Организация режима защиты конфиденциальной информации на предприятии

Разработан режим защиты конфиденциальной информации на конкретном примере организации.
МЭИ 2016 год, оценка "Отлично" ...

Введение………………………………………………………………………….5
Глава 1. Анализ предприятия ОАО «Компас-С», как объекта информатизации………………………………………………………………….8
1.1 Анализ функциональной и организационной структуры предприятия..8
1.2 Анализ информационной структуры предприятия……………………..13
1.3 Анализ потоков информации, циркулирующей на предприятии……...15
1.4 Разработка модели нарушителя и модели угроз………………………..17
Вывод по первой главе………………………………………………………….21
Глава 2. Разработка рекомендаций по установлению режима коммерческой тайны на предприятии ОАО «Компас-С»……………………………………...22
2.1 Анализ нормативно-правовой базы защиты коммерческой информации на предприятии…………………………………………………...22
2.2 Разработка рекомендаций по внедрению режима коммерческой тайны на предприятии ………………………………………………………….24
2.2.1Рекомендации по определению перечня информации, составляющей коммерческую тайну…………………………………………...27
2.2.2 Рекомендации по ограничению доступа к информации, составляющей коммерческую тайну…………………………………………...32
2.2.3 Рекомендации по учету лиц, получивших доступ к информации, составляющей коммерческую тайну………………………………………..…36
2.2.4 Рекомендации по регулированию отношений по использованию работниками и контрагентами информации, составляющую коммерческую тайну……………………………………………………………………………...39
2.2.5 Рекомендации по нанесению на материальные носители грифа «Коммерческая тайна»…………………………………………………………..42
2.3 Рекомендации по внесению изменений в организационной документации предприятия………………………………………………….….48
2.4 Рекомендации по внедрению технических средств, необходимых для обеспечения и контроля за режимом коммерческой тайны………………….50
Вывод по второй главе………………………………………………………51
Глава 3 Технико-экономическое обоснование принятых решений……...…..53
3.1 Разработка рекомендаций по выбору штатной структуры конфиденциального делопроизводства…………………………………….….53
3.2 Разработка рекомендаций по расчету затрат на программное и аппаратное обеспечение предприятия ОАО «Компас-С»…………………....54
Вывод по третьей главе……………………………………………………..….61
Заключение……………………………………………………………………...62
Список используемых источников…………………………………………….64
Приложение

В современном мире информация стала важнейшим продуктом общественного производства, постоянно наращиваемый ресурс человечества. Сегодня информация является наиболее ценным и ходовым объектом в международных экономических отношениях. А её защита является неотъемлемой задачей любой организации, во избежание утечки информации и убытков предприятия. По этой причине актуальность данной бакалаврской работы существенно высокая. .
Конфиденциальная информация, используемая в предпринимательской или иной деятельности весьма разнообразна. Подобная информация представляет различную ценность для хозяйствующего субъекта и, соответственно, её разглашение способно привести к угрозам безопасности различной степени тяжести. Страх лишиться таких активов з аставляет организации создавать различные системы защиты. Но перед тем, как организовывать защиту информации, необходимо разобраться что же из себя представляет конфиденциальная информация.

 е. ввел режим коммерческой тайны. Только в таком случае при утечке секретных сведений можно рассчитывать на судебную защиту. Главная ошибка в отношении коммерческой тайны заключается в том, что многие руководители считают достаточным просто назвать какую-либо информацию коммерческой тайной. Однако на самом деле простого указания в документах, что определенная информация относится к коммерческой тайне, недостаточно. Внедрение режима коммерческой тайны является весьма трудоемким процессом и требует профессионального подхода. Данная процедура подвержена тщательной законодательной регламентации, и при несоблюдении каких-либо условий режим коммерческой тайны не будет считаться установленным, а соответствующая информация не получит защиты. Для того чтобы установить режим коммерческой тайны, необходимо принять соответствующие меры, указанные в статье 10 ФЗ «О коммерческой тайне». Организация и поддержка этого режима возлагаются на обладателя секретной информации.Согласно статье 10 ФЗ №98, меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:Определение перечня информации, составляющей коммерческую тайну;Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).Далее одной из главных задач дипломной работы будет рассмотрение рекомендаций по каждому из вышеперечисленных мероприятий по охране коммерческой тайны в организации.2.2.1 Рекомендации по определению перечня информации, составляющей коммерческую тайнуЕдиной методики разработки перечня сведений, составляющих коммерческую тайну, в нормативных правовых актах не существует. По этой причине разработка перечня является важной задачей в сфере организационной защиты информации предприятия ОАО «Компас-С». Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации (статья 4. ФЗ №98 «О коммерческой тайне»).Перечень нуждается в регулярном обновлении и корректировке. Разрабатываемый перечень сведений, составляющих коммерческую тайну, решает целый ряд задач:Он служит для выделения информации, которую необходимо защищать, из всей совокупности документов организации или предприятия. Тем самым происходит закрепления факта отнесения выделенной информации к сведениям, составляющим коммерческую тайну предприятия;В разработанном перечне могут быть установлены различные грифы конфиденциальности сведений, что позволит осуществлять доступ к определенной информации только определенным лицам, которые имеют соответствующее право доступа и которым это необходимо по работе;Перечень позволяет устанавливать конкретный срок действия конфиденциальности информации для каждого отдельного защищаемого документа;Такой перечень предназначен для определения состава служащих предприятия, которые получили доступ к работе с определенными защищаемыми сведениями и их носителями, а также регулирования правил их работы;Перечень сведений, составляющих коммерческую тайну, может использоваться в качестве доказательства при судебных разбирательствах о разглашении коммерческой тайны [].После определения основных задач разработки перечня сведений, составляющих коммерческую тайну, необходимо выяснить, какие сведения нельзя отнести к коммерческой тайне, а какие — можно. В статье 5 ФЗ РФ № 98 «О коммерческой тайне» определен список сведений, которые не могут составлять коммерческую тайну. Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:1. Содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;2. Содержащихся в документах, дающих право на осуществление предпринимательской деятельности;3. О составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;4. О загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;5. О численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;6. О задолженности работодателей по выплате заработной платы и по иным социальным выплатам;7. О нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;8. Об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;9. О размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;10. О перечне лиц, имеющих право действовать без доверенности от имени юридического лица;11. Обязанность раскрытия которых или недопустимость ограничения доступа, к которым установлена иными федеральными законами.Сведения о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест, о задолженности по выплате заработной платы работников не являются коммерческой тайной, включение этих сведений в состав коммерческой тайны и наказание за их разглашение незаконны.Сведениями, составляющими коммерческую тайну, не могут являться общедоступные сведения, предназначенные для предотвращения нанесения ущерба законным интересам государства, физических или юридических лиц, а также для предупреждения сокрытия правонарушений. Не имеет смысла относить к коммерческой тайне сведения, затраты на защиту которых превышают возможные потери в случае разглашения этой информации. Это ограничение не закреплено законодательством и носит лишь рекомендательный характер. Примерный перечень сведений, составляющих коммерческую тайну, смотреть в Приложении 2.