Назначение, виды, структура и технология функционирования системы защиты информации в Агентстве юридических услуг

     Целями  защиты информации  Агентства являются:

     · предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);

     · предотвращение угроз безопасности личности и предприятия;

     · предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

     · предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

     · защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

     · сохранение, конфиденциальности документированной информации в соответствии с законодательством.

     К задачам защиты информации в Агентстве относятся:

     1.  Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать предприятию преимущества перед конкурентами и оправдывать затраты средств на защиту информации.

     2.  Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

     3.  Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.

     4.  Документирование процесса защиты информации, особенно сведений, составляющих коммерческую тайну, с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что предприятие принимало необходимые меры к защите этих сведений.

     5. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

       Основными объектами защиты в Агентстве  юридических услуг  являются:

     · персонал (так как эти лица допущены к работе с охраняемой законом информацией (адвокатская и коммерческая тайны, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается);

     · объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;

     · информация ограниченного доступа:

     ü адвокатская тайна (факт обращения к адвокату, включая имена и названия доверителей; все персональные данные клиентов; все доказательства и документы, собранные адвокатом в ходе подготовки к делу; сведения, полученные адвокатом от доверителей; информация о доверителе, ставшая известной адвокату в процессе оказания юридической помощи; содержание правовых советов, данных непосредственно доверителю или ему предназначенных; все адвокатское производство по делу; условия соглашения об оказании юридической помощи, включая денежные расчеты между адвокатом и доверителем; любые другие сведения, связанные с оказанием адвокатом юридической помощи);

     ü коммерческая тайна (сведения о применяемых оригинальных методах управления фирмой; сведения о подготовке, принятии и исполнении отдельных решений руководства фирмы по коммерческим, организационным и другим вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров); сведения о кругообороте средств организации, финансовых операциях, состоянии банковских счетов организации и проводимых операциях; об уровне доходов организации, о состоянии кредитов организации (пассивы и активы); сведения о рыночной стратегии фирмы, об эффективности коммерческой деятельности фирмы; обобщенные сведения о клиентах и других партнерах, состоящих в деловых отношениях с организацией; обобщенные сведения о внутренних и зарубежных фирмах, как потенциальных конкурентах; оценка качества деловых отношений с конкурирующими предприятиями; сведения об условиях конфиденциальности, из которых можно установить порядок соглашения и другие обязательства организации с клиентами; сведения о методах расчета, структуре, уровне реальных цен на услуги и размеры скидок; сведения о порядке и состоянии организации защиты коммерческой тайны, о порядке и состоянии организации охраны, системы сигнализации, пропускном режиме);

     ü персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);

     · защищаемая от утраты общедоступная информация:

     ü документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, Положения о структурных подразделениях, должностные инструкции работников);

     ü информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки);

     · материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну);

     · технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов).

     Предметом защиты информации в Агентстве юридических  услуг  являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

     · Личные дела клиентов в бумажном и электронном (база данных клиентов) виде;

     · Личные дела работников в бумажном и электронном (база данных работников) виде;

     · Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с «Положением о конфиденциальной информации» и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

Факторы, влияющие на защиту информации в Агентстве  юридических услуг

 

     Внешние факторы:

• деятельность конкурентных юридических фирм, направленная против интересов фирмы «Экспресс»;
• деятельность правоохранительных органов власти, направленная на удовлетворение собственных интересов и не учитывающая при этом интересы Агентства (обыски адвокатов без предварительного получения решения суда; изъятие в ходе обысков документов, содержащих конфиденциальную информацию; формальный подход судей при вынесении решений о проведении обыска у адвоката; обыск в помещениях занимаемых адвокатом в отсутствие адвоката; незаконный досмотр адвокатского производства адвокатов, как один из способов незаконного доступа к адвокатской тайне);
• недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика (например, несостыковка пунктов Уголовно-процессуального кодекса Российской Федерации и закона «Об адвокатской деятельности и адвокатуре в Российской Федерации»).

       Внутренние  факторы:

• недостаточное внимание к обеспечению защиты информации со стороны руководства (в Агентстве нет отдельной службы защиты информации);
• довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
• недостаточное финансирование мероприятий по обеспечению информационной безопасности предприятия;
• недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в Агентстве (в данный момент в штате фирмы «Экспресс» нет ни одного специалиста по защите информации).

 

Причины дестабилизирующего воздействия на защищаемую информацию в Агентстве юридических услуг  

     К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести :

• стремление получить материальную выгоду (подзаработать);
• стремление нанести вред (отомстить) руководству или коллеге по работе;
• стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;
• стремление продвинуться по службе;
• стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;
• физическое воздействие (побои, пытки) со стороны злоумышленника;
• стремление показать свою значимость.

     Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:

• неквалифицированное выполнение операций;
• халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;
• небрежность, неосторожность, неаккуратность;

     - физическое недомогание (болезни, переутомление, стресс, апатия).

     Причинами дестабилизирующего воздействия на информацию со стороны технических  средств отображения, хранения, обработки  воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:

     - недостаток или плохое качество  средств;

• низкое качество режима функционирования средств;
• перезагруженность средств;
• низкое качество технологии выполнения работ.

       В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.

Каналы  и методы несанкционированного доступа к защищаемой информации в Агентстве юридических услуг. 

     К числу наиболее вероятных каналов  утечки информации можно отнести:

· совместную с другими фирмами деятельность, участие в переговорах;

· фиктивные запросы со стороны о возможности работать в фирме на различных должностях;

· посещения фирмы;

· общения представителей фирмы о характеристиках предоставляемых услуг;

· чрезмерную рекламу;

· консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;

· публикации в печати и выступления;

· совещания, конференции и т.п.;

· разговоры в нерабочих помещениях;

· обиженных сотрудников фирм;

· технические каналы;

· материальные потоки (транспортировка спецпочты).

       При организации защиты информации в  Агентстве юридических услуг  необходимо учитывать следующие возможные методы и способы сбора информации:

· опрос сотрудников изучаемой фирмы при личной встрече;

· навязывание дискуссий по интересующим проблемам;

· рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет;

· ведение частной переписки научных центров и ученых со специалистами.

     Для сбора сведений в ряде случае представители  конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. Наиболее вероятно использование следующих способов добывания информации: