Автор работы: Пользователь скрыл имя, 16 Апреля 2014 в 07:39, дипломная работа
Актуальность темы дипломной работы обусловлена тем, что информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это наиболее ценный и ходовой объект в международных экономических отношениях. На международном уровне сформировалась система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, имеющий социальное значение.
Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся эта информация представляет различную ценность для хозяйствующего субъекта и, соответственно, ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать различные системы защиты, в том числе и организационную, а главное - правовую.
Введение…………………………………………………………………………3-4
Глава 1 Теоретико-правовые основы режима конфиденциальной информации
Понятие информации и её значение в деятельности различных субъектов…………………………………………………………………5-8
Понятие конфиденциальности и виды конфиденциальной информации …………………………………………………………….8-19
1.3. Основные источники правового регулирования конфиденциальной информации…………………………………………………………………….20-25
Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
2.1.Нормативно-методическая база конфиденциального делопроизводства..25-27
2.2. Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных………………………………….27-35
2.3. Технологические основы обработки конфиденциальных документов…35-41
Глава 3 Анализ системы защиты конфиденциальной информации в ОАО СК «РОСНО»
3.1. Характеристика производственно-хозяйственной деятельности филиала страховой компании «РОСНО» - Альянс РОСНО жизнь………………….41-42
3.2. Анализ методов и способов защиты конфиденциальной информации в страховой компании Альянс РОСНО жизнь……………………………….42-47
Заключение……………………………………………………………………..47-50
Список использованной литературы………………………………………...51-52
Как отмечают аналитики, наша законодательная база явно не полна.
Подводя итог можно наметить следующие основные направления деятельности на законодательном уровне:
1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
3. Интеграция в мировое правовое пространство;
4. Учет современного состояния информационных технологий.
В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.
Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией.
Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты.
Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.
Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.
Регламентация доступа - установление правил, определяющих порядок доступа.
Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.
Информационная безопасность организации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и преступного использования информации, составляющей какую-либо конфиденциальную, коммерческую тайну. Задачи обеспечения информационной безопасности реализуются комплексной системой защиты информации, которая предназначена для решения множества проблем, возникающих в процессе работы с информацией, в том числе и финансовой.
Надо, чтобы обязанности сотрудников по обращению с информацией различного рода были четко прописаны в соответствующих инструкциях (которые сами должны носить гриф "для ограниченного доступа").
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим конфиденциальности проводимых фирмой работ представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем, виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд, в пограничную зону, на посещение воинской части.
Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.
Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.
Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных.
Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу "чем выше уровень доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников может их знать".
Формы письменной индивидуальной регламентации разрешения на доступ - резолюции, перечни, списки, матрицы и т.п. В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.
Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.
Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальная информация по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.
При составлении конфиденциальных документов следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.
Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе зашиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.
Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.
Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника.
В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.
Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.
Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.
Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.
Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.
Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы Он несет за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде, резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п. Без дополнительного разрешения допускаются к документам их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциального делопроизводства обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.