Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Методика инструктирования и обучения персонала правилами защиты секретов фирмы (Виды и свойства информации, задачи ее защиты)

Содержание:

Введение

Современные тенденции становления общества характеризуются стремительным ростом роли информации и вовлечением во все сферы деятельности человека процессов информатизации. Россия находится на этапе перехода от индустриального общества на совершенно новый уровень развития – становление информационного общества.

Инновационные средства вычислительной техники, прогрессивные информационные технологии сосредоточены в системах коммуникации и вычислительных сетях, составляющих основу инфраструктуры информационных и коммуникационных технология Российской Федерации.

Сегодня роль информации возросла, информатизация затронула все сферы деятельности че­ловека, общества и государства. Вырос и интерес к вопросам защиты информации, при решении которых особою роль играет организация эффективной работы с персоналом по обучению и инструктированию правилам защиты секретов фирмы.

Актуальность данной работы состоит в том, что в настоящее время, когда практически каждый основной сотрудник становится носителем ценных сведений, представляющих интерес для конкурентов и криминальных структур, на предприятиях зачастую не уделяется должного внимания вопросам обучения персонала правилам информационной безопасности, вследствие чего повышается уязвимость конфиденциальных данных, а также невыполнение требований по защите персональных данных, что приводит к повышению вероятности санкций за несоблюдение соответствующего законодательства.

Отметим стремительный рост числа инцидентов кражи конфиденциальных данных в России. Так, в 2006 году было зарегистрировано 157 случаев утечки конфиденциальной информации, а в 2015 году это число достигло 723. По данным исследований компании Zecurion, за последние два года средний ущерб от утечек составил 25 миллионов долларов в год[1].

Цель исследования – провести анализ методик обучения и инструктирования персонала вопросам защиты секретов фирмы и разработать практические рекомендации по их реализации.

Задачи исследования:

  • провести обзор литературы и Интернет-источников по вопросам организации работы с персоналом при построении системы защиты конфиденциальной информации;
  • определить роль информации и выделить задачи ее защиты;
  • выявить особенности персонала как объекта и субъекта защиты секретов фирмы;
  • выделить особенности инструктирования и обучения персонала правилам защиты секретов фирмы;
  • разработать практические рекомендации по инструктированию и обучению персонала правилам защиты секретов фирмы.

Курсовая работа состоит из введения, двух глав основной части, заключения.

1 Виды и свойства информации, задачи ее защиты

1.2 Роль информации в современном мире

Информация - решающий фактор, который определяет развитие технологии и ресурсов в целом. В связи с этим, очень важно понимание не только взаимосвязи развития индустрии информации, компьютеризации, информационных технологий с процессом информатизации, но и определение уровня и степени влияния процесса информатизации на сферу управления и интеллектуальную деятельность человека.

С течением времени роль информации в жизни человека становится все существеннее. В первой половине 21-ого века роль информации в жизни человека является определяющей. Специалист будет тем выше востребован на рынке труда, чем больше навыков и знаний он имеет.

Сегодня происходит смена способов производства, мировоззрения людей, их образа жизни. Информационные технологии кардинальным образом меняют повседневную жизнь миллионов людей.

Информация стала одним из важнейших стратегических, управленческих ресурсов, наряду с ресурсами - человеческим, финансовым, материальным. В современных условиях право на информацию и доступ к ней имеют жизненную ценность для всех членов общества[2]. Возрастающая роль информации в обществе явилась предметом научного осмысления. Были выдвинуты теории, объясняющие ее место и значение. Наиболее популярными являются теории постиндустриального и информационного общества.

Термин информация происходит от латинского слова informatio – разъяснение, изложение. 

Информация – сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые уменьшают имеющуюся о них степень неопределенности, неполноты знаний[3].

 Информация не может существовать самостоятельно – должен быть источник (производит информацию) и приемник (воспринимает информацию).

Для реализации обмена информацией и ее преобразования необходимо наличие таких элементов, как носитель информации, канал связи, приемник и получатель информации, которые являются составляющими информационной системы[4].

Перечислим свойства информации:

  • объективность (не зависит от чего-либо мнения);
  • полнота (достаточность данных для принятия решения);
  • адекватность (степень соответствия реальному положению дел);
  • доступность (возможность получения информации за определенное время);
  • актуальность (важна и существенна для настоящего времени).

Классифицировать информацию можно по способам восприятия, по формам представления, по общественному значению (см. Таблицу 1).

Таблица 1

Классификация информации

Классификационный признак

Виды информации

Способ восприятия
  • визуальная;
  • аудиальная;
  • тактильная;
  • обонятельная;
  • вкусовая.

Форма представления
  • текстовая;
  • числовая;
  • графическая;
  • музыкальная и т.д.

Общественное значение
  • массовая;
  • специальная;
  • личная.

