- •Обеспечение организации системы безопасности предприятия
- •090905.51 "Организация и технология защиты информации"
- •Введение
- •1 Нормативные ссылки
- •2 Требования к курсовой работе
- •3 Методика разработки документации по защите информации
- •3.1 Основные понятия методологии защиты информации в организациях различных форм собственности
- •3.2 Анализ объекта управления. Анализ задачи
- •3.3 Разработка документации необходимой для осуществления деятельности по защите информации на рассматриваемом предприятии
- •• Разработать концепцию обеспечения безопасности информации в автоматизированной системе организации;
- •• Определить требования по защите (категорировании) ресурсов автоматизированной системы организации;
- •Тематика курсовой работы
- •Общие требования к оформлению курсовой работы.
- •Список использованных источников и литературы
- •Нормативно-правовые акты:
- •Ссылки и сноски
- •Приложение б
- •Образец Гриф секретности
- •Положение о локальной вычислительной сети организации
- •1.1. Основные термины
- •1.2. Назначение лвс аппарата организации
- •1.3. Структура лвс организации
- •1. Общие положения
- •2. Охраняемые сведения
- •3. Технические каналы утечки информации, несанкционированного доступа и специальных воздействий на нее
- •4. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •5. Обязанности и права должностных лиц
- •6. Аттестование рабочих мест
- •Инструкция по организации антивирусной защиты в ас организации
- •Применение средств антивирусного контроля
- •Ответственность
- •Обязанности администратора информационной безопасности (ответственного за обеспечение безопасности информации) в подразделении организации
- •1. Общие положения
- •2. Обязанности администратора информационной безопасности
- •3. Права администратора информационной безопасности
- •4. Ответственность администратора информационной безопасности
3 Методика разработки документации по защите информации
3.1 Основные понятия методологии защиты информации в организациях различных форм собственности
Деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки в ручную или с использованием средств вычислительной техники, принятия на основе анализа информации каких-либо конкретных решений и передачи принятых решений по каналам связи. Информация только тогда становится полезной, когда она представлена в форме, доступной для восприятия и ее обработки. Искажение информации, блокирование процесса ее получения или внедрение ложной информации, способствуют принятию ошибочных решений.
Вместе с тем, информация это весьма специфический продукт, который может быть как в материальном, так и в нематериальном (нефиксированном) виде. Поэтому необходимы четкие границы, определяющие информацию, как объект права, которые позволят применить к ней определенные законодательные нормы.
Федеральный Закон Российской Федерации от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", направленный на регулирование взаимоотношений в информационной сфере совместно с Гражданским кодексом Российской федерации относит информацию к объектам права и дает ее определение:
"Информация - сведения (сообщения, данные) независимо лот формы их представления".
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
По этому Закону защите подлежит конфиденциальная информация ограниченного доступа, а степень ее защиты определяет собственник этой информации.
В соответствии с ГОСТ Р 50922-2006 «Защита информации. Термины и определения», под защищаемой информацией понимается информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Какую информацию относят к защищаемой? Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну. Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и которые характеризуются понятием «тайна». В современном законодательстве (на основе анализа более 90 законов) упоминается свыше 30 видов тайны, которые выступают в виде прямых ограничений при реализации информационных прав и свобод.
При этом ответственность за выполнение мер защиты лежит не только на собственнике информации, но и на ее пользователе. Поэтому, прежде всего надо четко уяснить используется ли в Вашем учреждении информация, которая не принадлежит Вам, но подлежит обязательной защите.
Отметим, что защищается только документированная информация, поэтому Вам в начале надлежит уяснить какая документированная информация используется в Вашем учреждении. Начать надо с того, что провести предварительный анализ информации, которая имеется в Вашем учреждении. От этого, в дальнейшем, будет зависеть выбор степени защиты информации.
Документирование информации проводится по строго определенным правилам. Основные из них изложены в ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению документов.", ГОСТ 6.10.4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники." и некоторых других. Надо отметить, что эти ГОСТы предполагают 31 реквизит, который делает информацию документом. Правда, не обязательно что бы присутствовали сразу все реквизиты. Но главным реквизитом является текст документа. Поэтому любая информация, изложенная в виде связного текста без каких-либо дополнительных реквизитов уже может рассматриваться как документ. Необходимо отметить, что для придания документу определенной юридической силы одного текста недостаточно. Необходимы также такие важные реквизиты, как дата и подпись.
Особый порядок существует только для документов, полученных из автоматизированных информационных систем. При этом, в определенных случаях, применяется процедура заверения информации, полученной от удаленного объекта, электронной подписью.
В Федеральном законе «Об информации, информационных технологиях и о защите информации» (ст. 9) вся информация с ограниченным доступом подразделена на государственную тайну и конфиденциальную информацию. При этом из многочисленных видов конфиденциальной информации в законе упомянуты лишь личная и семейная, профессиональная, коммерческая и служебная тайны и персональные данные. Первой категорией информации владеет само государство и, естественно, само выдвигает определенные требования по ее защите и контролирует их исполнение. Это определяется Законом Российской Федерации 1993 года "О государственной тайне" № 5485-1. Надо сказать, что нарушения именно этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом Российской Федерации.
В настоящее время разработан Перечень должностных лиц, имеющих право отнесения сведений к категории государственная тайна. Всем ведомствам, возглавляющим этими лицами, Правительством Российской Федерации поручено разработать конкретные перечни сведений, составляющих государственную тайну, которые являются развитием общероссийского Перечня сведений, отнесенных к государственной тайне (подлежащему открытому опубликованию). Такой перечень сформирован Межведомственной комиссией по защите государственной тайны России и утвержден Указом Президента Российской Федерации.
Собственником второй категории информации являемся и мы с Вами вместе взятые, так как эта информация затрагивает нашу с Вами личную жизнь. Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство взяло ее под свой контроль и рассматривает ее защиту, как одну из своих важных задач.
Каждый гражданин имеет право на обладание информацией о своей частной жизни, доступ к которой по его желанию может быть ограничен. При этом защита таких сведений, классифицируемых как личная тайна, должна обеспечиваться в первую очередь их владельцем. Однако из всего многообразия такого вида сведений выделяются данные, предоставляемые гражданином в различные государственные и частные организации. Использование этих данных без согласия владельца может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам. В этом случае обеспечение конфиденциальности таких данных - прямая обязанность государства. Эти сведения являются персональными данными. Правовая сторона этого вопроса на современном этапе проработана достаточно.
Впервые это понятие определено в Указе Президента РФ № 188 от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера». Федеральный закон «Об информации, информационных технологиях и о защите информации» (ст. 9) декларирует, что персональные данные должны защищаться, а режим защиты в отношении этих данных устанавливается федеральным законом.
Таким законом стал подписанный Президентом РФ 27 июля 2006 г. Федеральный закон «О персональных данных» № 152-ФЗ. Целью его является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
К персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), а именно:
биографические и опознавательные данные (фамилия, имя, отчество, дата и место рождения, адрес);
личные характеристики (образование, профессия и др.);
сведения о семейном положении (в том числе о семейных отношениях);
сведения об имущественном, социальном и финансовом положении (кроме случаев, прямо установленных в законе);
данные о состоянии здоровья;
сведения о вероисповедании и др.
Из существующих известных методов защиты интеллектуальной собственности: патентования, авторского права, товарного знака и коммерческой тайны (КТ) - последний в силу своего наиболее широкого применения является одним из самых важных. В условиях рыночной экономики, как показывает опыт развитых стран, институт КТ является не меньшей общественной потребностью, чем система защиты государственной тайны.
Несмотря на это, история принятия соответствующего закона является одной из наиболее длительных среди законопроектов. Проект его выносился на рассмотрение Государственной думы более пяти раз (впервые в 1997 г.) и всякий раз отправлялся на доработку. Федеральный закон «О коммерческой тайне» № 98 подписан Президентом РФ 29 июля 2004 г.
Важно понимать, что в рыночной экономике информация является ценным товаром и подчиняется законам товарно-денежных отношений. Неправомерное овладение чужими информационными ресурсами с целью их использования является наиболее опасной формой недобросовестной конкуренции. Защита коммерческой тайны - важное условие получения предприятием максимальной прибыли, предотвращения банкротства. Экономическая безопасность предприятия не может быть обеспечена, если коллектив предприятия (фирмы) не осознает неразрывность своих личных интересов с интересами данного предприятия (фирмы) и не заботится о сохранении коммерческой тайны. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно только, если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации. Суть этих формальностей, изложенных в ст.139 Гражданского кодекса Российской Федерации заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность и эти ведения не могут быть известны третьим лицам в силу других каких-либо условий, во-вторых, учреждение принимает определенные усилия, чтобы исключить на законных основаниях свободный доступ к этой информации и охране ее конфиденциальности, и в-третьих, все сотрудники, знакомые с этими сведениями были официально предупреждены об их конфиденциальности. Только в этом случае закон будет на Вашей стороне, и Вы сможете потребовать возмещения убытков, понесенных от нарушения их конфиденциальности