Защита конфиденциальной информации на предприятии
Отдел кадров (ОК) осуществляет наем и увольнение работников,
регистрацию явки персонала на работу, контроль за соблюдением режима рабочего дня
и трудовой дисциплины, обучение кадров.
Общий отдел организует документационное обеспечение управления
предприятием, медицинское и медико-профилактическое обслуживание персонала, питание
на предприятии и т.п.
Отдел капитального строительства (ОКС) занимается организацией
небольших по объему строительных работ.
В подчинении заместителя генерального директора и директора по
маркетингу имеется два подразделения - центр продаж и центр региональных продаж.
Оба подразделения практически занимаются поиском заказчиков и оформлением договоров
на продажу продукции предприятия.
Экономический отдел разрабатывает текущие планы деятельности
предприятия, организует анализ хозяйственной деятельности предприятия, а также разрабатывает
порядок нормирования труда персонала и осуществляет его, устанавливает по согласованию
с генеральным директором и представителями трудового коллектива систему и уровень
оплаты труда, ведет работу по совершенствованию организации труда, следит за соблюдением
законов о труде.
Рассмотрим защиту
конфиденциальной информации в ОАО "ЧЗПСН - Профнастил". Организация работы
с документами, содержащими коммерческую тайну, ведется 2-мя подразделениями: общим
отделом и отделом кадров.
Среди функций секретаря
генерального директора есть функция "Работа с конфиденциальными документами,
участие в разработке и пополнении "Перечня сведений, составляющих коммерческую
тайну" и других нормативных актов, регламентирующих порядок обеспечения безопасности
и защиты информации".
Секретарь подчиняется
заместителю директора предприятия.
На отдел кадров
возложено:
¾
документирование трудовых правоотношений организации со штатным и
временным персоналом;
¾
разработка "Перечня сведений, составляющих коммерческую тайну"
и других нормативных актов, регламентирующих порядок обеспечения безопасности и
защиты информации;
¾
хранение и ведение документации по личному составу, трудовых книжек
и личных дел;
¾
защита персональных данных работников организации.
Отдел кадров является
самостоятельным структурным подразделением, подчиненным непосредственно первому
заместителю директора. В отделе кадров два менеджера по персоналу, один из которых
занимается оформлением кадровой документации, а другой - текущими вопросами (подбором
персонала, подготовкой нормативных документов, организацией корпоративных мероприятий
и т.п.).
Разработка документов
по защите коммерческой тайны возложена на отдел кадров. Подготовка этих документов
осуществляется при содействии секретаря и юридического отдела.
Сотрудники ОАО
"ЧЗПСН - Профнастил", которые имеют к информации, содержащей сведения
конфиденциального характера, при приеме на работу знакомятся с Перечнем сведений,
содержащих коммерческую тайну, и подписывают обязательство о неразглашении коммерческой
тайны.
Перечень сведений,
составляющих коммерческую тайну ОАО "ЧЗПСН - Профнастил", составлен с
учетом ФЗ "О коммерческой тайне".
Хранение документов
с грифом "Коммерческая тайна" осуществляется в сейфах и сейфовых шкафах
или на металлических закрывающихся стеллажах, а также в закрытых для свободного
доступа помещениях, либо, с разрешения генерального директора, в других подразделениях
при обеспечении условий их гарантированной сохранности.
Выдача сотрудникам
конфиденциальных документов ведется строго в соответствии со списком фамилий на
обороте последнего листа документа. Движение (выдача и возврат) документов с грифом
"Коммерческая тайна" отражается в журнале учета выдачи документов с грифом
"Коммерческая тайна".
Если документы хранятся
в подразделениях завода, то за их выдачу, возврат и отражение данных фактов в журнале
учета выдачи документов с грифом "Коммерческая тайна" отвечает руководитель
подразделения. Сотрудники оповещаются о введении новых сведений, содержащих коммерческую
тайну, путем ознакомления с приказом о мерах по охране коммерческой тайны.
Управлению кадров
в настоящее время поручена разработка новой документации по работе с конфиденциальными
документами: Положения о коммерческой тайне и корректировка Перечня сведений, содержащих
коммерческую тайну.
Функции работника
по обработке секретных документов и документов с грифом "Коммерческая тайна"
выполняет секретарь.
К конфиденциальной
информации относятся и персональные данные сотрудников ОАО "ЧЗПСН - Профнастил".
С персональными данными в первую очередь работают сотрудники отдела кадров.
Наиболее распространенными
операциями с персональными данными являются их получение, обработка, хранение и
передача.
К документам, содержащим
информацию, необходимую работодателю при приеме на работу, относятся документы,
предъявляемые при заключении трудового договора. Все эти документы указаны в ст.65
Трудового кодекса РФ и соответствующих положениях иных федеральных законов.
Хранятся личные
дела и другие документы, отражающие персональные данные сотрудников, в сейфовых
шкафах в помещении отделе кадров. Ключи от сейфовых шкафов находятся у сотрудников
отдела.
Выдача персональной
информации о сотрудниках осуществляется по первому их требованию, сотрудники получают
полную информацию об их персональных данных и обработке этих данных, имеют свободный
бесплатный доступ к своим персональным данным, включая право на получение копий
любой записи, содержащей персональные данные работника.
Персональных данные
не сообщаются третьей стороне без письменного согласия работника, причем лица, получающие
персональные данные работника, предупреждаются о том, что эти данные могут быть
использованы лишь в целях, для которых они сообщены.
На предприятии ведется разделение документов по типам с заведением
соответствующих папок (каталогов). Например, основной каталог именуется "Документы".
Следующий уровень - входящие в него подкаталоги: "Договоры", "Презентации",
"Заказчики", "Конкуренты" и т.п.
В каждом подкаталоге заведены папки
с различными наименованиями. В "Договорах" каждому из них присвоен №
- в одной папке хранится вся документация по данному конкретному договору, для
"Конкурентов" используются буквы алфавита и цифры, в них уже находятся
папки с наименованием конкурента со складируемой о нем информацией и т.д.
