений информационно-технологической политики адвокатской фирмы;
.4. Обеспечение безотказной работы аппаратных средств;
.5. Проведение комплексной антивирусной защиты;
.6. Проведение аудита (контроль за деятельностью пользователей –успешный или неуспешный доступ к сетевым ресурсам, вход-выход в систему и пр.);
.7. Проведение контроля трафика сети на отдельных ее участках (сегментах);
.8. Проведение контроля состояния программного и информационного обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей);
.9. Проведение эффективной парольной защиты;
.10. Обеспечение резервного копирования;
.11. Проведение контроля за несанкционированными физическими подключениями к автоматизированным системам;
.12. Внедрение в ЛВС современной системы обнаружения вторжений;
.13. Использование для подключения к почтовому серверу защищенного соединения с целью шифрования паролей;
.14. Запрет несанкционированного доступа к ЛВС через удаленное соединение.
. Режимные меры:
.1. Хранение информации ограниченного распространения, составляющей адвокатскую тайну и коммерческую тайну адвокатской фирмы, разрешено только на специально подготовленной вычислительной технике, расположенной в специальных (выделенных) помещениях с ограниченным доступом;
.2. Круг лиц из числа сотрудников адвокатской фирмы, имеющих право работы со сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы, должен быть ограничен;
.3. Установление специальных режимных мер, применяемых в целях защиты информации в адвокатской фирме (ведение специального делопроизводства, выделение специально оборудованных помещений, поддержание необходимого уровня пропускного и внутриобъектового режима, подбор кадров, проведение комплексных защитно-поисковых мероприятий и т.п.);
.4. Аттестация объектов информатизации на соответствие требованиям обеспечения защиты информации при проведении работ, связанных с использованием конфиденциальных сведений, составляющих коммерческую тайну адвокатской фирмы;
.5. Совершенствование пропускного и внутриобъектового режима в адвокатской фирме и повышение ответственности сотрудников за выполнение требований установленных режимов;
.6. Разграничение доступа и контроль за доступом в выделенные помещения;
.7. Создание эффективной системы контроля за выполнением сотрудниками адвокатской фирмы требований локальных нормативных актов по обеспечению защиты информации адвокатской фирмы;
.8. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы.
VI. Организация системы обеспечения защиты информации в адвокатской конторе
Система обеспечения информационной безопасности адвокатской фирмы строится на основе разграничения полномочий управленческих и функциональных подразделений адвокатской фирмы в данной сфере.
Основными элементами организационной системы обеспечения информационной безопасности адвокатской фирмы являются: Президент адвокатской фирмы, управляющие партнеры и служба защиты информации.
Президент адвокатской фирмы определяет приоритетные направления деятельности в области обеспечения защиты информации в адвокатской фирме и меры по реализации Концепции защиты информации, утверждает списки сведений, подлежащих защите.
Управляющие партнеры с учетом определенных Президентом адвокатской фирмы приоритетных направлений в области обеспечения защиты информации предусматривают выделение средств, необходимых для реализации программ и координируют деятельность подразделений с учетом требований защиты информации в адвокатской конторе.
Служба защиты информации во взаимодействии с другими структурными подразделениями адвокатской фирмы обеспечивает выполнение административно-правовых, организационных и режимных мер по обеспечению защиты информации, координирует деятельность подразделений адвокатской фирмы в области информационной безопасности, проводит работу по выявлению и оценке угроз, разрабатывает предложения по их предотвращению, контролирует деятельность подразделений по обеспечению информационной безопасности.
Руководители структурных подразделений адвокатской фирмы обеспечивают выполнение всеми подчиненными сотрудниками установленных требований в области обеспечения защиты информации.
Обеспечение защиты информации в адвокатской фирме непосредственно на рабочих местах возлагается на сотрудников адвокатской фирмы.
VII. Ответственность за нарушение требований защиты информации в адвокатской фирме
По степени опасности нарушения, связанные с несоблюдением локальных нормативных актов по обеспечению защиты информации в адвокатской фирме делятся на две группы:
. Нарушения, повлекшие за собой наступление указанных выше нежелательных для адвокатской фирмы последствий (утечку или уничтожение информации);
. Нарушения, в результате которых созданы предпосылки, способные привести к нежелательным для адвокатской фирмы последствиям (угроза уничтожения или утраты информации).
