На сегодняшний день ООО «Ресурс»
имеет пять торгово-складских площадок
в Башкортостане.
Деятельность ООО «Ресурс»
за 2013 год характеризуется следующими
показателями:
- Годовой оборот - 725 млн. рублей,
- Чистая прибыль - 87 млн. рублей,
- Общая складская площадь - 9 751м2,
- Штат компании - 206 человек,
в том числе:
- 54 человека работники головного офиса,
- 182 человека сотрудники удаленных торговых площадок.
Учредителями общества являются
4 физических лица, за счет взносов которых
был сформирован уставный капитал компании
в размере 1 000 000 рублей. Данные лица составляют
совет директоров компании. Компания имеет
штатную структуру, представленную на
рисунке 1.
Рисунок 1 Организационная структура
ООО «Ресурс»
Защита конфиденциальной информации
в ООО «Ресурс» осуществляется на основании
приказа Генерального директора № 8 от
20.03. 2005 года «Об утверждении и введении
в действие Положения о защите ООО «Ресурс».
Положение о защите информации ООО «Ресурс»,
устанавливает правила взаимоотношений
между сотрудниками организации, возникающие
в ходе работы с входящей и исходящей информацией,
устанавливает перечень сведений, составляющих
коммерческую тайну, назначает сотрудников
ответственных за тот или иной участок
работ по защите информации и т.д.
К коммерческой тайне в ООО
«Ресурс» относятся все виды сведений,
которые отсутствуют в свободном доступе
и представляют ценность для собственников
компании. Коммерческая тайна является
собственностью компании, однако в соответствии
с родом деятельности данная информация
может представлять итоги совместной
деятельности другими организациями,
в данном случае такие сведения являются
собственностью двух сторон и в договорах
между сторонами закреплено, что данная
информация является коммерческой тайной
и за ее разглашение установлен солидный
штраф.
Согласно положению, под разглашением
коммерческой информации понимается какое-либо
действие или его отсутствие, которое
привело к переходу коммерческой информации
к третьему лицу, без согласия обладателя
коммерческой информации и в нарушение
законов Российской Федерации.
Вся информация, составляющая
коммерческую тайну, храниться на электронных
носителях информации. В случае если такая
информация поступает на бумажном носителе,
то данный документ должен быть отсканирован
и внесен в специальный реестр с присвоением
ему грифа «Конфиденциально» и уровня
доступа. В контексте, Положения о защите
информации ООО «Ресурс», под уровнем
доступа понимается должностной уровень
сотрудника. Например, гриф и уровень доступа
на документе может быть следующим ««Конфиденциально»,
только для Совета директоров и Генерального
директора»». Отсканированный документ
помещается в специальную директорию
на диске сервера, согласно уровню доступа.
Оригинал документа по аналогии с отсканированным
документом храниться в специальной папке.
В случае если коммерческой является информация,
непосредственно используемая в работе
сотрудниками (например, условия контрактов,
цены, условия кредитных и иных финансовых
договоров), то такая информация заносится
непосредственно в информационную систему
и доступ к ней разграничивается уровнями
доступа.
Регистрацией документов, сканированием
документов, сохранением документов в
специальных директориях и папках занимается
личный помощник Генерального директора.
Уровни доступа к информационным
ресурсам в информационной системе определяются
директорами соответствующих подразделений,
утверждаются генеральным директором
и реализуются на практике IT-подразделением.
Пароли генерируются случайным подбором
цифр и букв и составляют семь символов.
В соответствии с Положением
о защите информации ООО «Ресурс», генеральный
директор несет персональную ответственность
о сохранности информации и самих документов,
содержащих гриф «Конфиденциально».
Основными моментами в защите
информации ООО «Ресурс» можно назвать:
1.Информация, составляющая
коммерческую тайну;
2.Способы и порядок
защиты сведений, составляющих коммерческую
тайну, содержащихся в информационной
системе компании;
3. Способы и порядок
защиты электронных, бумажных и
иных носителей на которых
находится информация, содержащая коммерческую
тайну.
4. Порядок проведения
закрытых заседаний: Совета директоров,
совещаний Генерального директора и других
заседаний, предмет которых составляет
коммерческую тайну.
