по обеспечению сохранности конфиденциальной информации

Лабораторная работа №2

Правовая защита информации

Теоретические сведения

Правовая защита информации – это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Информация является одним из самых ценных ресурсов компании. В любой компании сотрудники каждый день обмениваются информацией, и, в той или иной степени, все бизнес-процессы компании используют соответствующие информационные ресурсы.

Информационные ресурсы – это вся информация компании, зафиксированная на материальных носителях и в любой другой форме, обеспечивающей ее хранение и передачу.

Примерами информационных ресурсов являются:

- файл, хранящийся на сервере, в котором содержатся все координаты клиентов и партнеров компании;

- каталог, хранящийся на компьютере бухгалтера, в котором содержатся бухгалтерские документы;

- папка с ценными бумагами, которая хранится в сейфе.

Информация, как и любой другой ценный ресурс компании, требует защиты. Это требование вызвано, прежде всего, тем, что непрерывная и во многом успешная деятельности компании напрямую связана с наличием в нужный момент времени (доступной) неискаженной (целостной) и, если требуется, конфиденциальной информации.

Информационная безопасность (information security) – обеспечение конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств.

Конфиденциальность (confidentiality) – свойство информации не быть доступной или раскрытой неавторизованными лицами, сторонами или процессами [11].

Нарушение конфиденциальности информационных ресурсов может нанести компании серьезный ущерб. Например, в случае, если конкуренты компании узнают информацию о цене тендерных предложений и предпримут необходимые действия, то компания, скорее всего, потеряет часть выгодных контрактов и клиентов. Ярким примером нарушения конфиденциальности является тот факт, что можно купить компакт-диск с информацией обо всех владельцах мобильных телефонов или собственниках жилья и даже базы данных доходов и налогов физических лиц столичного региона.

Доступность (availability) – свойство быть доступным и используемым со стороны авторизованных лиц [11].

Доступность является одним из важнейших факторов функционирования бизнес-процессов компании. Ущерб компании в случае простоя информационного ресурса, и, следовательно, невозможности работать с ним сотрудников может быть очень критичным. В случае если речь идет о больнице, то ущерб исчисляется не в деньгах, а в жизнях людей!

Целостность (integrity) – свойство сохранения точности и полноты информационных ресурсов [11].

Нарушение целостности заключается, как правило, в модификации или удалении информации. Одним из ярких примеров нарушения целостности является неавторизованная модификация информации, расположенной на сайте, которая может существенным образом повлиять на имидж компании. Например, если на сайте Интернет-магазина конкуренты изменят цены на товары, магазин потеряет своих клиентов.

Правила и требования обеспечения информационной безопасности излагаются в нормативных документах, которые утверждаются руководством компании. Все сотрудники компании должны быть ознакомлены под роспись с документами, описывающими их действия при работе с информацией компании, например, с соглашением о конфиденциальности и с инструкцией по действиям в нештатных ситуациях. Требования, изложенные в нормативных документах, на практике реализуются с помощью различных технических, программных и программно-аппаратных средств, а также выполнения правил сотрудниками компании.

Вся информация, обрабатываемая в информационной системе компании, является критичной. Часто считается, что наиболее критичным свойством является конфиденциальность информации. Однако не следует забывать, что для компании не менее важно обеспечение целостности и доступности информации.

На информационную систему компании действуют различные угрозы.

Угроза (threat) – потенциальная причина нежелательного инцидента, который может причинить вред системе или компании [11].

Примерами угроз информационной безопасности являются:

- пожар в здании;

- неумышленное удаление критичной информации сотрудниками компании;

- проникновение нарушителя внутрь охраняемого периметра компании;

- вирус на компьютере сотрудника.

Чтобы успешно реализовать угрозу безопасности, нарушителю необходимо, чтобы в информационной системе были слабые места (или уязвимости).

Уязвимость (vulnerability) – отрицательная характеристика информационного ресурса или группы ресурсов, с помощью которой может быть реализована одна или несколько угроз [11].

Например, если информация хранится на рабочем столе сотрудника в открытом доступе, то в случае его отсутствия на рабочем месте, информацию можно украсть или прочитать. Таким образом, хранение документов в небезопасном месте является уязвимостью.

Обеспечение информационной безопасности достигается устранением или снижением вероятности реализации уязвимостей системы. Устранить угрозу невозможно, угроза является внешним фактором, не зависящим от действий компании.

