Защита конфиденциальной информации в организации

Заключение

Построение архитектуры СОИБ предприятия должно базироваться на соблюдении следующих основных принципов обеспечения ИБ:
Простота архитектуры, минимизация и упрощение связей между компонентами, унификация и упрощение компонентов, использование минимального числа протоколов сетевого взаимодействия. Система должна содержать лишь те компоненты и связи, которые необходимы для ее функционирования (с учетом требований надежности и перспективного развития).
Апробированность решений, ориентация на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
Построение системы из компонентов, обладающих высокой надежностью, готовностью и обслуживаемостью.
Управляемость, возможность сбора регистрационной информации о ...

Содержание

Введение 3
Глава 1 Сущность и регулирования конфиденциальной информации 3
1.1 Понятие конфиденциальной информации 3
1.2 Документооборот конфиденциальной информации 3
Глава 2 Управление и организация защиты конфиденциальной информации 3
2.1 Особенности организации защиты конфиденциальной информации 3
2.2 Меры обеспечения информационной безопасности 3
2.3 Распределение ответственности и порядок взаимодействия 3
Заключение 3
Список литературы 3

Введение

Развитие рыночной экономики во всем мире и в России вызвало множество событий, в числе которых создание предприятий и организаций различных форм собственности. Открывающиеся в связи с этим перспективы многих предприятий и организаций стали привлекать неподдельный интерес и не только ради любопытства, а и ради нанесения определенного урона виду деятельности той или иной организации. Объектами посягательств при этом являются, как правило, как сами документы или технические средства (компьютеры, периферийные устройства и др.), так и программное обеспечение, базы данных и др. Таким образом, урон, нанесенный в рамках среды информационной системы предприятия не только является уроном и своего рода материальным ущербом для работников предприятия. Он влечет за собой серьезный сбой в раб оте других предприятий-смежников, а также банковских структур связанных с данным предприятием определенными обязательствами и т.д. В связи с этим защита конфиденциальных данных в организациях стала одной из острых проблем в их эффективном использовании. Для обеспечения информационной безопасности на сегодняшний день разработаны три базовых принципа:
♦ целостность данных — защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;
♦ доступность информации для всех ее пользователей;
♦ конфиденциальность информации. Из всех мер, направленных на защиту информации в качестве основных можно выделить такие меры как технические, организационные, правовые.
К техническим мерам относят защиту от несанкционированного доступа к системе, резервирования особо важных документов и подсистем, организацию работы по защите информации с возможностью перераспределения ресурсов в случае выхода из строя отдельного звена, участка, установку соответствующего предупреждающего оборудования в случае пожара, утечке воды и др.
К организационным мерам относят наличие охраны оборудования в помещениях, параллельное ведение важных дел несколькими работниками, наличие плана восстановления работоспособности в случае выхода ее из строя и т.д.
К правовым мерам обычно относят наличие норм, устанавливающих ответственность за информационные преступления, защиту авторских прав , совершенствование уголовного и гражданского законодательства, процесса судопроизводства. Таким образом, защита информации на предприятии сегодня являются непременным условием, обеспечивающим успех деятельности организации.
Цель курсовой работы - защита конфиденциальной информации в организации.
Задачи курсовой работы:
- рассмотреть сущность конфиденциальной информации,
- изучить особенности документооборота конфиденциальной информации,
- рассмотреть управление и организацию защиты информации на предприятии.
Предмет курсовой работы - конфиденциальная информация на предприятии.
Объект курсовой работы – особенности защита конфиденциальной информации на предприятии.

