Организация систем защиты конфиденциальной информации
Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
- - организацию охраны, режима, работу с кадрами, с документами;
- - использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
- - организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
- - организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
- - организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
- - организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
- - организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
- - организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
- - предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
- - предприятие обязано обеспечить сохранность конфиденциальной информации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
- - Положение о сохранении конфиденциальной информации;
- - Перечень сведений, составляющих конфиденциальную информацию;
- - Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
- - Положение о специальном делопроизводстве и документообороте;
- - Перечень сведений, разрешенных к опубликованию в открытой печати;
- - Положение о работе с иностранными фирмами и их представителями;
- - Обязательство сотрудника о сохранении конфиденциальной информации;
- - Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.
Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;
- - защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;
- - защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
- - защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.
Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.
В отношении конфиденциальной информации целями защиты являются:
- - предотвращение утечки, хищения, утраты, искажения информации;
- - предотвращение угроз безопасности личности, общества, государства;
- - предотвращение несанкционированных действий по уничтожению и копированию;
- - защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- - сохранение конфиденциальности документированной информации.
Для защиты могут использоваться только сертифицированные средства защиты.
Правовой основой для допуска является:
- - обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;
- - нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.
Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны "обязательство" (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:
- - не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;
- - не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;
- - выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;
- - в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;
- - сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет дело вые отношения;
- - не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;
- - в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;
- - об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.
Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.
Сотрудники организации/предприятия должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.
За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.
Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации - это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.
Дата добавления: 2015-09-05; просмотров: 297 | Нарушение авторских прав
mybiblioteka.su - 2015-2024 год. (0.006 сек.)