Организация системы защиты информации на предприятии

 

ОГЛАВЛЕНИЕ

 

 

ВВЕДЕНИЕ

 

Одной из важнейших составных  частей национальной безопасности любой  страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Целью контрольной работы является изучить организацию системы  защиты информации на предприятии.

Задачами контрольной  работы являются:

1. Изучить информацию  на предприятии;

2. Рассмотреть мероприятия  по информационной защите информации;

3. Рассмотреть информацию  коммерческой тайны предприятия;

4. Раскрыть функции  и этапы коммерческой тайны предприятия.

Выбор темы данной контрольной  работы обусловлен тем фактом, что  современной российской рыночной экономике  обязательным условием успеха предпринимателя  в бизнесе, получения прибыли  и сохранения в целостности созданной  им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность. Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении бизнес-процессов. Основные угрозы для информационной безопасности любой компании связаны с кражей данных (например, промышленный шпионаж), использованием непроверенного программного обеспечения (например, содержащего вирусы), хакерскими атаками, получением спама (также может содержать вирусы), халатностью сотрудников. Реже утрата данных вызвана такими причинами, как сбой в работе аппаратно-программного обеспечения или кража оборудования. В результате компании несут значительные потери.

 

ГЛАВА 1 ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

Рано или поздно общий вопрос о защищенности бизнеса «расползается» на слабо связываемые сферы - защиты в ее историческом понимании с помощью охранных структур, вооруженных техническими средствами наблюдения и охраны материальных средств предприятия и защиты активов, материализованных на всевозможных носителях информации, надежный учет которых не гарантирует их сохранности¹. Информация любого предприятия при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Определяющий фактор экономической безопасности такого предприятия - информационная безопасность, а ее ключевой аргумент - уровень защиты информации. Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.

1.1 Создание системы защиты информации на предприятии

Для создания и использования  системы защиты на микроуровне необходима информация внутреннего, внешнего и  специального характера. Информация внутреннего характера дает представление о фирме - ее персонале, промышленном производстве, других видах деятельности, зданиях и сооружениях, оборудовании, организации бизнеса, различного рода ресурсах. Информация внешнего характера включает в себя данные о предпринимательской среде в аспекте ее безопасности. Сюда относятся также сведения о традиционных и потенциальных партнерах и конкурентах, конъюнктуре рынка в области деятельности фирмы. Информацию специального характера желательно ориентировать на особенности конкретного предприятия. Она касается, прежде всего тех специализированных организаций инфраструктуры рыночной экономики, которые участвуют в защите конкретного бизнеса. Это также сведения о кадрах, занятых в сфере обеспечения его безопасности; имеющихся технических и иных средствах защиты, методиках их эффективного использования; об алгоритмах профессиональной деятельности, а также информационные модели ситуаций в сфере защиты бизнеса (моделирование утечек конфиденциальных сведений, прогнозы развития фирмы с учетом критериев безопасности; информационные «портреты» недобросовестного сотрудника и т.д.). Для анализа условий безопасности деятельности конкретной предпринимательской структуры могут оказаться необходимыми также более детальные сведения: экономического характера; по финансовым вопросам; по вопросам внешних экономических и научно-технических связей; по кадровым вопросам; по науке и технике; по транспорту и связи; по мобилизационным вопросам; Собственно по безопасности бизнеса (в частности, по используемым методам и имеющемуся опыту борьбы с промышленным шпионажем и другими формами проявления криминальной конкуренции). В целях получения указанной информации и уточнения имеющегося представления о предпринимательской среде используются непосредственное наблюдение, анализ публикаций в средствах кассовой информации, оценки независимых экспертов, консалтинговых фирм, анализ законодательных и иных нормативно-правовых документов, обращение с запросами в информационные системы государственных организаций и частных фирм².

С позиций защиты на уровне предпринимательской фирмы информацию о коммерческой тайне можно представить в следующем виде:

- сведения о собственно  тайне;

- состав сотрудников  (служащих), допущенных к тайне;

- возможные каналы  утечки информации о тайне;

- меры безопасности, предпринимаемые  в целях сохранения тайны;

- устремления к тайне  извне (в частности, субъектов,  стремящихся получить несанкционированный  доступ к информации, составляющей  тайну);

- информированность (осведомленность) заинтересованных лиц и организаций (в частности, конкурентов) в вопросах, имеющих отношение к тайне;

- сведения о попытках  получить данные, составляющие коммерческую  тайну;

- финансовые затраты,  связанные с обеспечением экономической  и информационной безопасности тайны.

