Защита конфиденциальной информации на предприятии

Дипломная работа: Защита конфиденциальной информации на предприятии

Название: Защита конфиденциальной информации на предприятии

Раздел: Рефераты по менеджменту

Тип: дипломная работа Добавлен 23:53:01 24 ноября 2010 Похожие работы

Просмотров: 8469 Комментариев: 0 Оценило: 0 человек Средний балл: 0 Оценка: неизвестно     Скачать

Содержание

Введение

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина  "информационная безопасность" и понятие конфиденциальности

1.2 Ценность информации

1.3 Каналы распространения  и утечки конфиденциальной информации

1.4 Угрозы и система  защиты конфиденциальной информации

Глава 2. Организация  работы с документами, содержащими  конфиденциальные сведения

2.1 Нормативно-методическая  база конфиденциального делопроизводства

2.2 Организация доступа  и порядок работы персонала  с конфиденциальными сведениями, документами и базами данных

2.3 Технологические  основы обработки конфиденциальных  документов

Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"

3.1 Характеристика  ОАО "ЧЗПСН - Профнастил"

3.2 Система защиты  информации в ОАО "ЧЗПСН  - Профнастил"

3.3 Совершенствование  системы безопасности информации  ограниченного доступа

Заключение

Список использованных источников и литературы 

Введение

Одной из важнейших  составных частей национальной безопасности любой страны в настоящее время  единодушно называется ее информационная безопасность. Проблемы обеспечения  информационной безопасности становятся все более сложными и концептуально  значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Выбор темы данной выпускной  квалификационной работы обусловлен тем  фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной  структуры является обеспечение  экономической безопасности его  деятельности. И одной из главных  составных частей экономической  безопасности является информационная безопасность.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО "ЧЗПСН - Профнастил"

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе  управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

1.  Раскрыть основные  составляющие информационной безопасности;

2.  Определить  состав информации, которую целесообразно  отнести к категории конфиденциальной;

3.  Выявить наиболее  распространенные угрозы, каналы  распространения и утечки конфиденциальности;

4.  Рассмотреть  методы и средства защиты конфиденциальной  информации;

5.  Проанализировать  нормативно-правовую базу конфиденциального  делопроизводства;

6.  Изучить политику  безопасности в организации доступа  к сведениям конфиденциального  характера и порядок работы  персонала с конфиденциальными  документами;

7.  Рассмотреть  технологические системы обработки  конфиденциальных документов;

8.  Дать оценку  системе защиты информации предприятия  ОАО "ЧЗПСН - Профнастил" и  привести рекомендации по ее  совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь  на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции  РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных  и иных сообщении. При этом ограничение  этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и  распространение информации о частной  жизни лица без его согласия (1).

Нормы регулирования  отношений, возникающих при обращении  с конфиденциальной информации, содержатся также в Гражданском кодексе  РФ. При этом конфиденциальная информация относится в Гражданском кодексе  РФ к нематериальным благам (ст.150) (2).

Критерии, по которым  сведения относятся к служебной  и коммерческой тайне, содержатся в  ст.139 Гражданского кодекса РФ. Она  гласит, что информация составляет служебную или коммерческую тайну  в случае, когда:

1. Эта информация  имеет действительную или потенциальную  ценность в силу неизвестности  ее третьим лицам;

2. К этой информации  нет свободного доступа на  законном основании и обладатель  информации принимает меры к  охране ее конфиденциальности (2).

Кроме того, определение  конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса  РФ (2).

27 июля 2006 года были  приняты два важнейших для  сферы защиты информации конфиденциального  характера федеральных закона: №  149-ФЗ "Об информации, информационных  технологиях и о защите информации" (8) и № 152-ФЗ "О персональных  данных" (9). В них даны базовые  понятия информации и ее защиты. Такие как "информация", "конфиденциальность  информации", "персональные данные" и т.д.

10 января 2002 года  Президентом РФ был подписан  очень важный закон "Об электронной  цифровой подписи" (5), развивающий  и конкретизирующий положения  приведенного выше закона "Об  информации…" (8).

Основными в области  безопасности конфиденциальной информации также являются законы РФ:

1.  "О государственной  тайне" от 22 июля 2004 г. (4);

2.  "О коммерческой  тайне" от 29 июля 2004 (он содержит  в себе информацию, составляющую  коммерческую тайну, режим коммерческой  тайны, разглашение информации, составляющую  коммерческую тайну) (6);

3.  "Об утверждении  Перечня сведений конфиденциального  характера" (11);

4.  Об утверждении  Перечня сведении, которые не  могут составлять коммерческую  тайну" (13).

Стандарт, закрепляющий основные термины и определения  в области защиты информации - ГОСТ Р 50922-96 (29).

Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей  работы. В выпускной квалификационной работе были использованы труды ведущих  специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).

К. Ильин (52) в своих  работах рассматривает вопросы  безопасности информации при электронном  документообороте). Аспекты информационной безопасности описаны в статьях  В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).

Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).

Правовому регулированию  информации ограниченного доступа  посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей  статье указывает на несовершенство законодательства в рассматриваемой  сфере.

Технологии обработки  конфиденциальных документов посвятили  свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).

В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области  как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).

Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным  аспектам информационной безопасности.

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному  вопросу велика и соответствует  его актуальности.

Но в нашей стране не имеется нормативного правового  акта, который бы устанавливал единый порядок учета, хранения, использования  документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.

К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.

Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.

Во введении формулируются  актуальность и практическая значимость темы, цель исследования, задачи, степень  разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский  инструментарий структура и содержание выпускной квалификационной работы

Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю  вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается  система угрозы и система защиты конфиденциальных сведении.

Глава "Организация  работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников  и организация их доступа к  конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе  второй главы.

В третьей главе  на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система  защиты информации ограниченного доступа, анализ работы с конфиденциальными  документами. даются рекомендации, изменения  и дополнения к сформировавшейся на предприятии технологии конфиденциального  делопроизводства.

Заключение содержит выводы по выпускной квалифицированной  работе.

Список использованных источников и литературы включает 110 наименований.

Работу дополняют  приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного  доступа на предприятии, образцы  бланков документов, регистрационные  формы, выписка из Устава ОАО "ЧЗПСН - Профнастил". 

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина  "информационная безопасность" и понятие конфиденциальности

Издавна считалось, кто владеет информацией - тот  владеет ситуацией. Поэтому еще  на заре человеческого общества возникает  разведывательная деятельность. Поэтому  появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в  период войн - военные (расположение войск, орудия). Стремление сохранить в  тайне от других то, что дает преимущество и власть, видимо является главной  мотивацией людей в исторической перспективе. Многие собственники в  целях защиты своих интересов  засекречивают информацию и тщательно  ее охраняют или патентуют. Засекречивание информации приводит к постоянному  совершенствованию средств и  методов добывания охраняемой информации; и к совершенствованию средств  и методов защиты информации (89, с.45).

В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна  кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист  В. Розенберг сделал попытку объединить эти названия в одном - "промысловая  тайна" и даже выпустил в 1910 г. одноименную  книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей  целью извлечение прибыли (46, с. 20).

Со второй половины XIX в. появляются и различные определения  понятия коммерческой тайны, в первую очередь, в сфере уголовного и  гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну  технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более  высоким языком, тайну производства благ и тайну их распределения.

В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или  предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.

В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями  СССР при контактах с другими  странами, однако отечественной законодательной  основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).

Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных  с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно  было сформулировать определение коммерческой тайны. Такое определение было сделано  в Законе "О предприятиях в  СССР". В нем сказано: "Под  коммерческой тайной предприятия понимаются не являющиеся государственными секретами  сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью  предприятия, разглашение (передача, утечка) которых может нанести ущерб  его интересам".

Коммерческая тайна  в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам  или безопасности обладателя (32, с.13).

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение  конфиденциальности, целостности и  наличия информации. (56, с.212).

Безопасность - это  не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших  документов и обеспечению непрерывности  и/или восстановлению деятельности в случае катастроф (71, с.5 8).

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).

В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние  защищенности национальных интересов  в информационной сфере, определяемых совокупностью сбалансированных интересов  личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим  лицам без согласия ее обладателя.

Под безопасностью  информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых  объективных и субъективных угроз (опасностей), возникающих в обычных  условиях функционирования фирмы в  условиях экстремальных ситуаций: стихийных  бедствии, других неуправляемых событий, пассивных и активных попыток  злоумышленника создать потенциальную  или реальную угрозу несанкционированного доступа к документам, делам, базам  данных (61, с.32).

Конфиденциальность - правила и условия сохранности  передачи данных и информации. Различают  конфиденциальность внешнюю - как условие  неразглашения информации во внешнюю  среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать  потенциальную или реальную угрозу (опасность) несанкционированного доступа  к документам с использованием организационных  и технических каналов, в результате чего могут произойти хищение  и неправомерное использование  злоумышленником информации в своих  целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).

Секретность - правила  и условие доступа и допуска  к объектам информации (89, с.50).

Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к  информации.

Это принципиально  широкое понятие. Субъект информационных отношении может пострадать (понести  убытки и/или получить моральный  ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что  конфиденциальность является синонимом  секретности, этот термин широко используется исключительно для обозначения  информационных ресурсов ограниченного  доступа, не отнесенных к государственной  тайне.

