Автор работы: Пользователь скрыл имя, 18 Августа 2015 в 14:29, дипломная работа
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
ВВЕДЕНИЕ
Глава 1. Основы информационной безопасности и защиты конфиденциальной информации
1.1 Понятие конфиденциальности и виды конфиденциальной информации
1.2 Система защиты от угроз и утечек конфиденциальной информации
1.3 Организация работы с документами, содержащими конфиденциальные сведения
Глава 2 . Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
2.1 Характеристика ОАО "ЧЗПСН - Профнастил"
2.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
2.3 Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список использованных источников и литературы
Определенные проблемы связаны и с таким видом тайны, как коммерческая. Она регламентируется различными нормативно-правовыми актами, между которыми также можно обнаружить нестыковки. Например, секрет производства, правовое регулирование которого основывается на действующей ст. 151 Основ гражданского законодательства Союза ССР и республик 1991г., по своему определению и признакам полностью совпадает с коммерческой и служебной тайной (ст. 139 ГК РФ). Поэтому точка зрения А. А. Фатьянова о том, что одной из самых распространенных категорий сведений, которым может придаваться статус коммерческой тайны, являются секреты производства (так называемые "ноу-хау") , представляется не совсем правильной, так как данные понятия - секрет производства и коммерческая тайна - совпадают12. Подобные разночтения существуют и в других актах. В частности, ст. 102 Налогового кодекса РФ, регламентирующая режим налоговой тайны, разделяет понятия коммерческой и производственной тайн, не определяя при этом содержания последней, что нельзя признать верным.
Следующий вид тайны - служебная тайна - представляет наибольшую сложность с точки зрения определения ее понятия и правового режима, поскольку в этот вид тайны в разное время включалось и теперь включается различное содержание. В настоящее время, в связи с действием Закона РФ "О государственной тайне", прежний режим служебной тайны, включавший сведения со степенью " секретно" упразднен, и секретные сведения относятся к государственной тайне. Однако в различных правовых актах термин "служебная тайна" продолжает упоминаться, и в него вкладывается различное значение, причем в большинстве оно даже не раскрывается. Лишь в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6.03.97г. № 188, к служебной тайне отнесены "служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами". Данное определение вызывает ряд замечаний. Непонятно, может ли быть в этом случае служебная тайна у других организаций, а не только у государственных органов. Ст. 139 ГК этот вопрос не решает, в литературе существуют различные точки зрения 13, в то же время служебная информация используется, например, участниками рынка ценных бумаг согласно ст. ст. 31-33 ФЗ "О рынке ценных бумаг" от 22.04.96г. Неясно содержание этих сведений, так как согласно ст. 12 ФЗ "Об основах государственной службы Российской Федерации" к служебной тайне отнесены поступающие в органы государственной налоговой службы (в настоящее время, в соответствии со ст.30 Налогового кодекса РФ и ФЗ "О внесении изменений и дополнений в Закон РСФСР "О Государственной налоговой службе РСФСР" от 8.07.99г. № 151-ФЗ, - в налоговые органы) сведения об имущественном положении гос.служащих. Как считает А. И. Алексенцев, по смыслу служебную тайну составляют, хотя и не названы ею, "сведения, затрагивающие частную жизнь, честь и достоинство граждан", которые госслужащие не должны разглашать (ст. 10 ФЗ "Об основах государственной службы ...")14. Существует и проблема определения военной тайны. Это понятие встречается в ФЗ "О статусе военнослужащих " от 27.05.98г. № 76-ФЗ (ст. ст. 7, 26), Уставе внутренней службы Вооруженных Сил РФ, утвержденном Указом Президента РФ от 14.12.93г. (ст. ст. 13, 72 и т.д.). Ряд военнослужащих-юристов считает, что в настоящее время нет военной, а есть лишь государственная тайна, А. А. Фатьянов высказывает мнение, что военная тайна является служебной тайной Вооруженных Сил15. Непонятно также, каков правовой режим и значение сведений с пометкой "Для служебного пользования", которые регламентируются Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утвержденном постановлением Правительства РФ от 3.11.94г. № 1233.
Таким образом, в настоящее время правовой режим служебной тайны не сформирован. По мнению А. И. Алексенцева, основным признаком информации, составляющей служебную тайну, должен быть ее управленческий характер 16, но в этом случае целая группа сведений, которая в настоящее время отнесена к служебной тайне, должна составлять профессиональную тайну.
В Российской империи профессиональная тайна существовала, но в советское время этот термин вышел из употребления. В настоящее время профессиональную тайну составляют, например, сведения личного характера, ставшие известными работникам учреждения при оказании социальных услуг согласно ст. 11 ФЗ "О социальном обслуживании граждан пожилого возраста и инвалидов" от 02.08.95г. № 122-ФЗ. В п.4 Перечня сведений конфиденциального характера названы сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, телеграфных или иных сообщений и т. д.). Также, по нашему мнению, к профессиональной тайне следует относить банковскую тайну, налоговую тайну, тайну страхования ( хотя она носит двойственный характер и может выступать согласно ст. 946 ГК и как личная и семейная тайна, и как коммерческая тайна), тайну усыновления, тайну голосования, тайну исповеди, тайну предварительного следствия (ст. 139 и др. УПК). Говоря о последней, следует отметить, что, по верному замечанию А. А. Фатьянова, отнесение тайны предварительного следствия к группе профессиональных тайн весьма условно и проводится только по признаку обязанности органов предварительного следствия (дознания) обеспечивать сохранность ставших им известными сведений о частной жизни граждан в случаях, если данные сведения не являются предметом расследования17. Главным признаком профессиональной тайны является то, что она направлена на защиту других видов тайн, в основном, коммерческой и личной и семейной. По нашему мнению, в связи с этим можно вести речь о первичных и производных видах тайн, к которым следует относить вышеназванные профессиональные тайны.
