Защита конфиденциальной информации на предприятии
Защита конфиденциальной информации на предприятии
Содержание
Введение
Глава 1.
Основы информационной безопасности и защиты информации
1.1 Эволюция
термина "информационная безопасность" и понятие конфиденциальности
1.2 Ценность
информации
1.3 Каналы
распространения и утечки конфиденциальной информации
1.4 Угрозы и
система защиты конфиденциальной информации
Глава 2. Организация
работы с документами, содержащими конфиденциальные сведения
2.1
Нормативно-методическая база конфиденциального делопроизводства
2.2
Организация доступа и порядок работы персонала с конфиденциальными сведениями,
документами и базами данных
2.3
Технологические основы обработки конфиденциальных документов
Глава 3.
Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
3.1
Характеристика ОАО "ЧЗПСН - Профнастил"
3.2 Система
защиты информации в ОАО "ЧЗПСН - Профнастил"
3.3
Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список
использованных источников и литературы
Одной из важнейших составных частей национальной безопасности
любой страны в настоящее время единодушно называется ее информационная безопасность.
Проблемы обеспечения информационной безопасности становятся все более сложными и
концептуально значимыми в связи с массовым переходом информационных технологий в
управлении на безбумажную автоматизированную основу.
Выбор темы данной
выпускной квалификационной работы обусловлен тем фактом, что современной российской
рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения
прибыли и сохранения в целостности созданной им организационной структуры является
обеспечение экономической безопасности его деятельности. И одной из главных составных
частей экономической безопасности является информационная безопасность.
Объектом исследования
в настоящей работе является формирование и функционирование информационных ресурсов
в системе управления организацией.
Базой исследования
является ОАО "ЧЗПСН - Профнастил"
Предметом исследования
- деятельность по обеспечению безопасности информационных ресурсов в системе управления
организацией.
Цель исследования
- анализ современных технологий, способов, методов и средств защиты конфиденциальной
информации предприятия.
В задачи исследования,
в соответствии с поставленной целью, входит:
1.
Раскрыть основные составляющие информационной безопасности;
2. Определить
состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить
наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть
методы и средства защиты конфиденциальной информации;
5. Проанализировать
нормативно-правовую базу конфиденциального делопроизводства;
6. Изучить
политику безопасности в организации доступа к сведениям конфиденциального характера
и порядок работы персонала с конфиденциальными документами;
7. Рассмотреть
технологические системы обработки конфиденциальных документов;
8.
Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил"
и привести рекомендации по ее совершенствованию.
В работе были использованы
следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос);
общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий
метод как анализ документации предприятия.
Нормативно-правовая
основа выпускной квалификационной работы базируется в первую очередь на Конституции
как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует
право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщении. При этом ограничение этого права допускается только
на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение,
использование и распространение информации о частной жизни лица без его согласия
(1).
Нормы регулирования
отношений, возникающих при обращении с конфиденциальной информации, содержатся также
в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском
кодексе РФ к нематериальным благам (ст.150) (2).
Критерии, по которым
сведения относятся к служебной и коммерческой тайне, содержатся в ст.139
Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую
тайну в случае, когда:
1. Эта информация
имеет действительную или потенциальную ценность в силу неизвестности ее третьим
лицам;
2. К этой информации
нет свободного доступа на законном основании и обладатель информации принимает меры
к охране ее конфиденциальности (2).
Кроме того, определение
конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса
РФ (2).
27 июля 2006 года
были приняты два важнейших для сферы защиты информации конфиденциального характера
федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о
защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В
них даны базовые понятия информации и ее защиты. Такие как "информация",
"конфиденциальность информации", "персональные данные" и т.д.
10 января 2002 года
Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи"
(5), развивающий и конкретизирующий положения приведенного выше закона "Об
информации…" (8).
Основными в области
безопасности конфиденциальной информации также являются законы РФ:
1.
"О государственной тайне" от 22 июля 2004 г. (4);
2.
"О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию,
составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации,
составляющую коммерческую тайну) (6);
3.
"Об утверждении Перечня сведений конфиденциального характера"
(11);
4.
Об утверждении Перечня сведении, которые не могут составлять коммерческую
тайну" (13).
Стандарт, закрепляющий
основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).
Подробно нормативно-методическая
база конфиденциального делопроизводства, изложена во второй главе настоящей работы.
В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов:
И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В.
Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).
Понятие информационной
безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н.
Ярочкина (56), Г. Зотова (66).
К. Ильин (52) в
своих работах рассматривает вопросы безопасности информации при электронном документообороте).
Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В.
Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).
Система защиты информации
описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69),
Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).
Правовому регулированию
информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33),
Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей
статье указывает на несовершенство законодательства в рассматриваемой сфере.
Технологии обработки
конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров
(89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).
В процессе подготовки
работы были использованы научные, учебные, практические, методические рекомендации
по организации защиты конфиденциальной информации подготовленные такими ведущими
специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).
Работы И.Л. Бачило
(38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены
спорным аспектам информационной безопасности.
В целом, можно сказать,
что проблема информационной безопасности, в общем, обеспечена источниками, источниковая
база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу
велика и соответствует его актуальности.
Но в нашей стране
не имеется нормативного правового акта, который бы устанавливал единый порядок учета,
хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам
аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки
(57), В.А. Мазурова (71) и др., вряд ли это целесообразно.
К числу неопубликованных
источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН
- Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.
Выпускная квалификационная
работа состоит из введения, трех глав, заключения, списка использованных источников
и литературы, приложений.
Во введении формулируются
актуальность и практическая значимость темы, цель исследования, задачи, степень
разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский
инструментарий структура и содержание выпускной квалификационной работы
Первая глава:
"Основы информационной безопасности и защиты информации" содержит в себе
историю вопроса и основные понятия информационной безопасности. Такие как, ценность
информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения,
утечки информации, в следующем, рассматривается система угрозы и система защиты
конфиденциальных сведении.
Глава "Организация
работы с конфиденциальными документами". состоит из нормативно-методических
основ конфиденциального делопроизводства, далее даны порядок работы сотрудников
и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными
сведениями описана в последнем параграфе второй главы.
В третьей главе
на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система
защиты информации ограниченного доступа, анализ работы с конфиденциальными документами.
даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии
конфиденциального делопроизводства.
Заключение содержит
выводы по выпускной квалифицированной работе.
Список использованных
источников и литературы включает 110 наименований.
Работу дополняют
приложения, в которых представлены: положения, инструкции, которые регламентируют
порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии,
образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН
- Профнастил".
Издавна считалось,
кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого
общества возникает разведывательная деятельность. Поэтому появляются государственные
и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение
войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество
и власть, видимо является главной мотивацией людей в исторической перспективе. Многие
собственники в целях защиты своих интересов засекречивают информацию и тщательно
ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию
средств и методов добывания охраняемой информации; и к совершенствованию средств
и методов защиты информации (89, с.45).
В мировой практике
сначала применялись термины "промышленная тайна", "торговая тайна",
"тайна кредитных отношений", т.е. название тайны увязывалось с конкретной
сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти
названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную
книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно
утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности,
имеющей целью извлечение прибыли (46, с. 20).
Со второй половины
XIX в. появляются и различные определения
понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского
законодательства. Например, немецкое законодательство определяло коммерческую тайну
как тайну технических процессов изготовления продукции и тайну операций по ее сбыту
или, как выражались более высоким языком, тайну производства благ и тайну их распределения.
В России по Уголовному
уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые
к употреблению приемы производства, а в другой редакции - индивидуальные особенности
процессов производства и торговли. Тайна процессов производства классифицировалась
тайной имущественной, а торговли - тайной деловой.
В России в ноябре
1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась",
но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах
с другими странами, однако отечественной законодательной основы под этим не было.
Прекратилась и научная деятельность в этой области (31, с.78).
Во второй половине
80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней
нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь
нужно было сформулировать определение коммерческой тайны. Такое определение было
сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой
тайной предприятия понимаются не являющиеся государственными секретами сведения,
связанные с производством, технологической информацией, управлением, финансами и
другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести
ущерб его интересам".
Коммерческая тайна
в современной трактовке - информация, данные, сведения, объекты, разглашение, передача
или утечка которых третьими лицами могут нанести ущерб интересам или безопасности
обладателя (32, с.13).
Стандарт ISO/IEC 17799
определяет информационную безопасность как обеспечение конфиденциальности, целостности
и наличия информации. (56, с.212).
Безопасность - это
не только защита от преступных посягательств, но и обеспечение сохранности (особенно
электронных) документов и информации, а также меры по защите важнейших документов
и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф
(71, с.5 8).
Под информационной
безопасностью следует понимать защиту субъектов информационных отношений. Основные
ее составляющие - конфиденциальность, целостность, доступность (82, с.15).
В Доктрине информационной
безопасности РФ (19) термин "информационная безопасность" обозначает состояние
защищенности национальных интересов в информационной сфере, определяемых совокупностью
сбалансированных интересов личности, общества и государства.
Конфиденциальность
- защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности
дает ФЗ "Об информации, информационных технологиях и о защите информации"
(8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим
доступ к определенной информации, требование не передавать такую информацию третьим
лицам без согласия ее обладателя.
Под безопасностью
информационных ресурсов (информации) понимается защищенность информации во времени
и пространстве от любых объективных и субъективных угроз (опасностей), возникающих
в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных
бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника
создать потенциальную или реальную угрозу несанкционированного доступа к документам,
делам, базам данных (61, с.32).
Конфиденциальность
- правила и условия сохранности передачи данных и информации. Различают конфиденциальность
внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю -
среди персонала.
Безопасность ценной
документируемой информации (документов) определяется степенью ее защищенности от
последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных
и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность)
несанкционированного доступа к документам с использованием организационных и технических
каналов, в результате чего могут произойти хищение и неправомерное использование
злоумышленником информации в своих целях, ее модификация, подмена, фальсификация,
уничтожение (68, с.36).
Секретность - правила
и условие доступа и допуска к объектам информации (89, с.50).
Таким образом, словосочетание
"информационная безопасность" не сводится исключительно к защите от несанкционированного
доступа к информации.
Это принципиально
широкое понятие. Субъект информационных отношении может пострадать (понести убытки
и/или получить моральный ущерб) не только от несанкционированного доступа, но и
от поломки системы, вызвавшей перерыв в работе.
Несмотря на то,
что конфиденциальность является синонимом секретности, этот термин широко используется
исключительно для обозначения информационных ресурсов ограниченного доступа, не
отнесенных к государственной тайне.
Конфиденциальность
отражает ограничение, которое накладывает собственник информации па доступ к ней
других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии
с законом (91, с. 208).
К защищаемой информации
относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную
(сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности
граждан) (100, с.38).
Всегда имеются управленческие
документы, утечка содержания которых нежелательна или просто вредна, так как может
быть использована прямо или опосредственно во вред ее авторам. Такая информация
и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми,
защищаемыми). Документированная информация ограниченного доступа всегда принадлежит
к одному из видов тайны - государственной или негосударственной. В соответствии
с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием
принадлежности) секретного документа является наличие в нем сведений, составляющих
в соответствии с законодательством государственную тайну. Несекретные документы,
включающие сведения, относимые к негосударственной тайне (служебной, коммерческой,
банковской, профессиональной, производственной и др.), или содержащие персональные
данные граждан, именуются конфиденциальными.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10
|