Угрозы безопасности информации, задачи и направления ее защиты в процессе опубликования, рекламной и выставочной деятельности

ЗАКЛЮЧЕНИЕ

В рамках данной работы рассмотрены вопросы организации системы защиты информации в рамках проведения выставочной деятельности.
Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом.
Защита коммерческой тайны как часть деятельности по обеспечению экономической безопасности предприятия в целом предполагает, что возможные противоправные посягательства на коммерческую информацию могут идти по различным направлениям. В связи с этим эффективная защита конфиденциальности коммерчески значимой информации должна предусматривать целую систему направлений деятельности, каждому из которых соответствует свой с ...

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3
1. ОБЩИЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ В РЕКЛАМНОЙ И ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 5
1.1. ОБЩЕЕ ОПИСАНИЕ ТЕХНОЛОГИИ ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 5
1.2.НОРМАТИВНЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В РЕКЛАМНОЙ И ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 7
2.ОРГАНИЗАЦИОННАЯ ЗАЩИТА ИНФОРМАЦИИ В РЕКЛАМНОЙ И ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 11
2.1. МОДЕЛИ УГРОЗ В ИНФОРМАЦИОННЫХ СИСТЕМАХ РЕКЛАМНОЙ И ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 11
2.2. ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В РЕКЛАМНОЙ И ВЫСТАВОЧНОЙ ДЕЯТЕЛЬНОСТИ 13
ЗАКЛЮЧЕНИЕ 20
СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ 22

ВВЕДЕНИЕ

Работу современного предприятия невозможно представить без публикаторской деятельности (в той или иной форме) и рекламных акций различного характера. Вместе с тем, если предприятие работает с конфиденциальной информацией, такие виды деятельности могут привести к возникновению возможных каналов утечки этой информации.
Мероприятия по защите информации в процессе подготовки и реализации рекламных и публикаторских (издательских) проектов должны занимать особое место в повседневной деятельности предприятия.
Общие организационные мероприятия по защите информации в ходе осуществления рекламной и публикаторской деятельности включаются в план мероприятий по защите конфиденциальной информации на предприятии на календарный год. Конкретные меры по защите информации, направленные на исключе ние утечки информации конфиденциального характера при проведении рекламных акций и реализации различных издательских проектов, в том числе при подготовке публикаций в средствах массовой информации (СМИ), научных периодических изданиях, сборниках, включаются в соответствующие месячные планы работы структурных подразделений предприятия.
Особое значение при осуществлении предприятием рекламной и публикаторской деятельности имеет работа экспертной комиссии предприятия, направленная на предотвращение утечки конфиденциальной информации.
В рамках данной работы рассмотрены общие вопросы организации защиты информации на предприятиях, осуществляющих рекламную и выставочную деятельность.
Цель данной работы: анализ организационных мер защиты информации на предприятиях рекламного бизнеса.
Задача работы:
- Изучение нормативной базы в области защиты информации;
- Изучение основ технологии рекламной и выставочной деятельности;
- Изучение объектов защиты информации в рекламной и выставочной деятельности.
Работа содержит две главы, введение, заключение и список литературы. В главе 1 рассмотрены нормативные документы в области защиты информации применительно к технологии рекламного бизнеса. В главе 2 проведено моделирование угроз конфиденциальности информации на предприятиях рекламного бизнеса, проведен анализ организационных мер защиты информации.

 