Нарушение требований локальных нормативных актов адвокатской фирмы по обеспечению защиты информации в адвокатской фирме является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между адвокатской фирмой и сотрудниками.
Степень ответственности за нарушение требований локальных нормативных актов в области защиты информации в адвокатской фирме определяется исходя из размера ущерба, причиненного адвокатской фирме.
Руководители структурных подразделений адвокатской фирмы несут персональную ответственность за обеспечение защиты информации в возглавляемых ими подразделениях.
VIII. Ожидаемые результаты реализации концепции защиты информации в адвокатской фирме
Реализация настоящей Концепции позволит:
В результате будет создана система, соответствующая задачам обеспечения защиты информации в адвокатской конторе, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности адвокатской конторы.
2.2. Оценка степени важности полученной информации
Так как система организации защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий, то крайне важным представляется ознакомление с полученной информацией.
Например, знание объекта и предмета защиты в адвокатской конторе позволит определиться с целями и задачами разрабатываемой системы защиты информации на предприятии, знание возможностей методов и средств защиты информации позволит активно и комплексно применить их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации. Аналитические исследования, моделирование вероятных угроз позволят наметить при необходимости дополнительные меры защиты. При этом характеристика предприятия поможет оценить вероятность выполнения мер защиты, наличие методического материала, материального обеспечения, готовность службы защиты информации и персонала выполнить все необходимые меры. Знание недостатков в обеспечении сохранности конфиденциальной информации поможет спланировать дальнейшие мероприятия по обеспечению защиты информации.
Таким образом, я могу сделать вывод, что полученная информация не только поможет определиться с целями и задачами создания службы защиты информации, но и усовершенствовать уже имеющуюся службу защиты информации и спланировать дальнейшие мероприятия по защите конфиденциальной и общедоступной информации в адвокатской конторе «Юстина».
I. Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами –Службу защиты информации (СлЗИ).
. Руководитель предприятия своим приказом должен назначить начальника службы защиты информации во главе группы компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов должен сформировать предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
. Руководитель группы на основе этого списка должен определить и представить на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием различных тайн).
. Необходимы анализ существующих мер защиты соответствующих объектов, определение степени их недостаточности, неэффективности, физического и морального износа.
. Необходимо изучение зафиксированных случаев попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов должна выявить возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
. На основе собранных данных необходимо оценить возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например —для служебного пользования, конфиденциально, строго конфиденциально.
. Необходимо определить сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
. Группе необходимо подготовить введение указанных мер защиты.
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования –высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
В адвокатской фирме «Юстина» целесообразно организовать Службу защиты информации в следующем составе:
Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря).
Для работы СлЗИ необходимо подготовить ряд нормативных документов:
II. Внести дополнения в Устав предприятия для документационного обеспечения защиты: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Фирма имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов». А также необходимо проставить грифы конфиденциальности:
III. Необходимо дополнить технические средства защиты информации, а именно установить средства, защищающие от прослушивания телефонных переговоров, т.к. бывают случаи, когда клиенту нужна экстренная юридическая помощь или он находится в таком нервном состоянии, что может наговорить по телефону такие вещи, которые конкуренты могут использовать против него. К этому адвокатская фирма «Юстина» не готова. Поэтому некоторые юридические дела проигрываются из-за того, что противник имеет более современные средства перехвата необходимой информации для принятия соответствующих мер. Особенно это касается сложных и запутанных уголовных дел, а также связанных с собственностью большой стоимости.
IV. Периодически проводить тренинги с сотрудниками, на которых им объясняется важность защиты конфиденциальной информации в адвокатской фирме. А также ознакомить всех сотрудников с главой 28 Уголовного кодекса Российской Федерации «Преступления в сфере компьютерной информации».