Имеющий допуск сотрудник, в руки которого поступают конфиденциальные документы, обязан [20]:определить, получил ли он письменное разрешение на доступ, необходимый ему для работы. Недопустимо знакомиться с теми конфиденциальными документами, которые случайно попали в поле зрения по чьей-либо ошибке или недосмотру;предъявлять по первому требованию все числящиеся за ним документы ограниченного доступа (на любых носителях) для проверки их наличия и комплектности;ежедневно в конце рабочего дня проверять наличие документов и сдавать их ответственному лицу (инспектору, секретарю). Исключение составляют случаи, когда сотрудник хранит их, с разрешения руководителя, в отдельном сейфе, расположенном, например, в том помещении, в котором с ними ведется работа, или в опечатываемом кейсе (рабочей папке);немедленно сообщать первому руководителю и ответственному за хранение конфиденциальных документов об утрате самих документов или какой-то части из них;сдавать по описи секретарю все конфиденциальные документы, числящиеся за ним, при уходе в отпуск, отъезде в командировку, тем более - при увольнении.Многое в деле сохранения секретов организации зависит от самого руководителя. Руководитель обязан уделять должное внимание системе доступа к конфиденциальной информации.В первую очередь сам руководитель должен соблюдать установленные правила. Кроме того, к нему, помимо общих, предъявляются и дополнительные требования в силу его особого служебного положения. На нем лежит ответственность за:подбор надежных сотрудников, которые будут иметь допуск к тем или иным документам;организацию системы их работы, чтобы исключить возможность ознакомления с документами посторонних лиц;выделение помещения и технических средств, которые сделали бы невозможными хищение или копирование документов посторонними, а также техническим и обслуживающим персоналом, не имеющим необходимого допуска;постоянное отслеживание своих собственных контактов, не допуская к конфиденциальным документам знакомых и родственников. Известны случаи, когда утечка закрытой информации происходит именно из-за чрезмерного доверия к некоторым людям первого лица организации.Секретарь (инспектор) должен передавать конфиденциальные документы сотрудникам, имеющим к ним допуск, иод роспись в учетной карточке, которая ведется на каждый документ в бумажном и, возможно, электронном виде. Данное условие является обязательным, так как без его выполнения невозможно установить ответственного за документ в течение всего рабочего дня. Безответственность сотрудников, в свою очередь, создает почву для утечки конфиденциальной информации. Точно в таком же порядке (под роспись) производится и возврат документов секретарю (инспектору).Принимая документы от руководителя, секретарь также должен проверить их полноту (по учетным карточкам), целостность и комплектность. Кроме того, нелишним будет изучить, кому адресован в резолюции тот или иной документ. Если правильность указания адресата вызывает сомнение (например, указанный сотрудник не имеет допуска к данному виду документов), то необходимо помочь устранить ошибку.И только после подтверждения решения о допуске документ можно передавать указанному сотруднику.Выдавая документы сотрудникам организации, секретарь (инспектор) должен [5]:не допустить получения конфиденциального документа лицом, не имеющим права доступа к нему;проверить (в присутствии сотрудника) физическую сохранность документа, его комплектность (наличие всех приложений, листов и других частей документа) и после этого зафиксировать факт передачи документа на исполнение в учетных формах под роспись сотрудника;знакомить сотрудника только с той частью документа, которая ему адресована;предупредить о недопустимости ксерокопирования документа, его сканирования или переписывания из него конфиденциальной информации на бумагу, занесения ее в компьютер, не предназначенный специально для этих целей, и т.п.;предотвращать в меру своих возможностей ознакомление с документами посторонних лиц;обеспечить надежный учет документов, находящихся у сотрудников.Обратный процесс - сдача сотрудником конфиденциального документа ответственному сотруднику - должен происходить аналогичным образом: в присутствии сотрудника, работавшего с конфиденциальным документом, проверяется соответствие документа сведениям, указанным в учетных формах, его целостность и комплектность, отсутствие повреждений листов или их подмены. Только после этого можно сделать соответствующую отметку о приеме документа в учетных формах.Работа с конфиденциальными документами на рабочих местах может быть разрешена сотрудникам организации только при наличии условий, исключающих возможность хищения информации или утраты документов. Главным из таких условий является изолированность комнаты, в которойведется работа. Конечно, на практике существует немного организаций, в которых могут быть созданы такие условия, чтобы у каждого сотрудника, работающего с конфиденциальными документами, был отдельный кабинет. Гораздо легче организовать работу с такими документами (как на бумажном, так и на электронном носителе) в специально отведенном для этого помещении, вход в которое посторонним воспрещен.Кроме надежного рабочего места руководитель должен обеспечить сотрудника, работающего с конфиденциальными документами, личным сейфом (или хотя бы надежно закрывающимся металлическим шкафом), кейсом (или опечатываемой рабочей папкой) для хранения и переноски конфиденциальных документов внутри здания фирмы, номерной личной печатью. Ключи от сейфа и кейса, печать должны постоянно храниться у ответственного сотрудника. Каждый ключ должен иметь только один дубликат, который хранится у секретаря в опечатанном месте. Таким же должен быть и порядок хранения дубликатов ключей от сейфа и кейсов, которыми пользуется первый руководитель.