Организация системы защиты информации на предприятии

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

Одной из важнейших составных  частей национальной безопасности любой  страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Целью контрольной работы является изучить организацию системы  защиты информации на предприятии.

Задачами контрольной  работы являются:

1. Изучить информацию  на предприятии;

2. Рассмотреть мероприятия  по информационной защите информации;

3. Рассмотреть информацию  коммерческой тайны предприятия;

4. Раскрыть функции  и этапы коммерческой тайны предприятия.

Выбор темы данной контрольной  работы обусловлен тем фактом, что  современной российской рыночной экономике  обязательным условием успеха предпринимателя  в бизнесе, получения прибыли  и сохранения в целостности созданной  им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность. Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении бизнес-процессов. Основные угрозы для информационной безопасности любой компании связаны с кражей данных (например, промышленный шпионаж), использованием непроверенного программного обеспечения (например, содержащего вирусы), хакерскими атаками, получением спама (также может содержать вирусы), халатностью сотрудников. Реже утрата данных вызвана такими причинами, как сбой в работе аппаратно-программного обеспечения или кража оборудования. В результате компании несут значительные потери.

ГЛАВА 1 ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

Рано или поздно общий вопрос о защищенности бизнеса «расползается» на слабо связываемые сферы - защиты в ее историческом понимании с помощью охранных структур, вооруженных техническими средствами наблюдения и охраны материальных средств предприятия и защиты активов, материализованных на всевозможных носителях информации, надежный учет которых не гарантирует их сохранности¹. Информация любого предприятия при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Определяющий фактор экономической безопасности такого предприятия - информационная безопасность, а ее ключевой аргумент - уровень защиты информации. Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.

1.1 Создание системы защиты информации на предприятии

Для создания и использования  системы защиты на микроуровне необходима информация внутреннего, внешнего и  специального характера. Информация внутреннего характера дает представление о фирме - ее персонале, промышленном производстве, других видах деятельности, зданиях и сооружениях, оборудовании, организации бизнеса, различного рода ресурсах. Информация внешнего характера включает в себя данные о предпринимательской среде в аспекте ее безопасности. Сюда относятся также сведения о традиционных и потенциальных партнерах и конкурентах, конъюнктуре рынка в области деятельности фирмы. Информацию специального характера желательно ориентировать на особенности конкретного предприятия. Она касается, прежде всего тех специализированных организаций инфраструктуры рыночной экономики, которые участвуют в защите конкретного бизнеса. Это также сведения о кадрах, занятых в сфере обеспечения его безопасности; имеющихся технических и иных средствах защиты, методиках их эффективного использования; об алгоритмах профессиональной деятельности, а также информационные модели ситуаций в сфере защиты бизнеса (моделирование утечек конфиденциальных сведений, прогнозы развития фирмы с учетом критериев безопасности; информационные «портреты» недобросовестного сотрудника и т.д.). Для анализа условий безопасности деятельности конкретной предпринимательской структуры могут оказаться необходимыми также более детальные сведения: экономического характера; по финансовым вопросам; по вопросам внешних экономических и научно-технических связей; по кадровым вопросам; по науке и технике; по транспорту и связи; по мобилизационным вопросам; Собственно по безопасности бизнеса (в частности, по используемым методам и имеющемуся опыту борьбы с промышленным шпионажем и другими формами проявления криминальной конкуренции). В целях получения указанной информации и уточнения имеющегося представления о предпринимательской среде используются непосредственное наблюдение, анализ публикаций в средствах кассовой информации, оценки независимых экспертов, консалтинговых фирм, анализ законодательных и иных нормативно-правовых документов, обращение с запросами в информационные системы государственных организаций и частных фирм².

С позиций защиты на уровне предпринимательской фирмы информацию о коммерческой тайне можно представить в следующем виде:

- сведения о собственно  тайне;

- состав сотрудников  (служащих), допущенных к тайне;

- возможные каналы  утечки информации о тайне;

- меры безопасности, предпринимаемые  в целях сохранения тайны;

- устремления к тайне  извне (в частности, субъектов,  стремящихся получить несанкционированный  доступ к информации, составляющей  тайну);

- информированность (осведомленность) заинтересованных лиц и организаций (в частности, конкурентов) в вопросах, имеющих отношение к тайне;

- сведения о попытках  получить данные, составляющие коммерческую  тайну;

- финансовые затраты,  связанные с обеспечением экономической  и информационной безопасности тайны.