Плохо обученные сотрудники являются уязвимостью компании, так как они могут неумышленно совершить действия, в результате которых нарушится информационная безопасность. Следовательно, основная задача сотрудников с точки зрения обеспечения безопасности – четкое выполнение инструкций, описывающих правила обеспечения информационной безопасности.

Порядок выполнения работы

1. Изучить теоретические сведения.

2. Ознакомиться с приложением А.2.

3. Разработать свое видение Инструкции по обеспечению сохранности конфиденциальной информации в обследованных подразделениях.

4. Разработать свое видение организации надзора и контроля за исполнением Инструкции в обследованных подразделениях.

5. Оформить отчет по работе.

Требования к отчету

Отчет по лабораторной работе должен содержать:

- титульный лист;

- Инструкция по обеспечению сохранности конфиденциальной информации;

- предложения по организации надзора и контроля за исполнением Инструкции.

Отчет выполняется на бумаге формата А4.

ПРИЛОЖЕНИЕ А.2

 

Инструкция

по обеспечению сохранности конфиденциальной информации

1. Общие положения

1.1. Настоящая инструкция разработана в соответствии с требованиями законодательства Российской Федерации и учредительными документами Организации. Она предусматривает организационные и административные меры по защите конфиденциальной информации с целью предотвращения нанесения возможного экономического и морального ущерба Организации со стороны юридических и физических лиц, вызванного их неправомерными или неосторожными действиями путем присвоения или разглашения конфиденциальной информации.

1.2. Под конфиденциальной информацией понимается сведения, связанные с задачами, решаемыми Организацией в соответствии с учредительными документами, информация, связанная с управлением, финансами и другими сферами деятельности Организации, разглашение (искажение, передача, утечка и т.д.) которой может нанести ущерб интересам Организации.

1.3. Разглашением конфиденциальной информации следует считать следующие действия сотрудника:

- доведение до сведения неуполномоченных лиц в устной, письменной, электронной или иной форме конфиденциальную информацию. Указанный факт может наступить в результате умысла сотрудника или по неосторожности, включая халатное отношение к своим обязанностям;

- использование конфиденциальной информации в процессе выполнения работы для другого предприятия, учреждения и организации или по заданию физического лица, иного субъекта предпринимательской деятельности без образования юридического лица;

- использование конфиденциальной информации в научной и педагогической деятельности;

- использование конфиденциальной информации в личных целях, не связанных с выполнением должностных обязанностей в Организации;

- использование конфиденциальной информации в ходе публичных выступлений, интервью и т.п.;

- иные действия сотрудника, в результате которых конфиденциальная информация, стала известна неуполномоченным лицам.

1.4. Предоставление конфиденциальной информации представителям контрольных, ревизионных, фискальных и следственных органов и т.п. допускается только с разрешения руководителя Организации.

1.5. Защита конфиденциальной информации предусматривает:

- определение конфиденциальной информации, и сроков ее защиты;

- систему допуска сотрудников Организации, частных и командированных лиц к конфиденциальной информации;

- обязанности лиц, допущенных к конфиденциальной информации;

- порядок работы с бумажными документами, содержащими конфиденциальную информацию;

- порядок работы с электронными документами, содержащими конфиденциальную информацию;

- обеспечение сохранности документов и дел (архивов) содержащих конфиденциальную информацию;

- принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальной информацией;

- ответственность за разглашение конфиденциальной информации и утрату документов, содержащих конфиденциальную информацию.

1.6. Обязанности по конфиденциальному делопроизводству возлагаются на секретаря руководителя Организации (в части делопроизводства руководителя Организации), секретарей руководителей структурных подразделений Организации (в части делопроизводства структурных подразделений) и системного администратора корпоративной компьютерной сети (в части обеспечения работоспособности электронной системы делопроизводства).

1.7. Ответственность за организацию работы с конфиденциальной информацией, разработку и осуществление необходимых мер по сохранности конфиденциальной информации руководитель Организации возлагает на руководителей структурных подразделений, соответствующих должностных лиц Службы безопасности, секретарей и системного администратора закрытой корпоративной компьютерной сети.

2. Порядок работы с конфиденциальной информацией, представленной в электронном виде

2.1. Хранение, работа и архивирование любых электронных конфиденциальных документов (файлов) должно осуществляться с учётом требования ограничения несанкционированного доступа к ним третьих лиц способами, оговоренными настоящим разделом данной Инструкции.

2.2. Все персональные компьютеры, установленные на рабочих местах сотрудников, подключены к защищенной корпоративной компьютерной сети Организации (далее – сеть).