Рабочее место сотрудника, имеющего доступ к конфиденциальным документам, следует разместить таким образом, чтобы никто из случайно вошедших в комнату людей не мог увидеть находящиеся на столе бумаги. Рабочий стол не должен просматриваться и через окно из соседних строений. Экран компьютера, за которым работает сотрудник, также не должен быть виден коллегам по рабочему помещению, посетителям, а также в окно. В идеальном случае помещения, в которых конфиденциальная информация обрабатывается на компьютерах, должны быть оснащены специальными средствами защиты от промышленного шпионажа.Все сказанное относится и к рабочему месту самого секретаря (инспектора). Оно не только должно соответствовать указанным требованиям, но и располагать его следует в специальном помещении, смежном с приемной первого руководителя (не в самой приемной). В такой комнате секретарю лучше всего вести обработку всех конфиденциальных документов организации и обеспечивать их хранение. Правом входа в подобное помещение должен обладать только секретарь, его руководитель и, возможно, сотрудники службы безопасности. Работать в приемной с конфиденциальной информацией недопустимо [6].При работе на столе у любого сотрудника, в том числе и у руководителя, всегда должен находиться только один конфиденциальный документ, с которым он работает в данный момент, и дополнительные материалы к нему. Все остальные конфиденциальные документы следует хранить в запертом сейфе. Нельзя составлять какие-либо планы или вести картотеку для организации работы с конфиденциальными документами и контроля за их исполнением. Очередность исполнения и другие технологические элементы работы устанавливаются следующим образом: документы раскладываются по рабочим папкам, которые могут быть озаглавлены так: «Срочно», «Ознакомление», «Согласование» и т.п.Приведем несколько важных правил работы сотрудников с конфиденциальными документами. Категорически запрещено:использовать конфиденциальные сведения в публикациях, открытых документах, докладах и интервью, рекламных материалах, выставочных проспектах и любых других информационных сообщениях массового доступа;сообщать кому-либо (в том числе и сотрудникам фирмы) устно или письменно конфиденциальную информацию, несанкционированно передавать документы, даже если это связано со служебной деятельностью;вести переговоры, используя конфиденциальную информацию, по незащищенным линиям связи, в неприспособленных помещениях и в присутствии посторонних лиц;обсуждать конфиденциальные вопросы в местах общего пользования;снимать копии с конфиденциальных документов, сканировать их, делать из них выписки, заносить секретные данные в компьютер, специально для этого не приспособленный, без письменного разрешения первого руководителя;знакомиться с документами, делами и базами данных других сотрудников, работать за их компьютерами без письменного разрешения первого руководителя;вносить в помещение, где выполняются работы с конфиденциальной информацией, личные фото-, видеоаппараты, компьютеры, магнитофоны (диктофоны), переговорные устройства, радиотелефоны и т.п.;выносить конфиденциальные документы из здания, где расположена организация, без письменного разрешения первого руководителя;оставлять документы ограниченного доступа на рабочем столе и невыключенный компьютер при выходе из комнаты (длительность отсутствия не имеет значения);хранить конфиденциальные документы вместе с открытыми документами и материалами, формировать в одном деле или машинном массиве конфиденциальные и открытые сведения;разглашать сведения о системе обработки конфиденциальной информации и о личных кодах и паролях;разглашать сведения о составе находящихся у него документов и материалов, системе их защиты и месте хранения, а также известных ему элементах обеспечения безопасности фирмы и персонала.Порядок выдачи и приема документов следующий. В начале рабочего дня конфиденциальные документы, кейсы и папки выдаются секретарем сотрудникам под роспись в учетной карточке или журнале.По окончании рабочего дня сотрудники фирмы обязаны проверить наличие конфиденциальных документов (в том числе на магнитных носителях), убедиться в их комплектности и сдать секретарю. Оставлять конфиденциальные документы на рабочем месте не разрешается категорически. Исключением может быть сам первый руководитель. Сотрудники отдела кадров и других служб, которые располагают объемными массивами конфиденциальных бумажных документов (картотеками, папками и т.д.), ежедневная сдача которых под роспись физически невозможна, по усмотрению первого руководителя также могут оставлять эти документы на своем рабочем месте в сейфах или металлических шкафах.Как правило, секретарю сдается каждый конфиденциальный документ в отдельности. При наличии у сотрудника нескольких документов и материалов, дискет и компакт-дисков, необходимых ему для ежедневной работы, они помещаются вместе с описью в специальный кейс или рабочую папку. Кейс запирается, опечатывается личной печатью сотрудника. Папка закрывается и тоже опечатывается и сдается под роспись в учетной карточке секретарю. Грамотная организация работы с конфиденциальными документами и строгое соблюдение сотрудниками установленных правил в значительной степени защитят коммерческую тайну организации [7].