Сведения, составляющие коммерческую, служебную и иную охраняемую законом тайну и полученные антимонопольным органом при осуществлении им своих полномочий, не подлежат разглашению, за исключением предусмотренных законодательством случаев. При получении запроса из антимонопольного органа руководитель предприятия организует предоставление в установленный срок запрашиваемой информации и направление органу, приславшему запрос, письменного уведомления о невозможности ее распространения без согласия предприятия, являющегося обладателем информации. Защита информации при осуществлении публикаторской деятельностиНаряду с реализацией рекламных проектов предприятие и его сотрудники принимают участие в подготовке и издании различных материалов, содержащих информацию о товарах, услугах и проводимых предприятием работах, в том числе научно-исследовательского характера.Основными направлениями защиты информации в ходе публикаторской деятельности являются:- определение тематики издаваемых материалов в целях исключения из них тематик, содержащих конфиденциальную информацию, подготовки рекомендаций по исключению из них иной актуальной информации, распространение которой может нанести ущерб предприятию;- письменное согласование содержания материалов и возможности их издания с организациями — обладателями информации (осуществляется ответственным за издание подразделением предприятия по согласованию со службой безопасности или режимно-секретным подразделением в форме письменного запроса в Организации, являющиеся заказчиками или соисполнителями проводимых совместных и других работ, сведения о которых предполагается распространить); предварительная экспертиза материалов, готовящихся к изданию, экспертной комиссией предприятия, которая при необходимости готовит рекомендации по частичному исключению из материалов конфиденциальной и иной актуальной информации;- окончательная выборочная экспертиза подготовленных к изданию материалов, определение тиража и способа их распространения; - контроль за выполнением работ по изданию (тиражированию, размещению) материалов непосредственно в типографии или иной организации в зависимости от выбранного способа распространения.Поставленные задачи реализации требований защиты информации предполагаю необходимость принятия ряда организационных мер. 2.Организационная защита информации в рекламной и выставочной деятельности2.1. Модели угроз в информационных системах рекламной и выставочной деятельностиПри отнесении типов информации к категории конфиденциальной специалисты рекламных компаний руководствуются разработанным Положением об отнесении информации, обрабатываемой в АИС к конфиденциальной, утверждаемым руководством предприятия. В таблице 2.1 приведены типичные бизнес-процессы технологии рекламной и выставочной деятельности, связанные с обработкой персональных данных.Таблица 2.1. Бизнес-процессы, связанные с обработкой персональных данных в рекламной и выставочной деятельностиБизнес-процессОбъект защиты информацииПубликация частных объявленийСодержание объявления, необходимость экспертизы на предмет характера ПДнПубликация рекламы юридических лиц Содержание рекламного объявления, необходимость экспертизы на предмет характера ПДнОрганизация выставокСодержание выставочного материалаВерстка рекламного материалаСодержание рекламного материала, необходимость защиты информации при работе с файлами версткиВедение картотеки клиентовИнформация о клиентахВедение архива фото и видеоматериаловСодержание фото и видеоматериаловЗащита интеллектуальной собственностиВыставочный контентТаким образом, практически во всех бизнес-процессах технологии рекламной и выставочной деятельности специалисты имеют дело с конфиденциальной информацией и должны выполнять требования законодательства в данной областиСогласно специфике деятельности рекламных организаций, основной угрозой защиты конфиденциальности является неправомерная публикация информации, которая может содержать сведения, относящиеся к персональным данным. Вследствие этого, перед публикацией необходимо проводить экспертизу материала. Также предприятия рекламного бизнеса работают с информационными системами, при работе с которыми необходимо принятия ряда мер, связанных с использованием информационных технологий. Согласно классификации информационных систем, для предприятий рекламного бизнеса установлен класс К3, класс защищенности информационной системы – 1Г, в соответствии с которыми необходимо проведение организационных и технологических мероприятий по защите конфиденциальной информации. Согласно данному классу, к угрозам конфиденциальности относятся:- визуальный съем отображаемой информации;- вредоносная программа;- вторжение в ИСПД по информационно-телекоммуникационным сетям;- закладка аппаратная; - закладка программная;- произвольное копирование баз данных (умышленные, в том числе злонамеренные, действия персонала);- накопление данных пользователем ИСПД (умышленные действия персонала);- накопление данных прикладными программами;- неисправность аппаратных средств;- ошибка в программе;- ошибочные действия персонала;- перехват в каналах передачи (телекоммуникационных сетях);- произвольный доступ персонала системы к ресурсам;- произвольное создание точек входа в ИСПД;- утечка информации по побочному электромагнитному излучению и наводкам;- хищение (утеря) или отчуждение носителей (модернизация, ремонт, утилизация).Основными формами реализации угроз целостности конфиденциальности информации являются [13]:- воздействие вредоносной программы;- вторжение в ИСПД по информационно-телекоммуникационным сетям;- закладка программная;- злонамеренное разрушение, искажение персоналом (умышленные деструктивные действия персонала);- неисправность аппаратных средств;- ошибка в программе;- ошибочные действия персонала;- стихийное бедствие, катастрофа.