Защита конфиденциальной информации на предприятии

При решении задач  по защите информационных ресурсов компании необходимо разработать политику информационной безопасности предприятия - это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с  целью обеспечения компьютерной безопасности. Политика информационной безопасности - это та основа, без  которой невозможно приступать ни к  выбору, ни к проектированию средств  защиты информации, в том числе  добавочных.

Вместе с тем  отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены "слабые" места защиты и выработаны соответствующие  организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.

Обобщая все сказанное, отметим, что система технической  защиты информации является ключевым звеном политики информационной безопасности, поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем  случае является взаимосвязанной интеграционной процедурой, состоящей из выполнения рассмотренных выше шагов.

Система защиты компьютерной информации от несанкционированного доступа  может рассматриваться в двух приложениях:

1.  Защита автономного  компьютера;

2.  Защита компьютера  в составе сети (ЛВС).

Очевидно, что задача защиты компьютера как самостоятельного объекта, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.

При разработке и  проектировании системы защиты информационных ресурсов от несанкционированного доступа, при использовании на предприятии  как отдельных компьютеров, так  и локальной вычислительной сети необходимо учитывать множество  факторов, которые в совокупности дадут желаемый эффект защищенности. В первую очередь, на предприятии  необходимо тщательно разработать  политику информационной безопасности предприятия, которая в полной мере отразит необходимые требования по защите конфиденциальной информации. Во - вторых, следует разработать  комплексный подход в проектировании систем защиты.

Каждая компонента системы защиты должна быть рассчитана на защиту определенного набора возможных  каналов несанкционированного доступа. Контролируемыми объектами могут  служить не только замкнутость корпусов защищаемых объектов, но и другие компоненты объектовой защиты - двери в помещение, сейфы и др., отсюда следует необходимость  комплексирования в единой системе  защиты (с единым выделенным сервером безопасности) средств технической, внутрисетевой и объектовой защиты.

В процессе данного  исследования проанализирована система  защиты информационных ресурсов компании ОАО "ЧЗПСН - Профнастил".

Руководству компании следует обратить особое внимание на то, что существующая система защиты информационных ресурсов традиционного  и электронного документооборота на данный момент является уже устаревшей и недостаточной для полноценной  защиты информации.

Для защиты своих  информационных ресурсов необходимо использовать современные технологии. Анализ теоретического материала позволяет рекомендовать  руководству компании новые технологии в создании и построении системы  защиты.

На данный момент наиболее рекомендуемой системой защиты конфиденциальной информации является комплексная система защиты информации, включающая в себя все виды компонентов  защиты, а именно программную, техническую, внутрисетевую и объектную, имеющую  централизованно - распределенную архитектуру, она наиболее полно отвечает современным  требованиям по защите информации.

В целом защита от несанкционированного доступа локальной  вычислительной сети осуществляется на уровне принятом в большинстве организаций, т.е. минимальный набор защитных средств: разграничительный подход к пользователям локальной вычислительной сети, наличие журналов регистрации  выдачи конфиденциальных документов, физическая охрана, система пропусков, наличие защитной и пожарной сигнализации.

Что касается системы  защиты информации от несанкционированного доступа на традиционных носителях  и защиты традиционного конфиденциального  документооборота, то можно отметить практически полную реализацию требований. В наличии полный набор необходимых  нормативно-методических материалов по работе с конфиденциальной информацией: Положение по защите коммерческой тайны  на предприятии, Инструкция по обеспечению  сохранности сведений составляющих коммерческую тайну компании, Памятка  о сохранении коммерческой тайны  предприятия, Обязательство о неразглашении  коммерческой тайны, Предупреждение о  необходимости сохранения коммерческой тайны при увольнении с предприятия, Инструкции по обеспечению сохранности  сведений составляющих коммерческую тайну  компании для структурных подразделений, Журналы регистрации входящих, исходящих  документов, регистрации и учета  носителей, учета изданных документов, все перечисленные нормативно-методические материалы утверждены генеральным  директором компании.

Тем не менее, специалисты  в области защиты информационных ресурсов, рекомендуют дополнить  существующие меры по обеспечению безопасности созданием специального структурного подразделения - службы конфиденциального  делопроизводства - в котором будут  сосредоточены все ресурсы ограниченного  доступа компании.