5. Ответственность сотрудников
компании за разглашение коммерческой
информации или сокрытия информации
о несанкционированном доступе
или иной угрозе.
Рассмотрим некоторые из этих
моментов более подробно.
К информации, представляющей
коммерческую тайну, согласно положения
о защите информации ООО «Росно» относятся:
1. Личные карточки и
персональные дела сотрудников компании;
2. Условия договоров с покупателями,
предоставленные скидки и бонусные программы
и т.д.;
3. Условия договоров с поставщиками;
4. Условия кредитных договоров
и иных договоров финансового характера;
5. Инвестиционные и иные проекты
компании;
6. Сведения о методах управления
компании;
7. Сведения о частной жизни,
руководителей, сотрудников, а также граждан,
не являющихся работниками компании;
8. Протоколы заседаний советов
директоров;
9. Бизнес-планы и планы развития
компании;
10. Сведения финансово-экономического
характера отличные от официальной бухгалтерской
отчетности;
11. Сведения в соответствии
с законами Российской Федерации,
представляющие коммерческую тайну.
12. Интеллектуальные разработки
компании, не прошедшие регистрацию авторских
прав;
13. Проведенные маркетинговые
исследования, исследования рынка,
на котором работает компания,
исследования конкурентной среды;
14. Система безопасности
и охраны предприятия;
15. Информация, составляющая
тайну следствия и судопроизводства.
Предоставление коммерческой
информации сотрудникам компании вне
согласованного уровня доступа согласовывается
Генеральным директором на основании
служебной записки, в которой должны быть
изложены причины необходимости данного
доступа. Служебная записка должна содержать
визы непосредственного руководителя,
руководителя подразделения обладателя
данной информации, начальника службы
безопасности.
Запрещено разглашать информацию,
содержащую коммерческую тайну, сторонним
юридическим и физическим лицам без правовых
оснований.
Все сотрудники компании при
поступлении на работу дают подписку о
неразглашении информации представляющей
коммерческую тайну.
Предоставление информации,
содержащей коммерческую тайну,
сотрудникам государственных фискальных
органов, органам суда и следствия,
депутатам и т.д. регулируется
законодательными актами Российской
Федерации.
Защита коммерческой информации,
содержащейся в информационной системе,
определяется мерами защиты непосредственно
информационной системы.
А именно:
- Использование средств защиты от вирусов с использованием антивирусной профилактики;
- Использование средств авторизации
и разграничения доступа к информационным
ресурсам;
- Отсутствие на компьютерах рядовых сотрудников дисководов и открытых USB-портов;
- Средства защиты от внешних
угроз при подключении к общественным
сетям (Интернет). Ограничение доступа
к Интернет ресурсам. Ежедневный автоматический
контроль посещенных сотрудниками сайтов;
- Произведение раз в четыре часа
резервного копирований баз данных и файлов,
расположенных на серверах.
Электронные, бумажные и другие
носители, содержащие коммерческую тайну,
хранятся в специальных директориях и
папках на компьютере, не подключенном
в локальную сеть компании. Доступ разграничен
средствами авторизации. Бумажные документы
для ознакомления выдаются личным помощником
генерального директора, под личную подпись,
с одновременной регистрацией в журнале
ознакомления с информацией, имеющей гриф
«Конфиденциально». Помещение, в котором
происходит работа с документами, содержащими
коммерческую тайну, оснащено тревожной
кнопкой. Одновременно в этом помещении
нельзя работать нескольким сотрудникам,
имеющим разный уровень доступа. Также
в случае если в помещении в данный момент
времени работает сотрудник, работающий
с банк-клиентом или кассир, работа с документами,
имеющими гриф «Конфиденциально» запрещена.
Под закрытыми заседаниями
понимаются заседания, на которых обсуждаются
вопросы, содержащие коммерческую тайну.
В целях сохранения коммерческой тайны
при проведении данных заседаний, в соответствии
с положением о защите информации, должно
соблюдаться несколько правил, а именно:
1. Заседания проводятся
в специальной переговорной комнате,
в которой отсутствует возможность
использования технических средств,
для съема информации. Перед совещанием
помещение проверяется службой
безопасности.
2. На таких заседаниях
обязательно ведется протокол, в
котором поименованы все присутствовавшие
на совещании и обсуждаемые
вопросы. Протокол ведет личный
помощник генерального директора
или сотрудник, принимающий участие
в случае отсутствия личного
помощника Генерального директора.
3. Мобильные телефоны
на период совещания должны быть
отключены, в случае необходимости мобильные
телефоны должны быть оставлены, вне переговорной
комнаты или сданы на хранение в службу
безопасности.
Ответственность за разглашение
информации несет персонально каждый
сотрудник компании, как уже отмечалось
выше, при приеме на работу каждый сотрудник
подписывает обязательство о неразглашении
коммерческой информации.
По факту разглашения информации,
содержащей коммерческую тайну, составляется
служебная записка, которая визируется
у Генерального директора и передается
в службу безопасности для проведения
расследования. Срок проведения расследования
не более двух недель. На основании
результатов расследования принимается
решение о мерах дисциплинарного взыскания
для виновных сотрудников. Под мерами
дисциплинарного взыскания понимается
- денежный штраф, выговор с занесением
в трудовую книжку, увольнение. В случае,
в действиях сотрудника просматриваются
признаки уголовного преступления в соответствии
с действующим законодательством, заявление
и документы могут быть переданы в правоохранительные
органы. Решение о передаче документов
принимает Совет директоров компании.
2.2 Проблемы организации
защиты конфиденциальной информации средствами
вычислительной техники в современных
условиях
Так как Положение о защите
информации, было создано в компании достаточно
давно, и с тех пор не редактировалось,
то многие аспекты данного документа требуют
изменений и дополнений. Отсутствие своевременной
работы по приведению информационной
безопасности к современному уровню привели
к наличию существенных пробелов в организации
защиты информации в ООО «Ресурс».
В действующем положении о защите
информации большое внимание уделено
физическим действиям по защите информации,
содержащей коммерческую тайну, и достаточно
мало внимания уделяется моментам по защите
информации с помощью современных возможностей
вычислительной техники.
В настоящее время офис компании
находится в бизнес центре класса В, где
есть централизованный пост охраны на
входе в бизнес центр и применяется система
магнитных ключей для входа в бизнес центр.
Однако этаж, который арендует ООО «Ресурс»
имеет видеокамеру и магнитный замок только
при входе в компанию. Далее все кабинеты
никаких компании не имеет замков, за исключением
кабинета Генерального директора, Финансового
директора и Начальника службы безопасности.
Соответственно во внерабочее
время нет возможности контроля над передвижением
и действиями сотрудников, остающимися
после рабочего дня или приходящими ранее
начала рабочего дня.
Информационному оснащению
предприятие не уделялось в свое время
должного внимания, это было связано с
отсутствием квалифицированных IT-специалистов
в компании. Так до сих пор, компания использует
в качестве информационной системы 1С,
версия 7.0 – базовая версия. Данная версия
является устаревшей и не позволяет использовать
существующие возможности информационных
систем.
В частности, на предприятии
практически отсутствуют:
1. Средства защиты информации
на файловом уровне;
2. Средства обеспечения конфиденциальности,
целостности и доступности информации,
передаваемой по каналам связи;
3. Средства обнаружения
информационных атак;
4. Средства централизованного
управления системой информационной безопасности.
Проведенное исследование показало,
что система защиты конфиденциальной
информации, работающая в компании ресурс,
находиться на среднем уровне. Действующее
положение о защите информации не в полной
мере соответствует последним изменениям
в действующем законодательстве по данной
теме. Все мероприятия имеют акцент на
физическое сохранение информации и неоправданно
малое значение уделено защите конфиденциальной
информации с помощью вычислительной
техники. Однако надо отдать должное, что
разработанное Положение выполняет в
полной мере, и это дало свои положительные
результаты. За время существования компании
было зафиксировано три случае (угрозы)
конфиденциальной информации компании.
Все случаи были купированы в самом начале,
виновные найдены и уволены из компании,
что позволило минимизировать потери,
понесенные предприятием.
В связи с вышеизложенными фактами,
необходимо направить усилия именно на
современные средства защиты информации
с помощью вычислительной техники, которые
имеют относительно высокие финансовые
затраты при внедрении, но при этом дают
определенную гарантию в качестве защиты.
2.3 Основные направления
на совершенствование организации
защиты конфиденциальной информации средствами
вычислительной техники