Нарушители безопасности персональных данных могут осуществлять целенаправленные действия по нарушению безопасности информации или созданию условий для этого – атаки – как из-за пределов контролируемой зоны (внешние нарушители), так и в пределах контролируемой зоны (внутренние нарушители).2.2. Организационные меры защиты информации в рекламной и выставочной деятельностиОрганизационные меры защиты информации, используемые в организациях рекламного бизнеса, включают в себя:- издание внутренних нормативных актов в области защиты персональных данных в информационной системе организации, определение ответственности специалистов за их нарушение;- определение лиц, курирующих деятельность в области работы с конфиденциальной информацией;- ведение документации в области деятельности по защите конфиденциальной информации.Пакет локальных документов должен быть проверен органами ВСТЭК на соответствие требованиям категории, определенной для данного типа конфиденциальной информации и должен содержать следующие документы:- об организации защиты информации;- перечень данных конфиденциального характера;- перечень специалистов, допущенных к работе с персональными данными;- об используемых средствах криптографической защиты;- о наличии программных средств, в которых ведется обработка персональных данных;- о специалистах, ответственных за организацию защиты конфиденциальной информации;- при необходимости – о пропускном;- о применении средств защиты от несанкционированного доступа;- наличие обязательств специалистов о неразглашении конфиденциальной информации, ставшей известной в ходе профессиональной деятельности.В целях обеспечения безопасности информации в организациях рекламного бизнеса необходимо принятие мер правового, организационного, технического и морально-этического характера.Создание нормативно-правовой базы защиты информации осуществляется путем принятия на основе действующего законодательства нормативных актов, регламентирующих правила обращения (выполнения операций) с информацией. Данные акты закрепляют права и обязанности участников информационных отношений, правила предоставления, порядок обработки информации, использования средств защиты, а также ответственность работников за нарушение установленных правил, определяют требования по мерам защиты информации организационного и технического характера.Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию работникам определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет работников и уважение к ним, быть престижным как для работников, так и для трудовых коллективов. Морально-этические нормы могут быть и документально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах.В таблице 2.2 приведен перечень типового документационного обеспечения организации защиты информации в организациях, осуществляющих рекламную и выставочную деятельностьТаблица 2.2. Документационное обеспечение защиты конфиденциальной информацииУгрозаТехнология защитыДокументационное обеспечениеПубликация информации с нарушением законодательства о ПДнЭкспертиза рекламного материалаПоложение об экспертизе рекламных материаловВизуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом)Блокировка экрана с помощью электронного ключаПамятка пользователя автоматизированной системы Вредоносная программа;Антивирусное программное обеспечение«Положение об антивирусной защите»Произвольное копирование баз данныхРазграничение доступа«Таблицы разграничения доступа к информационным ресурсам»,«Инструкция о резервном копировании информационных ресурсов»Накопление данных пользователем ИСПДОграничение прав доступа«Обязательство о неразглашении информации конфиденциального характера»Программные ошибкиИнформирование разработчиков«Акт ввода в промышленную эксплуатацию»Ошибочные действия персоналаПрограммные средства защиты«Лист ознакомления пользователя с инструкцией по работе с программой»Стихийное бедствие, катастрофаРезервное копирование«Инструкция о порядке хранения, обращения МНИ»Компрометация ЭЦПГенерация новых ключей, расследование причин компрометации«Инструкция по работе с криптографическими средствами»Компрометация пароляСмена пароля, расследование причин компрометации«Инструкция по парольной защите»Таким образом, одним из важнейших компонент в организации защиты информации на предприятиях рекламного бизнеса является работа с нормативными актами. В таблице 2.3 приведено типовое распределение обязанностей по специалистам в области защиты конфиденциальности информации на предприятиях рекламного бизнеса. Таблица 2.3 Функциональные обязанности специалистов в области защиты конфиденциальной информации в подразделениях предприятия рекламного бизнесаДолжностьФункцииОтветственностьРуководитель подразделенияКонтроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информацииОтветственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности специалистов (дисциплинарная, административная, уголовная) Заместитель руководителя подразделенияВозглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциямОтветственность за работу комиссии по обеспечению требований защиты информацииАдминистратор защиты информации (назначается из числа специалистов)Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации Ответственность за организацию защиты информацииНачальник отделаКонтроль за выполнением требований защиты информации в возглавляемом отделе.Ответственность за нарушение требований защиты информации в отделеСпециалист отделаКонтроль за выполнением требований защиты информации на рабочем местеОтветственность за нарушение требований защиты информацииДля ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:Временная инструкция по авторизации пользователей Памятка пользователям информационной системы по вопросам информационной безопасности.Памятка руководителям структурных подразделений по вопросам информационной безопасности.Инструкция о порядке учёта, хранения и обращения машинных носителей информацииПоложение о порядке работы с документами, содержащими информацию конфиденциального характера.Положение о работе с персональными данными работников Положение о порядке отнесения информации к конфиденциальной.Реестр документов, относящихся к утвержденному перечню сведений конфиденциального характера.Листы ознакомления с данными документами передаются специалисту отдела кадров.