2.3. Каждый персональный компьютер оснащён стандартным набором программных средств, принятых для эксплуатации в Организации. Любые изменения в оснащении персонального компьютера, подключённых к сети, должны быть санкционированы руководством структурного подразделения, согласованы с администратором сети и осуществлены уполномоченными специалистами Организации.

2.4. Вся конфиденциальная информация, имеющаяся в распоряжении сотрудника, должна храниться и обрабатываться на корпоративном файл-сервере Организации.

2.5. Первичный допуск сотрудника к работе на персональном компьютере, включенного в сеть осуществляется системным администратором сети по указанию руководства соответствующего структурного подразделения и включает в себя:

- ознакомление сотрудника с настоящей Инструкцией под роспись;

- инструктаж по порядку работы с программными средствами, принятыми для эксплуатации в Организации;

- получение сотрудником персонального ключа для шифрования данных;

- получение сотрудником персонального пароля для доступа к ресурсам корпоративного сервера и локальной вычислительной сети;

- получение адреса персонального почтового ящика корпоративной почты.

2.6. В каждый конкретный момент времени в течение рабочего дня загруженными в персональный компьютер сотрудника должны быть только те электронные конфиденциальные документы (файлы), которые имеют непосредственное отношение к тому делу, которым занимается сотрудник в данный момент времени. При этом все другие конфиденциальные документы (файлы), должны находиться на сервере.

2.7. Загрузка (открытие), сверх действительно необходимого количества, электронных конфиденциальных документов (файлов) на персональных компьютерах сотрудников запрещается.

2.8. В течение рабочего дня ставшие ненужными в текущей работе (отработанные) электронные конфиденциальные документы (файлы) подлежат незамедлительному закрытию (сохранению на файл-сервер).

2.9. Обмен электронными конфиденциальными документами (файлами) между сотрудниками, находящимися вне офиса Организации (командировки) осуществляется путем обмена зашифрованной почтой через корпоративные почтовые ящики сотрудников.

2.10. Порядок обращения с конфиденциальным бумажным документом полученным в результате распечатки электронного конфиденциального документа регламентируется соответствующими разделами данной Инструкции.

2.11. В случае прихода (ожидания) посетителя к сотруднику, в персональный компьютер этого сотрудника могут быть загружены только те электронные конфиденциальные документы (файлы), относящиеся к делу этого посетителя. Загружать в персональный компьютер и/или работать с электронными конфиденциальными документами (файлами), не относящимися к делу присутствующего посетителя - запрещается.

2.12. Сотруднику, работающему с электронными конфиденциальными документами (файлами) категорически запрещается:

- оставлять персональный компьютер на время более 5 мин. с разрешённым доступом к личной папке;

- сообщать, кому бы то ни было, свой персональный пароль доступа в закрытую корпоративную компьютерную сеть Организации;

- сообщать, кому бы то ни было, пароль доступа к своему персональному ключу PGP;

- оставлять посетителя в кабинете одного при включенном в защищенную корпоративную сеть компьютере;

- осуществлять хранение/обработку личных файлов (данных, не имеющих отношения к выполнению функциональных обязанностей) на сетевых дисках корпоративного сервера;

- использовать съёмные носители - дискеты, ZIP диски, магнитооптика и т.д. – для обмена между сотрудниками и хранения электронных конфиденциальных документов (файлов);

- самовольно, без согласования с администратором сети, изменять аппаратную конфигурацию и настройки программного обеспечения персональных компьютеров, подключенных к сети.

2.13. Сотрудник, работающий с электронными конфиденциальными документами (файлами) обязан:

- выполнять требования администратора сети в рамках установленного регламента эксплуатации сети и требований настоящей Инструкции (технический перерыв, устранение выявленных нарушений хранения/обработки данных, профилактические работы на оборудовании сети). Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.

- при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;

- еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.

3. Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию

3.1. Все документы, и дела (архивы) с документами имеющими гриф «Конфиденциально» должны храниться в офисных помещениях в надежно запираемых и опечатываемых сейфах (металлических шкафах). Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.

3.2. Дела (архивы) с документами имеющими гриф «Конфиденциально», выдаются секретарями под роспись в регистрационном журнале и подлежат возврату сотрудниками в тот же день. При необходимости, с разрешения руководства структурного подразделения, они могут находиться у сотрудника в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.

3.3. С документами (электронными и бумажными) с грифом «Конфиденциально» разрешается работать только в офисных помещениях Организации. Для работы вне офисных помещений необходимо разрешение руководства Организации или руководства структурного подразделения.