Глава 2 Управление и организация защиты конфиденциальной информации2.1 Особенности организации защиты конфиденциальной информацииОрганизация и проведение работ по обеспечению информационной безопасности (ИБ) предприятия определяются настоящей концепцией, действующими государственными и международными стандартами и другими нормативными и методическими документами [8]. Организация работ по обеспечению ИБ возлагается на руководителя департамента информационных технологий, осуществляющего эксплуатацию и сопровождение ИС, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации - на руководителя отдела ИБ предприятия. Эксплуатация ИС предприятия осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в соответствующих разделах настоящего документа. Комплекс мер по защите информации на предприятии включает в себя следующие мероприятия: Назначение ролей и распределение ответственности за использование информационных ресурсов корпоративной сети. Разработка, реализация, внедрение и контроль исполнения планов мероприятий, политик безопасности и других документов по обеспечению ИБ. Подготовка пользователей и технических специалистов к решению проблем, связанных с обеспечением ИБ. Проектирование, развертывание и совершенствование технической инфраструктуры системы обеспечения информационной безопасности (СОИБ). Техническая инфраструктура СОИБ предназначена для решения следующих задач: Защиты внешнего периметра корпоративной сети предприятия от угроз со стороны внешних сетей за счет использования межсетевого экранирования, контроля удаленного доступа и мониторинга информационных взаимодействий. Защиты корпоративных серверов за счет использования механизмов управления доступом к серверам баз данных, файловым, информационным и почтовым серверам, регистрации и учета событий, связанных с осуществлением доступа к ресурсам корпоративных серверов, механизмов мониторинга и аудита безопасности. Комплексной антивирусной защиты систем, входящих в состав корпоративной сети за счет распределения антивирусных средств (антивирусных сканеров, резидентных антивирусных мониторов и файловых ревизоров) по следующим уровням [9]: Защиты внешнего шлюза в сеть Интернет. Защиты корпоративных серверов. Защиты рабочих мест пользователей. Мониторинга сетевого трафика в реальном масштабе времени с целью выявления злоумышленных действий пользователей корпоративной сети и попыток осуществления НСД к ресурсам корпоративной сети со стороны внешних злоумышленников. Защиты прикладных подсистем, функционирующих в составе корпоративной сети, обеспечение доступности предоставляемых ими прикладных сервисов. Защиты межсетевых взаимодействий между сегментами ИС предприятия. 2.2 Меры обеспечения информационной безопасностиМеры обеспечения информационной безопасности организационного уровня:СОИБ реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить. Политика безопасности предприятия определяется настоящим документом, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие [10]: Политика защиты от НСД к информации; Политика предоставления доступа пользователей в ИС; Политика управления паролями; Политика восстановления работоспособности АС в случае аварии; Политика резервного копирования и восстановления данных; Политика предоставления доступа к ресурсам сети Интернет; Политика управления доступом к информационным ресурсам ИС предприятия; Политика внесений изменений в программное обеспечение; Политика управления доступом к АРМ Пользователя; Политика использования электронной почты; Политика анализа защищенности ИС предприятия; Программа, методика и регламенты тестирования функций СЗИ от НСД к информации; Инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию; Должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия; Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности; Документированная процедура контроля целостности программной и информационной частей ИС предприятия. Меры обеспечения информационной безопасности процедурного уровня:К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности: управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ. В рамках управления персоналом для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически. Информационная безопасность ИС предприятия зависит от окружения, в котором она работает. Необходимо принять меры для обеспечения физической защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров. При разработке проекта СОИБ предполагается адекватная реализация мер физической защиты офисных зданий и других помещений, принадлежащих предприятию, по следующим направлениям [4]: физическое управление доступом; противопожарные меры; защита поддерживающей инфраструктуры. Предполагается также адекватная реализация следующих направлений поддержания работоспособности: поддержка пользователей ИС; поддержка программного обеспечения; конфигурационное управление; резервное копирование; управление носителями; документирование; регламентные работы. Программа информационной безопасности должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима информационной безопасности преследует две главные цели: блокирование нарушителя и уменьшение наносимого вреда; недопущение повторных нарушений. На предприятии должен быть выделен сотрудник, доступный 24 часа в сутки, отвечающий за реакцию на нарушения. Все пользователи ИС должны знать координаты этого человека и обращаться к нему при первых признаках опасности. В случае невозможности связи с данным сотрудником, должны быть разработаны и внедрены процедуры первичной реакции на информационный инцидент. Планирование восстановительных работ позволяет подготовиться к авариям ИС, уменьшить ущерб от них и сохранить способность к функционированию, хотя бы в минимальном объеме. Механизмы контроля, существенные для предприятия с юридической точки зрения, включают в себя: Защиту данных и тайну персональной информации; Охрану документов организации; Права на интеллектуальную собственность.