Как отмечает Ефремов А. А. своем труде «Правовое регулирование банковской тайны» , правовое регулирование банковской тайны в настоящее время осуществляется нормами ГК, ФЗ "О банках и банковской деятельности в РСФСР", УК (ст.183), ст. ст. 16, 161, 163, 165, 167 Таможенного кодекса РФ, а также рядом инструкций Центробанка и налоговых органов.
Следует отметить, что между ст.857 ГК и ст.26 ФЗ "О банках..." имеется ряд противоречий, на которые указывает А. Ю. Викулин18. В частности, в ГК субъектом, обязанным хранить тайну, назван банк, тогда как в законе - кредитная организация, в ГК идет речь об операциях по вкладу, а в законе - вообще об операциях. Кроме того, закон шире определяет круг сведений, подлежащих охране, называя также " иные сведения". В силу ч.2 ст.3 ГК должны применятся нормы кодекса, поэтому необходимо устранить имеющиеся противоречия между законами. Таких противоречий много. Например, ФЗ" О банках ..." дает исчерпывающий перечень органов и должностных лиц, которые могут получить сведения, составляющие банковскую тайну, а ст. 41 ФЗ "О реструктуризации кредитных организаций" от 08.07.99г. устанавливает и право Агентства по реструктуризации кредитных организаций на получение сведений, составляющих банковскую тайну.
Подводя итог всему вышесказанному, можно констатировать, что в настоящее время видами конфиденциальной информации являются государственная, коммерческая, личная и семейная, служебная и профессиональная тайна, которая, в свою очередь, имеет ряд разновидностей. При этом правовой режим большинства из названных тайн полностью не разработан, а между отдельными документами существуют серьезные противоречия, которые необходимо устранить.
1.2 Система защиты от угроз и утечек конфиденциальной информации
Под термином угроза или опасность утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных19.
Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах20. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия21.
Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус22. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).
Одним из важнейших видов продуктов и видов товара на рынке является информация, в том числе на международном. Постоянно совершенствуются средства ее обработки, накопления, хранения и передачи. Как категория, имеющая действительную или потенциальную ценность, стоимость информация- охраняется, защищается ее собственником или владельцем.
Защищают и охраняют, как правило наиболее важную, ценную для ее собственника информацию, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи
Под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником23.
Под методами защиты любого вида охраняемой информации понимают следующее;
защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;
защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
защита информации
осуществляется путем
Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям24.
Защита информации - это деятельность собственника информации или уполномоченных им лиц по: обеспечению своих прав на владение, распоряжение и управление защищаемой информацией; предотвращению утечки и утраты информации; сохранению полноты достоверности, целостности защищаемой информации, ее массивов и программ обработки, сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами25.
Сохранение сведений в тайне, владение секретами дает определенные преимущества той стороне, которая ими владеет. Защищаемая информация, как и любая другая информация, используется человеком или по его воле различными созданными искусственно или существующими естественно системами в интересах человека. Она носит семантический, то есть смысловой, содержательный характер. Это дает возможность использовать одну и ту же информацию разными людьми, народами независимо от языка ее представления и знаков, которыми она записана, формы ее выражения и т.д. В то же время защищаемая информация имеет и отличительные признаки:
засекречивать информацию, то есть ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;
чем важнее для собственника
информация, тем тщательнее он
ее защищает. А для того чтобы
все, кто сталкивается с этой
защищаемой информацией, знали, что
одну информацию необходимо
защищаемая информация
должна приносить определенную
пользу ее собственнику и
Основной угрозой информационной безопасности является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации с ограниченным доступом и, как результат, овладение информацией и незаконное, противоправное ее использование.
Разработка мер, и обеспечение защиты информации осуществляются подразделениями по защите информации (служба безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации26.
Под злоумышленником понимается лицо, действующее в интересах противника, конкурента или в личных корыстных интересах (на сегодняшний день - террористы любых мастей, промышленный и экономический шпионаж, криминальные структуры, отдельные преступные элементы, лица, сотрудничающие со злоумышленником, психически больные лица и т.п.)27.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники милиции, МЧС, коммунальных служб, медицинской помощи, прохожие и др.), посетители организации, работники других организаций, включая контролирующие органы, а также работники самого предприятия, не обладающие правом доступа в определенные здания и помещения, к конкретным документам, базам данных28.
Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом конкурента и т.п., но может и не быть им29.
Наиболее часто встречающимися угрозами (опасностями) конфиденциальных сведении в документопотоках могут быть:
1. Несанкционированный доступ
постороннего лица к