Сведения о собственно коммерческой тайне представляют интерес  для предпринимательской структуры  со следующих позиций:

- идентификации тайны,  принадлежащей фирме;

- организации эффективной  защиты тайны в подразделениях  фирмы и ее филиалах;

- отслеживания состояния  защищенности фирменных секретов;

- решения вопроса об  изменении или снятии грифа  секретности с документов, изделий,  технологий фирмы;

- допуска сотрудников  фирмы к работе с информацией,  составляющей коммерческую тайну;

- оценки объема информации, характеризующей тайну, которая может быть раскрыта представителями фирмы при ведении деловых переговоров, в процессе рекламной деятельности и т.д.;

- расследования фактов  утечки информации, производимого  собственными силами;

- локализации возможных последствий утечки сведений конфиденциального характера;

- оказания помощи правоохранительным  органам в расследовании дел  в интересах фирмы;

- моделирования возможных  каналов утечки информации, принадлежащей  фирме и составляющей тайну.

В совокупности со сведениями, характеризующими социальную организацию как средство для достижения цели, как административную структуру, как социальную микросреду, определенный интерес с точки зрения безопасности этой структуры в конкретной ситуации может представлять также иная информация об организации, в частности:

- финансово-экономического  характера (финансовые итоги деятельности, обобщенные экономические показатели); касающаяся производственной деятельности (тематическая направленность, производственная  база, кооперирование производства и т.д.);

- о научно-исследовательской  деятельности (тематическая направленность  НИР и ОКР, участие в НИР  по государственным программам, структура научных исследований, база их проведения, кооперирование  исследований);

- о торгово-экономической и международной деятельности (особенности организации, география экспорта и импорта, кооперация, связи по сбыту продукции, участие в выставках, конференциях и т.д.).

1.2 Планирование мероприятий по организационной защите информации на предприятии

Одно из наиболее важных направлений деятельности предприятия, осуществляющего работу со сведениями конфиденциального характера, —  планирование мероприятий по защите конфиденциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом, так и его структурных подразделений (отдельных должностных лиц). Трудно также переоценить значение этого направления в общей системе организационных мер обеспечения информационной безопасности предприятия Основными целями планирования мероприятий по защите информации являются: организация проведения комплекса мероприятий по защите информации, направленных на исключение возможных каналов утечки этой информации; установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия; определение сроков (времени, периода) проведения конкретных мероприятий; систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации; установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении  мероприятий; уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия³. Основой для планирования мероприятий на предприятии служат - требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации, соответствующих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлежности), вышестоящей организации, а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия; требования заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов) совместных и других работ; положения международных договоров (соглашений) и иных документов, определяющих участие предприятия в тех или иных формах международного сотрудничества; положения внутренних организационно-распорядительных документов предприятия (приказов, директив, положений, инструкций), определяющих порядок ведения производственной и иной деятельности, а также конкретизирующих вопросы защиты конфиденциальной информации на предприятии; результаты комплексного анализа состояния дел в области защиты информации, проводимого службой безопасности на основании материалов проверок структурных подразделений (филиалов, представительств) предприятия; результаты проверок состояния защиты информации, проведенных вышестоящими организации, федеральными органами исполнительной власти (при наличии ведомственной принадлежности) и заказчиками работ (в рамках выполняемых договоров или контрактов), выработанные на основании этих результатов предложения и рекомендации; результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами; особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов информации.

Планирование мероприятий  по защите конфиденциальной информации проводится одновременно с планированием  основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности). Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением.

От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.

ГЛАВА 2 ОРГАНИЗАЦИЯ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ НА ПРЕДПРИЯТИИ

Для обеспечения защиты интеллектуальной собственности на предприятиях вводится определенный порядок  работы с информацией и доступа  к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы)⁴. 
Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:

• единство в решении производственных, коммерческих, финансовых и режимных вопросов;
• координация мер безопасности между всеми заинтересованными подразделениями предприятия;
• научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;
• персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.

Включение основных обязанностей рабочих, специалистов и администрации  по соблюдению конкретных требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового  распорядка.

• Организация специального делопроизводства, порядка хранения, перевозки носителей коммерческой тайны. Введение соответствующей маркировки документов и других носителей закрытых сведений;
• Формирование списка лиц, уполномоченных руководителем предприятия (фирмы) классифицировать информацию и объекты, содержащие сведения, составляющие КТ;
• Оптимальное ограничение числа лиц, допускаемых к КТ;
• Наличие единого порядка доступа и оформления пропусков;
• Выполнение требований по обеспечению сохранения КТ при проектировании и размещении специальных помещений; в процессе НИОКР, испытаний и производства изделий, сбыта, рекламы, подписания контрактов, при проведении особо важных совещаний, в ходе использования технических средств обработки, хранения и передачи информации и т.п.;
• Организация взаимодействия с государственными органами власти, имеющими полномочия по контролю определенных видов деятельности предприятий и фирм;
• Наличие охраны, пропускного и внутри объектового режимов;
• Плановость разработки и осуществления мер по защите КТ, систематический контроль за эффективностью принимаемых мер;
• Создание системы обучения исполнителей правилам обеспечения сохранности КТ.

