Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Организация систем защиты конфиденциальной информации




 

Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

организацию охраны, режима, работу с кадрами, с документами;

использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ "Об информации, информатизации и защите информации".

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.

Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

предприятие обязано обеспечить сохранность конфиденциальной информации.

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

Положение о сохранении конфиденциальной информации;

Перечень сведений, составляющих конфиденциальную информацию;

Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

Положение о специальном делопроизводстве и документообороте;

Перечень сведений, разрешенных к опубликованию в открытой печати;

Положение о работе с иностранными фирмами и их представителями;

Обязательство сотрудника о сохранении конфиденциальной информации;

Памятка сотруднику о сохранении коммерческой тайны.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор - это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.

Эта мера носит скорее психологический характер. Дело в том, что даже полную материальную ответственность сотрудника ТК РФ ограничивает размером прямого ущерба, нанесенного работодателю (ст. 238 ТК РФ). Поэтому в лучшем случае со злоумышленника удастся взыскать лишь стоимость бумаги или дискеты, на которых содержались секретные сведения.

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

В отношении конфиденциальной информации целями защиты являются:

предотвращение утечки, хищения, утраты, искажения информации;

предотвращение угроз безопасности личности, общества, государства;

предотвращение несанкционированных действий по уничтожению и копированию;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение конфиденциальности документированной информации.

Режим защиты в отношении конфиденциальной документированной информации устанавливается собственником информации или уполномоченным лицом на основании этого закона.

Владелец документов, массива документов, информационной системы обеспечивает уровень защиты информации в соответствии с законодательством.

В качестве собственников конфиденциальной информации могут выступать:

государство (государственные органы и предприятия, учреждения, организации);

юридические лица (организации, учреждения предприятия с негосударственной формой собственности);

физические лица (граждане).

Организации, обрабатывающие конфиденциальную информацию, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации. Для защиты могут использоваться только сертифицированные средства защиты.

Заключение

 

Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.

Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.

Правовой основой для допуска является:

обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;

нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.

Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны "обязательство" (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:

не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;

не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;

выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;

в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;

сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет дело вые отношения;

не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;

в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;

об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.

Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.

Сотрудники организации/предприятия должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.

За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации - это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.

При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.


 

Список использованной литературы

 

1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) (с учетом поправок внесенных Законами РФ о поправках к Конституции РФ от 30 декабря 2008 г. № 6-ФКЗ от 30 декабря 2008 г. № 7-ФКЗ) // Парламентская газета № 4 23-29.01.2009.

.   Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 06.12.2011) // Российская газета № 238-239 08.12.1994.

.   Земельный кодекс Российской Федерации от 25 октября 2001 г. № 136-ФЗ (ред. от 12 декабря 2011 г.) // Собрание законодательства РФ 29.10.2001 №44 ст.4147.

.   Кодекс РФ "Об административных правонарушениях" от 30 декабря 2001 г. № 195-ФЗ // Российская газета №256 31.12.2001.

.   Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 22 ноября 2011 г. с изм. от 15 декабря 2011 г.) // Собрание законодательства РФ 07.01.2002 № 1 (ч. 1) ст. 3.

.   Градостроительный кодекс Российской Федерации от 29 декабря 2004 г. № 190-ФЗ (ред. от 06 декабря 2011 г.) // Российская газета №290 30.12.2004.

.   Жилищный кодекс Российской Федерации от 29 декабря 2004 г. № 188-ФЗ (ред. от 06 декабря 2011 г., с изм. от 29 февраля 2012 г.) // Собрание законодательства РФ 03.01.2005 № 1 (часть 1) ст.14.

.   Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 08.12.2011)// Парламентская газета №214-215 21.12.2006.

.   Федеральный закон от 27 декабря 1991 г. № 2124-1 (ред. от 11 июля 2011 г.) "О средствах массовой информации" // Российская газета №32 08.02.1992.

.   Закон Российской Федерации от 5 марта 1992 г. № 2446-1 (ред. от 26.06.2008) "О безопасности" // Ведомости СНД и ВС РФ 09.04.1992 №15 ст.769.

.   Федеральный закон от 21 июля 1993 г. № 5485-1 (ред. от 08.11.2011) "О государственной тайне" // Российские вести № 189 30.09.1993.

.   Федеральный закон от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" // Собрание законодательства РФ 28.07.1997 №30 ст.3586.

.   Федеральный закон от 15 ноября 1997 г. № 143-ФЗ (ред. от 03 декабря 2011 г.) "Об актах гражданского состояния" // Российская газета №224 20.11.1997.

.   Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" // Российская газета №153-154 10.08.2001.

.   Федеральный закон от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" // Российская газета №6 12.01.2002.

.   Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" // Собрание законодательства РФ 30.12.2002 №52 (ч.1) ст.5140.

.   Федеральный закон от 27 июля 2004 г. № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" // Российская газета № 162 31.07.2004.

.   Федеральный закон от 22 октября 2004 г. № 125-ФЗ (ред. от 27 июля 2010 г.) "Об архивном деле в Российской Федерации" // Парламентская газета №201 27.10.2004.

.   Федеральный закон от 29 июля 2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне" // Собрание законодательства РФ 09.08.2004 № 32 ст. 3283.

.   Федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" // Парламентская газета № 126-127 03.08.2006.