В данном структурном  подразделении должен быть сосредоточен персонал, являющийся специалистами  в области защиты информационных ресурсов. Это подразделение должно находиться в специально отведенном и оборудованном помещении, иметь  сигнализацию, светонепроницаемые шторы-жалюзи, сейфы, защиту от прослушивания и  несанкционированной съемки, систему  контроля вскрытия аппаратуры, окон, увеличенной  прочности двери с электромеханическим  замком со считывателями электронных  идентификаторов, с датчиком положения  двери и устройством сбора  сигналов с датчиков.

Таким образом, в  работе исследованы и проанализированы современные требования к организации  защиты конфиденциальной информации, рассмотрены критерии и технологии построения и использования систем защиты информационных ресурсов предприятия, на основе анализа теоретического материала  и рекомендаций ведущих специалистов в области защиты конфиденциальной информации, даны рекомендации по рационализации существующей в компании системы  защиты информационных ресурсов.

Поставленные в  работе задачи можно считать достигнутыми. 

Список использованных источников и литературы

Опубликованные источники:

1.  Российская  Федерация. Конституция (1993). Конституция  Российской Федерации: офиц. текст. - М.: Право, 2002. - 39 с.

2.  Гражданский  кодекс Российской Федерации:  офиц. текст: по состоянию на 30.12.2004/М-во  юстиции Рос.Федерации. - М.: Юристъ, 2005. - 159 с.

3.  Российская  Федерация. Законы. Об акционерных  обществах: по состоянию на 27.07.2006 // Бюллетень нормативных актов  министерств и ведомств. - № 5. - 2006. - 125 с.

4.  Российская  Федерация. Законы. О государственной  тайне: федер. закон: по состоянию  на 22.08.2004. / Федер. Собр. Рос.Федерации. - М.: ГД РФ, 2004. - 12 с.

5.  Российская  Федерация. Законы. Об электронной  цифровой подписи от 10 января 2002 г. №1 - ФЗ / Федер. Собр. Рос. Федерации. - М.: ГД РФ, 2002. - 10 с.

6.  Российская  Федерация. Законы. О коммерческой  тайне от 29 июля 2004 № 98 - ФЗ: информация, составляющая коммерческую тайну,  режим коммерческой тайны, разглашение  информации, составляющей коммерческую  тайну // Собрание актов Президента  и Правительства РФ. - № 7. - С.5.

7.  Российская  Федерация. Законы. Об архивном  деле в Российской Федерации  от 01 октября 2004 № 125 - ФЗ // Собрание  актов Президента и Правительства  РФ. - № 11. - С.12.

8.  Российская  Федерация. Законы. Об информации, информационных технологиях и  о защите информации от 27 июля 2006 № 149 - ФЗ // Российская газета. - 29 июля 2006. - С.2.

9.  Российская  Федерация. Законы. О персональных  данных от 27 июля 2006 № 152 - ФЗ // Бюллетень  нормативных актов министерств  и ведомств. - № 7. - 2006. - С.15.

10.  Российская  Федерация. Законы. О почтовой  связи от 17.07.1999 № 176-ФЗ // Бюллетень  нормативных актов министерств  и ведомств. - № 5. - 2000. - С.45.

11.  Российская  Федерация. Законы. Об утверждении  Перечня сведений конфиденциального  характера от 06.03.97 № 188: указ Президента  РФ // Собрание актов Президента  и Правительства РФ. - 1993. - № 23. С.12 - 14.

12.  Российская  Федерация. Законы. Об утверждений  Перечня сведений, отнесенных к  государственной тайне от 30.11.95 №  1203: с измен. и доп. от 24.01.98 №  61, от 06.06.2001 № 659, от 10.09.2001 № 1114, от 29.05.2002 № 518, от 11 февраля 2006: указ  Президента РФ // Собрание актов  Президента и Правительства РФ. - 2006. - № 11.

13.  Российская  Федерация. Законы. Об утверждении  Перечня сведений, которые не  могут составлять коммерческую  тайну: постановление правительства  РФ от 03.10.2002 № 731 // Собрание актов  Президента и Правительства РФ. - 2003. - № 11. - 140 с.