3.4. Во время перерывов в работе, связанных с выходом из своего офисного помещения, запрещается оставлять конфиденциальные документы на столах, в незапертых ящиках столов. В случае нахождения в офисном помещении посетителей или иных лиц, не имеющих допуск к конфиденциальным бумажным документам, все конфиденциальные документы должны быть убраны в сейфы (металлические шкафы).

4. Порядок допуска к конфиденциальным сведениям

4.1. Допуск сотрудников к конфиденциальным сведениям осуществляется руководством Организации и оформляется соответствующим решением в письменной форме.

4.2. Руководители структурных подразделений обязаны обеспечить систематический контроль за допуском к конфиденциальным сведениям только тех лиц, которым они необходимы для выполнения функциональных обязанностей.

4.3. К конфиденциальным сведениям допускаются лица, личные и деловые качества которых обеспечивают их способность хранить конфиденциальную информацию, и только после оформления письменного обязательства по сохранению конфиденциальной информации.

4.4. Допуск сотрудников к работе с делами (архивами), в которых хранятся конфиденциальные документы осуществляется согласно оформленному на внутренней стороне обложки дела (архива) или на отдельном листе списку допущенных сотрудников за подписью руководства Организации, а к документам - в соответствии с указаниями, содержащимися в резолюциях руководства Организации или руководства структурных подразделений.

5. Контроль за выполнением требований внутри объектового режима при работе с конфиденциальными сведениями

5.1. Под внутри объектовым режимом при работе с конфиденциальными документами подразумевается соблюдение условий работы, исключающих возможность утечки информации о конфиденциальных сведениях.

5.2. Контроль за соблюдением указанного режима осуществляется в целях изучения и оценки состояния сохранности конфиденциальной информации, выявления и установления причин недостатков, и выработки предложений по их устранению.

5.3. Контроль за обеспечением режима при работе с конфиденциальными сведениями осуществляют соответствующие сотрудники Службы безопасности и руководители структурных подразделений путем текущих и внеплановых проверок.

6. Обязанности сотрудников Организации, работающих с конфиденциальными сведениями и их ответственность за ее разглашение

6.1. Сотрудники организации, допущенные к конфиденциальными сведениям, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений.

6.2. До получения доступа к работе, связанной с конфиденциальной информацией, им необходимо изучить настоящую Инструкцию под роспись и заключить письменное обязательство о сохранении конфиденциальной информации, оформленное в виде договора.

6.3. Сотрудники организации, допущенные к конфиденциальной информации должны:

- знать и соблюдать требования настоящей Инструкции;

- хранить конфиденциальную информацию, в том числе не сообщать конфиденциальные сведения друзьям и членам своей семьи. О ставших им известной утечке сведений, составляющих конфиденциальную информацию, а также об утрате документов с грифом «Конфиденциально», немедленно сообщать своему руководителю структурного подразделения и в Службу безопасности;

- предъявлять для проверки по требованию комиссии по проверке конфиденциального делопроизводства и представителей Службы безопасности все числящиеся за ним материалы, содержащие конфиденциальную информацию, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения в устном и письменном виде;

- знакомиться только с теми документами и выполнять только те работы, к которым они допущены в соответствии с функциональными обязанностями и в соответствии с дополнительными задачами, возложенными на них руководством;

- строго соблюдать правила пользования и сохранности документов, имеющих гриф «Конфиденциально». Не допускать их необоснованной рассылки;

- выполнять требования внутри объектного режима, определяемые Службой безопасности, исключающие возможность ознакомления с материалами, содержащими конфиденциальную информацию, посторонних лиц, включая и сотрудников организации, не имеющих к указанным материалам прямого отношения.

- при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения;

- при временном убытии (в отпуск, командировку, на учебу, лечение и т.д.) проверять наличие числящихся за ним конфиденциальных документов. Документы, которые подлежат исполнению или могут потребоваться в работе, передавать другому сотруднику по указанию руководства организации или руководства структурного подразделения. При прекращении трудовых или иных договорных отношений с Организацией, сотрудник обязан сдать все числящиеся за ним конфиденциальные документы;

- исключить использование конфиденциальных сведений в свою личную пользу, а также исключить деятельность, которая может быть использована конкурентами в ущерб организации.

6.4. Ответственность за разглашение конфиденциальных сведений, и утрату документов, содержащих такие сведения устанавливается в соответствии с Уголовным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Кодексом законов о труде Российской Федерации и иным действующим законодательством.

 

Поделиться:

Воспользуйтесь поиском по сайту: