МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИРОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ЮЖНО-УРАЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ФАКУЛЬТЕТ «ЭКОНОМИКИ И ПРЕДПРИНИМАТЕЛЬСТВА»Кафедра «Информационной безопасности»
КУРСОВАЯ РАБОТА
По курсу: Теория информационной безопасности иметодология защиты информации (ТИБиМЗИ)
Тема: «ТЕОРИЯ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ ВАДВОКАТСКОЙ КОНТОРЕ»
Работу выполнил:
студентка гр. ЭиП-284
Баликаева Ю.А.
Работу проверил:
Астахова Л.В.
Челябинск
2008
/>/>Содержание
1. Введение
1.1. Краткая характеристика (паспорт)предприятия
1.2. Обоснование актуальности проблемызащиты информации в адвокатской фирме
1.3. Цели
1.4. Задачи
2. Заключение
2.1. Концепция защитыинформации в адвокатской фирме «Юстина»
2.2. Оценка степени важности полученнойинформации
3. Рекомендации
4.Информационно-аналитический обзор
4.1. Цели и задачи защиты информации вадвокатской конторе
4.2. Объекты и предметы защиты вадвокатской конторе
4.3. Факторы,влияющие на защиту информации в адвокатской конторе
4.4. Угрозы защищаемой информации вадвокатской конторе
4.5. Источники, виды и способыдестабилизирующего воздействия на защищаемую информацию
4.6. Причины дестабилизирующеговоздействия на защищаемую информацию в адвокатской конторе
4.7. Каналы иметоды несанкционированного доступа к защищаемой информации в адвокатскойконторе
4.8. Основные направления, методы исредства защиты информации в адвокатской конторе
4.9. Организация комплексной системызащиты информации в адвокатской конторе
5. Источники информациии оценка их надежности
5.1. Список выявленной литературы
5.1.1. Консультант–Плюс
5.1.2. Текущие библиографическиеуказатели и реферативные журналы
5.1.3. Электронный каталог
5.1.4. Информационно–поисковые системыИнтернет
5.1.5. Сплошной просмотр периодическихизданий
5.2. Список использованной литературы
5.2.1. Вторичные источники
5.2.2. Первичные источники
5.2.3. Оценка надежности использованныхисточников
6. Недостающая информация
7. Основная иальтернативная гипотезы
/>1. Введение
/>/>1.1. Краткая характеристика (паспорт) предприятия
1. Адвокатская фирма«Юстина» (конецформыначалоформыРоссия, 119019, г.Москва, Лебяжий переулок, д. 8/4, стр.1. Teл./факс: (495) 202-45-02, 202-35-25; 203-71-49, 203-43-53;637-59-56, 637-26-51. E-mail: [email protected])
2. Фирма основана 25 марта 1992 годав городе Москве в форме товарищества юристов для оказаниявысококвалифицированных юридических услуг бизнесу.
3. Основной целью создания идеятельности фирмы было и остается предоставление юридических услуг российскими иностранным юридическим и физическим лицам в сфере бизнеса. Оказываемыеуслуги:
Защита интересов всуде
Фирма осуществляет представление изащиту интересов Клиента по любой категории дел во всех видах судопроизводства(арбитражных судах, судах общей юрисдикции, третейских судах, КонституционномСуде РФ, в Европейском Суде по правам человека) и на любых его стадиях.
Практика в областисобственности
Специалисты Адвокатской фирмы«Юстина» по заданию Клиента осуществляют проведение юридических проверок (due diligence) предприятий, а также правовоесопровождение сделок с землей и другим недвижимым имуществом (изучениеправоустанавливающих документов и «правовой истории» объекта недвижимости,выработка правовой концепции его приобретения, отчуждения, оптимизацияналогообложения сделки, подготовка проекта договора, привлечение принеобходимости нотариуса, оценщика, страховой организации).
Корпоративное право
Консультирование по любым вопросамкорпоративных отношений. Подготовка правовой документации и организацияпроведения общих собраний акционеров крупных предприятий. Приобретениепредприятий. Выработка рекомендаций по сохранению и защите собственности,организация учета и хранения прав собственника. Защита собственниковпредприятий от недружественных поглощений. Реструктуризация бизнеса.Сопровождение процесса приватизации государственных предприятий, акционерныхобществ, созданных в порядке приватизации.
Налогообложение
Обжалование решений налоговыхорганов, действий должностных лиц в вышестоящих налоговых органах и судах.Обжалование нормативных правовых актов о налогах и сборах в судах. Защитаинтересов налогоплательщика путем обращения в Конституционный Суд РФ, вЕвропейский Суд по правам человека. Составление и подача заявлений, жалоб,других документов правового характера, представление интересовналогоплательщика в этих судах. Помощь руководству организаций и физическимлицам в принятии бизнес-решений, связанных с налогообложением. Правовой анализдокументов, подготовка заключений, правовых позиций, выработка концепции защитыпо сложным ситуациям и спорам (судебным делам) с налоговыми органами.Консультирование по вопросам налогообложения и ведения предпринимательскойдеятельности.
Медиация
Адвокаты Фирмы имеют опыт проведениясогласительных процедур и участвуют в работе Объединенной службы медиации(посредничества) при РСПП.
Финансовое право,ценные бумаги
Оказание юридической поддержкикомпаниям, осуществляющим выпуск своих ценных бумаг, подготовка необходимыхюридических документов. Рекомендации в области банковского права, в том числепри осуществлении международных финансовых операций. Правовое обслуживаниебанков и иных финансовых учреждений.
Антикризисные(банкротные) процедуры
Выработка рекомендаций по наиболееоптимальной процедуре банкротства предприятия-должника (внешнее управление,конкурсное производство), разработка концепции и сценария выбранной процедурыбанкротства и ее правовое сопровождение.
Страхование
Выработка рекомендаций при подготовкесделок с участием страховых организаций. Оказание помощи в выборе типастрахования любого объекта – от сделки до недвижимого имущества.Представительство в арбитражных судах, судах общей юрисдикции при разрешенииспоров, связанных со страховыми отношениями.
Международное право
Правовая помощь при заключенииконтрактов и иных сделок с участием иностранных партнеров. Оказание услуг поразрешению вопросов, связанных с международным частным правом. Подготовка и правоваяподдержка инвестиционных проектов.
Защитаинтеллектуальной собственности
Консультирование по вопросамвладения, пользования, применения и распоряжения результатами интеллектуальнойдеятельности и другими, приравненными к ним объектами. Оказание правовой помощив области авторского, патентного права, права на товарный знак и других средствиндивидуализации участников гражданского оборота. Защита интеллектуальнойсобственности в суде.
Защита нематериальныхблаг (честь, достоинство, деловая репутация, доброе имя)
Правовая экспертиза перспективызащиты нематериальных благ. Представление интересов заказчика в суде.
Экологическое право
Консультирование по вопросамответственности за экологические преступления. Участие в разработке проектовстроительства промышленных объектов. Представительство в судебных инстанциях повопросам применения экологического права.
Уголовное иадминистративное право
Участие на предварительном следствиии в суде по уголовным делам в качестве защитника, представителя потерпевших,гражданских истцов и ответчиков. Защита интересов при производстве дел обадминистративных правонарушениях, нарушениях таможенного и налоговогозаконодательства. Представление прав и законных интересов руководителейкомпаний и граждан во всех правоохранительных и иных государственных органах вэкстренных случаях с выездом на место конфликтной ситуации 24 часа в сутки. конецформыначалоформыконецформыначалоформыКромеэтого, адвокатская фирма «Юстина» активно участвует в обучении юристов,менеджеров и других специалистов коммерческих организаций, частныхпредпринимателей основам гражданского права.
4. Организационная структура:
/>
· Президент фирмы БуробинВиктор Николаевич
· Управляющиепартнеры: конецформыначалоформыБуробин ВикторНиколаевич, Бородин Сергей Вячеславович, Злобин Вадим Альбертович, ПлетневВладимир Юрьевич, Старовойтов Сергей Вальтерович, Степин Сергей Владимирович.
· Старшие партнеры: конецформыначалоформы Туктамишев СергейБорисович, Федоров Ефим Петрович, Шаманский Олег Александрович
· Партнеры:Быковский Александр Васильевич, Вакула Владимир Васильевич, Гвоздяр ВладимирИванович, Гереев Артур Юсупович, Киселев Андрей Валентинович, Кривочкин МихаилАнатольевич, Малюгин Дмитрий Семенович, Неробеев Андрей Владимирович, ПетровСергей Борисович, Тарасенко Владимир Алексеевич, Поздняков Алексей Николаевич, ПокусаевИлья Борисович, Скловский Константин Ильич, Сокол Павел Яковлевич, ТомашевскийЮрий Анатольевич, Чеблаков Дмитрий Сергеевич, Шубин Дмитрий Александрович
· Юристы: БуробинаЕкатерина Викторовна, Гренова Мария Геннадьевна, Казарез Павел Александрович, КаратеевАндрей Юрьевич, Кибенко Дмитрий Валерьевич, Леонькова Виктория Анатольевна, ЛуковниковКонстантин Валерьевич
5. В составе фирмы сейчас 33адвоката, 2 секретаря, 2 бухгалтера, 1 системный администратор, 2 охранника.«Юстина» состоит из дипломированных специалистов, среди которых доктора икандидаты юридических наук, а также адвокаты со значительным опытом работы,профессиональный уровень которых подтвержден результатами практики. Партнерыфирмы являются членами Международного союза (Содружества) адвокатов иФедерального союза адвокатов России.
6. Средний доход предприятия запоследние три года составляет примерно $ 245 тыс. Но при этом следуетучитывать, что юридическая фирма уплачивает налоги в размере около 40% отчистой прибыли (доходы минус расходы). Кроме того, за счет получаемоговознаграждения адвокаты отчисляют средства на общие нужды адвокатской палаты;содержание соответствующего адвокатского образования; страхование профессиональнойответственности и иные расходы, связанные с осуществлением адвокатскойдеятельности.
7. Характеристика информационнойсистемы предприятия.
Программно-аппаратные средства:система правового обеспечения LIGA; пакет Microsoft Office; 1С: Предприятие, Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3,уличный комплект UPC-26-220(24),система видеонаблюдения внутри помещений, антижучки Профи (Antibug Profi):детекторы жучков и видеокамер, система сигнализации.
В офисе установлено 35 персональных компьютеров (у каждого адвоката свой,т.к. каждый занимается определенной отраслью права, + компьютер секретаря +компьютер системного администратора), 5 принтеров, 2 ксерокса, 2 сканера.
1С: Предприятие – это специализированная объектно-ориентированная системауправления базами данных, предназначенная для автоматизации деятельностипредприятия. В «Юстине» 1С-предприятие автоматизирует учетные задачи:кадровый учет, расчет зарплаты, бухгалтерский учет.
Для безопасного доступа пользователей локальной сети в Интернет, длязащиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчетатрафика используется Интернет-шлюз Advanced на платформе Windows(от ИТ Энигма). В состав программного обеспечения входят прокси-сервер,межсетевой экран, антивирусная защита, система обнаружения атак, системаанализа содержимого трафика, анти-спам, система построения VPN, система биллинга, системаквотирования трафика.
Так как фирмахранит данные, не подлежащие разглашению (т.е. доступ к которым разрешен невсем), в фирме установлен биометрический турникет ТБИ 1.3. Человек, проходящийчерез турникет, автоматически сравнивается с базой данных людей, которымразрешен вход. Доступ разрешен только в случае совпадения лица человека с еготрехмерной фотографией в базе данных. Изображения лиц, которым отказано вдоступе, записываются для выявления попыток нарушения. Для защиты помещений –антижучки Профи (Antibug Profi): детекторы жучков и видеокамер и системавидеонаблюдения внутри помещений.
На улице установлен уличный комплект UPC-26-220(24) для осуществлениявидеонаблюдения возле офиса. В комплект входит видеокамера, систематермостабилизации, источник питания, коммутационная коробка. Расстояниепередаваемого сигнала через видеолинию до 1500 м, температура окружающей среды от -40С до +50С.
/>/>
1.2. Обоснование актуальности проблемы защиты информации в адвокатскойфирме«Чтобы получать от адвокатов необходимую помощь, люди должны доверять им такую информацию, которую они никому и ни при каких условиях не доверили бы…»
/>
«Теория адвокатуры», с.296.
Эффективность современного предприятия (фирмы, организации и т.п.)сегодня всё больше определяется степенью использования информационныхтехнологий в процессе его функционирования. Происходит непрерывное увеличениекак объема информации, обрабатываемой в электронном виде, так и количестваразличных информационных систем. В связи с этим на передний план в задачеобеспечения безопасности предприятия выходит защита информации на предприятии.
Обеспечение защиты информации в адвокатской конторе предусматриваетнеобходимость защиты нескольких видов тайн: адвокатской, коммерческой иперсональных данных. Наиболее важной представляется защита адвокатской тайны,т.к. адвокат не может оказывать результативную профессиональную помощьдоверителю без полного взаимопонимания. Доверитель должен чувствоватьабсолютную уверенность в том, что вопросы, обсуждаемые с адвокатом, ипредоставленная им адвокату информация останутся конфиденциальными, безкаких-либо требований или условий. Это одно из условий необходимости защитыинформации в адвокатской конторе. Но кроме этого в адвокатской конторе, как и влюбой другой фирме, существует необходимость защиты и некоторых других видовконфиденциальной информации, а именно персональных данных и коммерческой тайны.В связи с этим система обеспечения информационной безопасности в адвокатскойконторе является крайне важной.
/>/>
1.3. Цели
Поэтому целью руководителя адвокатской конторы является обеспечениенадежной защиты информации на предприятии для его нормального функционирования.Следовательно, моя цель, как аналитика, заключается в разработке концепциизащиты информации в адвокатской фирме «Юстина», которая могла бы стать основойдля формирования комплексной системы защиты информации на этом предприятии, приэтом соответствовала требованиям к системе безопасности адвокатской конторы ипомогала избежать неоправданных расходов и возрастания вероятности угроз.
/>/>
1.4. Задачи
Для достижения поставленной передо мной цели мне необходимо решитьследующие задачи:
1. Определить цели изадачи защиты информации в адвокатской конторе.
2. Определитьосновные объекты защиты на предприятии.
3. Определитьпредмет защиты на предприятии.
4. Определить иохарактеризовать факторы, влияющие на защиту информации на предприятии.
5. Выявить возможныеугрозы защищаемой информации в адвокатской конторе и их структуру.
6. Выявитьисточники, виды и способы дестабилизирующего воздействия на защищаемую информациюна предприятии
7. Выявить причиныдестабилизирующего воздействия на защищаемую информацию на предприятии.
8. Выявить каналы иметоды несанкционированного доступа к защищаемой информации на предприятии.
9. Определить основныенаправления, методы и средства защиты информации на предприятии.
/>2. Заключение
/>2.1.Концепция защиты информации в адвокатской фирме «Юстина»
Утверждено
постановлением
Президента фирмы «Юстина»
от _______ 200_года № __
/>Концепция защиты информации в адвокатской фирме«Юстина»
Концепция защиты информации в адвокатской фирме «Юстина» (далее — концепция) представляет собой систему взглядов на содержание проблемы защиты информации, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в адвокатской фирме «Юстина» (в дальнейшем – адвокатская фирма).
Цель разработки и внедрения Концепции – определение основных положенийполитики адвокатской фирмы в области защиты информации и создание единой системыправовых, организационных, технических и иных мер, надежно обеспечивающихзащищенность адвокатской фирмы в информационной сфере.
Концепция служит основой для разработки целевых программ по обеспечениюзащиты информации адвокатской фирмы и подготовки предложений по ихсовершенствованию.
I. Общие положения
Отправной точкой при разработке политики адвокатской фирмы в областизащиты информации является ясное понимание роли и места системы защитыинформации в деятельности адвокатской фирмы и в сфере обеспечения егобезопасности в целом. Защита информации является одним из элементов общейполитики адвокатской фирмы в области безопасности, которая охватывает болееширокий круг вопросов, начиная от охраны материальных ценностей адвокатскойфирмы и защиты его персонала до использования криптографических средств защитыинформации и предотвращения возможной утечки информации за счет побочныхэлектромагнитных излучений. Элементы общей системы безопасности адвокатскойфирмы должны быть взаимосвязаны и согласованы.
Защита информации в адвокатской фирме основывается на рядеосновополагающих принципов:
─ законности –соблюдение законодательства Российской Федерации по защите информации изаконных интересов всех участников информационного обмена;
─ приоритетности — предварительное категорирование (ранжирование) информационных ресурсовадвокатской фирмы по степени важности в виде перечней сведений, подлежащихзащите, и оценка реальных угроз информационной безопасности;
─ комплексногоподхода – согласование мероприятий, проводимых в области защиты информацииадвокатской фирмы, со всем комплексом мероприятий по физической и техническойбезопасности адвокатской фирмы, а также противодействие всем возможным угрозаминформационной безопасности адвокатской фирмы; оптимальное сочетание проводимыхмероприятий;
─ единой политики — координация деятельности различных подразделений адвокатской фирмы по созданиюи поддержанию необходимого уровня защиты информации в адвокатской фирме,определение обязанностей и ответственности подразделений (их руководителей);
─ целесообразности- затраты на обеспечение защиты информации не должны превышать потери, которыеможет понести адвокатская фирма при реализации угроз.
Политика в области защиты информации в адвокатской фирме включаетследующие основные этапы:
─ определениеинформации, подлежащей защите (объекты защиты);
─ определениевозможных негативных воздействий на защищаемую информацию (угрозы) и способовреализации этих угроз;
─ определениеценности защищаемой информации (риски) и ее ранжирование;
─ разработкакомплекса мер по поддержанию необходимого уровня защиты информации;
─ распределениеполномочий и ответственности за обеспечение установленного режима безопасности.
Законодательной основой настоящей Концепции являются Конституция РоссийскойФедерации, Гражданский и Уголовный кодексы, законы, указы, постановления,другие нормативные документы действующего законодательства РоссийскойФедерации, документы Федеральной службы по техническому и экспортному контролю(ФСТЭК), а также нормативно-методические материалы иорганизационно-распорядительные документы организации, отражающие вопросыобеспечения информационной безопасности предприятия.
II. Цели и задачи защиты информации в адвокатской конторе
Целями защитыинформации в адвокатской фирме являются:
· предотвращениеутечки, хищения, утраты, искажения, подделки конфиденциальной информации(коммерческой и адвокатской тайны);
· предотвращениеугроз безопасности личности и адвокатской конторы;
· предотвращениенесанкционированных действий по уничтожению, модификации, искажению,копированию, блокированию конфиденциальной информации;
· предотвращениедругих форм незаконного вмешательства в информационные ресурсы и системы,обеспечение правового режима документированной информации как объекта собственности;
· защитаконституционных прав граждан на сохранение личной тайны и конфиденциальностиперсональных данных, имеющихся в информационных системах;
· сохранение,конфиденциальности документированной информации в соответствии сзаконодательством.
К задачамзащиты информации в адвокатской фирме относятся:
1. Обеспечение деятельности адвокатской фирмырежимным информационным обслуживанием, то есть снабжением всех служб,подразделений и должностных лиц необходимой информацией, как засекреченной,так и несекретной. При этом деятельность по защите информации по возможности недолжна создавать больших помех и неудобств в решении производственных и прочихзадач, и в то же время способствовать их эффективному решению, даватьадвокатской конторе преимущества перед конкурентами и оправдывать затратысредств на защиту информации.
2. Гарантия безопасности информации, ее средств,предотвращение утечки защищаемой информации и предупреждение любогонесанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативногореагирования на угрозы, использование юридических, экономических,организационных, социально-психологических, инженерно-технических средств иметодов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.
4. Документирование процесса защиты информации стем, чтобы в случае возникновения необходимости обращения в правоохранительныеорганы, иметь соответствующие доказательства, что адвокатская фирма принималанеобходимые меры к защите этих сведений.
5.Организация специальногоделопроизводства, исключающего несанкционированное получение конфиденциальнойинформации.
III. Основные объекты защиты
Основными объектами защиты в адвокатской фирме являются:
1.Информационныересурсы, содержащие сведения, отнесенные в соответствии с действующимзаконодательством к адвокатской тайне, коммерческой тайне и инойконфиденциальной информации (в дальнейшем — защищаемой информации);
2.Средства исистемы информатизации (средства вычислительной техники, информационно-вычислительныекомплексы, сети, системы), на которых производится обработка, передача ихранение защищаемой информации;
3.Программныесредства (операционные системы, системы управления базами данных, другоеобщесистемное и прикладное программное обеспечение) автоматизированной системыадвокатской фирмы, с помощью которых производится обработка защищаемойинформации;
4.Помещения,предназначенные для ведения закрытых переговоров и совещаний;
5.Помещения, вкоторых расположены средства обработки защищаемой информации;
6.Техническиесредства и системы, обрабатывающие открытую информацию, но размещенные впомещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться в адвокатской фирме:
─ на бумажныхносителях;
─ в электронномвиде (обрабатываться, передаваться и храниться средствами вычислительнойтехники);
─ передаваться потелефону, телефаксу, телексу и т.п. в виде электрических сигналов;
─ присутствовать ввиде акустических и вибросигналов в воздушной среде и ограждающих конструкцияхво время совещаний и переговоров;
─ записываться ивоспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны идр.).
IV. Угрозы защищаемой информации и возможные источники ихвозникновения
Под угрозами защищаемой информации понимаются потенциально возможныенегативные воздействия на защищаемую информацию, к числу которых относятся:
1.Утрата сведений,составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и инуюзащищаемую информацию, а также искажение (несанкционированная модификация,подделка) такой информации;
2.Утечка –несанкционированное ознакомление с защищаемой информацией посторонних лиц(несанкционированный доступ, копирование, хищение и т.д.), а также утечкаинформации по каналам связи и за счет побочных электромагнитных излучений;
3.Недоступностьинформации в результате ее блокирования, сбоя оборудования или программ,дезорганизации функционирования операционных систем рабочих станций, серверов,маршрутизаторов, систем управления баз данных, распределенных вычислительныхсетей, воздействия вирусов, стихийных бедствий и иных форс-мажорныхобстоятельств.
Источниками (каналами) возникновения угроз могут являться:
─ стихийныебедствия (пожары, наводнения и т.п.);
─ техническиеаварии (внезапное отключение электропитания, протечки и т.п.);
─ несанкционированноеполучение идентификаторов пользователей и их паролей, паролей доступа к общимресурсам;
─ несанкционированнаяпередача защищаемой информации из внутренней (локальной) сети в глобальную сетьInternet;
─ умышленное илинеумышленное разглашение защищаемой информации;
─ хищение носителейинформации или несанкционированное копирование информации;
─ посылка в ЛВСпакетов, нарушающих нормальную работу сети;
─ внедрениепрограмм-троянов, резидентных программ, обеспечивающих получение полногоконтроля над компьютером;
─ внедрениедеструктивных программ – вирусов, сетевых червей и пр.;
─ проникновениезловредных программ через Internet, электронную почту, гибкие диски, CD-диски;
─ получениеинформации о топологии сети, принципах ее функционирования, характеристическойинформации сети или участка сети;
─ хищение,физический вывод из строя технических средств;
─ прослушиваниесетевого трафика (с целью получения информации о сетевых ресурсах, хешированныхпаролях, идентификаторах пользователей и пр.) с использованием легальныхрабочих станций;
─ прослушиваниесетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВСфизически (локально) или удаленно;
─ внедрениетехнических и программных средств скрытного съема информации с рабочих станций,средств связи, из помещений адвокатской фирмы, в которых обрабатываетсязащищаемая информация;
─ использованиеспециальных методов и технических средств (побочные излучения, наводки по цепямпитания, электронные закладки, дистанционное скрытое видеонаблюдение илифотографирование, применение подслушивающих устройств, перехватэлектромагнитных излучений и наводок и т.п.);
─ использование длядоступа к информации так называемых «люков», «дыр» и«лазеек» и других возможностей обхода механизма разграничениядоступа, возникающих вследствие несовершенства общесистемных компонентовпрограммного обеспечения (операционных систем, систем управления базами данныхи др.) и неоднозначностями языков программирования, применяемых вавтоматизированных системах обработки данных;
─ незаконноеподключение специальной регистрирующей аппаратуры к устройствам или линиямсвязи (перехват модемной и факсимильной связи);
─ умышленноеизменение используемого программного обеспечения для несанкционированного сборазащищаемой информации.
V. Меры по обеспечению защитыинформации в адвокатской конторе
Основными мерами по обеспечению защиты информации в адвокатской фирмеявляются:
─ административно-правовыеи организационные;
─ технические,основанные на использовании аппаратно-программных и специальных средств;
─ режимные.
