Введение
Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.
Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.
Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.
Базой исследования является ОАО "ЧЗПСН - Профнастил"
Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;
7. Рассмотреть технологические системы обработки конфиденциальных документов;
8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.
В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.
Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).
Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).
Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:
1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;
2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).
Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).
27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.
10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).
Основными в области безопасности конфиденциальной информации также являются законы РФ:
1. "О государственной тайне" от 22 июля 2004 г. (4);
2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);
3. "Об утверждении Перечня сведений конфиденциального характера" (11);
4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).
Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).
Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).
Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).
К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).
Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).
Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.
Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).
В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).
Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.
В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.
Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.
К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.
Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.
Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы
Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.
Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.
В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.
Заключение содержит выводы по выпускной квалифицированной работе.
Список использованных источников и литературы включает 110 наименований.
Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".
Ценность информации
К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).
Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).
Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).
При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).
Информация может быть разделена на три категории (82, с.33).
Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.
Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:
1. Доступную для всех сотрудников фирмы;
2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.
Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.
Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).
Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).
Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.
Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:
1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;
2. Отсутствие свободного доступа к этой информации на законном основании;
3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.
Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).
Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.
Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:
1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4. Документы о платежеспособности;
5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
6. Документы об уплате налогов и обязательных платежах;
7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).
Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.
Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).
Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.
Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.
Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).
Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).
К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).
Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).
Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.
Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).
Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:
1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);
2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).
Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).
Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).
Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.
Заключение
На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества.
Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.
В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.
В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.
Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам её собственнику (в том числе фирме, предприятию).
Документы ограниченного доступа делятся на "несекретные" и "секретные". Обязательным признаком секретного документа является наличие в нём сведений, отнесённых законодательством к государственной тайне.
Несекретные документы ограниченного доступа входят в перечень сведений конфиденциального характера, утверждённый Указом Президента РФ от 6 марта 1997 года № 188.
Под конфиденциальным документом, т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые не относятся к государственной тайне и составляют интеллектуальную собственность юридического и физического лица.
Коммерческая тайна - научно-техническая, коммерческая, организационная или иная другая используемая в предпринимательской деятельности информация, которая обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным путём другими липами, которые могли бы получить экономическую выгоду от её разглашения или использования.
Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования её конкретности для нанесения вреда предприятию.
Необходимо знать, что в отличие от открытых документов, процесс исполнения конфиденциальных документов представляет собой достаточно насыщенную различными технологическими этапами и процедурами технологию.
Специалисты выделяют следующие основные направления деятельности на законодательном уровне:
1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
3. Интеграция в мировое правовое пространство;
4. Учет современного состояния информационных технологий (51, с.8).
Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты.
Обобщая все вышесказанное, можно сделать вывод, что система защиты информации представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих незаконному доступу к информации.
Руководитель фирмы лично определяет не только состав ценной информации, но и соответствующие способы и средства защиты, а также меры ответственности персонала за разглашение коммерческой тайны фирмы и комплекс поощрений за соблюдение порядка защиты конфиденциальной информации.
Система защиты должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специфике фирмы по структуре используемых методов и средств защиты, она не должна создавать сотрудникам фирмы неудобства в работе.
Комплексность системы защиты достигается формированием ее из различных элементов: правовых, организационных, технических и программно-аппаратных.
Состав, взаимосвязь элементов системы определяют не только ее единичность, но и конкретно заданный уровень защиты, и стоимость этой системы.
Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной формы задачи и обладает конкретизированным содержанием этих задач. В комплексе эти элементы формируют многоуровневую защиту конфиденциальной информации предприятия, при условии неукоснительного соблюдения всех мер и условий, поставленных данной системой.
При решении задач по защите информационных ресурсов компании необходимо разработать политику информационной безопасности предприятия - это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с целью обеспечения компьютерной безопасности. Политика информационной безопасности - это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены "слабые" места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.
Обобщая все сказанное, отметим, что система технической защиты информации является ключевым звеном политики информационной безопасности, поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной интеграционной процедурой, состоящей из выполнения рассмотренных выше шагов.
Система защиты компьютерной информации от несанкционированного доступа может рассматриваться в двух приложениях:
1. Защита автономного компьютера;
2. Защита компьютера в составе сети (ЛВС).
Очевидно, что задача защиты компьютера как самостоятельного объекта, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.
При разработке и проектировании системы защиты информационных ресурсов от несанкционированного доступа, при использовании на предприятии как отдельных компьютеров, так и локальной вычислительной сети необходимо учитывать множество факторов, которые в совокупности дадут желаемый эффект защищенности. В первую очередь, на предприятии необходимо тщательно разработать политику информационной безопасности предприятия, которая в полной мере отразит необходимые требования по защите конфиденциальной информации. Во - вторых, следует разработать комплексный подход в проектировании систем защиты.
Каждая компонента системы защиты должна быть рассчитана на защиту определенного набора возможных каналов несанкционированного доступа. Контролируемыми объектами могут служить не только замкнутость корпусов защищаемых объектов, но и другие компоненты объектовой защиты - двери в помещение, сейфы и др., отсюда следует необходимость комплексирования в единой системе защиты (с единым выделенным сервером безопасности) средств технической, внутрисетевой и объектовой защиты.
В процессе данного исследования проанализирована система защиты информационных ресурсов компании ОАО "ЧЗПСН - Профнастил".
Руководству компании следует обратить особое внимание на то, что существующая система защиты информационных ресурсов традиционного и электронного документооборота на данный момент является уже устаревшей и недостаточной для полноценной защиты информации.
Для защиты своих информационных ресурсов необходимо использовать современные технологии. Анализ теоретического материала позволяет рекомендовать руководству компании новые технологии в создании и построении системы защиты.
На данный момент наиболее рекомендуемой системой защиты конфиденциальной информации является комплексная система защиты информации, включающая в себя все виды компонентов защиты, а именно программную, техническую, внутрисетевую и объектную, имеющую централизованно - распределенную архитектуру, она наиболее полно отвечает современным требованиям по защите информации.
В целом защита от несанкционированного доступа локальной вычислительной сети осуществляется на уровне принятом в большинстве организаций, т.е. минимальный набор защитных средств: разграничительный подход к пользователям локальной вычислительной сети, наличие журналов регистрации выдачи конфиденциальных документов, физическая охрана, система пропусков, наличие защитной и пожарной сигнализации.
Что касается системы защиты информации от несанкционированного доступа на традиционных носителях и защиты традиционного конфиденциального документооборота, то можно отметить практически полную реализацию требований. В наличии полный набор необходимых нормативно-методических материалов по работе с конфиденциальной информацией: Положение по защите коммерческой тайны на предприятии, Инструкция по обеспечению сохранности сведений составляющих коммерческую тайну компании, Памятка о сохранении коммерческой тайны предприятия, Обязательство о неразглашении коммерческой тайны, Предупреждение о необходимости сохранения коммерческой тайны при увольнении с предприятия, Инструкции по обеспечению сохранности сведений составляющих коммерческую тайну компании для структурных подразделений, Журналы регистрации входящих, исходящих документов, регистрации и учета носителей, учета изданных документов, все перечисленные нормативно-методические материалы утверждены генеральным директором компании.
Тем не менее, специалисты в области защиты информационных ресурсов, рекомендуют дополнить существующие меры по обеспечению безопасности созданием специального структурного подразделения - службы конфиденциального делопроизводства - в котором будут сосредоточены все ресурсы ограниченного доступа компании.
В данном структурном подразделении должен быть сосредоточен персонал, являющийся специалистами в области защиты информационных ресурсов. Это подразделение должно находиться в специально отведенном и оборудованном помещении, иметь сигнализацию, светонепроницаемые шторы-жалюзи, сейфы, защиту от прослушивания и несанкционированной съемки, систему контроля вскрытия аппаратуры, окон, увеличенной прочности двери с электромеханическим замком со считывателями электронных идентификаторов, с датчиком положения двери и устройством сбора сигналов с датчиков.
Таким образом, в работе исследованы и проанализированы современные требования к организации защиты конфиденциальной информации, рассмотрены критерии и технологии построения и использования систем защиты информационных ресурсов предприятия, на основе анализа теоретического материала и рекомендаций ведущих специалистов в области защиты конфиденциальной информации, даны рекомендации по рационализации существующей в компании системы защиты информационных ресурсов.
Поставленные в работе задачи можно считать достигнутыми.
Введение
Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.
Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.
Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.
Базой исследования является ОАО "ЧЗПСН - Профнастил"
Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;
7. Рассмотреть технологические системы обработки конфиденциальных документов;
8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.
В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.
Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).
Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).
Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:
1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;
2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).
Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).
27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.
10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).
Основными в области безопасности конфиденциальной информации также являются законы РФ:
1. "О государственной тайне" от 22 июля 2004 г. (4);
2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);
3. "Об утверждении Перечня сведений конфиденциального характера" (11);
4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).
Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).
Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).
Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).
К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).
Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).
Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.
Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).
В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).
Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.
В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.
Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.
К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.
Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.
Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы
Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.
Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.
В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.
Заключение содержит выводы по выпускной квалифицированной работе.
Список использованных источников и литературы включает 110 наименований.
Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации (89, с.45).
В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей целью извлечение прибыли (46, с. 20).
Со второй половины XIX в. появляются и различные определения понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более высоким языком, тайну производства благ и тайну их распределения.
В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.
В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах с другими странами, однако отечественной законодательной основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).
Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно было сформулировать определение коммерческой тайны. Такое определение было сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам".
Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя (32, с.13).
Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. (56, с.212).
Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф (71, с.5 8).
Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).
В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных (61, с.32).
Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.
Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).
Секретность - правила и условие доступа и допуска к объектам информации (89, с.50).
Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к информации.
Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.
Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом (91, с. 208).
Ценность информации
К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).
Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).
Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).
При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).
Информация может быть разделена на три категории (82, с.33).
Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.
Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:
1. Доступную для всех сотрудников фирмы;
2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.
Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.
Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).
Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).
Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.
Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:
1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;
2. Отсутствие свободного доступа к этой информации на законном основании;
3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.
Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).
Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.
Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:
1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4. Документы о платежеспособности;
5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
6. Документы об уплате налогов и обязательных платежах;
7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).
Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.
Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).
Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.
Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.
Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).
Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).
К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).
Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).
Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.
Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).
Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:
1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);
2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).
Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).
Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).
Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.
Дата: 2019-05-28, просмотров: 240.