Как говорилось ранее право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации (статья 4. ФЗ №98 «О коммерческой тайне»). В действительности над разработкой перечня сведений, составляющих коммерческую тайну, работают сотрудники юридического отдела, отдела кадров или службы безопасности организации. Наилучшим решением является их совместное участие в разработке перечня. Для этого издается приказ руководителя организации о создании экспертной комиссии из 4–5 специалистов основных подразделений и представителей службы безопасности. Одними из функций комиссии являются согласование и утверждение перечня []. В такую рабочую группу могут входить сотрудники, которые могут быть ознакомлены как с деятельностью всей организации, так и с работой ее отдельных подразделений. В комиссии должны быть руководящие специалисты, которые владеют всей информацией, которая может быть отнесена к коммерческой тайне. Достаточно, чтобы хотя бы один из сотрудников обладал подробными знаниями по определенному рассматриваемому вопросу, а другие члены рабочей группы представляли себе только его общий характер. Это делает работу комиссии более эффективной и исключит риски распространения коммерческой тайны. . Основные этапы разработки перечня сведений, составляющих коммерческую тайну:1.  Издание приказа по организации работы по разработке перечня;2.  Формирование и утверждение состава рабочей группы;3.  Формирование и утверждение состава экспертной комиссии; 4.  Разработка положения о порядке разработки перечня; 5.  Распространение положения о порядке разработки перечня среди руководителей структурных подразделений и членов экспертной комиссии для ознакомления и подготовки замечаний и предложений; 6.  Согласование и утверждение положения о порядке разработки перечня;7.  Распространение положения о порядке разработки перечня среди исполнителей и проведение инструктажа членов рабочей группы и экспертной комиссии согласно этому положению; 8.  Подготовка рабочей группой предложений в предварительный перечень сведений, составляющих коммерческую тайну;9.   Разработка предварительного перечня сведений, составляющих коммерческую тайну, ответственным исполнителем по предложениям членов рабочей группы;10. Анализ экспертной комиссией предварительного перечня в соответствии с положением о порядке разработки перечня и разработка проекта окончательного варианта перечня; 11. Согласование перечня сведений, составляющих коммерческую тайну, с руководителями структурных подразделений и утверждение перечня руководителем предприятия; 12. Издание приказа о введении перечня в действие и доведение его до сотрудников под роспись.Перечень создаваемой информации, составляющую коммерческую тайну, утверждается руководителем организации. Под расписку с ним должны быть ознакомлены все лица, наделенные правом создавать, оформлять, визировать, подписывать и утверждать документы. Внесение в перечень возможных уточнений и изменений может быть возложено на руководителей службы безопасности и экспертной комиссии [].2.2.2 Рекомендации по ограничению доступа к информации, составляющей коммерческую тайнуДоступ к информации, составляющей коммерческую тайну – это ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации (ст. 3, ФЗ РФ №98-ФЗ «О коммерческой тайне). Доступ граждан к информации, содержащей сведения, в установленном порядке отнесенные к коммерческой тайне, осуществляется в соответствии со ст. 7 и 10 Федерального закона «О коммерческой тайне». Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями (ст. 11, п.2 ФЗ №98). В целях охраны конфиденциальности информации работник обязан:1. Выполнять установленный работодателем режим коммерческой тайны;2. Не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;3. Возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;4.Передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.Допуск работника к коммерческой тайне предусматривает:Ознакомление работника с законодательством РФ о коммерческой тайне, предусматривающим ответственность за нарушение режима коммерческой тайны;Принятие работником обязательств по соблюдению установленного режима коммерческой тайны;Ознакомление работника с перечнем сведений, составляющих коммерческую тайну предприятия, к которым работник будет иметь доступ;Установление оплаты труда работника с учётом компенсации за взятые им на себя обязательства по соблюдению режима коммерческой тайны;Создание работнику необходимых условий для соблюдения им установленного работодателем режима коммерческой тайны.С момента установления режима коммерческой тайны в отношении какой-либо информации полномочия по принятию решения о доступе к ней в полном объеме переходят к обладателю информации. Необходимо отметить, что определение порядка доступа лиц к коммерческой тайне и учет лиц, получивших такой допуск, в соответствии с Федеральным законом «О коммерческой тайне» являются обязательными для обладателя информации, составляющей коммерческую тайну.Необходимо отметить, что в настоящее время для установления режима коммерческой тайны целесообразно принимать, в том числе, технические меры по охране информации. На практике к техническим мерам относится любое физическое блокирование доступа к информации (например, оборудование помещений, где хранится соответствующая информация, замками и т.п.). Ограничение доступа не обязательно нужно производить с применением технических средств, достаточно будет организационных методов. Использование технических методов защиты становится правом, а не обязанностью (п.4 ст.10 Федерального закона «О коммерческой тайне»). В любом случае, в организации должен быть установлен порядок доступа и обращения с информацией, составляющей коммерческую тайну. Прежде всего, это определение закрытого (исчерпывающего) перечня лиц, которые вправе иметь доступ к конфиденциальной информации, описание процедуры, с помощью которой конкретное лицо получает доступ к этой информации, а также правила обращения с этой информацией (порядок хранения, копирования, записи на материальные носители, передачи любым третьим лицам). Также одновременно целесообразно определять и порядок контроля за соблюдением данного порядка (методы контроля, лица, которые вправе контролировать соблюдение этого порядка, периодичность контрольных мероприятий и т.п.).Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну. Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности. Ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну, подразумевает организационно-технические мероприятия, основными из которых могут быть:Разработка ограничительного списка работников организации (предприятия), утвержденного руководством в соответствии с занимаемыми должностями и выполняемыми обязанностями;Разработка инструкции по организации защиты коммерческой тайны (определяет общую систему организации защиты коммерческой тайны);Создание таких механизмов, при которых исключаются разглашения и утраты конфиденциальной информации; Организация порядка хранения, обращения и уничтожения носителей, содержащих коммерческую тайну; Определение обязанностей основных должностных лиц организации по защите данных и т.д.;Организация и ведение специального делопроизводства носителей, содержащих коммерческую тайну;Применение средств защиты информации от несанкционированного доступа, сертифицированных по требованиям безопасности конфиденциальной информации.В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан (ст. 11 п.1, ФЗ №98-ФЗ «О коммерческой тайне»):Ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;Ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;Создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан (ст. 11 п.3, ФЗ №98-ФЗ «О коммерческой тайне»):Выполнять установленный работодателем режим коммерческой тайны;Не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;Возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;Передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.2.2.3 Рекомендации по учету лиц, получивших доступ к информации, составляющей коммерческую тайнуУчет лиц, получивших доступ к информации, составляющей коммерческую тайну, должен вестись как по отношению к персоналу данной компании, так и ко всем организациям (предприятиям), получившим такую информацию. Учет должен носить абсолютно конкретный характер с указанием, кто, когда, на основании чего и какую информацию получил.Учет может вестись как в письменном виде (журнал допуска сотрудников к сведениям, составляющим коммерческую тайну организации), так и в электронном. Отметим, что учет этих лиц на практике невозможен без установления четкого порядка доступа и обращения с информацией, составляющей коммерческую тайну []. Примеры журналов учета представлены в таблицах 3 и 4.Таблица 3Журнал учета бумажных носителей конфиденциально информацииУчетный номер и гриф конфиденциальности носителя Дата регистрации Вид носителя На-именование или назначение носителя Количество листов ФИОлица, получившего носитель Подпись за получение и дата Подпись за возврат и дата Отметка об уничтожении носителя 123456789При взятии носителей на учет заполняются графы 1-5 [].В графе 1 рядом с номером носителя начальными буквами проставляется его гриф конфиденциальности - 1 КТ (коммерческая тайна). В графе 2 дата проставляется арабскими цифрами: в картонке указанием числа, месяца и года, в журнале - числа и месяца. В графе 3 пишется: спецблокнот, листы, типовая форма, рабочая тетрадь и др. В графе 4 указывается наименование документа, который будет составляться на носителе, если носитель предназначен для составления конкретного документа, или назначение носителя, если в него будет вноситься различная информация, например, по спецблокноту "для черновиков", по рабочей тетради "для рабочих записей". Магнитные и оптические носители должны учитываться до нанесения на них информации в журналах (карточках) учета машинных носителей конфиденциальной информации, в которые целесообразно включать следующие графы.Таблица 4Журнал учета машинных носителей конфиденциальной информацииУчетный номер и гриф конфиденциальности носителя Дата регистрации Вид носителя Тип носителя Наименование информации, наносимой на носитель Отметка о переносе информации на другой носитель Отметка об отправлении носителя Отметка о возврате носителя Отметка об уничтожении (стирании) информации Отметка об уничтожении носителя 12345678910Заполнение граф 1, 2 производится таким же образом, как и в журнале учета бумажных носителей. В графе 3 проставляется: магнитный диск, дискета, оптический диск и др. В графе 4 пишется название (марка) носителя.