Все сотрудники уведомлены в том, что
документы не следует оставлять на рабочем столе, необходимо помещать их в соответствующую
папку. Ответственность за соблюдение этого правила несет специально назначенный
сотрудник.
Сотрудники, согласно установленным правилам,
не должны выкидывать в мусорную корзину ненужные документы (пусть и не конфиденциальные).
Для этих целей используется шредер - уничтожитель бумаг.
Для соблюдения безопасности на ассматриваемом
предприятии компьютеры подключенные к Интернету поставлены отдельно (по количеству
кабинетов в офисе, сотрудников, другим критериями на собственное усмотрение). Разработан
порядок переноса информации с компьютеров и на них, назначен ответственный.
Съемные диски хранятся в запертом сейфе
и выдаются под расписку.
Ведутся два комплекта архивов. Один,
обновляемый раз месяц - в банковской ячейке, другой, повседневный - в сейфе.
Таким образом, проанализировав систему
защиты информации в ОАО "ЧЗПСН - Профнастил" выявлены следующие недостатки:
1.
В целом законодательство о защите персональных данных соблюдается в организации
практически во всех отношениях. Но пока еще только разрабатывается локальный нормативный
акт, который закрепляет порядок получения, обработки, хранения и передачи персональных
данных работника с учетом недавно принятых нормативно-правовых документов. Данная
разработка сегодня регулируется положениями Трудового кодекса и ФЗ "О персональных
данных".
2.
Для документов по личному составу и постоянного срока хранения за прошедшие
годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных
документов согласно Основным правилам работы архивов организаций.
3.
Нет документа, четко устанавливающего порядок конфиденциального документооборота
в организации, требования к составлению и оформлению конфиденциальных документов,
а также к обработке. Не ведется учет объема конфиденциального документооборота.
4.
Завод не имеет в своей структуре службы безопасности.
5.
Отсутствие системы конфиденциального делопроизводства в организации.
6.
На предприятии существуют устаревшие методы и принципы организации работы
с документами.
Для решения проблемной
ситуации (создания системы конфиденциального делопроизводства) в организации необходимо:
1.
Выделить, объединив участников документооборота, самостоятельное структурное
подразделение (службу конфиденциального делопроизводства). Разработать положение
о подразделении, должностные инструкции работников подразделения;
2.
Разработать новую инструкцию о конфиденциальном делопроизводстве, устанавливающую
порядок составления, оформления конфиденциальных документов, конфиденциального документооборота,
контроль исполнения конфиденциальных документов, согласования документов, ведения
делопроизводства. Ознакомить всех сотрудников организации.
3.
Необходимо обучить сотрудников, правилам работы с конфиденциальными документами.
4.
Выделить помещение для службы конфиденциального делопроизводства. В нем должно
быть помещение для хранения конфиденциальных документов, помещение для работы с
конфиденциальными документами. Это помещение должно быть оборудовано соответствующим
образом:
¾
перед входом в помещение должна быть установлена камера видеонаблюдения;
¾
на дверях должен стоять кодовый замок или идентификатор;
¾
в помещениях должен быть установлен кондиционер;
¾
должен стоять сейф или металлические шкафы для хранения документов;
¾
рабочие места в помещениях для работы сотрудников должны быть огорожены
специальными перегородками;
¾
на окнах необходимо повесить жалюзи или светонепроницаемые шторы.
5.
Ввести пропускной режим на территорию ОАО "ЧЗПСН-Профнастил".
6.
Все конфиденциальные документы должны быть сосредоточены в службе конфиденциального
делопроизводства.
7.
Выделить специальное помещение и оборудовать соответствующим образом для
проведения конфиденциальных совещаний и переговоров.
8.
Необходимо разработать положение о конфиденциальной информации, правила работы
с конфиденциальными документами.
9.
В целях обеспечения информационной безопасности внутренняя сеть и Интернет
должны быть разделены. В идеале, компьютер для выхода в Интернет должен быть обособлен
и, не иметь никакой прямой связи с другими рабочими станциями.
10.
Удобнее всего (для постоянного использования) хранить архивы на оптических
носителях, которые в конце рабочего дня должны сдаваться в службу конфиденциального
делопроизводства.
11.
Исходя из ситуации, и в целях совершенствования системы защита информации,
нужно, чтобы на предприятии функционировала служба безопасности.
Функции, которой будут следующими:
¾
организует и обеспечивает пропускной и внутриобъектовый режим в зданиях
и помещениях, порядок несения службы охраны, контролирует соблюдение требований
режима сотрудниками, арендаторами, партнерами и посетителями;
¾
разрабатывает основополагающие документы с целью закрепления в них
требований обеспечения безопасности и защиты государственной тайны и конфиденциальной
информации, в частности устава, правил внутреннего трудового распорядка, положений
о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных
инструкций и обязанностей руководства, специалистов, рабочих и служащих;
¾
разрабатывает и осуществляет совместно с другими подразделениями мероприятия
по обеспечению работы с документами, содержащими сведения, являющиеся информацией
ограниченного доступа, при всех видах работ организует и контролирует выполнение
требований инструкции по защите конфиденциальной информации;
¾
изучает все стороны производственной, коммерческой, финансовой и другой
деятельности для выявления и закрытия возможных каналов утечки конфиденциальной
информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует
данные о злоумышленных устремлениях конкурентов и других организаций в отношении
деятельности организации и е клиентов, партнеров, смежников;
¾
организует и проводит служебные расследования по фактам разглашения
сведений, утрат документов и других нарушений безопасности организации;
¾
разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих
конфиденциальную информацию и другие нормативные акты, регламентирующие порядок
обеспечения безопасности и защиту информации;
¾
обеспечивает строгое выполнение требований нормативных документов
по защите конфиденциальной информации;
¾
осуществляет руководство службами и подразделениями безопасности предприятий
организации в части оговоренных в договорах условий по защите конфиденциальной информации
¾
организует и регулярно проводит учебу сотрудников фирмы и службы безопасности
по всем направлениям защиты конфиденциальной информации, добиваясь, чтобы к охране
коммерческих секретов был глубоко осознанный подход;
¾
ведет учет сейфов, металлических шкафов, специальных хранилищ и других
помещений, в которых разрешено постоянное или временное хранение конфиденциальной
информации;
¾
ведет учет выделенных для конфиденциальной работы помещений, технических
средств в них, обладающих потенциальными каналами утечки информации;
Служба безопасности должна быть самостоятельной
организационной единицей, подчиняющейся непосредственно генеральному директору организации.
Возглавлять службу безопасности должен
начальник службы в должности заместителя генерального директора по безопасности.
Особое внимание следует обратить на
обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто
находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко
проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от
"потенциальных клиентов" с просьбой сообщить информацию об изделии для
понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные
вещи, проанализировав эту, незначительную, на первый взгляд, информацию. Лучше всего,
чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще
не поступивших в производство. Надо быть предельно осторожным при проведении различных
ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть
самым тщательным образом проинструктирован.
Альтернативный путь организации - формирование
совета по безопасности. Для совета выбирается один представитель от каждого отдела.
Это позволит службе безопасности иметь как бы своего делегата в каждом отделе, который
будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный
таким образом совет обучает работников и выявляет возникающие проблемы по защите
коммерческой тайны. Такая система имеет следующие преимущества:
¾
укрепляются связи между сотрудниками службы безопасности и сотрудниками
производства;
¾
растет понимание требований защиты информации сотрудниками;
¾
развиваются и совершенствуются стратегии обеспечения защиты информации
в каждом отделе, получается поддержка правил и норм, установленных администрацией;
¾
рассмотрение существующих проблем безопасности с позиций отделов;
¾
сокращение штата службы безопасности;
¾
экономия средств на тренинги.
Важно уделить внимание
поддержанию и совершенствованию нововведении, чтобы не вернуться к прежним методам
работы. Итогом данного исследования является принятие руководством анализируемого
предприятия решения о необходимости совершенствования конфиденциального делопроизводства
с учетом всех описанных рекомендаций и факторов по их внедрению.
На современном этапе развития общества
наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией.
Информация становится сегодня главным ресурсом научно-технического и социально-экономического
развития мирового сообщества.
Практически любая деятельность в нынешнем
обществе тесно связана с получением, накоплением, хранением, обработкой и использованием
разнообразных информационных потоков. Целостность современного мира как сообщества
обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с
обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной
собственности.
В условиях рынка и конкуренции коммерческая
тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения
прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих
секретов может привести к снижению доходов предприятия или его банкротству.
В процессе работы над поставленными
задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории
конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе
и управлении предприятием, банком, компанией или другой структурой, является его
собственной, или частной информацией, представляющей значительную ценность для предпринимателя.
Эта информация составляет его интеллектуальную собственность. Такая информация в
законодательстве именуется конфиденциальной.
Эта информация отражает приоритетные
достижения в сфере экономической, предпринимательской и другой деятельности, разглашение
которой может нанести ущерб интересам её собственнику (в том числе фирме, предприятию).
Документы ограниченного доступа делятся
на "несекретные" и "секретные". Обязательным признаком секретного
документа является наличие в нём сведений, отнесённых законодательством к
государственной тайне.
Несекретные документы ограниченного
доступа входят в перечень сведений конфиденциального характера, утверждённый Указом
Президента РФ от 6 марта 1997 года № 188.
Под конфиденциальным документом,
т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом
оформленный носитель документированной информации, содержащий сведения, которые
не относятся к государственной тайне и составляют интеллектуальную собственность
юридического и физического лица.
Коммерческая тайна - научно-техническая,
коммерческая, организационная или иная другая используемая в предпринимательской
деятельности информация, которая обладает реальной или потенциальной экономической
ценностью в силу того, что она не является общеизвестной и не может быть легко получена
законным путём другими липами, которые могли бы получить экономическую выгоду от
её разглашения или использования.
Угроза безопасности информации предполагает
незаконный доступ конкурента к конфиденциальной информации и использования её конкретности
для нанесения вреда предприятию.
Необходимо знать, что в отличие от открытых
документов, процесс исполнения конфиденциальных документов представляет собой достаточно
насыщенную различными технологическими этапами и процедурами технологию.
Специалисты выделяют
следующие основные направления деятельности на законодательном уровне:
1.
Разработка новых законов с учетом интересов всех категорий субъектов информационных
отношений;
2.
Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих
цель наказать виновных) законов;
3.
Интеграция в мировое правовое пространство;
4.
Учет современного состояния информационных технологий (51, с.8).
Нормативно-методическое
обеспечение системы защиты конфиденциальной информации предназначено для регламентации
процессов обеспечения безопасности информации фирмы, в том числе при работе персонала
с конфиденциальными сведениями, документами, делами и базами данных. Оно включает
в себя ряд обязательных организационных, инструктивных и информационных документов,
устанавливающих принципы, требования и способы предотвращения пассивных и активных
угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов,
злоумышленников и других лиц.
Следовательно, система защиты ценной,
конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических
документов, которые детализируют и доводят ее в виде конкретных рабочих требований
до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов
фирмы является обязательным условием эффективности функционирования системы защиты.
Обобщая все вышесказанное, можно сделать
вывод, что система защиты информации представляет собой комплекс организационных,
технических и технологических средств, методов и мер, препятствующих незаконному
доступу к информации.
Руководитель фирмы лично определяет
не только состав ценной информации, но и соответствующие способы и средства защиты,
а также меры ответственности персонала за разглашение коммерческой тайны фирмы и
комплекс поощрений за соблюдение порядка защиты конфиденциальной информации.
Система защиты должна быть многоуровневой
с иерархическим доступом к информации, предельно конкретизированной и привязанной
к специфике фирмы по структуре используемых методов и средств защиты, она не должна
создавать сотрудникам фирмы неудобства в работе.
Комплексность системы защиты достигается
формированием ее из различных элементов: правовых, организационных, технических
и программно-аппаратных.
Состав, взаимосвязь элементов системы
определяют не только ее единичность, но и конкретно заданный уровень защиты, и стоимость
этой системы.
Следовательно, используемая фирмой система
защиты ценной, конфиденциальной информации является индивидуализированной совокупностью
необходимых элементов защиты, каждый из которых в отдельности решает свои специфические
для данной формы задачи и обладает конкретизированным содержанием этих задач. В
комплексе эти элементы формируют многоуровневую защиту конфиденциальной информации
предприятия, при условии неукоснительного соблюдения всех мер и условий, поставленных
данной системой.
При решении задач по защите информационных
ресурсов компании необходимо разработать политику информационной безопасности предприятия
- это основополагающий документ, регламентирующий все мероприятия, реализуемые на
предприятии с целью обеспечения компьютерной безопасности. Политика информационной
безопасности - это та основа, без которой невозможно приступать ни к выбору, ни
к проектированию средств защиты информации, в том числе добавочных.
Вместе с тем отметим, что если в полном
объеме политику информационной безопасности обеспечить техническими средствами защиты
не удается, должны быть выделены "слабые" места защиты и выработаны соответствующие
организационные мероприятия по возможной локализации потенциально опасных для системы
защиты угроз.
Обобщая все сказанное, отметим, что
система технической защиты информации является ключевым звеном политики информационной
безопасности, поэтому выбор системы защиты, равно как и разработка политики информационной
безопасности, в общем случае является взаимосвязанной интеграционной процедурой,
состоящей из выполнения рассмотренных выше шагов.
Система защиты компьютерной информации
от несанкционированного доступа может рассматриваться в двух приложениях:
1. Защита автономного компьютера;
2. Защита компьютера в составе сети
(ЛВС).
Очевидно, что задача защиты компьютера
как самостоятельного объекта, предназначенного для хранения и обработки информации,
должна решаться в обоих случаях.
При разработке и проектировании системы
защиты информационных ресурсов от несанкционированного доступа, при использовании
на предприятии как отдельных компьютеров, так и локальной вычислительной сети необходимо
учитывать множество факторов, которые в совокупности дадут желаемый эффект защищенности.
В первую очередь, на предприятии необходимо тщательно разработать политику информационной
безопасности предприятия, которая в полной мере отразит необходимые требования по
защите конфиденциальной информации. Во - вторых, следует разработать комплексный
подход в проектировании систем защиты.
Каждая компонента системы защиты должна
быть рассчитана на защиту определенного набора возможных каналов несанкционированного
доступа. Контролируемыми объектами могут служить не только замкнутость корпусов
защищаемых объектов, но и другие компоненты объектовой защиты - двери в помещение,
сейфы и др., отсюда следует необходимость комплексирования в единой системе защиты
(с единым выделенным сервером безопасности) средств технической, внутрисетевой и
объектовой защиты.
В процессе данного исследования проанализирована
система защиты информационных ресурсов компании ОАО "ЧЗПСН - Профнастил".
Руководству компании следует обратить
особое внимание на то, что существующая система защиты информационных ресурсов традиционного
и электронного документооборота на данный момент является уже устаревшей и недостаточной
для полноценной защиты информации.
Для защиты своих информационных ресурсов
необходимо использовать современные технологии. Анализ теоретического материала
позволяет рекомендовать руководству компании новые технологии в создании и построении
системы защиты.
На данный момент наиболее рекомендуемой
системой защиты конфиденциальной информации является комплексная система защиты
информации, включающая в себя все виды компонентов защиты, а именно программную,
техническую, внутрисетевую и объектную, имеющую централизованно - распределенную
архитектуру, она наиболее полно отвечает современным требованиям по защите информации.
В целом защита от несанкционированного
доступа локальной вычислительной сети осуществляется на уровне принятом в большинстве
организаций, т.е. минимальный набор защитных средств: разграничительный подход к
пользователям локальной вычислительной сети, наличие журналов регистрации выдачи
конфиденциальных документов, физическая охрана, система пропусков, наличие защитной
и пожарной сигнализации.
Что касается системы защиты информации
от несанкционированного доступа на традиционных носителях и защиты традиционного
конфиденциального документооборота, то можно отметить практически полную реализацию
требований. В наличии полный набор необходимых нормативно-методических материалов
по работе с конфиденциальной информацией: Положение по защите коммерческой тайны
на предприятии, Инструкция по обеспечению сохранности сведений составляющих коммерческую
тайну компании, Памятка о сохранении коммерческой тайны предприятия, Обязательство
о неразглашении коммерческой тайны, Предупреждение о необходимости сохранения коммерческой
тайны при увольнении с предприятия, Инструкции по обеспечению сохранности сведений
составляющих коммерческую тайну компании для структурных подразделений, Журналы
регистрации входящих, исходящих документов, регистрации и учета носителей, учета
изданных документов, все перечисленные нормативно-методические материалы утверждены
генеральным директором компании.
Тем не менее, специалисты в области
защиты информационных ресурсов, рекомендуют дополнить существующие меры по обеспечению
безопасности созданием специального структурного подразделения - службы конфиденциального
делопроизводства - в котором будут сосредоточены все ресурсы ограниченного доступа
компании.
В данном структурном подразделении должен
быть сосредоточен персонал, являющийся специалистами в области защиты информационных
ресурсов. Это подразделение должно находиться в специально отведенном и оборудованном
помещении, иметь сигнализацию, светонепроницаемые шторы-жалюзи, сейфы, защиту от
прослушивания и несанкционированной съемки, систему контроля вскрытия аппаратуры,
окон, увеличенной прочности двери с электромеханическим замком со считывателями
электронных идентификаторов, с датчиком положения двери и устройством сбора сигналов
с датчиков.