Носители информации – это физическое тело или среда, выполняющие функции хранения, передачи, воспроизведения информации. Носителями могут быть сигналы (звуковые, радио, электрические и т.д.), электронные устройства, бумага и т.д.

Процессы, результатом которых становится изменение содержания информации или формы ее представления, называются информационными[5].

Информационные процессы, осуществляемые по определенным информационным технологиям, составляет основу информационной деятельности человека.

Выделим основные информационные процессы:

  • поиск информации;
  • сбор информации;
  • хранение информации;
  • передача информации;
  • кодирование информации;
  • обработка информации;
  • защита информации.

Поиск информации – это извлечение хранимой информации. К методам поиска информации относятся запрос к хранилищам данных; чтение специальной литературы; наблюдение; консультация профессионалов в данном вопросе и т.д.

Сбор информации означает процесс комплектования информационной системы массивами данных. Более подробно данный вид процессов будет рассмотрен во второй главе.

Хранение информации - это способ распространения информации в пространстве и времени. Отметим, что способ хранения информации зависит от ее носителя.

Процесс передачи данных подразумевает наличие источника и приемника информации.

Кодирование — процесс представления информации (сообщения) в виде кода. Все множество символов, используемых для кодирования, называется алфавитом кодирования. Например, в памяти компьютера любая информация кодируется с помощью двоичного алфавита, содержащего всего два символа: 0 и 1.

Обработка информации - преобразование информации из одного вида в другой, осуществляемое по строгим формальным правилам. 

Под защитой информации понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий. Защита информации - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

В общем случае задачи защиты информации состоят в обеспечении доступности, целостности и конфиденциальности информации.

Угрозы конфиденциальности - это угрозы несанкционированного доступа и ознакомления с учетом тонких политик безопасности. 

Угрозы целостности - угрозы, при реализации которых информация теряет заранее определенные системой вид и качество.

Угрозы доступности характеризуют возможность доступа к хранимой и обрабатываемой информации в любой момент.

1.3 Персонал как объект и субъект защиты секретов фирмы

Для построения эффективной системы защиты секретов фирмы (конфиденциальной информации) необходимо особое внимание уделять человеческому фактору, который предполагает преданность персонала интересам фирмы и осознанное соблюдение им установленных правил защиты информации. Специалисты отмечают, что при наличии в штате сотрудников, которые не могут оправдать доверие, никакая система информационной безопасности не сможет гарантировать сохранность данных. Именно поэтому считаем необходимым условием организации защиты конфиденциальной информации проведение систематической работы с персоналом, имеющим доступ к секретам фирмы.

Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно - технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы.

Однако стоит отметить, что в то же время сотрудники становятся и главными источниками угроз утечки конфиденциальной информации. Данный факт можно объясняется, в первую очередь, психологическими особенностями персонала. Стоит учитывать индивидуальные особенности сотрудников, их различное поведение в ряде сложившихся ситуаций.

Помимо профессиональных способностей сотрудники, связанные с секретами фирмы, должны обладать высокими моральными качествами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на определенные ограничения в использовании информационных ресурсов и вырабатывают в себе самодисциплину, самоконтроль действий, поступков и высказываний.

Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы. Повышение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика работников. Люди рассматриваются как самый ценный ресурс фирмы и решают, с одной стороны, производственные и коммерческие задачи, а с другой - получают во владение ценные и конфиденциальные сведения фирмы и обеспечивают их правильное использование и сохранность.

Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудовых и творческих способностей каждого члена коллектива, воспитание в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях.

Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов.

2 Практические рекомендации по инструктированию и обучению персонала правилам защиты секретов фирмы

2.1 Организационная работа с персоналом

Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

  • проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
  • документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
  • инструктирование и обучение сотрудников практическим действиям по защите информации.

Сложности в работе с персоналом определяются:

  • большой ценой решения о допуске лица к тайне предприятия;
  • наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
  • разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.

Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.

Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:

  • всех сотрудников данной фирмы, ее персонал;
  • сотрудников других фирм;
  • сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;
  • журналистов средств массовой информации, сотрудничающих с фирмой,
  • посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
  • посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;
  • родственников, знакомых и друзей всех указанных выше лиц.

Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.

Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причем овладение требуемой информацией происходит в значительном числе в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств.

2.2 Методика инструктирования и обучения персонала правилам защиты секретов фирмы

Обучение и инструктирование персонала, связанные с вопросами защиты конфиденциальной информации, должны носить систематический характер, а методики нуждаются в постоянном обновлении.

Первый этап обучения персонала начинается еще в процессе проведения собеседования при приеме на работу, в рамках которого сотруднику предлагается подписание обязательства о неразглашении секретов фирмы. В Приложении 1 представлены возможные формы документов – Обязательство о неразглашении конфиденциальной информации и Фрагмент трудового договора работника, имеющего доступ к информации, которая составляет коммерческую тайну.