Конфиденциальность  отражает ограничение, которое накладывает  собственник информации па доступ к  ней других лиц, т.е. собственник  устанавливает правовой режим этой информации в соответствии с законом (91, с. 208). 

1.2 Ценность информации

К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и  деятельности граждан) (100, с.38).

Всегда имеются  управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются  конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного  доступа всегда принадлежит к  одному из видов тайны - государственной  или негосударственной. В соответствии с этим документы делятся на секретные  и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в  нем сведений, составляющих в соответствии с законодательством государственную  тайну. Несекретные документы, включающие сведения, относимые к негосударственной  тайне (служебной, коммерческой, банковской, профессиональной, производственной и  др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).

Законодательством РФ установлено, что документированная  информация (документы) является общедоступной, за исключением отнесенной законом  к категории ограниченного доступа (11).

При этом документированная  информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком  конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа  является то, что он представляет собой  одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного  доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных  секретов (94, с.78).

Информация может  быть разделена на три категории (82, с.33).

Первая - несекретная (или открытая), которая предназначена  для использования как внутри фирмы, так и вне нее.

Вторая - для служебного пользования, которая предназначена  только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

1.  Доступную для  всех сотрудников фирмы;

2.  Доступную для  определенных категорий сотрудников,  но могущую быть переданной  в полном объеме другому сотруднику  для производства необходимой  работы.

Третья - секретная  информация (или информация ограниченного  доступа), которая предназначена  для использования только специально уполномоченными сотрудниками фирмы  и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).

Конфиденциальную  информацию может составлять и определенная совокупность открытой информации, так  же как и определенная совокупность информации для служебного пользования  может составлять информацию ограниченного  доступа. Поэтому необходимо четко  определить условия, при которых  гриф секретности информации может  и должен быть повышен (55, с.83).

Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях  заключаемых договоров, а также  о том, кто из сотрудников их заключает - конфиденциальная. В то же время  к открытой информации относятся  данные о персонале, его распределении  по отделам, служебные обязанности  сотрудников. На их сайте в новостях регулярно сообщается о том, с  какими предприятиями (по какому профилю) компания ведет переговоры, с кем  намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные  три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может  образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.

Условия, при которых  информация может быть отнесена к  конфиденциальной, перечислены в  ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:

1.  Действительная  или потенциальная коммерческая  ценность информации в силу  ее не известности третьим  лицам;

2.  Отсутствие  свободного доступа к этой  информации на законном основании;

3.  Принятие обладателем  информации не обходимых мер  к охране ее конфиденциальности.

Таким образом, обеспечение  конфиденциальности документной информации содержит три аспекта:

1.  Определение  состава информации, которую целесообразно  отнести к категории конфиденциальной;

2.  Определение  круга сотрудников, которые должны  иметь доступ к той или иной  конфиденциальной информации, и  оформление с ними соответствующих  взаимоотношений;

3.  Организация  делопроизводства с конфиденциальными  документами. (99, с.7-9).

Если эти условия  не будут выполняться, у организации  не будет оснований для привлечения  кого бы то ни было к ответственности  за разглашение конфиденциальной информации.

Согласно ФЗ "Об информации, информационных технологиях  и о защите информации" (8) не могут  составлять коммерческую тайну:

1.  Учредительные  документы (решение о создании  предприятия или договор учредителей)  и Устав;

2.  Документы, дающие  право заниматься предпринимательской  деятельностью (регистрационные  удостоверения, лицензии, патенты);

3.  Сведения по  установленным формам отчетности  о финансово-хозяйственной деятельности  и иные сведения, необходимые  для проверки правильности исчисления  и уплаты налогов и других  обязательных платежей в государственную  бюджетную систему РФ;

4.  Документы о  платежеспособности;

5.  Сведения о  численности, составе работающих, их заработной плате и условиях  труда, а также о наличии  свободных рабочих мест;

6.  Документы об  уплате налогов и обязательных  платежах;

7.  Сведения о  загрязнении окружающей среды,  нарушении антимонопольного законодательства, несоблюдении безопасных условий  труда, реализации продукции,  причиняющей вред здоровью населения,  а также других нарушениях  законодательства РФ и размерах  причиненного при этом ущерба;

8.  Сведения об  участии должностных лиц предприятия  в кооперативах, малых предприятиях, товариществах, акционерных обществах,  объединениях и других организациях, занимающихся предпринимательской  деятельностью.

Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и  муниципальных предприятий обязаны  представлять по требованию органов  власти, управления, контролирующих и  правоохранительных органов, других юридических  лиц, имеющих на это право в  соответствии с законодательством  РФ, а также трудового коллектива предприятия (21).