При организации защиты коммерческой тайны, имущественных и финансовых ценностей директор (президент) предприятия (фирмы) руководствуется прежде всего экономической целесообразностью. Здесь обязательно надо учитывать два момента: 1) затраты на обеспечение экономической безопасности должны быть, как правило, меньшими в сравнении с возможным экономическим ущербом и 2) планируемые меры безопасности содействуют, как правило, повышению экономической эффективности предпринимательства. Центральное место в организации обеспечения экономической безопасности предприятия (фирмы) занимает выбор структуры службы, позволяющей эффективно решать эти вопросы. 
На предприятиях с незначительным объемом сведений, составляющих КТ, а также товарных и денежных средств, управление обеспечением режима безопасности может осуществить сам руководитель предприятия (фирмы) или по совместительству назначенный его приказом сотрудник, имеющий соответствующий опыт работы. Служба безопасности (СБ) предприятия (фирмы), как правило, подчиняется непосредственно руководителю предприятия и создается его приказом. Она является структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Деятельность СБ осуществляется во взаимодействии со структурными подразделениями предприятия. Структура и штаты СБ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, по мнению авторов, должны комплектоваться инженерно-техническими работниками специалистами основного профиля работы данного предприятия (фирмы), а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника (зама) СБ предприятия (фирмы), а также его освобождение производится только руководителем предприятия. Вышеназванные и другие требования вносят в Положение о службе безопасности, которое разрабатывается по указанию директора. Наиболее оптимальная структура СБ может быть определенная при анализе всех функций обеспечения экономической безопасности и выделении из всего комплекса тех, которые наиболее адекватно соответствуют производственно-коммерческой деятельности предприятия (фирмы). Для выполнения этого этапа работ приведем наиболее полный комплект функций, выполняемых с привлечением специалистов предприятия службами экономической безопасности.

2.1Функции по защите коммерческой тайны и по обеспечению безопасности персонала предприятия

Функции по защите коммерческой тайны:

1. Выработка критериев выделения ценной информации, подлежащей защите.
2. Определение объектов интеллектуальной собственности, подлежащих охране.
3. Выбор методов защиты (патентование, авторское право, коммерческая тайна).
4. Разработка для последующего утверждения Перечня (дополнений к перечню) сведений, составляющих КТ.
5. Установление правил допуска и разработка разрешительной системы доступа к сведениям, составляющим КТ.
6. Оформление списков лиц (перечней должностей), имеющих право работать с конкретными составляющими коммерческой тайны.
7. Определение списка должностей (лиц), уполномоченных классифицировать информацию.
8. Установление правил и процедур классификации, маркировки документов и других носителей информации, а также вывод их из сферы ограниченного доступа (рассекречивание).
9. Разработка и ввод в действие единого порядка обращения с носителями информации (технологии создания, учет, правила работы, хранение, пересылка, транспортировка, размножение, уничтожение).
10. Составление плана размещения и учет помещений, в которых после соответствующей аттестации разрешено постоянное или временное хранение носителей КТ, работа с ними, а также проведение закрытых совещаний. Установление единого порядка прохода в эти помещения.
11. При непосредственном участии руководителей структурных подразделений и специалистов, имеющих доступ к КТ, планирование, осуществление и контроль за реализацией мероприятий при проведении всех видов работ, в которых используется закрытая информация, классифицированные носители.
12. Оказание методической помощи руководителям подразделений предприятия в разработке и осуществлении мероприятий по защите сведений, в процессе научной, конструкторской, производственной и иной деятельности (какие технологические меры безопасности необходимо использовать; какие изменения в технологию надо внести; какие требования целесообразно включить в условия контракта; какую информацию надо защищать даже при выходе товара на рынок и т.п.).
13. Разработка и осуществление совместно со специалистами мер по недопущению разглашения КТ на стадиях:

• оформления материалов, предназначенных для опубликования в открытой печати, для использования на конференциях, выставках, в рекламной деятельности (аналогичные меры осуществляются в отношении образцов изделий, содержащих КТ);
• оформления документов (образцов) для передачи заказчику (соисполнителю).

14. Организация с участием исполнителей и специалистов предприятия защитных мероприятий при испытаниях, хранении, транспортировке, уничтожении продукции, содержащей КТ.