1. Административно-правовые и организационные меры:
1.1. Определение правового статуса всех субъектов отношений винформационной сфере, включая пользователей информационных и коммуникационныхсистем, установление их ответственности за соблюдение нормативных правовыхактов адвокатской фирмы в этой сфере;
1.2. Разработка перечня возможных нарушений информационной безопасности илокальных нормативных актов, определяющих порядок защиты интересов адвокатскойфирмы в сфере защиты информации;
1.3. Оценка эффективности действующих в адвокатской фирме локальныхнормативных актов по обеспечению защиты информации;
1.4. Включение в должностные инструкции сотрудников обязанностей иответственности в области обеспечения защиты информации;
1.5. Совершенствование системы обучения сотрудников адвокатской фирмы повопросам защиты информации в адвокатской фирме;
1.6. Подготовка и повышение квалификации специалистов в области защитыинформации;
1.7. Аттестация объектов информатизации по выполнению требованийобеспечения защиты информации при проведении работ, связанных с использованиемсведений, составляющих адвокатскую тайну и коммерческую тайну адвокатскойфирмы;
1.8. Разработка правил (регламентов, порядков) эксплуатации технических ипрограммных средств с указанием действий в случаях нарушения режимабезопасности (подозрений на нарушение);
1.9. Оперативное реагирование (внедрение) на появление новых разработок вобласти информационных технологий;
1.10. Совершенствование нормативно-правовой базы, регламентирующейпорядок обращения и работы в адвокатской фирме с конфиденциальной информацией исведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатскойфирмы;
1.11. Совершенствование нормативно-правовой базы, регламентирующиепорядок обмена конфиденциальной информацией между адвокатской фирмой исторонними организациями;
1.12. Обеспечение принципа разграничения доступа: информация должна бытьдоступна только тем, кому она предназначена и разрешена;
1.13. Предоставление сотрудникам минимально достаточных прав по доступу кинформации, необходимых для выполнения ими своих функциональных обязанностей;
1.14. Использование E-mail только в служебных целях;
1.15. Пользователи информационных ресурсов должны знать о наличии системыконтроля и защиты информации.
2. Технические меры:
2.1. Использование лицензионного программного обеспечения;
2.2. Использование сертифицированных средств защиты информации дляобработки, хранения и передачи конфиденциальной информации;
2.3. Соблюдение положений информационно-технологической политикиадвокатской фирмы;
2.4. Обеспечение безотказной работы аппаратных средств;
2.5. Проведение комплексной антивирусной защиты;
2.6. Проведение аудита (контроль за деятельностью пользователей –успешный или неуспешный доступ к сетевым ресурсам, вход-выход в систему и пр.);
2.7. Проведение контроля трафика сети на отдельных ее участках(сегментах);
2.8. Проведение контроля состояния программного и информационногообеспечения компьютеров (состава и целостности программного обеспечения,корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров,паролей);
2.9. Проведение эффективной парольной защиты;
2.10. Обеспечение резервного копирования;
2.11. Проведение контроля за несанкционированными физическимиподключениями к автоматизированным системам;
2.12. Внедрение в ЛВС современной системы обнаружения вторжений;
2.13. Использование для подключения к почтовому серверу защищенногосоединения с целью шифрования паролей;
2.14. Запрет несанкционированного доступа к ЛВС через удаленноесоединение.
3. Режимные меры:
3.1. Хранение информации ограниченного распространения, составляющейадвокатскую тайну и коммерческую тайну адвокатской фирмы, разрешено только наспециально подготовленной вычислительной технике, расположенной в специальных(выделенных) помещениях с ограниченным доступом;
3.2. Круг лиц из числа сотрудников адвокатской фирмы, имеющих правоработы со сведениями, составляющими адвокатскую тайну и коммерческую тайнуадвокатской фирмы, должен быть ограничен;
3.3. Установление специальных режимных мер, применяемых в целях защитыинформации в адвокатской фирме (ведение специального делопроизводства,выделение специально оборудованных помещений, поддержание необходимого уровняпропускного и внутриобъектового режима, подбор кадров, проведение комплексныхзащитно-поисковых мероприятий и т.п.);
3.4. Аттестация объектов информатизации на соответствие требованиямобеспечения защиты информации при проведении работ, связанных с использованиемконфиденциальных сведений, составляющих коммерческую тайну адвокатской фирмы;
3.5. Совершенствование пропускного и внутриобъектового режима вадвокатской фирме и повышение ответственности сотрудников за выполнение требованийустановленных режимов;
3.6. Разграничение доступа и контроль за доступом в выделенные помещения;
3.7. Создание эффективной системы контроля за выполнением сотрудникамиадвокатской фирмы требований локальных нормативных актов по обеспечению защитыинформации адвокатской фирмы;
3.8. Совершенствование нормативно-правовой базы, регламентирующей порядокобращения и работы в адвокатской фирме с конфиденциальной информацией исведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатскойфирмы.
VI. Организация системы обеспечениязащиты информации в адвокатской конторе
Система обеспечения информационной безопасности адвокатской фирмыстроится на основе разграничения полномочий управленческих и функциональныхподразделений адвокатской фирмы в данной сфере.
Основными элементами организационной системы обеспечения информационнойбезопасности адвокатской фирмы являются: Президент адвокатской фирмы, управляющиепартнеры и служба защиты информации.
Президент адвокатской фирмы определяет приоритетные направления деятельностив области обеспечения защиты информации в адвокатской фирме и меры пореализации Концепции защиты информации, утверждает списки сведений, подлежащихзащите.
Управляющие партнеры с учетом определенных Президентом адвокатской фирмыприоритетных направлений в области обеспечения защиты информациипредусматривают выделение средств, необходимых для реализации программ икоординируют деятельность подразделений с учетом требований защиты информации вадвокатской конторе.
Служба защиты информации во взаимодействии с другими структурнымиподразделениями адвокатской фирмы обеспечивает выполнениеадминистративно-правовых, организационных и режимных мер по обеспечению защитыинформации, координирует деятельность подразделений адвокатской фирмы в областиинформационной безопасности, проводит работу по выявлению и оценке угроз,разрабатывает предложения по их предотвращению, контролирует деятельностьподразделений по обеспечению информационной безопасности.
Руководители структурных подразделений адвокатской фирмы обеспечиваютвыполнение всеми подчиненными сотрудниками установленных требований в областиобеспечения защиты информации.
Обеспечение защиты информации в адвокатской фирме непосредственно нарабочих местах возлагается на сотрудников адвокатской фирмы.
VII. Ответственность за нарушениетребований защиты информации в адвокатской фирме
По степени опасности нарушения, связанные с несоблюдением локальныхнормативных актов по обеспечению защиты информации в адвокатской фирме делятсяна две группы:
1. Нарушения, повлекшие за собой наступление указанных выше нежелательныхдля адвокатской фирмы последствий (утечку или уничтожение информации);
2. Нарушения, в результате которых созданы предпосылки, способныепривести к нежелательным для адвокатской фирмы последствиям (угроза уничтоженияили утраты информации).
Нарушение требований локальных нормативных актов адвокатской фирмы пообеспечению защиты информации в адвокатской фирме является чрезвычайнымпроисшествием и влечет за собой последствия, предусмотренные действующимзаконодательством Российской Федерации, локальными нормативными актами идоговорами, заключенными между адвокатской фирмой и сотрудниками.
Степень ответственности за нарушение требований локальных нормативныхактов в области защиты информации в адвокатской фирме определяется исходя изразмера ущерба, причиненного адвокатской фирме.
Руководители структурных подразделений адвокатской фирмы несутперсональную ответственность за обеспечение защиты информации в возглавляемыхими подразделениях.
VIII. Ожидаемые результаты реализации концепции защиты информации в адвокатской фирме
Реализация настоящей Концепции позволит:
─ улучшить организационную структуру системы защиты информации в адвокатской фирме, ее кадровое обеспечение;
─ повысить оснащенность адвокатской фирмы высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;
─ улучшить обеспеченность адвокатской фирмы документами в области защиты информации;
В результате будет создана система, соответствующая задачам обеспечения защиты информации в адвокатской конторе, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности адвокатской конторы. />/>
2.2. Оценка степени важности полученной информации
Так каксистема организации защиты конфиденциальной информации включает в себя комплексзаранее разработанных на определенный срок мер, охватывающихсовокупность всех видов деятельности, направленных на совершенствованиеобеспечения сохранности информации с учетом изменений внешних и внутреннихусловий и предписывающих конкретным лицам или подразделений определенныйпорядок действий, то крайне важным представляется ознакомление сполученной информацией.
Например, знание объекта и предмета защиты вадвокатской конторе позволит определиться с целями и задачами разрабатываемойсистемы защиты информации на предприятии, знание возможностей методов и средствзащиты информации позволит активно и комплексно применить их при рассмотрениии использовании правовых, организационных и инженерно-технических мер защитыконфиденциальной информации. Аналитические исследования, моделированиевероятных угроз позволят наметить при необходимости дополнительные меры защиты.При этом характеристика предприятия поможет оценить вероятность выполнения мерзащиты, наличие методического материала, материального обеспечения, готовностьслужбы защиты информации и персонала выполнить все необходимые меры. Знание недостатковв обеспечении сохранности конфиденциальной информации поможет спланироватьдальнейшие мероприятия по обеспечению защиты информации.
Таким образом, я могу сделать вывод, что полученнаяинформация не только поможет определиться с целями и задачами создания службызащиты информации, но и усовершенствовать уже имеющуюся службу защитыинформации и спланировать дальнейшие мероприятия по защите конфиденциальной иобщедоступной информации в адвокатской конторе «Юстина».
/>/>3. Рекомендации
I.Для обеспечения работоспособности разработанной системы защиты информациинеобходимо создать специальный отдел в составе организации, занимающийсяданными вопросами – Службу защиты информации (СлЗИ).
1.Руководитель предприятия своим приказом должен назначить начальника службызащиты информации во главе группы компетентных сотрудников, которые высказываютсвои предложения по объему, уровню и способам обеспечения сохранностиконфиденциальной информации.
2.Руководитель группы, обладая соответствующей квалификацией в этой области, спривлечением отдельных специалистов должен сформировать предварительный списоксведений, которые в дальнейшем войдут в «Перечень сведений, составляющихконфиденциальную информацию предприятия».
3.Руководитель группы на основе этого списка должен определить и представить насогласование необходимые к защите объекты (оборудование для обработки иобращения информации, программное обеспечение, коммуникации для передачиконфиденциальных данных, носители информации, персонал, допущенный к работе с использованиемразличных тайн).
4.Необходимы анализ существующих мер защиты соответствующих объектов, определениестепени их недостаточности, неэффективности, физического и морального износа.
5.Необходимо изучение зафиксированных случаев попыток несанкционированногодоступа к охраняемым информационным ресурсам и разглашения информации.
6.На основе опыта предприятия, а также используя метод моделирования ситуаций,группа специалистов должна выявить возможные пути несанкционированных действийпо уничтожению информации, ее копированию, модификации, искажению,использованию и т. п. Угрозы ранжируются по степени значимости иклассифицируются по видам воздействия.
7.На основе собранных данных необходимо оценить возможный ущерб предприятия откаждого вида угроз, который становится определяющим фактором длякатегорирования сведений в «Перечне» по степени важности, например — дляслужебного пользования, конфиденциально, строго конфиденциально.
8.Необходимо определить сферы обращения каждого вида конфиденциальной информации:по носителям, по территории распространения, по допущенным пользователям. Длярешения этой задачи группа привлекает руководителей структурных подразделений иизучает их пожелания.
9.Группе необходимо подготовить введение указанных мер защиты.
Начальник СлЗИ является новой штатной единицей. На этудолжность необходимо взять профессионала и специалиста в области защитыинформации, а также хорошо знающего юридическую сторону этой проблемы, имеющегоопыт руководства и координации работы подобных служб. Требования – высшеепрофессиональное образование и стаж работы в области защиты информации не менее5 лет, хорошее знание законодательных актов в этой области, принциповпланирования защиты.
В адвокатской фирме «Юстина» целесообразно организоватьСлужбу защиты информации в следующем составе:
Ø РуководительСлЗИ;
Ø сотрудник,занимающийся программно-аппаратной защитой;
Ø сотрудник,занимающийся инженерно-технической защитой.
Функции конфиденциального делопроизводства возложить на ужеимеющихся сотрудников, занимающихся в данное время созданием и обработкойдокументов, содержащих конфиденциальную информацию (секретаря).
Для работыСлЗИ необходимо подготовить ряд нормативных документов:
ü Положениео СлЗИ;
ü Инструкциюпо безопасности конфиденциальной информации.
ü Переченьсведений, составляющих конфиденциальную информацию.
ü Инструкциюпо работе с конфиденциальной информацией.
ü Должностные инструкциисотрудников СлЗИ.
ü Инструкцию по обеспечениюпропускного режима в компании.
ü Памятку работнику(служащему) о сохранении конфиденциальной информации.
II. Внести дополнения в Устав предприятия длядокументационного обеспечения защиты: «Предприятие имеет право самостоятельноустанавливать объем сведений, составляющих коммерческую и иную охраняемуюзаконом тайну и порядок ее защиты. Фирма имеет право в целях защитыэкономического суверенитета требовать от персонала, партнеров, контрагентов ииных физических и юридических лиц, учреждений и организаций обеспечениясохранности конфиденциальных сведений предприятия на основании договоров,контрактов и других документов». А также необходимо проставить грифыконфиденциальности:
Ø Самыйнизкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, вкоторых указываются отдельные данные о кадровом составе или партнерах; журналырегистрации, документы, регламентирующие деятельность, служебную переписку(заявления, распоряжения, приказы, докладные и т.д.).