Сведения о собственно коммерческой тайне представляют интерес  для предпринимательской структуры  со следующих позиций:

- идентификации тайны,  принадлежащей фирме;

- организации эффективной  защиты тайны в подразделениях  фирмы и ее филиалах;

- отслеживания состояния  защищенности фирменных секретов;

- решения вопроса об  изменении или снятии грифа  секретности с документов, изделий,  технологий фирмы;

- допуска сотрудников  фирмы к работе с информацией,  составляющей коммерческую тайну;

- оценки объема информации, характеризующей тайну, которая может быть раскрыта представителями фирмы при ведении деловых переговоров, в процессе рекламной деятельности и т.д.;

- расследования фактов  утечки информации, производимого  собственными силами;

- локализации возможных последствий утечки сведений конфиденциального характера;

- оказания помощи правоохранительным  органам в расследовании дел  в интересах фирмы;

- моделирования возможных  каналов утечки информации, принадлежащей  фирме и составляющей тайну.

В совокупности со сведениями, характеризующими социальную организацию как средство для достижения цели, как административную структуру, как социальную микросреду, определенный интерес с точки зрения безопасности этой структуры в конкретной ситуации может представлять также иная информация об организации, в частности:

- финансово-экономического  характера (финансовые итоги деятельности, обобщенные экономические показатели); касающаяся производственной деятельности (тематическая направленность, производственная  база, кооперирование производства и т.д.);

- о научно-исследовательской  деятельности (тематическая направленность  НИР и ОКР, участие в НИР  по государственным программам, структура научных исследований, база их проведения, кооперирование  исследований);

- о торгово-экономической и международной деятельности (особенности организации, география экспорта и импорта, кооперация, связи по сбыту продукции, участие в выставках, конференциях и т.д.).

1.2 Планирование мероприятий по организационной защите информации на предприятии

Одно из наиболее важных направлений деятельности предприятия, осуществляющего работу со сведениями конфиденциального характера, —  планирование мероприятий по защите конфиденциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом, так и его структурных подразделений (отдельных должностных лиц). Трудно также переоценить значение этого направления в общей системе организационных мер обеспечения информационной безопасности предприятия Основными целями планирования мероприятий по защите информации являются: организация проведения комплекса мероприятий по защите информации, направленных на исключение возможных каналов утечки этой информации; установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия; определение сроков (времени, периода) проведения конкретных мероприятий; систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации; установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении  мероприятий; уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия³. Основой для планирования мероприятий на предприятии служат - требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации, соответствующих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлежности), вышестоящей организации, а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия; требования заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов) совместных и других работ; положения международных договоров (соглашений) и иных документов, определяющих участие предприятия в тех или иных формах международного сотрудничества; положения внутренних организационно-распорядительных документов предприятия (приказов, директив, положений, инструкций), определяющих порядок ведения производственной и иной деятельности, а также конкретизирующих вопросы защиты конфиденциальной информации на предприятии; результаты комплексного анализа состояния дел в области защиты информации, проводимого службой безопасности на основании материалов проверок структурных подразделений (филиалов, представительств) предприятия; результаты проверок состояния защиты информации, проведенных вышестоящими организации, федеральными органами исполнительной власти (при наличии ведомственной принадлежности) и заказчиками работ (в рамках выполняемых договоров или контрактов), выработанные на основании этих результатов предложения и рекомендации; результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами; особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов информации.

Планирование мероприятий  по защите конфиденциальной информации проводится одновременно с планированием  основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности). Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением.

От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.

ГЛАВА 2 ОРГАНИЗАЦИЯ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ НА ПРЕДПРИЯТИИ

Для обеспечения защиты интеллектуальной собственности на предприятиях вводится определенный порядок  работы с информацией и доступа  к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы)⁴. 
Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:

• единство в решении производственных, коммерческих, финансовых и режимных вопросов;
• координация мер безопасности между всеми заинтересованными подразделениями предприятия;
• научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;
• персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.