Оценка безопасности ИС

ЗАДАНИЕ

Исходя из деятельности предприятия, на котором Вы работаете, необходимо выполнить следующее задание.

1. Указать какие виды сведений конфиденциального характера, используются в деятельности вашей фирмы (в соответствии с Указом Президента №188 от 1997г.).

2. Составить план мероприятий для введения режима коммерческой тайны на предприятии в соответствии с Законом РФ «О коммерческой тайне».

3. Привести перечень сведений, составляющих информацию ограниченного доступа на предприятии в виде документа, утвержденного руководителем.

4. Указать правовые документы (законы, подзаконные акты и внутрифирменные нормативно-правовые акты) используемые для правовой защиты ваших секретов. Список правовых документов необходимо составить отдельно по каждому виду охраняемых сведений вашей фирмы, указанного в п.2.

Примечание. Объектами правовой защиты (виды защищаемых сведений) на предприятии могут быть: результаты интеллектуальной деятельности (ОИС); персональные данные работников; секреты производства, профессиональная тайна и другие сведения ограниченного доступа.

5. Указать необходимость проведения лицензирования деятельности вашего предприятия и проведения сертификации вашей продукции в области защиты информации (если лицензирование и сертификация обязательны, указать организации, куда вы будите обращаться и порядок проведения этих мероприятий).

6. Дать оценку состояния правовой защиты информации на вашем предприятии в случае реализации всех предложенных вами мероприятий (указать недостатки, например, по существующей правовой базе и пути их устранения).

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

 

 ВВЕДЕНИЕ

Практически, каждый человек имеет  информацию, распространение которой  для него нежелательно. Причины могут  быть разные, но цель одна, как можно  дольше сохранить в секрете нечто  свое, ведомое лишь ему. Аналогичная  ситуация складывается и в бизнесе и предпринимательстве. Только здесь гораздо больше того, что необходимо сохранить, да и число охотников за секретами намного выше. К тому же, если разглашение личных тайн чаще всего приводит лишь к моральным потерям и чувственным переживаниям, то в бизнесе за тайнами стоят реальные капиталы. Благосостояние Вашего предприятия напрямую зависит от того, насколько хорошо Вы обеспечиваете конфиденциальность сведений, составляющих коммерческую тайну. Итак, что же представляет собой коммерческая тайна?

Коммерческая тайна - совокупность не являющихся государственной тайной сведений, представляющих действительную или потенциальную ценность для субъекта предпринимательства, разглашение которых может нанести ему ущерб и, в отношении которых приняты надлежащие меры по сохранению конфиденциальности.

Под разглашением коммерческой тайны  в законе понимается передача третьим  лицам сведений, составляющих коммерческую тайну при условии, что сведения содержались хозяйствующим субъектом  в тайне, что они были в установленном порядке вверены разгласившему их лицу без согласия на разглашение и что разглашением был причинен ущерб.

Как видно из вышеуказанного определения  одним из основных признаков сведений, составляющих коммерческую тайну, является то, что в отношении этих сведений приняты меры по обеспечению конфиденциальности. Только при соблюдении этих условий может наступить предусмотренная законодательством дисциплинарная, материальная, административная и уголовная ответственность.

Исходя из этого положения, даже если сведения связаны с производством, технологией, управлением, финансовой и другой деятельностью предприятия и их разглашение может нанести ущерб, но в отношении них не предпринимаются меры по сохранению тайны, то нельзя рассчитывать на их правовую защиту. И, таким образом, лица, незаконно завладевшие коммерческой тайной, не будут нести никакой юридической ответственности. На каждом предприятии с самого начала его деятельности разработать систему по обеспечению сохранности коммерческой тайны. Нужно помнить, что чем быстрее эти меры будут разработаны, тем быстрее сведения, составляющие коммерческую тайну предприятия, подпадут под правовую защиту. Этим можно обезопасить фирму от недобросовестной конкуренции со стороны конкурентов.

В основе комплексной системы информационной безопасности любого объекта лежат следующие методы защиты:

– правовые (международные, государственные, местные, ведомственные и внутрифирменные правовые акты);

– организационные (создание служб безопасности и введение режима защиты информации, подготовка и переподготовка кадров, системы лицензирования и сертификации в области защиты информации);

– технические (программные, аппаратные, криптографические средства, физические ограждения и препятствия).

Применение каждого метода защиты информации регламентируется нормативно-правовыми документами, т.е. законами и подзаконными актами, которые в своей совокупности образуют правовую базу информационного права. Информационное право – относительно молодая отрасль права, которая начала формироваться в системе права Российской Федерации после принятия в 1994 г. 1-й части Гражданского кодекса и закона «Об информации, информатизации и защите информации» в 1995 г.

Информационное законодательство регулирует общественные отношения  в области создания, использования и защиты информации. Применять средства и методы защиты можно только к материальным объектам, поэтому объектами защиты информации всегда являются физические носители информации, т.е. персонал, документы и технические средства.

