Организация работы с конфиденциальной информацией на примере конкретной организации

 

 

Министерство образования и науки Российской Федерации

государственное бюджетное образовательное учреждение

среднего профессионального образования

«Самарский областной техникум аграрного и промышленного сервиса»

Факультет: документационное обеспечение

Специальность:________________

 

 

 

 

 

 

 

Выпускная квалификационная (дипломная) работа

 

Тема: Организация работы с конфиденциальной информацией на примере конкретной организации

 

 

 

 

Выполнил студент

№ 4 курса, группы 3223

Кривошеев Денис Михайлович

_______________(подпись)

 

Руководитель дипломной работы

Фамилия, инициалы

_______________(подпись)

 

 

«Допустить к защите»  Зам.директора по учебной части                                              _______________________ (подпись)             «______»_____________2014 г.

Работа защищена «______»_____________2014 г.   Оценка «__________________» Председатель ГАК _______________________ Фамилия, инициалы _______________(подпись)

 

                              

                                                                                                                                                                                                                                             

 

 

Самара, 2014

Оглавление

Введение…………………………………………………………………………3-4

Глава 1 Теоретико-правовые основы режима конфиденциальной информации

1. Понятие информации  и  её  значение в деятельности различных субъектов…………………………………………………………………5-8
2. Понятие конфиденциальности и виды  конфиденциальной           информации …………………………………………………………….8-19

1.3. Основные источники правового  регулирования конфиденциальной  информации…………………………………………………………………….20-25

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1.Нормативно-методическая база конфиденциального делопроизводства..25-27

2.2. Организация  доступа и порядок работы персонала  с конфиденциальными сведениями, документами и базами данных………………………………….27-35

2.3. Технологические  основы обработки конфиденциальных  документов…35-41

Глава 3 Анализ системы защиты конфиденциальной информации в ОАО СК «РОСНО»

3.1. Характеристика  производственно-хозяйственной деятельности  филиала страховой компании «РОСНО» - Альянс РОСНО жизнь………………….41-42

3.2. Анализ методов и  способов защиты конфиденциальной информации в страховой компании Альянс РОСНО жизнь……………………………….42-47

Заключение……………………………………………………………………..47-50

Список использованной литературы………………………………………...51-52

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Кто владеет информацией, тот владеет миром.

                 Уинстон Черчилль

 

Введение.

Актуальность темы дипломной работы обусловлена тем, что информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это наиболее ценный и ходовой объект в международных экономических отношениях. На международном уровне сформировалась система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, имеющий социальное значение.

Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся эта информация представляет различную ценность для хозяйствующего субъекта и, соответственно, ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать различные системы защиты, в том числе и организационную, а главное - правовую.

В связи, с чем информация разделяется на три группы: информация для открытого пользования любым потребителем в любой форме; информация ограниченного доступа - только для органов, имеющих соответствующие законодательно установленные права (полиция, налоговая инспекция, прокуратура); информация только для работников (либо руководителей) организации.

Информация, относящаяся ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространении. Часть этой информации составляет особый блок и может быть отнесена к коммерческой тайне.

В современном обществе неизбежность и целесообразность использования информационных технологий и глобальных коммуникаций влечет за собой неотвратимость угроз информационной безопасности и утечке "закрытой" информации.

Потеря информации в личном компьютере в результате проникновения вируса ощутима для его владельца, но нарушение работы систем государственного управления, муниципального самоуправления, систем жизнеобеспечения задевает интересы общества, национальные интересы в целом.

Масштабность угроз информационной безопасности, осознанная международным сообществом, нашла отражение в документах Всемирной встречи на высшем уровне по вопросам информационного общества, где содержится призыв ко всем участникам информационного общества предпринимать соответствующие действия и принимать установленные законодательством меры по предотвращению ненадлежащего использования информационных и телекоммуникационных технологий (ИКТ).

Россия также стала инициатором постановки на уровне ООН проблем международной информационной безопасности (МИБ) и выработки соответствующих рекомендаций.

Проблема защиты конфиденциальной информации, как организаций любой формы собственности в целом, так и органов муниципального самоуправления в частности, в настоящее время стоит наиболее остро, так как угрозы нарушения информационной безопасности носят глобальный и трансграничный характер; способы реализации угроз информационной безопасности и формы их проявления постоянно совершенствуются; высокая технологичность этих угроз требует адекватных мер противодействия, предъявляет требования к квалификации специалистов по информационной безопасности, материально-техническому и кадровому обеспечению правоохранительных органов и спецслужб.

