 |
Организация систем защиты конфиденциальной информации
|
|
|
|
Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
организацию охраны, режима, работу с кадрами, с документами;
использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
|
|
|
организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ "Об информации, информатизации и защите информации".
Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.
Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
предприятие обязано обеспечить сохранность конфиденциальной информации.
|
|
|
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
Положение о сохранении конфиденциальной информации;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Перечень сведений, разрешенных к опубликованию в открытой печати;
Положение о работе с иностранными фирмами и их представителями;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор - это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.
Эта мера носит скорее психологический характер. Дело в том, что даже полную материальную ответственность сотрудника ТК РФ ограничивает размером прямого ущерба, нанесенного работодателю (ст. 238 ТК РФ). Поэтому в лучшем случае со злоумышленника удастся взыскать лишь стоимость бумаги или дискеты, на которых содержались секретные сведения.
Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;
защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;
защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.
|
|
|
Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.
В отношении конфиденциальной информации целями защиты являются:
предотвращение утечки, хищения, утраты, искажения информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению и копированию;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение конфиденциальности документированной информации.
Режим защиты в отношении конфиденциальной документированной информации устанавливается собственником информации или уполномоченным лицом на основании этого закона.
Владелец документов, массива документов, информационной системы обеспечивает уровень защиты информации в соответствии с законодательством.
В качестве собственников конфиденциальной информации могут выступать:
государство (государственные органы и предприятия, учреждения, организации);
юридические лица (организации, учреждения предприятия с негосударственной формой собственности);
физические лица (граждане).
Организации, обрабатывающие конфиденциальную информацию, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.
Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.
Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.
|
|
|
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.
Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.
Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.
Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.
Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.
Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации. Для защиты могут использоваться только сертифицированные средства защиты.
|
|
|
Заключение
Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.
Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.
Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.
Правовой основой для допуска является:
обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;
нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.
Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны "обязательство" (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:
не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;
не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;
выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;
в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;
сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет дело вые отношения;
не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;
в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;
об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.
Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.
Сотрудники организации/предприятия должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.
За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.
Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации - это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.
При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.
Список использованной литературы
1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) (с учетом поправок внесенных Законами РФ о поправках к Конституции РФ от 30 декабря 2008 г. № 6-ФКЗ от 30 декабря 2008 г. № 7-ФКЗ) // Парламентская газета № 4 23-29.01.2009.
. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 06.12.2011) // Российская газета № 238-239 08.12.1994.
. Земельный кодекс Российской Федерации от 25 октября 2001 г. № 136-ФЗ (ред. от 12 декабря 2011 г.) // Собрание законодательства РФ 29.10.2001 №44 ст.4147.
. Кодекс РФ "Об административных правонарушениях" от 30 декабря 2001 г. № 195-ФЗ // Российская газета №256 31.12.2001.
. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 22 ноября 2011 г. с изм. от 15 декабря 2011 г.) // Собрание законодательства РФ 07.01.2002 № 1 (ч. 1) ст. 3.
. Градостроительный кодекс Российской Федерации от 29 декабря 2004 г. № 190-ФЗ (ред. от 06 декабря 2011 г.) // Российская газета №290 30.12.2004.
. Жилищный кодекс Российской Федерации от 29 декабря 2004 г. № 188-ФЗ (ред. от 06 декабря 2011 г., с изм. от 29 февраля 2012 г.) // Собрание законодательства РФ 03.01.2005 № 1 (часть 1) ст.14.
. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 08.12.2011)// Парламентская газета №214-215 21.12.2006.
. Федеральный закон от 27 декабря 1991 г. № 2124-1 (ред. от 11 июля 2011 г.) "О средствах массовой информации" // Российская газета №32 08.02.1992.
. Закон Российской Федерации от 5 марта 1992 г. № 2446-1 (ред. от 26.06.2008) "О безопасности" // Ведомости СНД и ВС РФ 09.04.1992 №15 ст.769.
. Федеральный закон от 21 июля 1993 г. № 5485-1 (ред. от 08.11.2011) "О государственной тайне" // Российские вести № 189 30.09.1993.
. Федеральный закон от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" // Собрание законодательства РФ 28.07.1997 №30 ст.3586.
. Федеральный закон от 15 ноября 1997 г. № 143-ФЗ (ред. от 03 декабря 2011 г.) "Об актах гражданского состояния" // Российская газета №224 20.11.1997.
. Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" // Российская газета №153-154 10.08.2001.
. Федеральный закон от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" // Российская газета №6 12.01.2002.
. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" // Собрание законодательства РФ 30.12.2002 №52 (ч.1) ст.5140.
. Федеральный закон от 27 июля 2004 г. № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" // Российская газета № 162 31.07.2004.
. Федеральный закон от 22 октября 2004 г. № 125-ФЗ (ред. от 27 июля 2010 г.) "Об архивном деле в Российской Федерации" // Парламентская газета №201 27.10.2004.
. Федеральный закон от 29 июля 2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне" // Собрание законодательства РФ 09.08.2004 № 32 ст. 3283.
. Федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" // Парламентская газета № 126-127 03.08.2006.
. Федеральный закон от 02 мая 2006 г. № 59-ФЗ (ред. от 27 июля 2010 г.) "О порядке рассмотрения обращений граждан РФ" // Российская газета №95 05.05.2006.
. Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 25.07.2011) "О персональных данных"//Парламентская газета № 126-127 03.08.2006.
. Федеральный закон от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" // Парламентская газета №17 08.-14.04.2011.
. Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" // Российская газета №263 23.11.2011.
. Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" // ГАРАНТ - справочная правовая система/ Компания НПП "Гарант-Сервис" М.: 2004.
. Указ Президента РФ от 20 января 1994 г. (в ред. от 9 июля 1997 г.) № 170 "Об основах государственной политики в сфере информатизации" // Собрание законодательства РФ 31.07.1995 №31 ст.3096.
. Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" // Российская газета №145 28.06.1995.
. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 (ред. от 23.09.2005 г.) "Об утверждении Перечня сведений конфиденциального характера" // Российская газета № 51 14.03.1997.
. Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. // Российская газета №187 28.09.2000.
. Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" // Собрание законодательства РФ 17.05.2004 №20 ст.1938
. Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "О вопросах Федеральной службы по техническому и экспортному контролю" // Собрание законодательства РФ 23.08.2004 №34 ст.3541.
. Указ Президента РФ от 11.февраля 2006 № 90 "О перечне сведений, отнесенных к государственной тайне" // Собрание законодательства РФ 20.02.2006 № 8 ст. 892.
. Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" // Собрание законодательства РФ 04.09.2006 №36 ст.3837
. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" // Российская газета №260 21.11.2007.
. Указ Президента РФ от 17 марта 2008 № 351 (ред. от 14.01.2011) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства РФ, 24.03.2008 № 12 ст. 1110.
. Постановление 30 декабря 2011 г. № 1169 "Положение об обработке персональных данных граждан в Администрации МО "Мирнинский район" РС (Я)
. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: Топ-персонал, 2008. 363 с.
. Алексенцев А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. 2003. № 4. С.12 - 14.
. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2008. С. 16, С.19.
. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2010. С. 121.
. Антопольский А.А. Законодательство о служебной тайне как средство борьбы с коррупцией: перспективы развития // "Информационные Ресурсы России" №6 2010 г. С.52-57.
. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2004.
. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО "Юстицинформ" 2009. С. 344.
. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2009. № 1. С. 78-84.
. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции "Новые информационные технологии и системы". 2010. С. 223-228.
. Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона
. Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2009. № 2. С. 2-9.
. Гришачев В.В., Халяпин Д.Б., Шевченко Н.А. Опасности возникновения каналов утечки конфиденциальной информации по волоконно-оптическим структурированным кабельным системам // Материалы X Международной научно-практической конференции "Информационная безопасность". 2008. С. 103-105.
. Данилов А.Д. Ценность информации // Технологии информационного общества. 2011. № 10. С. 137-140.
. Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации. Сб. статей. М., 2005 С. 45.
. Деревяшко В.В. Влияние фактора старения информации на ее ценность для организации // Экономические науки. 2010. № 1. С. 425.
. Дутов В. Предотвращение утечек информации // Управление рисками организации. 2010. № 3. С. 3-5.
. Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2006. № 10. С.36.
. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25-30.
. Козлов В.В. Сохранение коммерческой тайны в организации // Управление персоналом. 2009. № 7. С. 15-19.
. Королькова Т.А., Печерский А.В. Лицензирование деятельности по защите информации в России: история и современность // Делопроизводство. 2003. № 3 С.7
. Кнопкин Н. Защита персональных данных: антикризисный подход // IT-manager. 2011. № 6. С. 23.
. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА. Закон и право 2011. 335 с.
. Лопатин, В.Н. Правовая охрана и защита права на тайну / В.Н. Лопатин // Юридический мир. 2003. №7. С.36 - 37.
. Мельникова Е.И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности //Юридический мир 2009 С.40-43.
. Сошина В. Персональная защита отменяется? // Национальный банковский журнал. 2011. № 11 (67). С. 96-99.
. Снытников, А.А. Обеспечение и защита права на информацию // А.А. Снытиков, Л.В. Туманова. М.: "Городец-издат" 2003 С.344.
. Степанов Е.А. Информационная безопасность и защита информации: учебное пособие // Е.А. Степанов, И.К. Корнеев. М.: Инфра-М. 2010. С. 336.
. Струков В.И. Правовое обеспечение защиты информации, часть 1: Учебно-методическое пособие. Таганрог: Изд-во ТТИ ЮФУ 2007 С.45
. Большой юридический словарь. 3-е изд., доп. и перераб. / под ред. проф. А. Я. Сухарева. // М.: ИНФРА-М 2007. 858 с.
. Фатьянов А.А. Проблемы защиты конфиденциальной информации, не составляющей государственную тайну // Информационное общество. 2010. № 5. С. 49-56.
. Информационная безопасность. М.: "Оружие и технологии" 2011. С. 35-44.
. О персональных данных" // Персональные данные. 2010. № 2. С. 3-5.
. Предпринимательство и безопасность. - М.: АНТИ, 2011. С.72.
|
|
|