 

 

 

 

 

 

 

 

 

 

ОСНОВНАЯ ЧАСТЬ

1.1 Название фирмы и ее вид деятельности

Общество с ограниченной ответственностью «Вектор».

Род деятельности: реализация программно-аппаратных средств ЗИ.

1.2 Виды конфиденциальной информации, использующейся в деятельности ООО «Вектор»

В условиях становления рыночной экономики каждое предприятие вынуждено постоянно вести конкурентную борьбу за свое существование, за прибыльное ведение дел, за свое доброе имя. Вопросы информационно-коммерческой безопасности занимают особое место и в связи с возрастающей ролью информации в жизни общества требуют особого внимания. Успех производственной и предпринимательской деятельности в немалой степени зависит от умения распоряжаться таким ценнейшим товаром, как информация. Но выгодно использовать можно лишь ту информацию, которая требуется рынку, но неизвестна ему. Поэтому в условиях ужесточения конкуренции успех предпринимательства, гарантия получения прибыли все в большей мере зависят от сохранности в тайне секретов производства, опирающихся на определенный интеллектуальный потенциал и конкретную технологию. Для этого необходимо определить перечень конфиденциальной информации и организовать соответствующий режим ее защиты.

Конфиденциальная информация (КИ) – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.

Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Перечень сведений конфиденциального  характера изложен в Указе  Президента РФ № 188 от 1997 г. и в общих чертах относит к таковым следующую информацию: персональные данные, сведения, составляющие тайну следствия и судопроизводства, служебную, профессиональную и коммерческую тайну и сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Для защиты КИ необходимо соблюдение принципов конфиденциальности, целостности и доступности.

В деятельности ООО «Вектор» используются следующие виды конфиденциальной информации:

• персональные данные;
• коммерческая тайна.

Персональные данные – сведения о фактах, событиях и обстоятельствах частной жизни сотрудников ООО «Вектор», позволяющие идентифицировать их личность. Персональные данные на всех работников фирмы хранятся в отделе кадров. При этом фирма несет ответственность перед работниками в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне, ст.3).

Информация, составляющая коммерческую тайну, такая как научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне, ст.3).

1.3 Разработка в отношении защищаемых сведений режима коммерческой тайны в соответствии с Законом РФ «О коммерческой тайне» в ООО «Вектор»

Федеральный закон Российской Федерации  от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» определяет права обладателя информации, отнесенной к КТ, по установлению режима КТ, его изменения, порядка использования,  организации доступа, охраны информации, составляющей КТ.

1.3.1 Охрана конфиденциальности информации (Статья 10)

Директор фирмы совместно с начальником Службы безопасности должны провести в соответствии с ФЗ № 98 «О коммерческой тайне» следующий план мероприятий по защите сведений, составляющих КТ ООО «Вектор»:

1) определение перечня информации, составляющей коммерческую тайну  ООО «Вектор».

2) ограничение доступа к информации, составляющей коммерческую тайну ООО «Вектор», путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (контроль за соблюдением возложен на Службу безопасности ООО «Вектор»);

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (контроль за соблюдением возложен на Службу безопасности ООО «Вектор»);

4) регулирование отношений по  использованию информации, составляющей коммерческую тайну ООО «Вектор», работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные  носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации. Т.к. ООО «Вектор» является юридическим лицом, то необходимо нанести полное наименование: Общество с ограниченной ответственностью «Вектор» и место нахождения.

Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных выше. (часть 1 статьи 10).

Наряду с мерами, приведенными выше, директор ООО «Вектор» вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации. (часть 4 статьи 10).

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1) исключается доступ к информации, составляющей коммерческую тайну ООО «Вектор», любых лиц без согласия директора;

2) обеспечивается возможность использования  информации, составляющей коммерческую  тайну, работниками и передачи  ее контрагентам без нарушения режима коммерческой тайны (часть 5 статьи 10).

1.3.2 Охрана конфиденциальности информации в рамках трудовых отношений (статья 11)

В целях охраны конфиденциальности информации директор ООО «Вектор» обязан:

1) ознакомить под расписку работника,  доступ которого к информации, составляющей коммерческую тайну,  необходим для выполнения им  своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;

2) ознакомить под расписку работника  с установленным работодателем  режимом коммерческой тайны и  с мерами ответственности за  его нарушение;

3) создать работнику необходимые  условия для соблюдения им  установленного работодателем режима  коммерческой тайны.

Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено  его трудовыми обязанностями.

Требования обеспечения безопасности и защиты информации в ООО «Вектор» отражаются в Уставе фирмы. В нем руководство предприятия имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз.

Эти требования дают право руководству  ООО «Вектор»:

• создавать организационные структуры по защите конфиденциальной информации;
• издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
• включать требования по защите информации в  договоры по всем видам хозяйственной деятельности;
• требовать защиты интересов фирмы со стороны государственных и судебных инстанций;
• распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу фирмы и собственнику средств с производства;
• разработать «Перечень сведений конфиденциальной информации».