V. Зафиксировать предложенные рекомендации, разработав пакет документов, включающий в себя:
План
4.1. Цели и задачи защиты информации в адвокатской конторе
4.2. Объекты и предметы защиты в адвокатской конторе
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
4.4. Угрозы защищаемой информации в адвокатской конторе
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе
4.8. Основные направления, методы и средства защиты информации в адвокатской конторе
4.9. Организация комплексной системы защиты информации в адвокатской конторе
Целями защиты информации предприятия являются:
К задачам защиты информации на предприятии относятся:
4.2. Объекты и предметы защиты в адвокатской конторе
Основными объектами защиты в адвокатской конторе являются:
Предметом защиты информации в адвокатской конторе являются носители информации, на которых зафиксированы, отображены защищаемые сведения [4, с.311]:
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
Внешние факторы:
Внутренние факторы:
4.4. Угрозы защищаемой информации в адвокатской конторе
Внешние угрозы:
Внутренние угрозы:
Классификация угроз:
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
К источникам дестабилизирующего воздействия на информацию относятся [4, с.203]:
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:
Эти категории людей подразделяются на две группы:
Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [4, с. 204].
Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников –к отдельным формам).
К техническим средствам отображения, хранения, обработки, воспроизведения, передачи информации и средствам связи в адвокатской конторе относятся электронно-вычислительная техника (персональные компьютеры); копировально-множительная техника (ксероксы, принтеры, сканеры); средства видео- и звукозаписывающей и воспроизводящей техники (видеокамеры, диктофоны) и средства телефонной, телеграфной, факсимильной, громкоговорящей передачи информации.
Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации это системы электроснабжения, водоснабжения, теплоснабжения, кондиционирования и вспомогательные электрические и радиоэлектронные средства (электрические часы, бытовые магнитофоны и др.).
Природные явления включают стихийные бедствия и атмосферные явления.
Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям[4, с. 207].
Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:
. Непосредственное воздействие на носители защищаемой информации.
2. Несанкционированное распространение конфиденциальной информации.
3. Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.
. Нарушение режима работы перечисленных средств и технологии обработки информации.
5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.
Способами непосредственного воздействия на носители защищаемой информации могут быть:
Несанкционированное распространение конфиденциальной информации может осуществляться путем:
К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:
Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:
- заражение программ обработки информации вредоносными программами;
- передача ложных сигналов –подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.
К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.
Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:
- разрушение (поломка);
- затопление;
- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;
- нарушение режима работы средств и систем, а также технологии обработки информации.
4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести [4, с. 213]:
Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:
- физическое недомогание (болезни, переутомление, стресс, апатия).
Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:
- недостаток или плохое качество средств;
В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.
4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе
К числу наиболее вероятных каналов утечки информации можно отнести [15]:
При организации защиты информации в адвокатской конторе необходимо учитывать следующие возможные методы и способы сбора информации:
Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.
Наиболее вероятно использование следующих способов добывания информации [15]:
4.8. Основные направления, методы и средства защиты информации в адвокатской конторе
Направления защиты информации
Правовая защита –специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.
Правовые меры, регулирующие вопросы защиты конфиденциальной информации, можно разделить на две основные группы. К первой группе относятся законодательные акты государства, регламентирующие деятельность предприятий в области защиты различных видов тайн, определяющие объем их прав и обязанностей в области защиты. К этой группе можно отнести такие законы, принятые в Российской Федерации, как: «О коммерческой тайне» от 29 июля 2004 года; «Об адвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002; «О персональных данных» от 27.07.2006; «О предприятиях и предпринимательской деятельности» от 25 декабря 1990 г.; «О частной детективной и охранной деятельности в РФ» от 11 марта 1992 г.; «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22 марта 1991 г.; Гражданский кодекс; Кодекс профессиональной этики адвоката от 31.01.2003; Трудовой кодекс Российской Федерации от 30.12.2001 и др.
Ко второй группе относятся нормативно-правовые документы, регламентирующие организацию, порядок и правила защиты конфиденциальной информации на предприятии. К ним относятся:
5. Документы, типа перечня, реестра и т.п., определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия. В этих перечнях следует также указывать сроки засекречивания информации и уровень ее защиты.
Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.
Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.
Организационная защита –регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:
Организационная служба защиты информации состоит из:
Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.
Инженерно-техническая защита –использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:
Методы защиты информации
Метод – в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность [4, с. 270].
Основными методами, используемыми в защите информации в адвокатской конторе, являются следующие: скрытие, ранжирование, морально-нравственные методы и учет.
Скрытие –как метод защиты информации является реализацией максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем засекречивания информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности; устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.
Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа. Т.е. пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.
Морально-нравственные методы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
Учет обеспечивает возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные обо всех пользователях этой информации.
Принципы учета засекреченной информации:
Средства защиты информации
Средства защиты информации –это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации [4, с. 273].
В качестве основания классификации средств защиты информации используются основные группы задач, решаемые с помощью технических средств:
Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации.
4.9. Организация комплексной системы защиты информации в адвокатской конторе
Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:
Для определения объема информации, нуждающейся в защите, следует привлекать работников предприятия. Во главе этой работы должен стоять опытный менеджер.
Программа будет отражать размер данного предприятия, тип технологии и деловой информации, которую необходимо защищать, финансовые возможности предприятия, прошлые случаи кражи подобной информации, реальный, имевший место в прошлом, или потенциальный урон от таких краж и другие обстоятельства. В программе должны учитываться возможные источники и каналы утечки информации.
Для построения системы защиты конфиденциальной информации на предприятии необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия. Структура и штат СлЗИ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, как правило, должны комплектоваться инженерно-техническими работниками - специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СлЗИ предприятия (фирмы), а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.
Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников предприятия умению хранить секреты своей фирмы; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.
СлЗИ готовит руководству предприятия предложения по вопросам защиты конфиденциальной информации, порядка определения и пересмотра перечня сведений, составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим различные виды тайн. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии рынка, конкурентах, финансовых возможностях партнеров по переговорам и др.
СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками предприятия, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток конкурентов получить несанкционированный доступ к защищаемой предприятием информации и т.д. Она должна находиться на высоком уровне в организационной структуре предприятия с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники фирмы должны знать политику фирмы по защите этой информации и меры наказания за нарушение этих правил.
Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию предприятия, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня –исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.
Система доступа к сведениям, составляющим какую-либо тайну, должна обеспечить безусловное ознакомление с такими материалами только тех лиц, которым они нужны по службе. Система доступа к конфиденциальной информации –есть комплекс административно-правовых норм, обеспечивающих получение необходимой для работы информации каждым исполнителем и руководителем секретных работ. Цель системы –обеспечить только санкционированное получение необходимого объема конфиденциальной информации. В структуру этой системы входят:
Для обеспечения физической сохранности носителей засекреченной информации и предотвращения доступа посторонних лиц нужна система охраны, которая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носителям защищаемой информации. Обеспечение физической целостности и сохранности конфиденциальных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается использованием сейфов и металлических шкафов для хранения конфиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов, введением специальных пропусков или магнитных карточек для доступа в помещения, где ведутся работы с носителями конфиденциальной информации. Помещения, в которых ведутся такие работы с документами, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.
Осуществление мер –это деятельность администрации и СлЗИ по защите конфиденциальной информации, направленная на реализацию заложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают:
- во-первых, повседневный контроль со стороны руководства предприятия и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников предприятия, имеющих постоянное общение с населением;
- во-вторых, обеспечение соблюдения всеми сотрудниками предприятия требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.
Все посещения предприятия посторонними лицами должны быть строго регламентированы. Вход –только через одну проходную по разовым пропускам или отметкам в журнале: данные о пришедшем, откуда, к кому, время входа и выхода. Продвижение по фирме только в сопровождении принимающего его сотрудника.
Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;
- в-третьих, выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников предприятия, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).
Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;
- в-четвертых, защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками предприятия, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;
- в-пятых, важным звеном защиты конфиденциальной информации предприятия является работа с клиентами, партнерами и др. При ведении таких переговоров важно убедиться, что другая сторона преследует в переговорах те же цели, что и вы, то есть заключить взаимовыгодное соглашение, а не получение конфиденциальной информации о вашей фирме.
Приступая к разработке системы мер по обеспечению защиты информации на предприятии, его руководитель (или начальник СлЗИ) должен получить ответы на следующие вопросы:
Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения [15]:
Алгоритм создания системы защиты конфиденциальной информации таков [23]:
Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СлЗИ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности конфиденциальной информации [25].
Планируемые мероприятия должны [15]:
Не должны [15]:
Таким образом, система организации защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.
5.1. Список выявленной литературы
5.1.1. Консультант–Плюс
5.1.2. Текущие библиографические указатели и реферативные журналы
5.1.3. Электронный каталог
5.1.4. Информационно–поисковые системы Интернет
5.1.5. Сплошной просмотр периодических изданий
5.2. Список использованной литературы
5.2.1. Вторичные источники
5.2.2. Первичные источники
5.2.3. Оценка надежности использованных источников
Для подтверждения окончательной гипотезы и принятия правильного решения мне необходима была следующая информация: Положение о конфиденциальной информации предприятия; Инструкция по защите конфиденциальной информации в информационной системе предприятия; трудовой договор, соглашение о неразглашении конфиденциальной информации предприятия с сотрудником и обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении. На основе этих документов я смогла бы сделать вывод о степени защищенности конфиденциальной информации и избежать рекомендаций, которые уже сейчас выполняются в адвокатской фирме «Юстина» (а именно: я рекомендовала подготовить некоторые из этих документов, считая, что они отсутствуют в организации). Но эти документы, относящиеся к безопасности, являются коммерческой тайной организации, поэтому мне не удалось с ними ознакомиться.
Сведения о наличии пропускного режима мне удалось найти, но о порядке его проведения и состоянии организации охраны мне ничего не известно, т.к. это тоже коммерческая тайна организации. А между тем эта информация позволила бы мне сделать вывод о том, достаточно ли строги эти меры.
Таким образом, вся недостающая мне информация не была мною получена в связи с тем, что относится к информации ограниченного доступа.
Не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты конфиденциальной информации для обеспечения его информационной безопасности. Из числа тех, кто осознает такую необходимость, есть те, которые не знают, что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.
Однако известно, что только «комплексная система может гарантировать достижение максимальной эффективности защиты информации, т.к. системность обеспечивает необходимые составляющие защиты и устанавливает между ними логическую и технологическую связь, а комплексность, требующая полноты этих составляющих, всеохватности защиты, обеспечивает ее надежность» [2].
Основываясь на этих фактах, в начале работы я сформулировала основную и альтернативную гипотезу. Моя основная гипотеза –в адвокатской фирме «Юстина» не уделяется должное внимание системе защиты конфиденциальной информации, т.е. используются только некоторые технические средства защиты информации (биометрические турникеты, система видеонаблюдения, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика и др.).
И альтернативная гипотеза: в адвокатской фирме «Юстина» создана идеальная система защиты информации, обеспечивающая комплексную безопасность информации фирмы.
Гипотезу об отсутствии системы защиты информации я рассматривать не стала, т.к. «Юстина» довольно крупная, известная и далеко не молодая фирма. Также сведения об информационной системе не дают возможности выдвинуть эту гипотезу.
В ходе подготовки информационно-аналитического обзора я поняла, что система защиты конфиденциальной информации далеко не идеальна, т.к. в такой фирме просто необходимо существование собственной службы защиты информации, а ее до сих пор нет. Однако мне не удалось ознакомиться с некоторыми документами, которые позволили бы сделать вывод об объективном состоянии защиты информации в «Юстине». Скорее всего, положение о конфиденциальной информации предприятия, инструкция по её защите, соглашение о неразглашении конфиденциальной информации предприятия с сотрудником и обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении в фирме есть. Однако это не все необходимые документы и, кроме того, как видно из характеристики информационной системы фирмы технических средств не достаточно для обеспечения должной информационной безопасности. Поэтому я склоняюсь к правильности моей основной гипотезы.