Разработка системы защиты конфиденциальной информации.Разработка системы защиты конфиденциальной информации Столяров Николай Владимирович Источник — security.meganet.md Под разглашением КИ понимаются умышленные или неосторожные действия допущенных к КИ лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников АО, которым эта информация не была доведена в официально установленном порядке; утечка КИ — это несанкционированное распространение информации за пределы установленного физического пространства. Комплексная защита КИ имеет целью решение двух задач: защиту права организации на КИ, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты КИ, образующих систему защиты конфиденциальной информации (СЗКИ)). Что же такое конфиденциальная информация??? К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом –
за исключением государственных секретов. ( статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”) «Коммерческая тайна – вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна – один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами. К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91г. № 35 Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации. В Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информации о гражданах — персональные данные — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность . Создание системы защиты КИ Для того чтобы легально заниматься защитой конфиденциальной информации нужно получить лицензию на право осуществления деятельности по технической защите конфиденциальной информации (В соответствии с ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290). : Для этого нужно выполнить следующие требования: а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации. б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации; (пп. "б" в ред. Постановления Правительства РФ от 23.09.2002 N 689) в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации; г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы: а) заявление о выдаче лицензии с указанием: б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (в ред. Постановления Правительства РФ от 06.02.2003 N 64) в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя; г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика; д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии; е) сведения о квалификации специалистов по защите информации соискателя лицензии. Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации. Правовые нормы обеспечения безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов. Требования обеспечения безопасности и защиты информации отражаются в Уставе :
Такие требования дают право администрации предприятия:
Устав организации должен содержать следующие требования: Раздел «Права и обязанности»: 1. Фирма имеет право:
2. Фирма обязана:
Раздел «Конфиденциальная информация»: Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором. ВНЕСЕНИЕ ЭТИХ ДОПОЛНЕНИЙ ДАЕТ ПРАВО АДМИНИСТРАЦИИ:
Коллективный договор должен содержать следующие требования: Раздел «Предмет договора»
Раздел «Кадры. Обеспечение дисциплины труда» Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ. Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями: Раздел «Порядок приема и увольнения рабочих и служащих» При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:
Раздел «Основные обязанности рабочих и служащих» Рабочие и служащие обязаны:
Раздел «Основные обязанности администрации» Администрация и руководители подразделений обязаны:
Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации. В договоре о проведении совместных работ должены содержаться следующие требования: Стороны обязуются не передавать лицензии лицам и не раскрывать публично сведения о проводимых совместно работах без взаимного согласования. За нарушение данного условия стороны несут финансовую ответственность по возмещению убытков, упущенной выгоды и морального ущерба. Лица, нарушившие условия конфиденциальности, могут быть привлечены к ответственности в соответствии с действующим законодательством. Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18). Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности. Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов. Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права. Конфиденциальность — это форма обращения со сведениями, составляющими конфиденциальную информацию, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями. Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств. Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия. Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций. Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике. Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. К основным организационным мероприятиям можно отнести:
Исходя из ситуации и в целях совершенствования системы защиты информации я предлагаю объединить все службы занимающиеся защитой информации в одну службу и назвать её службой безопасности, функции которой будут следующими:
Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации. Возглавляет службу безопасности начальник службы в должности заместителя генерального директора по безопасности. Организационно служба безопасности состоит из следующих структурных единиц:
Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:
Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации). В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации. Под сведениями ( и их носителями) понимаются:
Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих конфиденциальную информацию, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий. В совокупности под конфиденциальной информацией надо понимать сведения, не являющиеся государственными секретами, но которые связаны, прежде всего, с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб её интересам или интересам их владельцев. Законодательной основой защиты конфиденциальной информацией является часть вторая ГК РФ. При разработки перечня следует руководствоваться :
После разработки проекта перечня, он обсуждается и утверждается на ЭТК и согласовывается с генеральным директором организации, начальниками основных служб и отделов Перечень вводится приказом генерального директора организации в виде приложения к нему. Сотрудники организации, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему. Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации. Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство ( приложение 2 ) об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации. Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к КИ, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации. При написании такой инструкции следует руководствовать положениями ГОСТа Р6 30-2003- “ Унифицированные системы документации.”, а так же “ Унифицированная система организационно-распорядительной документации. Требования к оформлению документов”, который был принят и введен в действие постановлением Госстандарта РФ от 3 марта 2003 г. N 65-ст. Инструкция по защите конфиденциальной информации должна состоять из следующих частей:
Защита КИ является одним из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития организации. Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты КИ являются:
Вышеперечисленные документы разработаны с учетом общих требований к содержанию и оформлению подобных документов. Разработанные автором документы вы можете получить, для этого достаточно отправить просьбу об получении такой инструкции мне на e-mail указав название организации, область деятельности ). Столяров Николай Владимирович |