Оценка безопасности ИС

Требования правовой обеспеченности защиты информации предусматриваются  в коллективном договоре, который  ООО «Вектор» заключает с сотрудниками при приеме на работу.

1.3.3 Требования к уставу организации

Устав организации должен содержать следующие требования:

Раздел «Права и обязанности»

1. Фирма имеет право: 

• обеспечивать свою экономическую безопасность, определять состав, объем и порядок защиты конфиденциальной информации;
• требовать от сотрудников обеспечения экономической безопасности и защиты конфиденциальной информации;
• осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

          2. Фирма обязана:

• обеспечить экономическую безопасность и сохранность конфиденциальной информации;
• осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Раздел «Конфиденциальная информация»:

ООО «Вектор» организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право  администрации:

• создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
• издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
• включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
• требовать защиты интересов фирмы перед государственными и судебными органами;
• распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

 

1.3.4 Требования к коллективному договору

Коллективный договор должен содержать  следующие требования:

Раздел «Предмет договора» 

Администрация обязуется в целях  недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.

Трудовой коллектив принимает  на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и  защите конфиденциальной информации.

Администрации учесть требования экономической  безопасности и защиты конфиденциальной информации в правилах внутреннего  трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей  требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в  соответствии с законодательством  РФ.

Правила внутреннего трудового  распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих» 

При приеме сотрудника на работу или  при переводе его в установленном  порядке на другую работу, связанную  с конфиденциальной информацией, а также при увольнении администрация обязана:

• проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
• оформить письменное обязательство о неразглашении конфиденциальной информации.
• Администрация вправе:
• принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
• осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.

 

Раздел «Основные обязанности  рабочих и служащих» 

Рабочие и служащие обязаны:

• знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
• дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
• бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности  администрации»

Администрация и руководители подразделений  обязаны:

• обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
• последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
• включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
• неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

В договоре о проведении совместных работ должны содержаться следующие требования:

Раздел «Условия конфиденциальности»

Стороны обязуются не передавать лицензии лицам и не раскрывать публично сведения о проводимых совместно работах  без взаимного согласования. За нарушение  данного условия стороны несут  финансовую ответственность по возмещению убытков, упущенной выгоды и морального ущерба.

Лица, нарушившие условия конфиденциальности, могут быть привлечены к ответственности  в соответствии с действующим  законодательством.

1.3.5 Служба безопасности ООО «Вектор»

Служба Безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору ООО «Вектор».

Возглавляет Службу Безопасности начальник службы в должности заместителя генерального директора по безопасности.

Служба безопасности фирмы состоит из следующих структурных единиц:

1. Отдела охраны.
2. Отдела по защите конфиденциальной информации.

Все лица принимаемы на работу в ООО  «Вектор», должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник фирмы, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа  сотрудников ООО «Вектор» к КИ, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации. 

Защита КИ в рассматриваемой фирме является одним из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития фирмы. Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты КИ являются:

• построение моделей злоумышленников и конкурентов на основе поиска и аутентификации информации о их намерениях и устремлениях;
• определение перечня сведений, составляющих объект защиты интересов фирмы в конкретных областях его деятельности;
• совмещение организационно-административных мер защиты КИ с активными вовлечением в указанный процесс всего персонала организации;
• введение персональной ответственности (в том числе и материальной) должностных лиц всех уровней, а также других работников концерна, допущенных к КИ, за обеспечение установленного на фирме режима конфиденциальности.

1.4 Перечень сведений, составляющих информацию ограниченного доступа

Перечень сведений, составляющих информацию ограниченного доступа на предприятии, приведен в виде документа, утвержденного руководителем в Приложении А.

1.5 Нормативно - правовая база защиты информационных ресурсов в ООО «Вектор»

Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определённых сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).

Правовые нормы обеспечения  безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Для защиты конфиденциальной информации в ООО «Вектор» разработаны нормативно-правовые документы в соответствие с видами информационных ресурсов, которые имеются на предприятии.

1.5.1 Персональные данные работников ООО «Вектор»

Для защиты персональных данных работников Службой безопасности был приведен следующий перечень государственных  нормативно-правовых актов:

1. Конституция РФ Глава 2.

В соответствии со статьей 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Конституцией установлено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

2. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ

(с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа, 29 декабря  2004 г., 9 мая 2005 г, 30 июня2006 г.)

Глава 14.  Защита персональных данных работника

Статья 85. Понятие персональных данных работника.

Статья 86. Общие требования при  обработке персональных данных работника  и гарантии их защиты

Статья 87. Хранение и использование  персональных данных работников

Порядок хранения и использования  персональных данных работников в организации  устанавливается работодателем  с соблюдением требований настоящего Кодекса.

Статья 88. Передача персональных данных работника 

Статья 89. Права работников в целях  обеспечения защиты персональных данных, хранящихся у работодателя

Статья 90. Ответственность за нарушение  норм, регулирующих обработку и защиту персональных данных работника 

3. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ (КоАП РФ) (с изменениями 30 декабря 2006 г.)

Глава 5. Административные правонарушения, посягающие на права граждан

Статья 5.39. Отказ в предоставлении гражданину информации

Глава 13. Административные правонарушения в области связи и информации

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Статья 13.14. Разглашение информации с ограниченным доступом

4. Гражданский кодекс Российской Федерации (30 июня, 27 июля 2006 г.).

Глава 8. Нематериальные блага и их защита

Статья 150. Нематериальные блага 

Статья 151. Компенсация морального вреда 

Статья 152. Защита чести, достоинства  и деловой репутации

5. Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ (с изменениями от 27 июля 2006 г.)

Глава 19. Преступления против конституционных прав и свобод

Статья 136. Нарушение равенства  прав и свобод человека и гражданина

Статья 137. Нарушение неприкосновенности частной жизни 

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных  или иных сообщений

Статья 140. Отказ в предоставлении гражданину информации

Статья 141. Воспрепятствование осуществлению  избирательных прав или работе избирательных  комиссий

6. Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных  технологиях и о защите информации»

Статья 9. Ограничение доступа к  информации

Статья 10. Распространение информации или предоставление информации

7. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

8. Указ Президента РФ об утверждении перечня сведений конфиденциального характера (в ред. Указа Президента РФ от 23.09.2005 N 1111).

1.5.2 Коммерческая тайна ООО «Вектор»

Для защиты коммерческой тайны  рассматриваемой фирмы Службой безопасности был приведен следующий перечень государственных нормативно-правовых актов:

1. Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

2. Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных  технологиях и о защите информации» 

3. Указ Президента РФ об утверждении  перечня сведений конфиденциального  характера (в ред. Указа Президента РФ от 23.09.2005 N 1111).

4. Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ (с изменениями от 27 июля 2006 г.)

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Статья 204. Коммерческий подкуп

5. Гражданский кодекс Российской Федерации (30 июня, 27 июля 2006 г.)

Статья 12. Способы защиты гражданских  прав (защита прав обладателя КТ)

Статья 15. Возмещение убытков

Статья 16. Возмещение убытков, причиненных  государственными органами и органами местного самоуправления

Статья 139. Служебная и коммерческая тайна

Статья 184. Коммерческое представительство  (Коммерческий представитель обязан сохранять в тайне ставшие ему известными сведения о торговых сделках и после исполнения данного ему поручения.)