Таким образом, в работе исследованы
и проанализированы современные требования к организации защиты конфиденциальной
информации, рассмотрены критерии и технологии построения и использования систем
защиты информационных ресурсов предприятия, на основе анализа теоретического материала
и рекомендаций ведущих специалистов в области защиты конфиденциальной информации,
даны рекомендации по рационализации существующей в компании системы защиты информационных
ресурсов.
Поставленные в работе задачи можно считать
достигнутыми.
Опубликованные источники:
1.
Российская Федерация. Конституция (1993). Конституция Российской Федерации:
офиц. текст. - М.: Право, 2002. - 39 с.
2.
Гражданский кодекс Российской Федерации: офиц. текст: по состоянию на 30.12.2004/М-во
юстиции Рос.Федерации. - М.: Юристъ, 2005. - 159 с.
3.
Российская Федерация. Законы. Об акционерных обществах: по состоянию на 27.07.2006
// Бюллетень нормативных актов министерств и ведомств. - № 5. - 2006. - 125 с.
4.
Российская Федерация. Законы. О государственной тайне: федер. закон: по состоянию
на 22.08.2004. / Федер. Собр. Рос.Федерации. - М.: ГД РФ, 2004. - 12 с.
5.
Российская Федерация. Законы. Об электронной цифровой подписи от 10 января
2002 г. №1 - ФЗ / Федер. Собр. Рос. Федерации. - М.: ГД РФ, 2002. - 10 с.
6.
Российская Федерация. Законы. О коммерческой тайне от 29 июля 2004 № 98
- ФЗ: информация, составляющая коммерческую тайну, режим коммерческой тайны, разглашение
информации, составляющей коммерческую тайну // Собрание актов Президента и Правительства
РФ. - № 7. - С.5.
7.
Российская Федерация. Законы. Об архивном деле в Российской Федерации от
01 октября 2004 № 125 - ФЗ // Собрание актов Президента и Правительства РФ. - №
11. - С.12.
8.
Российская Федерация. Законы. Об информации, информационных технологиях и
о защите информации от 27 июля 2006 № 149 - ФЗ // Российская газета. - 29 июля 2006.
- С.2.
9.
Российская Федерация. Законы. О персональных данных от 27 июля 2006 № 152
- ФЗ // Бюллетень нормативных актов министерств и ведомств. - № 7. - 2006. - С.15.
10.
Российская Федерация. Законы. О почтовой связи от 17.07.1999 № 176-ФЗ //
Бюллетень нормативных актов министерств и ведомств. - № 5. - 2000. - С.45.
11.
Российская Федерация. Законы. Об утверждении Перечня сведений конфиденциального
характера от 06.03.97 № 188: указ Президента РФ // Собрание актов Президента и Правительства
РФ. - 1993. - № 23. С.12 - 14.
12.
Российская Федерация. Законы. Об утверждений Перечня сведений, отнесенных
к государственной тайне от 30.11.95 № 1203: с измен. и доп. от 24.01.98 № 61, от
06.06.2001 № 659, от 10.09.2001 № 1114, от 29.05.2002 № 518, от 11 февраля 2006:
указ Президента РФ // Собрание актов Президента и Правительства РФ. - 2006. - №
11.
13.
Российская Федерация. Законы. Об утверждении Перечня сведений, которые не
могут составлять коммерческую тайну: постановление правительства РФ от 03.10.2002
№ 731 // Собрание актов Президента и Правительства РФ. - 2003. - № 11. - 140 с.
14.
Российская Федерация. Законы. Об утверждении положения о государственной
системе защиты информации от иностранной технической разведки и от ее утечки по
техническим каналам от 15.09.93 № 912 - 51: постановление Правительства РФ // Собрание
актов Президента и Правительства РФ. - 1993. - № 15. - 125 с.
15.
Российская Федерация. Законы. Об утверждении Положения о лицензировании деятельности
по технической защите конфиденциальной информации от 30.04.02. № 290: постановление
Правительства РФ // Собрание актов Президента и Правительства РФ. - 2002. - № 8.
- С.102.
16.
Российская Федерация. Законы Положение о порядке обращения со служебной информацией
ограниченного распространения в федеральных органах исполнительной власти: постановление
Правительства РФ от 3 ноября 1994 г. № 1233. // Собрание актов Президента и Правительства
РФ. - 1995. - № 10. - С.56.
17.
Российская Федерация. Законы. Об утверждении правил оказания услуг телеграфной
связи: постановление Правительства РФ от 15 апреля 2005г. № 222 // Собрание актов
Президента и Правительства РФ. - 2005. - № 5. - С.45.
18.
Российская Федерация. Законы. О противодействии легализации (отмыванию) доходов,
полученных преступным путем, и финансированию терроризма: постановление Правительства
РФ: от 7.08.2001 № 115-ФЗ: в ред. от 27.07.2006 // Собрание актов Президента и Правительства
РФ. - 2006. - № 8. - С.45.
19.
Доктрина информационной безопасности Российской Федерации от 09.09.2000:
утверждена Президентом РФ В.Путиным // Известия. - 10 декабря 2002. - С.2.
20.
Основные правила работы архивов организаций. - М.: Росархив, ВНИИДАД, 2002.
- 152 с.
21.
Организационно-распорядительная документация. Требования к оформлению документов:
метод, рекомендации по внедрению ГОСТ Р 6.30-2003. / Росархив; ВНИИДАД. - М., 2003.
- 90 с.
22.
Квалификационный справочник должностей руководителей, специалистов и других
служащих: утверждён постановлением Минтруда РФ от 21.08.1998 №37. - М.: Минтруд
РФ, 2002.
23.
Типовая инструкция по делопроизводству в федеральных органах исполнительной
власти: утверждена приказом Министерства культуры и массовых коммуникаций РФ от
08.11.2005 № 536, зарегистрированным в Минюсте РФ от 27.01.2006 № 7418. - М., 2006.