14.  Российская  Федерация. Законы. Об утверждении  положения о государственной  системе защиты информации от  иностранной технической разведки  и от ее утечки по техническим  каналам от 15.09.93 № 912 - 51: постановление  Правительства РФ // Собрание актов  Президента и Правительства РФ. - 1993. - № 15. - 125 с.

15.  Российская  Федерация. Законы. Об утверждении  Положения о лицензировании деятельности  по технической защите конфиденциальной  информации от 30.04.02. № 290: постановление  Правительства РФ // Собрание актов  Президента и Правительства РФ. - 2002. - № 8. - С.102.

16.  Российская  Федерация. Законы Положение о  порядке обращения со служебной  информацией ограниченного распространения  в федеральных органах исполнительной  власти: постановление Правительства  РФ от 3 ноября 1994 г. № 1233. // Собрание  актов Президента и Правительства  РФ. - 1995. - № 10. - С.56.

17.  Российская  Федерация. Законы. Об утверждении  правил оказания услуг телеграфной  связи: постановление Правительства  РФ от 15 апреля 2005г. № 222 // Собрание  актов Президента и Правительства  РФ. - 2005. - № 5. - С.45.

18.  Российская  Федерация. Законы. О противодействии  легализации (отмыванию) доходов,  полученных преступным путем,  и финансированию терроризма: постановление  Правительства РФ: от 7.08.2001 № 115-ФЗ: в ред. от 27.07.2006 // Собрание актов  Президента и Правительства РФ. - 2006. - № 8. - С.45.

19.  Доктрина информационной  безопасности Российской Федерации  от 09.09.2000: утверждена Президентом  РФ В.Путиным // Известия. - 10 декабря  2002. - С.2.

20.  Основные правила  работы архивов организаций. - М.: Росархив, ВНИИДАД, 2002. - 152 с.

21.  Организационно-распорядительная  документация. Требования к оформлению  документов: метод, рекомендации  по внедрению ГОСТ Р 6.30-2003. / Росархив; ВНИИДАД. - М., 2003. - 90 с.

22.  Квалификационный  справочник должностей руководителей,  специалистов и других служащих: утверждён постановлением Минтруда  РФ от 21.08.1998 №37. - М.: Минтруд РФ, 2002.

23.  Типовая инструкция  по делопроизводству в федеральных  органах исполнительной власти: утверждена приказом Министерства  культуры и массовых коммуникаций  РФ от 08.11.2005 № 536, зарегистрированным  в Минюсте РФ от 27.01.2006 № 7418. - М., 2006.

24.  ГОСТ Р 51141. - 98. Делопроизводство и архивное  дело. Термины и определения. - М.: Изд-во стандартов, 2003.

25.  ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной  документации. Требования к оформлению  документов. - М.: Изд-во стандартов, 2003.

26.  ГОСТ РВ 50600-93. Защита секретной информации  от технической разведки. Система  документов. Общие положения. - М.: Изд-во  стандартов, 1993.

27.  ГОСТ Р 1.5-2002. Государственная система стандартизации  РФ. Стандарты. Общие требования  к построению, изложению, оформлению, содержанию и обозначению. - М.: ИПК  Изд-во стандартов, 2003.

28.  ГОСТ Р 52292-2004. Информационная технология. Электронный  обмен информацией. Термины и  определения. - М.: Изд-во стандартов, 2004.

29.  ГОСТ Р 50922-96. Защита информации. Основные термины  и определения. - М.: Изд-во стандартов, 1996.

30.  Неопубликованные  источники

31.  Выписка из  Устава, нормативные документы описываемого  предприятия.

32.  Литература

33.  Алексенцев, А.И.  Конфиденциальное делопроизводство / А.И. Алексенцев. - М.: ООО "Журнал "Управление персоналом", 2003. - 200 с.

34.  Алексенцев, А.И.  Организация и технология размножения  конфиденциальных документов / А.И.  Алексенцев. - 2003. - № 4. - С.12 - 14.

35.  Антопольский, А.А. Правовое регулирование информации  ограниченного доступа в сфере  государственного управления: автореферат  дис. … канд. юрид. наук. - М., 2004.