Совершенствование системы безопасности информации ограниченного доступа

Содержание 
 
 
 
 
 
 
 
 
 
 
 
 

     Введение

 

     Одной из важнейших составных частей национальной безопасности любой страны в настоящее  время единодушно называется ее информационная безопасность. Проблемы обеспечения  информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

     Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что  современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.

     Объектом  исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе  управления организацией.

     Базой исследования является ООО «К-Строй»

     Предметом исследования - деятельность по обеспечению  безопасности информационных ресурсов в системе управления организацией.

     Цель  исследования - анализ современных  технологий, способов, методов и  средств защиты конфиденциальной информации предприятия.

     В задачи исследования, в соответствии с поставленной целью, входит:

     Раскрыть  основные составляющие информационной безопасности;

     Определить  состав информации, которую целесообразно  отнести к категории конфиденциальной;

     Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

     Рассмотреть методы и средства защиты конфиденциальной информации;

     В работе были использованы следующие  методы исследования: методы познания; общенаучные методы, а также такой  документоведческий метод как анализ документации предприятия. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 1. Теоретические аспекты  защиты конфиденциальной информации

     1.1. Законодательное  обеспечение защиты  персональных данных

 

     В настоящее время в образовательных  учреждениях (далее – ОУ) активно внедряются информационные системы, осуществляющие обработку персональных данных, делопроизводство, бухгалтерские программы и др. Эти системы предназначены для ведения базы данных воспитанников, обучающихся, родителей и работников ОУ, оперативного управления учреждением. Образовательные учреждения должны отреагировать на требования законодательства о защите персональных данных участников образовательного процесса в первую очередь, т. к. речь идет о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан.

     Защита  персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и  при определенных условиях.

     Защита  персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (работнику).

     Положения о защите персональных данных работников регламентируются:

       Конституцией Российской Федерации;

     Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о  защите информации»;

     Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» 

     Трудовым  кодексом РФ

     Кроме того, в целях обеспечения защиты персональных данных работников в соответствии с этими федеральными законами приняты  подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты).

     В соответствии со ст. 3 Закона

       № 152-ФЗ персональными данными  является любая информация, относящаяся  к определенному или определяемому  на основании такой информации  физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация.

     Согласно  ст. 2 Закона № 152-ФЗ его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защита прав на неприкосновенность частной жизни, личную и семейную тайну.

     Персональные  данные относятся к категории  конфиденциальной информации, которые  указаны в Перечне сведений конфиденциального характера, утвержденном указом Президента РФ от 06.03.1997 № 188. Следовательно, работодатель, получающий доступ к персональным данным, должен обеспечить их конфиденциальность.

     Закон № 152-ФЗ определяет требования к сбору  и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в т. ч. в сфере трудовых правоотношений.

     Требования  закона распространяются на все организации (независимо от формы собственности), в т. ч. на ОУ, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).

     Вопрос  правовой регламентации обеспечения  защиты персональных данных работников в настоящее время особенно актуален, поскольку информационные системы персональных данных работников ОУ, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона № 152-ФЗ не позднее 1 января 2011 г. – они должны представлять собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования средств автоматизации.

     В соответствии с ч. 1 ст. 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые  организационные и технические  меры для защиты персональных данных от неправомерного или случайного доступа  к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

     Постановлением  Правительства РФ от 17.11.2007 № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке  в информационных системах персональных данных, в т. ч. с использованием средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.

     В соответствии с ч. 3 ст. 4 Закона № 152-ФЗ постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Данное Положение предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований этого Положения.

     Приказом  Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 05.02.2010 № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных, которое подробно регламентирует вопросы, связанные с порядком применения методов и способов защиты информации в информационных системах персональных данных оператором или уполномоченным им лицом.

     В соответствии с ч. 1 ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи.

     Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязькомнадзор) выступает таким уполномоченным органом, который приказом от 17.07.2008 № 08 утвердил образец Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

     Частью 2 ст. 22 Закона № 152-ФЗ установлено, что  оператор вправе осуществлять без уведомления  уполномоченного органа по защите прав субъектов персональных данных обработку  персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Следовательно, образовательные учреждения не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с учреждениями.

     1.1. Коммерческий шпионаж

 

     Одним из наиболее опасных для нормального  осуществления предпринимательства  видов незаконной деятельности является коммерческий шпионаж. Коммерческий шпионаж  – это действия лиц, направленные на незаконное получение коммерческой информации, находящейся под защитой. Коммерческий шпионаж включает в себя промышленный шпионаж, производственный, научно-технический и т.п. Объектом коммерческого шпионажа является информация, составляющая коммерческую тайну. Как уже отмечалось, к ней относится информация: деловая, научно-техническая, производственная, организационно-управленческая, маркетинговая, финансовая, о персонале фирмы, программное обеспечение. Утечка этой информации может привести к реальным потерям для фирмы, либо к упущенной выгоде или к обоим последствиям сразу. (Приложение 1)

     Чаще  всего коммерческий шпионаж осуществляется:

     конкурентами,

     криминальными структурами,

     лицами, стремящимися получить доход от перепродажи  полученных незаконным путем сведений.

     Конкуренты, получив информацию о секретах производства (“ноу-хау”), новейших научных разработках, планах других фирм, могут использовать ее для получения преимуществ в конкурентной борьбе, выпуска аналогичной продукции, либо для непосредственного воздействия на успех деятельности своих “противников” (срыв сделок, недопущение объединения конкурентов и пр.). Криминальные структуры чаще всего используют информацию для шантажа в целях получения незаконных доходов.

     В условиях острой конкурентной борьбы каждая фирма, действующая на рынке, неизбежно сталкивается с необходимостью решения двух проблем.

     Первая  связана с получением информации о деятельности конкурентов, причем как можно более полной, точной и своевременной. Без наличия  такой информации невозможно строить производственную, научно-техническую, финансовую, рыночную стратегии и тактику поведения фирмы. Особенно важна информация, составляющая коммерческую тайну. Зачастую получение такой информации позволяет фирме экономить огромные суммы на научно-исследовательских работах и опытно-конструкторских разработках. Если способы получения информации выходят за разрешенные законом рамки (например, с помощью подкупа сотрудников, незаконного доступа к компьютерной системе), то эта деятельность может считаться коммерческим шпионажем.