24.
ГОСТ Р 51141. - 98. Делопроизводство и архивное дело. Термины и определения.
- М.: Изд-во стандартов, 2003.
25.
ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система
организационно-распорядительной документации. Требования к оформлению документов.
- М.: Изд-во стандартов, 2003.
26.
ГОСТ РВ 50600-93. Защита секретной информации от технической разведки. Система
документов. Общие положения. - М.: Изд-во стандартов, 1993.
27.
ГОСТ Р 1.5-2002. Государственная система стандартизации РФ. Стандарты. Общие
требования к построению, изложению, оформлению, содержанию и обозначению. - М.:
ИПК Изд-во стандартов, 2003.
28.
ГОСТ Р 52292-2004. Информационная технология. Электронный обмен информацией.
Термины и определения. - М.: Изд-во стандартов, 2004.
29.
ГОСТ Р 50922-96. Защита информации. Основные термины и определения. - М.:
Изд-во стандартов, 1996.
30.
Неопубликованные источники
31.
Выписка из Устава, нормативные документы описываемого предприятия.
32.
Литература
33.
Алексенцев, А.И. Конфиденциальное делопроизводство / А.И. Алексенцев. - М.:
ООО "Журнал "Управление персоналом", 2003. - 200 с.
34.
Алексенцев, А.И. Организация и технология размножения конфиденциальных документов
/ А.И. Алексенцев. - 2003. - № 4. - С.12 - 14.
35.
Антопольский, А.А. Правовое регулирование информации ограниченного доступа
в сфере государственного управления: автореферат дис. … канд. юрид. наук. - М.,
2004.
36.
Андреева, В.И. Делопроизводство: практ. пособие [на основании новых нормативов]
/ В.И. Андреева. - изд.10-е, перераб. и доп. - М.: ООО "Управление персоналом",
2005. - 196 с.
37.
Астахова, Л.В. Документационное обеспечение управления как отрасль деятельности
/ Л.В. Астахова // Делопроизводство. - № 5. - 2005. - С.3 - 9.
38.
Аутентификация как средство защиты информации в корпоративных информационных
системах / Л.А. Сысоева // Секретарское дело. - 2005. - № 1. - С.58 - 64.
39.
Бачило, И.Л. Концептуальные основы правового обеспечения информатизации России
/ И.Л. Бачило, Г.В. Белов, В.А. Копылов // Проблемы информатизации. - М. - 2005.
- Вып.26. - 22 с.
40.
Бачило, И.Л. Развитие законодательства РФ в сфере информации / И.Л. Бачило,
А.А. Антопольский, Г.В. Белова и др. // Информация и связь / Ин - т госуд. и права
РАН. - 2005. - № 7. - 45 с.
41.
Вус, М.А. Информатика: введение в информационную безопасность / М.А. Вус,
В.С. Гусев, Д.В. Долгирев и др. - СПб., 2004. - 156 с.
42.
Войниканис, Е.А. Информация. Собственность. Интернет: традиции и новеллы
в современном праве. - М.: "Волтерс Клувер", 2004.
43.
Гаврилов, О. Детские болезни информационного права / О. Гаврилов // Информационное
право России: вест. / Ин - т госуд. и права РАН. - Т.75. - 2005. - № 4. - 140 с.
44.
Горшкова, Л.А. Анализ организации управления / Л.А. Горшкова. - М.: Финансы
и статистика, 2003. - 206 с.
45.
Гельман-Виноградов, К.Б. О сложностях трактовки понятия "документ"
и способах их преодоления / К.Б. Гельман-Виноградов // Делопроизводство. - 2005.
- № 2. - С.16 - 28
46.
Делопроизводство: образцы, документы организации и технология работы с учетом
нового ГОСТ Р 6.30-2003 "Унифицированные системы документации. Требования к
оформлению документов" / В.В. Галахов и др. - 2-е изд., перераб. и доп. - М.:
Проспект, Велби, 2005. - 455 с.
47.
Делопроизводство. Организация и технология документационного обеспечения
управления: учеб. пособие / Т.В. Кузнецова. - М.: Юнити-Дана, 2003. - 359 с.
48.
Делопроизводство: учеб. / Е.Н. Басовская, Т.А. Быкова, Л.М. Вялова и др.
- 2-е изд., стереотип. - М.: Academia, 2003. - 174 с.
49.
Документирование управленческой деятельности: учеб. пособие / Под ред.В.
В. Маковецкого. - М.: КолосС, 2005. - 174 с.
50.
Закон о персональных данных: последствия для делопроизводства / Н.А. Храмцовская
// Делопроизводство и документооборот на предприятии. - 2007. - № 2. - С.12 - 30.
51.
Законодательство Российской Федерации и криптография. Политика ФАПСИ в области
распространения и использования криптосредств // О.А. Беззубцев, В.Н. Мартынов,
В.М. Мартынов // Защита информации. Конфидент. - 2003. - № 1. - С.14 - 18.
52.
Защита информации на уровне баз данных как компонент системы безопасности
корпоративных информационных систем / Л.А. Сысоева // Секретарское дело. - 2005.
- № 3. - С.29 - 34.
53.
Защита информации и экономической безопасности предпринимательской деятельности:
материалы межд. научно-практ. конф. / Под ред.В.М. Кравцова и др. - Челябинск, 2001.
- 63 с.
54.
Ильин, К. Вопросы информационной безопасности при электронном документообороте
/ К. Ильин // Защита информации. INSIDE. - 2006. - № 4.
- С.18 - 25.
55.
Интеллектуальная собственность и авторское право / В.Я. Ищейнов // Секретарское
дело. - 2005. - № 3. - С.50 - 52.
56.
Информационная безопасность коммерческого банка / О.Э. Говорухин // Делопроизводство.
- 2006. - № 1. - С.61 - 65.