Конфиденциальная информация является важнейшей составляющей любых информационных отношений. Вопросы правового регулирования по поводу использования и распространения информации в последнее время занимают одно из значительных мест в юридической литературе. Это обусловлено, прежде всего, тем, что содержание юридически значимой тайны заключается в том, что ее предмет образует информация, не предназначенная для широкого круга лиц, а ее разглашение может повлечь нежелательные последствия для владельцев и обладателей тайны.

Следует сказать, что в настоящее время законодательная регламентация общественных отношений, связанных с использованием отдельных видов конфиденциальной информации, несовершенна. Вопрос о нормативно-правовой регламентации тайны затронут Федеральным законом от 27 июля 2006 г. № 149-ФЗ  "Об информации, информационных технологиях и о защите информации", что является основанием выделения в науке соответствующего направления для исследования.

Не менее важной проблемой защиты конфиденциальной информации, является состояние информационной безопасности в России, которое характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь, системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Обозначенные проблемы обусловливают актуальность настоящего исследования.

В научной литературе отдельные аспекты, связанные с обеспечением механизма охраны отдельных видов конфиденциальной информации ограниченного доступа, отражены в научных трудах таких правоведов, как: М.Ю. Барщевский, В.Н. Буробин, Б.В. Волженкин, З.Ф. Гайнуллина, А.В. Галахова, А.С. Горелик, А.Ф. Жигалов, З.З. Зинатуллин и др. А проблема правовой защиты конфиденциальной информации самостоятельно почти не изучалась.

Глава 1 Теоретико-правовые основы режима конфиденциальной информации.

1.1 Понятие информации и ее значение в деятельности различных субъектов.

Термин "информация" происходит от латинского слова "informatio", что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке. В настоящее время наука пытается найти общие свойства и закономерности, присущие многогранному понятию информация, но пока это понятие во многом остается интуитивным и получает различные смысловые наполнения в различных отраслях человеческой деятельности:

Информация играет огромную, ведущую роль в жизнедеятельности каждого предприятия и организации. Для любого субъекта информационных отношений наиболее важны и ценны те сведения, которыми владеют или пользуются только они и никто больше.

Учитывая особенную и, пожалуй, вечную актуальность темы поиска и сохранения информации, государство должно установить для всех "правила игры" на этом поле, гарантировав субъектам информационных отношений права и установив определенные обязанности, специальные ограничения и санкции, то есть полностью в правовом смысле отрегулировать всю систему оборота информации, особенно той, на которую субъекты права имеют или хотят иметь преимущества в использовании, - конфиденциальной.

Первое российское легальное определение понятия "информация" было дано в Федеральном законе от 20 февраля 1995 г № 24-ФЗ "Об информации, информатизации и защите информации", в ст. 2 которого говорилось, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.

В соответствии со ст.2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", информация - это сведения (сообщения, данные) независимо от формы их представления.

Законодателем определено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения (ст. 5 ФЗ № 149-ФЗ).

Информация имеет ряд особенностей:

- она нематериальна;

- информация хранится и передается  с помощью материальных носителей;

- любой материальный объект содержит информацию о самом себе или о другом объекте.

Не материальность информации понимается в том смысле, что нельзя измерить ее параметры известными физическими методами и приборами.

Информация не имеет массы, энергии и т. п. Информация хранится и передается на материальных носителях. Такими носителями являются мозг человека, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и др.

Информации присущи следующие свойства:

1. Информация доступна человеку, если она содержится на материальном носителе. Поэтому необходимо защищать материальные носители информации, так как с помощью материальных средств можно защищать только материальные объекты.

2. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

3. Информация, искаженно представляющая  действительность (недостоверная информация), может нанести владельцу значительный  материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Информация сегодня является одним из важнейших ресурсов организации. Каждый год ее объемы возрастают в среднем на 30-50%.

В нашем обществе существенно преобразуются все протекающие в нем процессы, что приводит к росту спроса на качественную, достоверную, оперативную информацию. Эти преобразования можно охарактеризовать следующим образом. Во-первых, в результате усложнения общественного поведения увеличиваются информационные потребности людей. Информация превращается в массовый продукт. Во-вторых, информация становится не просто сообщением, имеющим конкретное содержание, а экономическим благом. Она получает рыночную оценку и перестает быть бесплатным товаром. В-третьих, прибыль от продаж и покупок информации не усредняется, поскольку информационный рынок не подчиняется законам совершенной конкуренции. В-четвертых, резко возросли технологические возможности получения, передачи, хранения и использования информации во все возрастающих объемах. Учитывая сказанное, можно сделать вывод, что информация является одним из важнейших средств достижения целей любого вида деятельности. От полноты и качества информации зависят степень реализации и результативность в достижении целей.

Для хозяйствующего субъекта зачастую наиболее ценной является информация, которую он использует для достижения целей предприятия/организации и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.