Ø Гриф“КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделокза короткий промежуток времени; развернутые сведения о персонале компании(персональные данные работников); текущие документы, отражающие финансовуюдеятельность (коммерческая тайна); документы, содержащие данные о клиентах, непредоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).
Ø Гриф“СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловыхсделках с партнерами или клиентами фирмы, об итогах деятельности запродолжительный период времени; документам, содержащим важнейшие аспектыкоммерческой деятельности компании, стратегии деятельности, документам,содержащим детальную информацию о финансовом положении.
III. Необходимо дополнить технические средствазащиты информации, а именно установить средства, защищающие от прослушиваниятелефонных переговоров, т.к. бывают случаи, когда клиенту нужна экстреннаяюридическая помощь или он находится в таком нервном состоянии, что можетнаговорить по телефону такие вещи, которые конкуренты могут использовать противнего. К этому адвокатская фирма «Юстина» не готова. Поэтому некоторыеюридические дела проигрываются из-за того, что противник имеет болеесовременные средства перехвата необходимой информации для принятиясоответствующих мер. Особенно это касается сложных и запутанных уголовных дел,а также связанных с собственностью большой стоимости.
IV. Периодически проводить тренинги с сотрудниками,на которых им объясняется важность защиты конфиденциальной информации вадвокатской фирме. А также ознакомить всех сотрудников с главой 28 Уголовногокодекса Российской Федерации «Преступления в сфере компьютерной информации».
V. Зафиксировать предложенные рекомендации, разработав пакетдокументов, включающий в себя:
§ Положениео конфиденциальной информации предприятия;
§ Инструкциюпо защите конфиденциальной информации в информационной системе предприятия;
§ Предложенияпо внесению изменений в Устав предприятия;
§ Предложенияпо внесению изменений в трудовой договор, контракт с руководителем иколлективный договор;
§ Соглашениео неразглашении конфиденциальной информации предприятия с сотрудником;
§ Обязательствосотрудника о неразглашении конфиденциальной информации предприятия приувольнении;
§ Предложенияо внесении изменений в Правила внутреннего распорядка предприятия (в частирегламентации мер физической защиты информации и вопросов режима);
§ Предложенияо внесении изменений в должностное (штатное) расписание предприятия (штатСлужбы защиты информации);
§ Предложенияо внесении дополнений в должностные инструкции всему персоналу;
§ Ведомостьознакомления сотрудников предприятия с Положением о конфиденциальной информациии Инструкцией по защите конфиденциальной информации в ИС предприятия;
§ Планпроведения занятий с персоналом по сохранению и неразглашению конфиденциальнойинформации;
§ Предложенияо внесении изменений в структуру интервью при приеме на работу (уточнениеобязательств информационного характера с последних мест работы);
§ Предложенияо внесении дополнений в стандартный договор с контрагентами.
/>/>4. Информационно-аналитический обзор
/>/>/>
План
4.1. Цели и задачи защиты информации вадвокатской конторе
4.2. Объекты и предметы защиты в адвокатской конторе
4.3. Факторы, влияющие на защитуинформации в адвокатской конторе
4.4. Угрозы защищаемой информации вадвокатской конторе
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
4.6. Причины дестабилизирующеговоздействия на защищаемую информацию в адвокатской конторе
4.7. Каналы и методынесанкционированного доступа к защищаемой информации в адвокатской конторе
4.8. Основные направления, методы исредства защиты информации в адвокатской конторе
4.9. Организациякомплексной системы защиты информации в адвокатской конторе
/>
4.1. Цели и задачи защиты информации в адвокатскойконторе
Целями защитыинформации предприятия являются:
· предотвращениеутечки, хищения, утраты, искажения, подделки конфиденциальной информации(коммерческой и адвокатской тайны);
· предотвращениеугроз безопасности личности и предприятия;
· предотвращениенесанкционированных действий по уничтожению, модификации, искажению, копированию,блокированию конфиденциальной информации;
· предотвращениедругих форм незаконного вмешательства в информационные ресурсы и системы,обеспечение правового режима документированной информации как объектасобственности;
· защитаконституционных прав граждан на сохранение личной тайны и конфиденциальностиперсональных данных, имеющихся в информационных системах;
· сохранение,конфиденциальности документированной информации в соответствии сзаконодательством [22].
К задачамзащиты информации на предприятии относятся:
1. Обеспечение управленческой, финансовой имаркетинговой деятельности предприятия режимным информационным обслуживанием,то есть снабжением всех служб, подразделений и должностных лиц необходимойинформацией, как засекреченной, так и несекретной. При этом деятельность позащите информации по возможности не должна создавать больших помех и неудобствв решении производственных и прочих задач, и в то же время способствовать ихэффективному решению, давать предприятию преимущества перед конкурентами иоправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств,предотвращение утечки защищаемой информации и предупреждение любогонесанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативногореагирования на угрозы, использование юридических, экономических,организационных, социально-психологических, инженерно-технических средств иметодов выявления и нейтрализации источников угроз безопасности компании.
4. Документирование процесса защиты информации,особенно сведений, составляющих коммерческую тайну, с тем, чтобы в случаевозникновения необходимости обращения в правоохранительные органы, иметьсоответствующие доказательства, что предприятие принимало необходимые меры кзащите этих сведений.
5.Организация специальногоделопроизводства, исключающего несанкционированное получение конфиденциальнойинформации [4, с.313].
/>4.2. Объектыи предметы защиты в адвокатской конторе
Основнымиобъектами защиты в адвокатской конторе являются:
· персонал (так какэти лица допущены к работе с охраняемой законом информацией (адвокатская икоммерческая тайны, персональные данные) либо имеют доступ в помещения, где этаинформация обрабатывается).
· объектыинформатизации – средства и системы информатизации, технические средстваприема, передачи и обработки информации, помещения, в которых они установлены,а также помещения, предназначенные для проведения служебных совещаний,заседаний и переговоров с клиентами;
· информацияограниченного доступа:
ü адвокатская тайна (факт обращения к адвокату, включаяимена и названия доверителей; все персональные данные клиентов; вседоказательства и документы, собранные адвокатом входе подготовки к делу;сведения, полученные адвокатом от доверителей; информация о доверителе, ставшаяизвестной адвокату в процессе оказания юридической помощи; содержание правовыхсоветов, данных непосредственно доверителю или ему предназначенных; всеадвокатское производство по делу; условия соглашения об оказании юридическойпомощи, включая денежные расчеты между адвокатом и доверителем; любые другиесведения, связанные с оказанием адвокатом юридической помощи) [9, с. 30],
ü коммерческая тайна (сведения о применяемых оригинальныхметодах управления фирмой, сведения о подготовке, принятии и исполненииотдельных решений руководства фирмы по коммерческим, организационным и др.вопросам; сведения о фактах проведения, целях, предмете и результатах совещанийи заседаний органов управления организации (управляющих партнеров); сведения округообороте средств организации, финансовых операциях, состоянии банковскихсчетов организации и проводимых операциях, об уровне доходов организации, осостоянии кредитов организации (пассивы и активы); сведения о рыночнойстратегии фирмы, об эффективности коммерческой деятельности фирмы; обобщенныесведения клиентах и других партнерах, состоящих в деловых отношениях сорганизацией; обобщенные сведения о внутренних и зарубежных фирм как потенциальныхконкурентах, оценка качества деловых отношений с конкурирующими предприятиями;сведения об условиях конфиденциальности, из которых можно установить порядоксоглашения и другие обязательства организации с клиентами; сведения о методахрасчета, структуре, уровне реальных цен на услуги и размеры скидок; сведения опорядке и состоянии организации защиты коммерческой тайны, о порядке исостоянии организации охраны, системы сигнализации, пропускном режиме[19]),
ü персональные данные работников (фамилия, имя, отчество, год, месяц,дата и место рождения, адрес, семейное положение, образование, профессия,уровень квалификации, доход, наличие судимостей и некоторая другая информация,необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретногоработника[20]).
· защищаемая отутраты общедоступная информация:
ü документированная информация,регламентирующая статус предприятия, права, обязанности и ответственность егоработников (Устав, журнал регистрации, учредительный договор, положение о деятельности,положения о структурных подразделениях, должностные инструкции работников)
ü информация, которая может служитьдоказательным источником в случае возникновения конфликтных ситуаций (расписки)
· материальныеносители охраняемой законом информации (личные дела работников, личные делаклиентов, электронные базы данных работников и клиентов, бумажные носители иэлектронные варианты приказов, постановлений, планов, договоров, отчетов,составляющих коммерческую тайну)
· средства защитыинформации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличныйкомплект UPC-26-220(24), система сигнализации, антижучки и др.)
· технологическиеотходы (мусор), образовавшиеся в результате обработки охраняемой закономинформации (личные дела бывших клиентов)
Предметомзащиты информации вадвокатской конторе являются носители информации, на которых зафиксированы,отображены защищаемые сведения [4, с.311]:
· Личныедела клиентов в бумажном и электронном (база данных клиентов) виде;
· Личныедела работников в бумажном и электронном (база данных работников) виде;
· Приказы,постановления, положения, инструкции, соглашения и обязательства онеразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления сПоложением о конфиденциальной информации и другие документы, составляющиекоммерческую тайну, в бумажном и электронном виде.
/>
4.3. Факторы,влияющие на защиту информации в адвокатской конторе
Внешниефакторы:
· деятельностьконкурентных юридических фирм, направленная против интересов фирмы «Юстина»;
· деятельностьправоохранительных органов власти, направленная на удовлетворение собственныхинтересов и не учитывающая при этом интересы адвокатской фирмы (обыскиадвокатов без предварительного получения решения суда; изъятие в ходе обысковдокументов, содержащих конфиденциальную информацию; формальный подход судей привынесении решений о проведении обыска у адвоката; обыск в помещениях занимаемыхадвокатом в отсутствие адвоката; незаконный досмотр адвокатского производстваадвокатов как один из способов незаконного доступа к адвокатской тайне) [8,14];
· недостаточнаяразработанность нормативной правовой базы, регулирующей отношения винформационной сфере, а также недостаточная правоприменительная практика(например, несостыковка пунктов Уголовно-процессуального кодекса РоссийскойФедерации и закона «Об адвокатской деятельности и адвокатуре в РоссийскойФедерации», закон «О противодействиилегализации (отмыванию) доходов, полученных преступным путем, и финансированиютерроризма», предписывающий адвокатам выполнять роль секретных сотрудниковправоохранительных органов) [8, 14, 21].
Внутренние факторы:
· недостаточноевнимание к обеспечению защиты информации со стороны руководства (в адвокатскойфирме нет отдельной службы защиты информации);
· довольноравнодушное отношение к обеспечению защиты информации со стороны сотрудниковфирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
· недостаточноефинансирование мероприятий по обеспечению информационной безопасностипредприятия;
· недостаточноеколичество квалифицированных кадров в области обеспечения информационнойбезопасности в адвокатской фирме (в данный момент в штате фирмы «Юстина» нет ниодного специалиста по защите информации).
/>4.4. Угрозызащищаемой информации в адвокатской конторе
Внешниеугрозы:
· Конкуренты(адвокатские фирмы, являющиеся конкурентами «Юстине»);
· Административныеорганы (органы государственной власти);
· Преступники,хакеры.
Внутренниеугрозы:
· Персонал;
· Администрацияпредприятия.
Классификацияугроз:
1. По объектам:
1.1. Персонал;
1.2. Материальныеценности;
1.3. Финансовыеценности.
2. По ущербу:
2.1. Материальный;
2.2. Моральный.
3. По величинеущерба:
3.1. Предельный(полное разорение);
3.2. Значительный(некоторая валового дохода);
3.3. Незначительный(потеря прибыли).
4. По отношению кобъекту:
4.1. Внутренние;
4.2. Внешние.
5. По вероятностивозникновения:
5.1. Весьма вероятные;
5.2. Вероятные;
5.3. Маловероятные.
6. По характерувоздействия:
6.1. Активные;
6.2. Пассивные.
7. По причинепроявления:
7.1. Стихийные;
7.2. Преднамеренные.
/>
4.5. Источники,виды и способы дестабилизирующего воздействия на защищаемую информацию
К источникам дестабилизирующего воздействия на информациюотносятся [4, с.203]:
1. люди;
2. технические средства отображения (фиксации), хранения, обработки,воспроизведения, передачи информации, средства связи и системы обеспечения ихфункционирования;
3. природные явления.
Самым распространенным, многообразным и опаснымисточником дестабилизирующего воздействия на защищаемую информацию являютсялюди. К ним относятся:
– сотрудники даннойадвокатской фирмы;
– лица, неработающие в фирме, но имеющие доступ к защищаемой информации предприятия всилу служебного положения (из контролирующих органов государственной имуниципальной власти и др.);
– сотрудникиконкурирующих отечественных и зарубежных фирм;
– лица изкриминальных структур, хакеры.
Эти категории людей подразделяются на две группы:
– имеющие доступ кносителям данной защищаемой информации, техническим средствам ее отображения,хранения, обработки, воспроизведения, передачи и системам обеспечения их функционированияи
– не имеющиетакового.
Самым многообразным этот источник является потому,что ему, по сравнению с другими источниками, присуще значительно большееколичество видов и способов дестабилизирующего воздействия на информацию [4,с. 204].
Самым опасным этот источник является потому, что онсамый массовый; воздействие с его стороны носит регулярный характер; еговоздействие может быть не только непреднамеренным но и преднамеренным и оказываемоеим воздействие может привести ко всем формам проявления уязвимости информации(со стороны остальных источников – к отдельным формам).
К техническим средствам отображения, хранения,обработки, воспроизведения, передачи информации и средствам связи в адвокатскойконторе относятся электронно-вычислительная техника (персональные компьютеры);копировально-множительная техника (ксероксы, принтеры, сканеры); средства видео- и звукозаписывающей и воспроизводящейтехники (видеокамеры, диктофоны) и средства телефонной, телеграфной,факсимильной, громкоговорящей передачи информации.
Системы обеспечения функционирования техническихсредств отображения, хранения, обработки, воспроизведения и передачиинформации это системы электроснабжения, водоснабжения, теплоснабжения, кондиционированияи вспомогательные электрические и радиоэлектронные средства (электрическиечасы, бытовые магнитофоны и др.).
Природные явления включают стихийные бедствия и атмосферныеявления.
Виды и способы дестабилизирующего воздействия назащищаемую информацию дифференцируются по источникам воздействия. Самое большееколичество видов и способов дестабилизирующего воздействия имеет отношение клюдям[4, с. 207].
Со стороны людей возможны следующие виды воздействия,приводящие к уничтожению, искажению и блокированию:
1. Непосредственное воздействие на носители защищаемойинформации.
2. Несанкционированное распространениеконфиденциальной информации.
3. Вывод из строя технических средств отображения,хранения, обработки, воспроизведения, передачи информации и средств связи.
4. Нарушение режима работы перечисленных средств итехнологии обработки информации.
5. Вывод из строя и нарушение режима работы системобеспечения функционирования названных средств.
Способами непосредственного воздействия на носителизащищаемой информации могут быть:
— физическое разрушение носителя (поломка, разрыв и др.);
— создание аварийных ситуаций для носителей (поджог, искусственноезатопление, взрыв и т.д.);
— удаление информации с носителей (замазывание, стирание, обесцвечиваниеи др.);
— создание искусственных магнитных полей для размагничивания носителей;
— внесение фальсифицированной информации в носители;
-непреднамеренное оставление их в неохраняемой зоне, чаще всего вобщественном транспорте, магазине, на рынке, что приводит к потереносителей[4].
Несанкционированное распространение конфиденциальнойинформации может осуществляться путем:
— словесной передачи (сообщения)информации;
— передачи копий (снимков) носителейинформации;
— показа носителей информации;
— ввода информации в вычислительныесети;
— опубликования информации в открытойпечати;
— использования информации в открытыхпубличных выступлениях, в т.ч. по радио, телевидению;
— потеря носителей информации.
К способам вывода из строя технических средств отображения,хранения, обработки, воспроизведения, передачи информации и средств связи исистем обеспечения их функционирования, приводящим к уничтожению, искажению иблокированию, можно отнести:
— неправильный монтаж средств;
— поломку (разрушение) средств, в т.ч.разрыв (повреждение) кабельных линий связей;
— создание аварийных ситуаций длятехнических средств (поджог, искусственное затопление, взрыв и др.);
— отключение средств от сетей питания;
— вывод из строя или нарушение режимаработы систем обеспечения функционирования средств;
— вмонтирование в ЭВМ разрушающихрадио- и программных закладок;
— нарушение правил эксплуатации систем.
Способами нарушения режима работы технических средствотображения, хранения, обработки, воспроизведения, передача информации,средств связи и технологии обработки информации, приводящими к уничтожению,искажению и блокированию информации, могут быть:
— повреждение отдельных элементовсредств;
— нарушение правил эксплуатациисредств;
— внесение изменений в порядокобработки информации;
— заражение программ обработки информации вредоноснымипрограммами;
— выдача неправильных программныхкоманд;
— превышение расчетного числазапросов;
— создание помех в радио эфире спомощью дополнительного звукового или шумового фона, изменения (наложения)частот передачи информации;
— передача ложных сигналов – подключение подавляющихфильтров в информационные цепи, цепи питания и заземления;
— нарушение (изменение) режима работысистем обеспечения функционирования средств.
К видам дестабилизирующего воздействия на защищаемую информациюсо стороны технических средств отображения, хранения, обработки, воспроизведения,передачи информации и средств связи и систем обеспечения их функционированияотносятся выход средств из строя; сбои в работе средств и созданиеэлектромагнитных излучений. Это приводит к уничтожению, искажению,блокированию, разглашению (соединение с номером телефона не того абонента,который набирается, или слышимость разговора других лиц из-за неисправности вцепях коммутации телефонной станции). Электромагнитные излучения, в том числепобочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.
К стихийным бедствиям и одновременно видам воздействияследует отнести землетрясение, наводнение, ураган (смерч) и шторм. Катмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температурыи влажности воздуха, магнитные бури. Они приводят к потере, уничтожению,искажению, блокированию и хищению.
Способами воздействия со стороны и стихийных бедствийи атмосферных явлений могут быть:
— разрушение (поломка);
— затопление;
— сожжение носителей информации, средств отображения,хранения, обработки, воспроизведения, передачи информации и кабельных средствсвязи, систем обеспечения функционирования этих средств;
— нарушение режима работы средств и систем, а такжетехнологии обработки информации.
/>
4.6. Причиныдестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
К причинам, вызывающим преднамеренное дестабилизирующеевоздействие, следует отнести [4, с. 213]:
— стремление получить материальнуювыгоду (подзаработать);
— стремление нанести вред (отомстить)руководству или коллеге по работе;
— стремление оказать бескорыстнуюуслугу приятелю из конкурирующей фирмы;
— стремление продвинуться по службе;
— стремление обезопасить себя, родныхи близких от угроз, шантажа, насилия;
— физическое воздействие (побои, пытки)со стороны злоумышленника;
— стремление показать свою значимость.
Причинами непреднамеренного дестабилизирующего воздействияна информацию со стороны людей могут быть:
— неквалифицированное выполнение операций;
— халатность, безответственность, недисциплинированность, недобросовестноеотношение к выполняемой работе;
— небрежность, неосторожность, неаккуратность;
— физическоенедомогание (болезни, переутомление, стресс, апатия).
Причинами дестабилизирующего воздействия на информациюсо стороны технических средств отображения, хранения, обработки воспроизведения,передачи информации и средствсвязи и систем обеспечения ихфункционирования могут быть:
— недостаток или плохое качество средств;
— низкое качество режимафункционирования средств;
— перезагруженность средств;
— низкое качество технологиивыполнения работ.
В основе дестабилизирующего воздействия на информациюсо стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольныелюдям, а, следовательно, и не поддающиеся нейтрализации или устранению.
/>
4.7. Каналы иметоды несанкционированного доступа к защищаемой информации в адвокатскойконторе
К числунаиболее вероятных каналов утечки информации можно отнести [15]:
· совместную сдругими фирмами деятельность, участие в переговорах;
· фиктивные запросысо стороны о возможности работать в фирме на различных должностях;
· посещения фирмы;
· общенияпредставителей фирмы о характеристиках предоставляемых услуг;
· чрезмернуюрекламу;
· консультацииспециалистов со стороны, которые в результате этого получают доступ кустановкам и документам фирмы;
· публикации впечати и выступления;
· совещания,конференции и т.п.;
· разговоры внерабочих помещениях;
· обиженныхсотрудников фирм;
· техническиеканалы;
· материальныепотоки (транспортировка спецпочты).
Приорганизации защиты информации в адвокатской конторе необходимо учитыватьследующие возможные методы и способы сбора информации:
· опрос сотрудниковизучаемой фирмы при личной встрече;
· навязываниедискуссий по интересующим проблемам;
· рассылка в адресапредприятий и отдельных сотрудников вопросников и анкет;
· ведение частнойпереписки научных центров и ученых со специалистами.
Для сбора сведенийв ряде случае представители конкурентов могут использовать переговоры поопределению перспектив сотрудничества, созданию совместных предприятий. Наличиетакой формы сотрудничества, как выполнение совместных программ,предусматривающих непосредственное участие представителей других организаций вработе с документами, посещение рабочих мест, расширяет возможности для снятиякопий с документов, сбора различных образцов материалов, проб и т.д. При этом сучетом практики развитых стран экономические соперники могут прибегнуть в томчисле и к противоправным действиям, промышленному шпионажу.
Наиболеевероятно использование следующих способов добывания информации [15]:
· визуальноенаблюдение;
· подслушивание;
· техническоенаблюдение;
· прямой опрос, выведывание;
· ознакомление сматериалами, документами, изделиями и т.д.;
· сбор открытыхдокументов и других источников информации;
· хищениедокументов и других источников информации;
· изучениемножества источников информации, содержащих по частям необходимые сведения.
/>4.8. Основные направления, методы исредства защиты информации в адвокатской конторе
Направлениязащиты информации
Правоваязащита –специальные правовые правила, процедуры и мероприятия, создаваемые в целяхобеспечения информационной безопасности предприятия.
Правовые меры, регулирующие вопросызащиты конфиденциальной информации, можно разделить на две основные группы. К первой группе относятсязаконодательные акты государства, регламентирующие деятельность предприятий вобласти защиты различных видов тайн, определяющие объем их прав и обязанностейв области защиты. К этой группе можно отнести такие законы, принятые вРоссийской Федерации, как: «О коммерческой тайне» от 29 июля 2004 года; «Обадвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002; «Оперсональных данных» от 27.07.2006; «О предприятиях и предпринимательскойдеятельности» от 25 декабря 1990 г.; «О частной детективной и охранной деятельностив РФ» от 11 марта 1992 г.; «О конкуренции и ограничении монополистическойдеятельности на товарных рынках» от 22 марта 1991 г.; Гражданский кодекс; Кодекс профессиональной этики адвоката от 31.01.2003; Трудовойкодекс Российской Федерации от 30.12.2001 и др.
Ко второй группе относятся нормативно-правовые документы,регламентирующие организацию, порядок и правила защиты конфиденциальнойинформации на предприятии. К ним относятся:
1. Устав предприятия, в которомуказываются цели его деятельности, права, в том числе право иметь тайну иосуществлять ее защиту.
2. Коллективный договор, в которомопределяются права и
обязанности сторон, заключивших договор, в том числе по защите конфиденциальнойинформации, обеспечению необходимых условий и средств ее защиты.
3. Правила внутреннего трудовогораспорядка, в которые также могут быть включены статьи, обязывающие всехработников защищать интересы предприятия, его информацию, в том числе защищатьи различные виды тайн.
4. Инструкция, определяющаяорганизацию, порядок и правила защиты тайны на предприятии. Могут быть подготовленыразличные положения, регламентирующие права и деятельность различныхподразделений этого предприятия, например, службы защиты информациипредприятия.
5. Документы, типа перечня, реестра и т.п.,определяющие категории сведений, которые отнесены к конфиденциальной информациипредприятия. В этих перечнях следует также указывать сроки засекречиванияинформации и уровень ее защиты.
Уголовно-правовые нормы по своемусодержанию являются, с одной стороны, запрещающими, то есть они под страхомприменения мер уголовного наказания запрещают гражданам нарушать свои обязанностии совершать преступления, а с другой стороны, они обязывают соответствующиеорганы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершениипреступления, к уголовной ответственности.
Крометого, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением,могут повлечь ответственность материального, дисциплинарного илиадминистративного характера в соответствии с действующими нормативными актами:отстранение от работы, связанной с секретами, или перевод на другую работу,менее оплачиваемую и тоже не связанную с засекреченной информацией.
Организационнаязащита –регламентация производственной деятельности и взаимоотношений исполнителей нанормативно-правовой основе, использующей нанесение ущерба. Организационнуюзащиту обеспечивает:
ð Организация режима охраны, работы скадрами, документами;
ð Использование технических средствбезопасности;
ð Использованиеинформационно-аналитической работы по выявлению угроз.
Организационнаяслужба защиты информации состоит из:
1. Подразделениережима и охраны предприятия;
2. Специальныхподразделений обработки документов конфиденциального характера, а такжеинженерно-технических подразделений;
3. Информационно-аналитическийподразделений.
Организационныемеры по защите информации предусматривают, прежде всего, подбор и расстановкукадров, которые будут осуществлять мероприятия по защите информации, обучениесотрудников правилам защиты засекреченной информации, осуществление напрактике принципов и методов защиты информации.