15. Разработка порядка и контроль за проведением закрытых совещаний.
16. Определение режимных мер приема представителей других фирм, командированных лиц, представителей контрольных органов власти.
17. Участие совместно со специалистами предприятия в разработке мер по обеспечению безопасности в процессе использования технических средств передачи информации - ЭВМ (ПЭВМ), а также системы противодействия техническим средствам промышленного шпионажа.
18. Организация охраны предприятия, спецпомещений, хранилищ, введение пропускного и внутриобъектового режимов (разграничение доступа в помещения).
19. Формирование предложений на установку технических средств охраны (ТСО), организация работ по их монтажу, эксплуатации ремонту.
20. Участие в подборке и расстановке сотрудников, допускаемых к КТ, выработке мер по снижению текучести кадров.
21. Разработка положений, инструкций, правил, методик и т.п. по обеспечению режима работы для исполнителей закрытых работ, специалистов СБ (несовершенство разработанных норм - одно из главных обстоятельств утечки).
22. Организация и участие в обучении лиц, допущенных к КТ (составление программы обучения, прием зачетов по знанию соответствующих требований режима).
23. С учетом конкретной обстановки совместно с руководителями подразделений в процессе организационной и профилактической работы формирование на плановой основе у сотрудников сознательного отношения к обеспечению защиты информации.
24. Разработка мер по предупреждению несанкционированного уничтожения носителей информации, в том числе в автоматизированных системах хранения, обработки и передачи информации.
25. Контроль исполнения режимных требований: проведение аналитических исследований по оценке надежности принимаемых мер защиты КТ и выработка предложений по повышению эффективности охраны.
26. Проведение служебных расследований по фактам нарушения режима обращения с КТ.

Функции по обеспечению  безопасности персонала предприятия.

1. Разработка мер обеспечения физической защиты персонала; организация охраны (личной охраны, охраны средств передвижения), пропускного и внутриобъектового режимов; установления соответствующего порядка приема посетителей, работы секретарей-референтов и т.п.
2. Обеспечение персонала средствами технической защиты от несанкционированного проникновения в помещения (кабинеты), в автомашины, на автостоянку, в квартиру для фиксации попыток преступных действий (установка магнитофонов, кинокамер), для скрытой связи руководителя с охраной предприятия.
3. Определение перечня информации, не подлежащей разглашению (не входящей в КТ) посторонним лицам.
4. Сбор СБ информации о признаках, характерных для конкретных видов угроз персоналу (сотрудникам).
5. Обеспечение контроля за проведением ремонтных, профилактических работ, осуществляемых сторонними организациями на предприятии (при необходимости проводятся специальные обследования после завершения работ этих помещений, автомашин, устройств, приборов).
6. Подготовка персонала к действиям в экстремальных ситуациях (выработка навыков оценки информации, соответствующих норм поведения и принятия решений).
7. Обучение персонала и членов их семей выявлению признаков, указывающих на подготовку направленных против них действий.
8. Правовое обучение персонала: правовые возможности защиты от преступника (нормы необходимой обороны, крайней необходимости).
9. Установление и поддержание практических форм взаимодействия СБ с правоохранительными органами по обеспечению безопасности персонала (при получении данных о готовящихся, имевших место противоправных действиях в отношении персонала, затрагивающих вопросы обеспечения экономической безопасности предприятия и т.п.).

2.2.Этапы организации системы защиты коммерческой тайны

1. Определяется предмет защиты. Разрабатывается Перечень сведений, составляющих КТ, в котором выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.
2. Устанавливаются периоды существования конкретных сведений в качестве КТ.
3. Выделяются категории носителей ценной информации: персонал, документы, изделия и материалы; технические средства хранения, обработки и передачи информации; физические излучения. Для обеспечения восприятия разрабатываемой системы защиты можно составить схему, в которой указываются конкретные сотрудники, осведомленные о коммерческой тайне, названия (категории) классифицированных документов и изделий и т.п.
4. Перечисляются стадии (этапы) работ, время материализации КТ в носителях информации применительно к пространственным зонам (местам работы с ними внутри и за пределами предприятия). Например, отчеты НИОКР на рабочих местах исполнителей; журнал результатов испытаний изделия на испытательном стенде; договор, подписываемый за рубежом; выступления участников отчетных совещаний в конкретных кабинетах; размножение классифицированных документов на множительном участке; образцы изделий, демонстрирующиеся на выставках и т.п.
5. Составляется схема работ с конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого их перемещения. Рассматриваются возможные для предприятия несанкционированные перемещения, которые могут быть использованы конкурентами для овладения коммерческой тайной.
6. Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа к конкретным сведениям, составляющим КТ.
7. определяется, кто реализует мероприятия и кто несет ответственность за защиту конкретной информации, процессов работ с классифицированными данными. Намечаются меры по координации, назначаются кон<span class="dash041e_0431_044b_0447_043d_044b_0439__Cha