Чтобы понять, какую ценность информация имеет для получателя, рассмотрим, основные процессы, которые происходят при этом. Целесообразно отнести к таким процессам следующие:

1. Определение или постановка  цели, которую хочет получатель (приемник) информации.

2. Получение информации.

3. Преобразование смысла, заключенного  в полученной информации на  основе использования определенных возможностей (процесс получения данных).

4. Аналитическая оценка возможности  применения полученной информации  для достижения поставленной  цели на основе использования  возможностей.

5. Принятие решения об использовании  или не использовании полученной информации для достижения поставленной цели:

- если принято решение о неиспользовании  полученной информации для достижения  поставленной цели, то полученная  информация не имеет ценности  с точки зрения достижения  поставленной цели;

- если принято решение об использовании полученных знаний (информации) для достижения поставленной цели, то полученная информация имеет ценность с точки зрения достижения поставленной цели.

6. Осуществление действий по  достижению поставленной цели  на основе использования возможностей и ранее полученных знаний.

7. Оценка результатов достижения  поставленной цели на основе  использования определенных критериев, которые удовлетворяют получателя  информации:

- если оценка результатов, по  достижению поставленной цели, удовлетворяет  получателя информации, то эта  информация обладала определенной положительной ценностью для решения этой задачи;

- если оценка результатов, по  достижению поставленной цели, не  удовлетворяет получателя информации, то эта информация также обладала  определенной ценностью для решения  этой задачи, но эта ценность может оказаться даже отрицательной.

Одну и туже информацию могут получить несколько пользователей (получателей) и в одно время. При этом у получателей информации могут быть как одинаковые, так и разные цели. Но ценность полученной информации всегда будет индивидуальна для каждого отдельно взятого получателя. Это можно объяснить простым примером. В мире каждый человек индивидуален, обладает собственными знаниями и имеет свою шкалу ценности информации при реализации, поставленной цели. Однако основные процессы, которые возникают при определении ценности информации и, имеют место для любого отдельно взятого субъекта. При этом необходимо отметить, что в организациях, например, в органах муниципального самоуправления, где получателей и пользователей информации достаточно много, эти процессы усложняются, так как руководитель коллектива является ответственным лицом при окончательной оценки ценности информации, полученной коллективом для достижения поставленной цели.

Если его способности и ранее полученные знания не позволяют получить из этой информации соответствующие знания для принятия наиболее эффективного решения, то в результате органы муниципальной (местной) власти могут не достичь необходимого результата управления. Этот пример еще раз показывает, что ценность полученной информации всегда индивидуальна.

Отсюда можно констатировать, что под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности.

Ценность документов определяется с учетом, как особой роли организации, так и ее типового характера в системе органов власти и управления, значимостью выполняемых ею функций.

К критериям содержания документа относится значимость информации документа, его уникальность, типичность документа. Наибольшую ценность среди документов, образующихся в деятельности организации, имеют документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации работы, планирование и отчетность, основные направления деятельности, контроль и др.). Другая группа документов имеет вспомогательный характер, большую часть её составляют первичные бухгалтерские документы, документы по вопросам снабжения организации, бытовым и административно-хозяйственным вопросам.

Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие. В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security).

1.2 Понятие конфиденциальности  и виды конфиденциальной информации.

Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".

Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.

Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал                А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.

В соответствии со ст. 2 Федерального закона от 27 июля 2006 г.                № 149-ФЗ "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.

В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.

Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.

Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:

ОТ - открытая информация;

КИ - конфиденциальная информация;

СКИ - строго конфиденциальная информация.

В российском законодательстве используются следующие грифы конфиденциальности:

ОТ - открытая информация;

ДВИ - для внутреннего использования;

КИ - конфиденциальная информация.

В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:

- собственники информации (по отдельным  видам они могут частично совпадать);

- области (сферы) деятельности, в которых  может быть информация, составляющая  данный вид тайны;

- на кого возложена защита  данного вида тайны (по некоторым  видам тайны здесь также возможно совпадение).

Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.

Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).

Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.

А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.

В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1        "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1                 "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:

- информацию в военной области;

- информацию о внешнеполитической  и внешнеэкономической деятельности;

- информацию в области экономики, науки и техники;

- сведения в области разведывательной, контрразведывательной и оперативно-розыскной  деятельности.

В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских  и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах защиты  секретной информации;

- о государственных программах  и мероприятиях в области защиты  государственной тайны.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.

С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:

1. Сведения о фактах, событиях  и обстоятельствах частной жизни  гражданина, позволяющие идентифицировать  его личность (персональные данные), за исключением сведений, подлежащих  распространению в средствах  массовой информации в установленных федеральными законами случаях.