57.
Информационная безопасность коммерческого банка / О.Э. Говорухин // Делопроизводство.
- 2006. - № 2. - С.82 - 85.
58.
Информационная безопасность / В.Н. Ярочкин. - М.: Трикста, Академ. проект,
2005. - 542 с.
59.
Информационная безопасность / Т.А. Партыка, И.И. Попов: Форум, ИНФРА-М, 2004.
- 367 с.
60.
Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков.
- М.: Academia, 2005. - 331 с.
61.
Информационная безопасность / А.А. Губенков, В.П. Байбурин. - М.: Новый изд.
дом, 2005. - 126 с.
62.
Информационная безопасность региона: материалы Всерос. науч. - практ. конф.7
октября 2004 г., Челябинск. - Челябинск: Челяб. гос. ун-т, 2005. - 335 с.
63.
Информационная безопасность / А.А. Садердинов, В.А. Трайнев, А.А. Федулов.
- 2-е изд. - М.: Дашков и К', 2004. - 335 с.
64.
Информационные ресурсы развития Российской Федерации. Правовые проблемы /
Д.М. Бройдо // Информация и связь. - 2003. - № 9.
65.
Информационные технологии управления / Под ред. Г.А. Титоренко. - 2-е изд.,
доп. - М.: ЮНИТИ-ДАНА, 2003. - 439 с.
66.
К вопросу неформального воздействия на носителя конфиденциальной информации
/ В.Я. Ищейнов // Документоведение. - 2002. - № 3. - С.80 - 81.
67.
Концептуальные основы подготовки специалистов по информационной безопасности
/ Г.А. Бузов, А.К. Лобанов // Информационное общество. - 2005. - № 6. - С.62 - 65.
68.
Конфиденциальность, надежность, управляемость / Г. Зотова // Сетевой журнал.
- 2003. - № 7. - С.18 - 27.
69.
Кузнецова Т.В. Проектирование рациональной организации делопроизводства /
Т.В. Кузнецова // Делопроизводство. - 2005. - № 1. - С.58 - 67.
70.
Лопатин, В.Н. Правовая охрана и защита права на тайну / В.Н. Лопатин // Юридический
мир. - 2003. - №7. - С.36 - 37.
71.
Лицензирование деятельности по защите информации в России: история и современность
/ Т.А. Королькова, А.В. Печерский // Делопроизводство. - 2003. - № 3. - С.57 - 65.
72.
Львов, Д. Экономика должна быть нравственной / Д. Львов // Литературная газета.
- 2002. - 24 - 30 декабря.
73.
Мазуров, В.А. Тайна государственная, коммерческая, банковская, частной жизни
// Уголовно-правовая защита: учеб.пособие. - М.: Издательско-торговая корпорация
"Дашков и Ко", 2003. - 123 с.
74.
Международные стандарты делопроизводства и документооборота // Экономика
и жизнь. - 2005. - № 11. - С.5 - 11.
75.
Малюк, А.А. Информационная безопасность: концептуальные и методологические
основы защиты информации // А.А. Малюк и др. - М.: Горячая линия - Телеком, 2004.
- 280 с.
76.
Новейшие тенденции защиты персональных данных работника в российском трудовом
праве / З. Богатыренко // Секретарское дело. - 2006. - № 11. - С.12 - 23.
77.
Некоторые особенности конфиденциального делопроизводства / Р.Н. Мосеев
// Секретарское дело. - 2005. - № 10. - С.31 - 35.
78.
Некоторые правовые аспекты коммерческой тайны / В. Я Ищейнов // Секретарское
дело. - 2005. - № 1. - С.55 - 57.
79.
Некоторые аспекты информационной безопасности / М.В. Мецатунян, В.Я. Ищейнов
// Делопроизводство. - 2004. - № 1. - с.57 - 59.
80.
Оборудование для уничтожения документов в контексте обеспечения безопасности
документооборота на предприятии / В.В. Дегтерев, Н.Ю. Юдина // Делопроизводство
и документооборот на предприятии. - 2007. - № 1. - С.18 - 28.
81.
Общие требования при обработке персональных данных работника и гарантия их
защиты / С.А. Борисова. - 2005. - № 11. - С.82 - 88.
82.
Организация работы по рассекречиванию документов / А.С. Демушкин // Делопроизводство.
- 2002. - № 4. - С.56 - 60.
83.
Основополагающие принципы защиты и обработки конфиденциальных документов
/ Е.А. Степанов // Делопроизводство. - 2000. - № 2. - С.31 - 34.
84.
Основы информационной безопасности: курс лекций / В.А. Галатенко. - М.: ИНТУИТ.
РУ "Интернет - Университет Информационных Технологий", 2003. - 280 с.
85.
Организация работы с документами / Под ред.В.А. Кудряева. - 2-е изд., перераб.
и доп. - М.: ИНФРА-М, 2003. - 593 с.
86.
Организация работы с документами, составляющими коммерческую тайну, ЗАО КБ
"Ураллига" / Н.А. Лосева // Секретарское дело, - 2005. - № 8. - С.25
- 27.
87.
Охотников, А.В. Документоведение и делопроизводство / А.В. Охотников. - М.:
Дело, 2005. - С.356.
88.
Паневчик, В.В. Делопроизводство / В, В. Паневчик. - Минск: Вышейшая школа,
2004. - 348 с.
89.
Панкратов, Ф.Г. Коммерческая деятельность: учеб. / Ф.Г. Панкратов. - М.:
Маркетинг, 2004. - 210 с.
90.
Петров, М.И. Информационно-аналитическое подразделение / М.И. Петров // Секретарское
дело. - 2006. - № 4. - С.28 - 41.
91.
Плотников, Н.И. Конфиденциальность: мифы и реальность о тайнах и секретах
/ Н.И. Плотников // Управление персоналом. - 2006. - № 20. - С.45 - 50.
92.