Инженерно-техническаязащита –использование различных технических средств для обеспечения защитыконфиденциальной информации. Инженерно-техническая защита использует такиесредства как:
ð Физические – устройства, инженерныесооружения, организационные меры, исключающие или затрудняющие проникновение кисточникам конфиденциальной информации (системы ограждения, системы контролядоступа, запирающие устройства и хранилища);
ð Аппаратные – устройства, защищающие отутечки, разглашения и от технических средств промышленного шпионажа
ð Программные средства.
Методы защиты информации
Метод – в самом общем значенииэто способ достижения цели, определенным образом упорядоченная деятельность [4,с. 270].
Основными методами, используемыми в защитеинформации в адвокатской конторе, являются следующие: скрытие, ранжирование, морально-нравственныеметоды и учет.
Скрытие – как метод защитыинформации является реализацией максимального ограничения числа лиц,допускаемых к секретам. Реализация этого метода достигается обычно путем засекречиванияинформации, то есть отнесение ее к секретной или конфиденциальной информацииразличной степени секретности и ограничение в связи с этим доступа к этойинформации в зависимости от ее важности для собственника, что проявляется впроставляемом на носителе этой информации грифе секретности; устранения илиослабления технических демаскирующих признаков объектов защиты и техническихканалов утечки сведений о них.
Ранжирование как метод защитыинформации включает, во-первых, деление засекречиваемой информации по степенисекретности, и, во-вторых, регламентацию допуска и разграничение доступа кзащищаемой информации: предоставление индивидуальных прав отдельнымпользователям на доступ к необходимой им конкретной информации и на выполнениеотдельных операций. Разграничение доступа к информации может осуществляться потематическому признаку или по признаку секретности информации и определяетсяматрицей доступа. Т.е. пользователь не допускается к информации, которая ему ненужна для выполнения его служебных функций, и тем самым эта информацияскрывается от него и всех остальных (посторонних) лиц.
Морально-нравственныеметоды защиты информации предполагают, прежде всего, воспитание сотрудника,допущенного к секретам, то есть проведение специальной работы, направленной наформирование у него системы определенных качеств, взглядов и убеждений(понимания важности и полезности защиты информации и для него лично), иобучение сотрудника, осведомленного в сведениях, составляющих охраняемуютайну, правилам и методам защиты информации, привитие ему навыков работы сносителями секретной и конфиденциальной информации.
Учет обеспечивает возможностьполучения в любое время данных о любом носителе защищаемой информации, околичестве и местонахождении всех носителей засекреченной информации, а такжеданные обо всех пользователях этой информации.
Принципы учета засекреченной информации:
─ обязательностьрегистрации всех носителей защищаемой информации;
─ однократностьрегистрации конкретного носителя такой информации;
─ указаниев учетах адреса, где находится в данное время данный носитель засекреченнойинформации (в СлЗИ, у исполнителя и т.д.);
─ единоличнаяответственность за сохранность каждого носителя защищаемой информации иотражение в учетах пользователя данной информации в настоящее время, а такжевсех предыдущих пользователей данной информации.
Средствазащиты информации
Средства защитыинформации– это совокупность инженерно-технических, электрических, электронных,оптических и других устройств и приспособлений, приборов и технических систем,а также иных вещных элементов, используемых для решения различных задач позащите информации, в том числе предупреждения утечки и обеспечениябезопасности защищаемой информации [4, с. 273].
В качестве основания классификации средствзащиты информации используются основные группы задач, решаемые с помощьютехнических средств:
1. создание физических (механических) препятствийна путях проникновения злоумышленника к носителям информации (решетки, сейфы,замки и т.д.);
2. выявление попыток проникновения на объектохраны, к местам сосредоточения носителей защищаемой информации (электронные иэлектронно-оптические сигнализаторы);
3. предупреждение о возникновении чрезвычайныхситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения ит.д.);
4. поддержание связи с различными подразделениями,помещениями и другими точками объекта охраны;
5. нейтрализация, поглощение или отражениеизлучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры,разделительные устройства в сетях электроснабжения и т.п.);
6. комплексная проверка технического средстваобработки информации и выделенного помещения на соответствие требованиямбезопасности обрабатываемой речевой информации установленным нормам;
7. комплексная защита информации вавтоматизированных системах обработки данных с помощью фильтров, электронныхзамков и ключей в целях предотвращения несанкционированного доступа,копирования или искажения информации.
Знание возможностей методов и средств защитыинформации позволяет активно и комплексно применять их при рассмотрении ииспользовании правовых, организационных и инженерно-технических мер защитыконфиденциальной информации.
/>
4.9. Организациякомплексной системы защиты информации в адвокатской конторе
Для организации эффективной защиты конфиденциальнойинформации необходимо разработать программу, которая должна позволить достигатьследующие цели:
· обеспечитьобращение сведений, содержащих различные виды тайн, в заданной сфере;
· предотвратитькражу и утечку секретов, любую порчу конфиденциальной информации;
· документироватьпроцесс защиты тайны, чтобы в случае попыток незаконного завладения какой-либотайной предприятия можно было защитить свои права юридически и наказать нарушителя.
Для определения объема информации, нуждающейся в защите,следует привлекать работников предприятия. Во главе этой работы должен стоятьопытный менеджер.
Программа будет отражать размер данного предприятия,тип технологии и деловой информации, которую необходимо защищать, финансовыевозможности предприятия, прошлые случаи кражи подобной информации, реальный,имевший место в прошлом, или потенциальный урон от таких краж и другие обстоятельства.В программе должны учитываться возможные источники и каналы утечки информации.
Для построениясистемы защиты конфиденциальной информации на предприятии необходимо создание службызащиты информации (СлЗИ), которая будет являться структурной единицейпредприятия, непосредственно участвующей в производственно-коммерческойдеятельности. Работа этого отдела проводится во взаимодействии со структурнымиподразделениями предприятия. Структура и штат СлЗИ в зависимости от объемаработ и особенностей производственно-коммерческой деятельности определяютсяруководителем предприятия и, как правило, должны комплектоватьсяинженерно-техническими работниками — специалистами основного профиля работыданного предприятия (фирмы), а также специалистами, имеющими практический опытзащиты информации или работы с различными группами людей. Назначение надолжность начальника (зама) СлЗИ предприятия (фирмы), а также его освобождениепроизводится только руководителем предприятия. Руководитель службы защитыинформации регулярно, в установленные сроки отчитывается в своей работе переддиректором предприятия.
Основными функциями СлЗИ являются проблемыорганизации защиты сведений, отнесенных к конфиденциальной информации. Вчастности, деятельность, которая включает обучение работников предприятияумению хранить секреты своей фирмы; подготовку различных методическихдокументов, связанных с защитой тайны, плакатов, разъясняющих правила защитыконфиденциальной информации и др.
СлЗИ готовит руководству предприятия предложения повопросам защиты конфиденциальной информации, порядка определения и пересмотраперечня сведений, составляющих эту информацию, степени и сроков секретноститакой информации; определение круга и порядка допуска лиц к сведениям,составляющим различные виды тайн. СлЗИ выполняет также своеобразные разведывательныефункции, в частности добывание информации о состоянии рынка, конкурентах,финансовых возможностях партнеров по переговорам и др.
СлЗИ проводит контрольные и аналитические функции. Контрольза соблюдением работниками предприятия, связанными по службе с тайной, правилее защиты. Анализ поступающей информации с целью выявления попыток конкурентовполучить несанкционированный доступ к защищаемой предприятием информации ит.д. Она должна находиться на высоком уровне в организационной структурепредприятия с тем, чтобы располагать необходимыми административнымиполномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должнапринимать срочные меры по устранению выявленных недостатков в области защитыконфиденциальной информации. Сотрудники фирмы должны знать политику фирмы позащите этой информации и меры наказания за нарушение этих правил.
Периодический пересмотр Перечня сведений, составляющих конфиденциальнуюинформацию предприятия, осуществляется специально созданной комиссией, возглавляемойодним из руководителей предприятия. Однако в этой работе активное участиепринимает и СлЗИ. Цель пересмотра Перечня – исключение из него сведений,утративших свою актуальность, и включение новых, изменение при необходимости степенисекретности и т.д. О результатах этой работы информируются все исполнители втой части, которая нужна каждому для его работы.
Система доступа к сведениям, составляющим какую-либотайну, должна обеспечить безусловное ознакомление с такими материалами толькотех лиц, которым они нужны по службе. Система доступа к конфиденциальнойинформации – есть комплекс административно-правовых норм, обеспечивающихполучение необходимой для работы информации каждым исполнителем и руководителемсекретных работ. Цель системы – обеспечить только санкционированное получениенеобходимого объема конфиденциальной информации. В структуру этой системывходят:
— разрешительнаясистема доступа к документальной конфиденциальной информации;
— система пропускови шифров, обеспечивающая только санкционированный доступ в помещения, гдеведутся секретные работы.
Для обеспечения физической сохранности носителейзасекреченной информации и предотвращения доступа посторонних лиц нужнасистема охраны, которая включает в себя комплекс мероприятий, сил и средств,задействованных для преграждения доступа посторонних лиц к носителямзащищаемой информации. Обеспечение физической целостности и сохранностиконфиденциальных документов, различных зданий, помещений, где производятсяработы с носителями защищаемой информации, достигается использованием сейфов иметаллических шкафов для хранения конфиденциальных документов, постановкойметаллических решеток на окна хранилищ таких документов, введением специальныхпропусков или магнитных карточек для доступа в помещения, где ведутся работы сносителями конфиденциальной информации. Помещения, в которых ведутся такиеработы с документами, хранилища защищаемой информации должны иметькруглосуточную охрану с помощью технических средств.
Осуществление мер – это деятельность администрации и СлЗИпо защите конфиденциальной информации, направленная на реализацию заложенных всистеме возможностей по защите конфиденциальной информации. Эти меры включают:
— во-первых, повседневный контроль со стороныруководства предприятия и СлЗИ за соблюдением всеми сотрудниками, связаннымипо работе с конфиденциальной информацией, правил ее защиты. Особое внимание приэтом обращается на работников предприятия, имеющих постоянное общение снаселением;
— во-вторых, обеспечение соблюдения всемисотрудниками предприятия требований, предусмотренных правилами внутреннего распорядка,нормами правил пожарной безопасности, инструкцией по защите сведений,составляющих различные виды тайн, и другими нормативными документами,регламентирующими поведение работников на предприятии.
Все посещения предприятия посторонними лицами должныбыть строго регламентированы. Вход – только через одну проходную по разовымпропускам или отметкам в журнале: данные о пришедшем, откуда, к кому, времявхода и выхода. Продвижение по фирме только в сопровождении принимающего егосотрудника.
Не допускается ведение по открытым каналам связи(телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;
— в-третьих, выявление каналов и источников утечкизащищаемой информации и принятие мер по их перекрытию. Утечка защищаемойинформации происходит чаще всего по вине сотрудников предприятия, связанных поработе с конфиденциальной информацией, и принятия недостаточных мер по защитеинформации в технических средствах (СВТ, средствах связи и т.д.).
Все сигналы о возможной утечке информации должнытщательно проверяться и в случае выявления виновных в этом лиц должны бытьприняты меры, как к виновникам (перевод на работу, не связанную с тайной,возмещение ущерба, увольнение и др.), так и принятие мер по предотвращениюподобных явлений в будущем;
— в-четвертых, защита конфиденциальной информациипредполагает также принятие мер по предотвращению разглашения защищаемой информациив открытых публикациях сотрудниками предприятия, особенно при подготовке ипубликации научных работ (статей, брошюр и др.). Все эти документы ипубликации должны предварительно согласовываться со специалистами ируководящими работниками предприятия;
– в-пятых, важным звеном защиты конфиденциальнойинформации предприятия является работа с клиентами, партнерами и др. Приведении таких переговоров важно убедиться, что другая сторона преследует впереговорах те же цели, что и вы, то есть заключить взаимовыгодное соглашение,а не получение конфиденциальной информации о вашей фирме.
Приступая кразработке системы мер по обеспечению защиты информации на предприятии, егоруководитель (или начальник СлЗИ) должен получить ответы на следующие вопросы:
· что конкретнонеобходимо защищать (охранять), от кого и когда?
· кто организует иобеспечивает защиту (охрану)?
· как оцениватьэффективность и достаточность защиты (охраны)?
Дляграмотного построения и эксплуатации системы защиты необходимо соблюстиследующие принципы ее применения [15]:
· простотазащиты;
· приемлемостьзащиты для пользователей;
· подконтрольностьсистемы защиты;
· постоянныйконтроль за наиболее важной информацией;
· дроблениеконфиденциальной информации на составляющие элементы, доступ к которым имеютразные пользователи;
· минимизацияпривилегий по доступу к информации;
· установкаловушек для провоцирования несанкционированных действий;
· независимостьсистемы управления для пользователей;
· устойчивостьзащиты во времени и при неблагоприятных обстоятельствах;
· глубиназащиты, дублирование и перекрытие защиты;
· особаяличная ответственность лиц, обеспечивающих безопасность информации;
· минимизацияобщих механизмов защиты.
Алгоритмсоздания системы защиты конфиденциальной информации таков [23]:
1. Определяетсяпредмет защиты. Разрабатывается Перечень сведений, составляющих различные видытайн, в котором выделяется наиболее ценная информация, нуждающаяся в особойохране, учитываются требования по защите других предприятий (фирм), участвующихв совместных работах.
2. Устанавливаютсяпериоды существования конкретных сведений в качестве различных видов тайн.
3. Выделяютсякатегории носителей ценной информации: персонал, документы, изделия иматериалы; технические средства хранения, обработки и передачи информации;физические излучения. Для обеспечения восприятия разрабатываемой системы защитыможно составить схему, в которой указываются конкретные сотрудники,осведомленные о различных видах тайн, названия (категории) классифицированныхдокументов и т.п.
4. Перечисляются стадии(этапы) работ, время материализации различных видов тайн в носителях информацииприменительно к пространственным зонам (местам работы с ними внутри и запределами предприятия). Например, договоры, подписываемые за пределамипредприятия; выступления участников отчетных совещаний в конкретных кабинетах;размножение классифицированных документов на множительном участке и т.п.
5. Составляетсясхема работ с конкретными сведениями, материализованными в носителях, впределах предприятия (фирмы) и вне его и предполагаемого их перемещения. Рассматриваютсявозможные для предприятия несанкционированные перемещения, которые могут бытьиспользованы конкурентами для овладения различными видами тайн.
6. Разрабатываются(или корректируются) в процессе анализа разрешительные подсистемы допуска идоступа к конкретным сведениям, составляющим различные виды тайн.
7. Определяется, ктореализует мероприятия и кто несет ответственность за защиту конкретнойинформации, процессов работ с классифицированными данными. Намечаются меры покоординации, назначаются конкретные исполнители.
8. Планируютсядействия по активизации и стимулированию лиц, задействованных в защите.
9. Проверяетсянадежность принятых к реализации мер обеспечения защиты.
Аналитическиеисследования, моделирование вероятных угроз позволяют наметить принеобходимости дополнительные меры защиты. При этом следует оценить вероятностьих выполнения, наличие методического материала, материального обеспечения,готовность СлЗИ и персонала их выполнить. При планировании учитываются имевшиеместо на предприятии недостатки в обеспечении сохранности конфиденциальнойинформации [25].
Планируемыемероприятия должны [15]:
· способствоватьдостижению определенных задач, соответствовать общему замыслу;
· являтьсяоптимальными.
Не должны [15]:
· противоречитьзаконам, требованиям руководителя фирмы (интересам кооперирующихся фирм);
· дублироватьдругие действия.
Такимобразом, система организации защиты конфиденциальной информации включает в себякомплекс заранее разработанных на определенный срок мер, охватывающихсовокупность всех видов деятельности, направленных на совершенствованиеобеспечения сохранности информации с учетом изменений внешних и внутреннихусловий и предписывающих конкретным лицам или подразделений определенныйпорядок действий.
/>/>5. Источники информации и оценка ихнадежности
/>/>
5.1. Список выявленной литературы
5.1.1. Консультант–Плюс
1. РоссийскаяФедерация. Законы. Гражданскийкодекс Российской Федерации (часть первая): федер. закон: [от 30.11.1994 №51-ФЗ; принят Гос.Думой 21.10.1994; в ред. от 03.06.2006].- КонсультантПлюс.-(http://www.consultant.ru).
2. РоссийскаяФедерация. Законы. Гражданскийкодекс Российской Федерации (часть вторая): федер. закон: [от 26.01.1996 №14-ФЗ; принят Гос.Думой 22.12.1995; в ред. от 02.02.2006].- КонсультантПлюс.-(http://www.consultant.ru).
3. РоссийскаяФедерация. Законы. Кодекспрофессиональной этики адвоката: [принят Всероссийским съездом адвокатов31.01.2003; в ред. от 08.04.2005].- КонсультантПлюс.-(http://www.consultant.ru).
4. РоссийскаяФедерация. Законы. Обадвокатской деятельности и адвокатуре в Российской Федерации: федер. закон: [от31.05.2002 № 63-ФЗ; в ред. от 20.12.2004].- КонсультантПлюс.-(http://www.consultant.ru).
5. РоссийскаяФедерация. Законы. Обутверждении перечня сведений конфиденциального характера: указ Президента РФ:[от 06.03.1997 N 1300; в ред. от 10.01.2000].- КонсультантПлюс.-(http://www.consultant.ru).
6. РоссийскаяФедерация. Законы. Окоммерческой тайне: федер. закон: [от 29.07.2004 № 98-ФЗ; принят Гос.Думой09.07.2004; в ред. от 02.02.2006].- КонсультантПлюс.-(http://www.consultant.ru).
7. РоссийскаяФедерация. Законы. Оперсональных данных: федер. закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой08.07.2006].- КонсультантПлюс.- (http://www.consultant.ru).
8. РоссийскаяФедерация. Законы. Опротиводействии легализации (отмыванию) доходов, полученных преступным путем, ифинансированию терроризма: федер. закон: [от 07.08.2001 № 115-ФЗ; принятГос.Думой 13.07.2001; в ред. от 16.11.2005].- КонсультантПлюс.-(http://www.consultant.ru).
9. РоссийскаяФедерация. Законы. Офедеральной службе безопасности: федер. закон: [принят Гос. Думой 22.02.1995; вред. от 15.04.2006].- КонсультантПлюс.- (http://www.consultant.ru).
10. РоссийскаяФедерация. Законы. Трудовойкодекс Российской Федерации: федер. закон: [от 30.12.2001 № 197-ФЗ; принятГос.Думой 21.12.2001; в ред. от 09.05.2005].- КонсультантПлюс.-(http://www.consultant.ru).
5.1.2.Текущие библиографические указатели и реферативные журналы
1. Беляев, Е.А.Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационнаябезопасность = Inform.security.- М., 2004.- № 3.-С.58–59.
2. Домов, С.Информационная безопасность/ С.Домов// Вестн. Волжского ун–та.- Сер.Информат,2005.- № 8.- С.53–55
3. Кальченко, Д. Безопасностьв цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,38–41.
4. Колесников, К.А.Социальные факторы информационного управления и информационная безопасность вРоссии/ К.А.Колесников// Интеллектуальная собственность: правовые, экономическиеи социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М.,2005.-Ч.2.-С.140–143.
5. Минакова, Н.Н.Особенности подготовки специалистов по информационной безопасностиавтоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч.центра САН ВШ, 2005.- № 8.- С.125–128.
6. Мешкова, Т.А.Безопасность в условиях глобальной информатизации: новые вызовы и новыевозможности: автореф. дис….канд. наук/ Мешкова Т.А.; МГУ им.М.В.Ломоносова.– М.,2003.-26 с.
5.1.3.Электронный каталог
1. Астахова, Л.В.Теория информационной безопасности и методология защиты информации: Конспектлекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайоннаятипография», 2006.- 361 с.
2. Буробин, В.Н.Адвокатская тайна/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин.- М.: Статут, 2006.- 253с.
3. Иванов, А.В.Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 1995.- 39с.
4. Курело, А.П.Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов,В.В.Андрианов и др.- М.: БДЦ–пресс, 2005.- (t–Solutions).- 511с.
5. Петрухин, И.Л.Личные тайны: человек и власть/ И.Л.Петрухин.- М.: ЦГПАН, 1998.- 230 с.
6. Поздняков, Е.Н.Защита объектов: Рекомендации для руководителей и сотрудников служббезопасности/ Е.Н.Поздняков.– М.: Концерн «Банковский деловой центр», 1997.-(Советы «профи»).- 222 с.
7. Соловьев, Э.Коммерческая тайна и её защита/ Э.Соловьев.- М.: Главбух, 1995.- 48 с.
8. Шафикова, Г.Х. Квопросу о защите персональных данных работника/ Г.Х.Шафикова// Региональнаяинформационная экономика: проблемы формирования и развития: Сб. науч. тр.Междунар. науч-практ. конф. 25-26 октября 2002.- Челябинск: Изд-во ЮУрГУ,2003.- С. 359-362.
9. Ярочкин, В.И.Коммерческая информация фирмы: утечка или разглашение конфиденциальнойинформации/ В.И.Ярочкин.- М.: Ось-89, 1997.- 160 с.
5.1.4.Информационно–поисковые системы Интернет
1. Адвокатскаятайна/ Юридическая библиотека [Электронный ресурс]// Юридическая библиотека URKA.ru.- (http://www.urka.ru/library.php/chat/chat/library/arch/library.php?parent=419).
2. Анализ угроз ипостроение системы информационной безопасности [Электронный ресурс]// МРЦБ.Консультационная фирма. IT-консалтинг.-(http://www.mrcb.ru/).
3. Астахов, А.Разработка эффективных политик информационной безопасности/ А.Астахов [Электронныйресурс]// Директор ИС #01/2004.-(http://www.osp.ru/cio/2004/01/rub/1072641.html).
4. Аудитинформационной безопасности [Электронный ресурс]// Микротест. IT-услуги.- (http://www.microtest.ru/services/).
5. Брединский, А.Защита коммерческой тайны. Теория и практика/ А.Брединский, А.Беручашвили[Электронный ресурс]// Информационно-справочный сайт «Безопасность для всех».-(http://www.sec4all.net/).
6. Буробин, В.Н. Ктопосягнул на адвокатскую тайну/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронныйресурс]// Дайджест правовой прессы в Санкт-Петербурге на информационно-правовомпортале Кадис.- (http://www.kadis.ru/daily/).
7. Буробин, В.Н. Нарушенияадвокатской тайны в России / В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронныйресурс]// Адвокатская фирма «Юстина», Новости- (http://www.yustina.ru/).
8. Васильевский, А. Защитакоммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронныйресурс]// Valex Consult- (http://www.valex.net/).
9. Демин, В.Правовое обеспечение системы защиты информации на предприятии/ В.Демин,В.Свалов [Электронный ресурс]// Компьютер-информ.- (http://www.ci.ru/inform11_97/f1.htm).
10. Касперский, Е.Защита коммерческой тайны/ Е.Касперский [Электронный ресурс]// Электроннаяверсия журнала «Консультант».- (http://www.berator.ru/consultant/article/).
11. Комплексныесистемы защиты информации [Электронный ресурс]// AM-SOFT. Деятельностькомпании. Защита информации.- (http://am-soft.ua/site/page4044.html).
12. Корня, А. Защитупробили. Адвокатская тайна может быть упразднена/ А.Корня [Электронныйресурс]// Новая газета.- (http://www.ng.ru/politics/).
13. Кучерена, А.Адвокатская тайна/ А.Кучерена [Электронный ресурс]// reflexion.ru/Library.-(http://www.reflexion.ru/Library).
14. Михеева, М.Р.Проблема правовой защиты персональных данных/ М.Р.Михеева [Электронныйресурс]// Владивостокский центр исследования организованной преступности.-(http://www.crime.vl.ru/).
15. ОпределениеКонституционного Суда Российской Федерации от 8 ноября 2005 г. N 439-О по жалобе граждан С.В. Бородина, В.Н. Буробина, А.В. Быковского и других на нарушениеих конституционных прав статьями 7, 29, 182 и 183 Уголовно-процессуальногокодекса Российской Федерации [Электронный ресурс]// Российская газета.–(http://www.rg.ru/).
16. Организациязащиты коммерческой тайны на предприятии [Электронный ресурс]// Пензенскийделовой портал.- (http://www.penza-job.ru/).
17. Петренко, С.Разработка политики информационной безопасности предприятия/ С.Петренко,В.Курбатов [Электронный ресурс]// Сетевые решения A-Z.-(http://www.nestor.minsk.by/sr/help/2007/07/130100.html).
18. Служба защитыинформации на предприятии. Что она из себя представляет и как ее организовать [Электронныйресурс]// Спектр безопасности.- (http://www.spektrsec.ru/).
19. Столяров, Н.В.Разработка системы защиты конфиденциальной информации/ Н.В.Столяров [Электронныйресурс]// 4Delo.ru Библиотека.- (http://www.4delo.ru/inform/articles/).
20. Цыпкин, А.Л. Адвокатскаятайна/ А.Л.Цыпкин [Электронный ресурс]// Russian-lawyers.ru..-(http://russian-lawyers.ru/files/cypkin.doc).
21. Чен Энн. Юристывыдвигают аргументы в пользу eRoom/Энн Чен [Электронный ресурс]// PC WEEK, RE, № 17/2007.- (http://www.pcweek.ru/?ID=629431).
22. Шуличенко, А.А.Адвокатская тайна в показаниях обвиняемого/ А.А.Шуличенко [Электронныйресурс]// Бизнес mix.-(http://www.businessmix.ru/).