.   Федеральный закон от 02 мая 2006 г. № 59-ФЗ (ред. от 27 июля 2010 г.) "О порядке рассмотрения обращений граждан РФ" // Российская газета №95 05.05.2006.

.   Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 25.07.2011) "О персональных данных"//Парламентская газета № 126-127 03.08.2006.

.   Федеральный закон от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" // Парламентская газета №17 08.-14.04.2011.

.   Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" // Российская газета №263 23.11.2011.

.   Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" // ГАРАНТ - справочная правовая система/ Компания НПП "Гарант-Сервис" М.: 2004.

.   Указ Президента РФ от 20 января 1994 г. (в ред. от 9 июля 1997 г.) № 170 "Об основах государственной политики в сфере информатизации" // Собрание законодательства РФ 31.07.1995 №31 ст.3096.

.   Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" // Российская газета №145 28.06.1995.

.   Указ Президента Российской Федерации от 6 марта 1997 г. № 188 (ред. от 23.09.2005 г.) "Об утверждении Перечня сведений конфиденциального характера" // Российская газета № 51 14.03.1997.

.   Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. // Российская газета №187 28.09.2000.

.   Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" // Собрание законодательства РФ 17.05.2004 №20 ст.1938

.   Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "О вопросах Федеральной службы по техническому и экспортному контролю" // Собрание законодательства РФ 23.08.2004 №34 ст.3541.

.   Указ Президента РФ от 11.февраля 2006 № 90 "О перечне сведений, отнесенных к государственной тайне" // Собрание законодательства РФ 20.02.2006 № 8 ст. 892.

.   Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" // Собрание законодательства РФ 04.09.2006 №36 ст.3837

.   Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" // Российская газета №260 21.11.2007.

.   Указ Президента РФ от 17 марта 2008 № 351 (ред. от 14.01.2011) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства РФ, 24.03.2008 № 12 ст. 1110.

.   Постановление 30 декабря 2011 г. № 1169 "Положение об обработке персональных данных граждан в Администрации МО "Мирнинский район" РС (Я)

.   Алексенцев А.И. Конфиденциальное делопроизводство. - М.: Топ-персонал, 2008. 363 с.

.   Алексенцев А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. 2003. № 4. С.12 - 14.

.   Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2008. С. 16, С.19.

.   Амелин Р. В. Информационная безопасность. М.: Юристъ, 2010. С. 121.

.   Антопольский А.А. Законодательство о служебной тайне как средство борьбы с коррупцией: перспективы развития // "Информационные Ресурсы России" №6 2010 г. С.52-57.

.   Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2004.

.   Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО "Юстицинформ" 2009. С. 344.

.   Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2009. № 1. С. 78-84.

.   Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции "Новые информационные технологии и системы". 2010. С. 223-228.

.   Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона

.   Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2009. № 2. С. 2-9.

.   Гришачев В.В., Халяпин Д.Б., Шевченко Н.А. Опасности возникновения каналов утечки конфиденциальной информации по волоконно-оптическим структурированным кабельным системам // Материалы X Международной научно-практической конференции "Информационная безопасность". 2008. С. 103-105.

.   Данилов А.Д. Ценность информации // Технологии информационного общества. 2011. № 10. С. 137-140.

.   Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации. Сб. статей. М., 2005 С. 45.

.   Деревяшко В.В. Влияние фактора старения информации на ее ценность для организации // Экономические науки. 2010. № 1. С. 425.

.   Дутов В. Предотвращение утечек информации // Управление рисками организации. 2010. № 3. С. 3-5.

.   Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2006. № 10. С.36.

.   Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25-30.

.   Козлов В.В. Сохранение коммерческой тайны в организации // Управление персоналом. 2009. № 7. С. 15-19.

.   Королькова Т.А., Печерский А.В. Лицензирование деятельности по защите информации в России: история и современность // Делопроизводство. 2003. № 3 С.7

.   Кнопкин Н. Защита персональных данных: антикризисный подход // IT-manager. 2011. № 6. С. 23.

.   Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА. Закон и право 2011. 335 с.

.   Лопатин, В.Н. Правовая охрана и защита права на тайну / В.Н. Лопатин // Юридический мир. 2003. №7. С.36 - 37.

.   Мельникова Е.И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности //Юридический мир 2009 С.40-43.

.   Сошина В. Персональная защита отменяется? // Национальный банковский журнал. 2011. № 11 (67). С. 96-99.

.   Снытников, А.А. Обеспечение и защита права на информацию // А.А. Снытиков, Л.В. Туманова. М.: "Городец-издат" 2003 С.344.

.   Степанов Е.А. Информационная безопасность и защита информации: учебное пособие // Е.А. Степанов, И.К. Корнеев. М.: Инфра-М. 2010. С. 336.

.   Струков В.И. Правовое обеспечение защиты информации, часть 1: Учебно-методическое пособие. Таганрог: Изд-во ТТИ ЮФУ 2007 С.45

.   Большой юридический словарь. 3-е изд., доп. и перераб. / под ред. проф. А. Я. Сухарева. // М.: ИНФРА-М 2007. 858 с.

.   Фатьянов А.А. Проблемы защиты конфиденциальной информации, не составляющей государственную тайну // Информационное общество. 2010. № 5. С. 49-56.

.   Информационная безопасность. М.: "Оружие и технологии" 2011. С. 35-44.

.   О персональных данных" // Персональные данные. 2010. № 2. С. 3-5.

.   Предпринимательство и безопасность. - М.: АНТИ, 2011. С.72.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...