Положение о защите персональных данных работников / Л.Р. Фионова, О.В. Касперская
// Секретарское дело. - 2005. - № 10. - С.40 - 49.
93.
Пугачев, В.П. Руководство персоналом организации: учеб.пособие / В.П. Пугачев;
Моск.гос.ун-т им. М.В. Ломоносова. - М.: Аспект-Пресс, 2005. - 279 с.
94.
Санкина, Л.В. Делопроизводство в коммерческих организациях. - М.: МЦФЭР,
2005. - 424 с.
95.
Сенчагов, В.К. Экономическая безопасность, геополитика, глобализм, самосохранение
и развитие / В.К. Сенчагов. - М.: Финстатинформ, 2003. - 120 с.
96.
Синецкий, Б.И. Основы коммерческой деятельности / Б.И. Синецкий. - М.: Юрист,
2005. - 122 с.
97.
Служебная и профессиональная тайна / О.Э. Говорухин // Делопроизводство.
- 2006. - № 3. - С.78 - 86.
98.
Степанов, Е.А. Информационная безопасность и защита информации: учеб. пособие
/ Е.А. Степанов, И.К. Корнеев. - М.: Инфра-М, 2003.
99.
Снытников, А.А. Обеспечение и защита права на информацию / А.А. Снытиков,
Л.В. Туманова. - М.: "Городец-издат", 2003. - 195 с.
100.
Технология работы с конфиденциальными документами / А.В. Пшенко // Секретарское
дело. - 2003. - № 2. - С.7 - 11.
101.
Уничтожение электронных документов / Т. Жилкина // Секретарское дело. - 2006.
- № 10. - С.23 - 34.
102.
Услуги аутсоринга в области информационной безопасности / Г.Г. Аралбаева,
О.А. Ковалева // Секретарское дело. - 2005. - № 10. - С.35 - 40.
103.
Федосеев, В.Н. Управление персоналом организации: учеб.пособие / В.Н. Федосеев,
С.Н. Капустин. - М.: Экзамен, 2004. - 366 с.
104.
Федеральный закон "Об информации, информационных технологиях и о защите
информации" - основа единой системы делопроизводства в государственных органах
и органах местного самоуправления / Т.В. Кузнецова // Делопроизводство. - 2006.
- № 3. - С.87 - 90.
105.
Шиверский, А.А. Защита информации проблемы теории и практики / А.А. Шиверский.
- М.: Юрист, 2003. - 112 с.
106.
Чуковенков, А.Ю. Терминология в области делопроизводства / А.Ю. Чуковенков
// Секретарь. Референт. - 2007. - № 1. - С.29 - 34.
107.
Александр Астахов - руководитель направления информационной
108.
безопасности корпорации "ЮНИ", Astakhov@uni.ru
109.
В MS Word обнаружили неприятный сюрприз. http://www.cnews.ru/newtop/index.shtml? 2005/01/31/173732.
110.
Эдуард Гордеев - вице-президент корпорации "ЮНИ", Gordeev@uni.ru
111. Office 2003/XP Add-in: Remove Hidden Data. http://www.microsoft.com/downloads/details.aspx?
familyid=144e54ed-d43e-42ca-bc7b-5446d34e5360&displaylang=en 3.
112.
Российская Феде6рация. Законы. О мерах по обеспечению информационной безопасности
Российской Федерации в сфере международного информационного обмена" (с изм.
и доп. от 22 марта 2005 г., 3 марта 2006 г.) Указ Президента РФ от 12 мая 2004 г.
N 611 // Собрание актов Президента и Правительства РФ. - 2006. - № 3. - С.15.
113.
Российская Федерация Законы. Об утверждении Положения о Координационном совете
Минобразования России по проблемам подготовки специалистов в области защиты государственной
тайны и информационной безопасности: приказ Минобразования РФ от 29 апреля 2003
г. N 1918 // Известия. - 05марта 2003. - С.2.
114.
Бугров, А. Международные стандарты для построения системы информационной
безопасности / А. Бугров // Финансовая газета. - март 2007. - №10.
115.
Бедрань, А. Согласованная методика проведения аудита информационной безопасности
/ А. Бедрань // Финансовая газета. - февраль 2007. - № 9
116.
Васильев, Г. Российский рынок информационной безопасности: новые тенденции
/ Г. Васильев // Финансовая газета. - январь 2007. - № 5.
117.
Бабкин В.В. Модель нарушителя информационной безопасности - превенция появления
самого нарушителя // В.В. Бабкин // Управление в кредитной организации. - сентябрь-октябрь
2006. - № 5.
118.
Волков, П. Системы обеспечения информационной безопасности как часть корпоративной
культуры современной организации / П. Волков // Финансовая газета. - август 2006.
- № 34.
119.
Чикалев, И. Во что обходится информационная безопасность / И. Чикалев, С.
Леденко // Банковское дело в Москве. - июль 2006. - № 7.
120.
Башлыков, М. Актуальные вопросы информационной безопасности / М. Башлыков
// Финансовая газета. Региональный выпуск. - январь 2006. - № 11.
121.
Лямин, Л.В. Три составные части и три источника информационной безопасности
в кредитных организациях // Л.В. Лямин // Управление в кредитной организации. -
2006. - № 1. - С.5.
122.
Маляревский, А."Тонкие клиенты" - информационная безопасность и
экономия / А. Маляревский // Финансовая газета. - декабрь 2005. - № 49.
123.
Гениевский, П. Политика информационной безопасности против "человеческого
фактора" / П. Гениевский // Банковское дело в Москве. - ноябрь 2005. - № 11.
124.
Громов, А. Роль информационной безопасности в обеспечении эффективного управления
современной компанией / А. Громов, А. Коптелов // Финансовая газета. - июнь 2004.
- № 24.
125.
Соловьев, И.Н. Информационная и правовая составляющие безопасности предпринимательской
деятельности / И.Н. Соловьев // Налоговый вестник. - ноябрь 2002. - № 54.
|