23. Щеглов, А.Ю. Часть12. Общие вопросы построения системы защиты информации/ А.Ю.Щеглов, К.А.Щеглов [Электронныйресурс]// Мост безопасности. Библиотека.-(http://articles.security-bridge.com/).
5.1.5. Сплошной просмотрпериодических изданий
1. Алексенцев, А.И.Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев//Вопросы защиты информации.- 1996.- № 2. — С. 2 — 3.
2. Алябушев, И.Б.Методики защиты баз данных от внутренних злоумышленников/ И.Б.Алябушев,В.В.Бабушкин// Информационно–методический журнал «Защита информации INSIDE».- 2006.- № 6 (12).- С.58.
3. Брединский, А.Г.Люди – источники конфиденциальной информации/ А.Г.Брединский//Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 2(56).- С.32.
4. Буробин, В.Н.Правовой режим адвокатской тайны/ В.Н.Буробин// «Бизнес-адвокат».- 2006.- № 3,4.- С.28-33.
5. Журин, С.И.Вопросы оценки благонадежности персонала в подготовке администратораинформационной безопасности/ С.И.Журин, М.Ю.Калинкина//Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 3(57).- С.28.
6. Казанцев, В.Г.Обучение руководителей служб безопасности/ В.Г.Казанцев//Информационно–методический журнал «Защита информации INSIDE».- 2005.- № 6 (06)– С.66.
7. Казанцев, В.Г.Профессиональное образование сотрудников подразделений экономической иинформационной безопасности. В.Г.Казанцев// Информационно–методический журнал«Защита информации Конфидент».- 2004.- № 3 (57).- С.30.
8. Как найти иобезвредить сотрудника–саботажника// Информационно–методический журнал «Защитаинформации INSIDE».- 2005.- № 5 (05).- С.28.
9. Копейкин, В.Г.Экономическая безопасность предприятия: обучение персонала/ В.Г.Копейкин,Н.А.Лапина// Информационно–методический журнал «Защита информации Конфидент».-2004.- № 3 (57).- С.44.
10. Кучерена А.Адвокатская тайна/ А.Кучерена // Законность.- 2003. – № 2. – С. 47 – 50.
11. Шатунов, В.М.Обучение персонала как составная часть проблемы обеспечения информационнойбезопасности энергосистемы/ В.М.Шатунов, И.Н.Бабков//Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 3(57).- С.53.
12. DeviceLock 5.72. — защита от локальногоадминистратора!// Information Security.- 2005.- № 4.- С.38./>/>/>
5.2. Список использованной литературы
5.2.1. Вторичные источники
1. Адвокатскаятайна/ Юридическая библиотека [Электронный ресурс]// Юридическая библиотека URKA.ru.- (http://www.urka.ru/library.php/chat/chat/library/arch/library.php?parent=419).
2. Алексенцев, А.И.Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев//Вопросы защиты информации.- 1996.- № 2. — С. 2 — 3.
3. Астахов, А.Разработка эффективных политик информационной безопасности/ А.Астахов [Электронныйресурс]// Директор ИС #01/2004.-(http://www.osp.ru/cio/2004/01/rub/1072641.html).
4. Астахова, Л.В.Теория информационной безопасности и методология защиты информации: Конспектлекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайоннаятипография», 2006.- 361 с.
5. Брединский, А.Защита коммерческой тайны. Теория и практика/ А.Брединский, А.Беручашвили[Электронный ресурс]// Информационно-справочный сайт «Безопасность для всех».-(http://www.sec4all.net/).
6. Буробин, В.Н.Адвокатская тайна/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин.- М.: Статут, 2006.- 253с.
7. Буробин, В.Н. Ктопосягнул на адвокатскую тайну/ В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронныйресурс]// Дайджест правовой прессы в Санкт-Петербурге на информационно-правовомпортале Кадис.- (http://www.kadis.ru/daily/).
8. Буробин, В.Н. Нарушенияадвокатской тайны в России / В.Н.Буробин, В.Ю.Плетнев, Д.А.Шубин [Электронныйресурс]// Адвокатская фирма «Юстина», Новости- (http://www.yustina.ru/).
9. Буробин, В.Н.Правовой режим адвокатской тайны/ В.Н.Буробин// «Бизнес-адвокат».- 2006.- № 3,4.- С.28-33.
10. Васильевский, А. Защитакоммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронныйресурс]// Valex Consult- (http://www.valex.net/).
11. Демин, В.Правовое обеспечение системы защиты информации на предприятии/ В.Демин,В.Свалов [Электронный ресурс]// Компьютер-информ.- (http://www.ci.ru/inform11_97/f1.htm).
12. Касперский, Е.Защита коммерческой тайны/ Е.Касперский [Электронный ресурс]// Электроннаяверсия журнала «Консультант».- (http://www.berator.ru/consultant/article/).
13. Кучерена, А.Адвокатская тайна/ А.Кучерена [Электронный ресурс]// reflexion.ru/Library.-(http://www.reflexion.ru/Library).
14. ОпределениеКонституционного Суда Российской Федерации от 8 ноября 2005 г. N 439-О по жалобе граждан С.В. Бородина, В.Н. Буробина, А.В. Быковского и других на нарушениеих конституционных прав статьями 7, 29, 182 и 183 Уголовно-процессуальногокодекса Российской Федерации [Электронный ресурс]// Российская газета.–(http://www.rg.ru/).
15. Организациязащиты коммерческой тайны на предприятии [Электронный ресурс]// Пензенскийделовой портал.- (http://www.penza-job.ru/).
16. Петренко, С.Разработка политики информационной безопасности предприятия/ С.Петренко,В.Курбатов [Электронный ресурс]// Сетевые решения A-Z.-(http://www.nestor.minsk.by/sr/help/2007/07/130100.html).
17. РоссийскаяФедерация. Законы. Кодекспрофессиональной этики адвоката: [принят Всероссийским съездом адвокатов31.01.2003; в ред. от 08.04.2005].- КонсультантПлюс.- (http://www.consultant.ru).
18. РоссийскаяФедерация. Законы. Обадвокатской деятельности и адвокатуре в Российской Федерации: федер. закон: [от31.05.2002 № 63-ФЗ; в ред. от 20.12.2004].- КонсультантПлюс.-(http://www.consultant.ru).
19. РоссийскаяФедерация. Законы. Окоммерческой тайне: федер. закон: [от 29.07.2004 № 98-ФЗ; принят Гос.Думой09.07.2004; в ред. от 02.02.2006].- КонсультантПлюс.-(http://www.consultant.ru).
20. РоссийскаяФедерация. Законы. Оперсональных данных: федер. закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой08.07.2006].- КонсультантПлюс.- (http://www.consultant.ru).
21. РоссийскаяФедерация. Законы. Опротиводействии легализации (отмыванию) доходов, полученных преступным путем, ифинансированию терроризма: федер. закон: [от 07.08.2001 № 115-ФЗ; принятГос.Думой 13.07.2001; в ред. от 16.11.2005].- КонсультантПлюс.-(http://www.consultant.ru).- КонсультантПлюс.- (http://www.consultant.ru).
22. РоссийскаяФедерация. Законы. Трудовойкодекс Российской Федерации: федер. закон: [от 30.12.2001 № 197-ФЗ; принятГос.Думой 21.12.2001; в ред. от 09.05.2005].- КонсультантПлюс.-(http://www.consultant.ru).
23. Служба защитыинформации на предприятии. Что она из себя представляет и как ее организовать [Электронныйресурс]// Спектр безопасности.- (http://www.spektrsec.ru/).
24. Столяров, Н.В.Разработка системы защиты конфиденциальной информации/ Н.В.Столяров [Электронныйресурс]// 4Delo.ru Библиотека.- (http://www.4delo.ru/inform/articles/).
25. Щеглов, А.Ю. Часть12. Общие вопросы построения системы защиты информации/ А.Ю.Щеглов, К.А.Щеглов [Электронныйресурс]// Мост безопасности. Библиотека.- (http://articles.security-bridge.com/).
5.2.2.Первичные источники
1. Конференция-online ИА REGNUM «Кибертерроризм и безопасность бизнеса в России» 9февраля 2007 с 13 до 14 часов по московскому времени. Отвечал Клепов АнатолийВикторович, президент ЗАО «Анкорт». Вопрос Ильи Седова, Санкт-Петербург.
2. Лекции по теорииинформационной безопасности и методологии защиты информации, прочитанныеРагозиным Андреем Николаевичом.
5.2.3.Оценка надежности использованных источников
1.Надежныйисточник (4, 6-9, 14, 17-22, первичные – 2) – 48%
2.Обычно надежныйисточник (2, 12) – 7%
3.Довольнонадежный источник (1, 3, 5, 10-11, 15-16, 23-25, первичные – 1)– 41%
4.Не всегданадежный источник (13) – 4%
5.Ненадежныйисточник – 0%
6.Источникнеустановленной надежности – 0%
/>/>6. Недостающая информация
Для подтверждения окончательной гипотезы и принятия правильного решениямне необходима была следующая информация: Положение оконфиденциальной информации предприятия; Инструкция по защите конфиденциальнойинформации в информационной системе предприятия; трудовой договор, соглашение онеразглашении конфиденциальной информации предприятия с сотрудником иобязательство сотрудника о неразглашении конфиденциальной информациипредприятия при увольнении. На основе этих документов я смогла бы сделать выводо степени защищенности конфиденциальной информации и избежать рекомендаций,которые уже сейчас выполняются в адвокатской фирме «Юстина» (а именно: ярекомендовала подготовить некоторые из этих документов, считая, что они отсутствуютв организации). Но эти документы, относящиеся к безопасности, являютсякоммерческой тайной организации, поэтому мне не удалось с ними ознакомиться.
Сведения о наличии пропускного режима мне удалось найти, но опорядке его проведения и состоянии организации охраны мне ничего не известно,т.к. это тоже коммерческая тайна организации. А между тем эта информацияпозволила бы мне сделать вывод о том, достаточно ли строги эти меры.
Таким образом, вся недостающая мне информация не была мноюполучена в связи с тем, что относится к информации ограниченного доступа.
/>/>7. Основная и альтернативная гипотезы
Не многие руководители предприятий осознают насущнуюнеобходимость в организации на предприятии системы защиты конфиденциальнойинформации для обеспечения его информационной безопасности. Из числа тех, ктоосознает такую необходимость, есть те, которые не знают, что следуетпредпринять, чтобы сохранить те или иные сведения в тайне, с выгодойреализовать их, не понести убытки от их утечки или утраты. Многие идут толькопо пути оснащения предприятия техническими средствами защиты, полностьюигнорируя организационно-правовые методы, в частности созданиенормативно-правовой базы, принятие и строгое соблюдение которой позволитпредприятию не только сохранить и использовать с выгодой свои секреты, а вслучае утечки информации явится основанием для подачи искового заявления в суд.
Однако известно, что только «комплексная система может гарантироватьдостижение максимальной эффективности защиты информации, т.к. системностьобеспечивает необходимые составляющие защиты и устанавливает между нимилогическую и технологическую связь, а комплексность, требующая полноты этихсоставляющих, всеохватности защиты, обеспечивает ее надежность» [2].
Основываясь на этих фактах, в начале работы я сформулировалаосновную и альтернативную гипотезу.Моя основная гипотеза – вадвокатской фирме «Юстина» не уделяется должное внимание системе защитыконфиденциальной информации, т.е. используются только некоторые техническиесредства защиты информации (биометрические турникеты, система видеонаблюдения, межсетевойэкран, антивирусная защита, система обнаружения атак, система анализасодержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика идр.).
И альтернативная гипотеза: в адвокатской фирме «Юстина»создана идеальная система защиты информации, обеспечивающая комплекснуюбезопасность информации фирмы.
Гипотезу об отсутствии системы защиты информации я рассматривать нестала, т.к. «Юстина» довольно крупная, известная и далеко не молодая фирма. Такжесведения об информационной системе не дают возможности выдвинуть эту гипотезу.
В ходе подготовки информационно-аналитического обзора я поняла, чтосистема защиты конфиденциальной информации далеко не идеальна, т.к. в такойфирме просто необходимо существование собственной службы защиты информации, аее до сих пор нет. Однако мне не удалось ознакомиться с некоторыми документами,которые позволили бы сделать вывод об объективном состоянии защиты информации в«Юстине». Скорее всего, положение о конфиденциальнойинформации предприятия, инструкция по её защите, соглашение о неразглашенииконфиденциальной информации предприятия с сотрудником и обязательствосотрудника о неразглашении конфиденциальной информации предприятия приувольнении в фирме есть. Однако это не все необходимые документы и, кроме того,как видно из характеристики информационной системы фирмы технических средств недостаточно для обеспечения должной информационной безопасности. Поэтому ясклоняюсь к правильности моей основной гипотезы.