Стоит отметить, что при составлении обязательства необходимо учитывать требования сохранения секретов фирмы и после увольнения сотрудников.

После приема сотрудника на работу и подписания им необходимых документов следует провести первоначальный инструктаж по защите конфиденциальной информации.

В первую очередь инструктирующий должен провести разъясняющую беседу и определить круг информации, относящейся к секретам фирмы, то есть представить перечень информационных ресурсов, не подлежащих распространению.

Возможный перечень сведений конфиденциального характера Компании приведен в таблице 2.

Таблица 2

Перечень сведений конфиденциального характера Компании

Наименование сведений

Гриф конфиденциальности

Нормативный документ, реквизиты, №№ статей

Сведения о программном обеспечении, принципах построения, структуре и составе оборудования корпоративной информационной системы Компании

Коммерческая тайна

Указ Президента РФ от 6 марта 1997 года № 188, ФЗ РФ от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне, ФЗ РФ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Входящая и исходящая корреспонденция (в том числе в электронном виде)

Коммерческая тайна

ФЗ РФ от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

Персональная информация о сотрудниках

Коммерческая тайна

З РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Бухгалтерские и финансовые сведения, в том числе документы по установленным формам отчетности о финансово-хозяйственной деятельности

Коммерческая тайна

ФЗ РФ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»

Сведения, раскрывающие систему организации и состояние сохранности коммерческой тайны в Компании, методы и способы защиты конфиденциальной информации от утечки, утери или искажения

Коммерческая тайна

ФЗ РФ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»

Система Компании и разграничения доступа в КИС, идентификаторы и пароли, используемые сотрудниками компании для доступа к информации

Коммерческая тайна

ФЗ РФ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Кроме того, первичный инструктаж должен включать ознакомление с правилами обработки конфиденциальной информации – регистрации, хранения, удаления, передачи и т.д.

Особое внимание стоит уделить вопросам определения места сотрудника в так называемой матрице доступа к информационным ресурсам. Например, можно использовать следующую таблицу доступа (см. таблицу 3).

Таблица 3

Разграничение прав пользователей

Группы пользова-телей

Главный модуль

Модуль работы с Базой Данных

Модуль авторизации

Модуль «Администратор»

Модуль «Руководитель»

Доступ в Internet

Ведущие специалисты

чтение

чтение

нет доступа

нет доступа

нет доступа

чтение

запись

удаление

Начальник формирования

чтение

запись

удаление

чтение

запись

удаление

нет доступа

нет доступа

чтение

запись

удаление

чтение

запись

удаление

Офисные работники

чтение

чтение

нет доступа

нет доступа

нет доступа

чтение

запись

удаление

Системный администратор

чтение

запись

удаление

чтение

запись

удаление

чтение

запись

удаление

чтение

запись

удаление

чтение

запись

удаление

чтение

запись

удаление

Дальнейшая работа с сотрудником, связанная с вопросами защиты секретов фирмы, должна быть связана с систематическим проведением учебных занятий.

Выделим задачи обучения:

  • определение состава конфиденциальной информации (необходимо регулярно знакомить сотрудников с любыми изменениями структуры информационных ресурсов);
  • выявление возможных угроз утечки конфиденциальной информации (на занятии можно, например, построить модель нарушителя конфиденциальных данных или рассмотреть возможные каналы утечки информации);
  • анализ структуры системы защиты информации (обязательно следует в контексте рассмотрения структуры системы защиты определить круг требований и правил защиты секретов фирмы самими сотрудниками);
  • определение регламента работы сотрудников с информацией, составляющей секреты фирмы (подобные занятия следует сопровождать практическими примерами, например, демонстрацией возможности безопасной передачи данных по сети);
  • обучение персонала действиям в экстремальных ситуациях (данное занятие будет целесообразно провести в режиме эмуляции какой-либо конкретной ситуации).

Обучение сотрудников предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации. Персонал должен получить знания по оценке важности тех или иных сведений для упрочения престижа фирмы и ее финансовой стабильности, а значит, и для благополучия каждого сотрудника.

Определим состав методики обучения персонала правилам защиты секретов фирмы.

1. Разработка специализированных программ обучения, которые должны включать перечень занятий, проводимых с сотрудниками, и план их проведения.

2. Проведение в соответствии с разработанной программой занятий - лекций, семинаров, бесед и т.д.

3. Тестирование сотрудников.

4. Организация решения сотрудниками ситуационных задач, связанных с защитой секретов фирмы.

5. Практическая ситуационная учеба по действиям персонала в экстремальных ситуациях.

6. Проведение деловых игр, направленных на обучение персонала мерам противодействия злоумышленникам.

В соответствии с приведенным списком составляющих компонентов методики обучения персонала правилам защиты секретов фирмы разработаем практические рекомендации по ее реализации.

На первом этапе необходимо составить программу проведения занятий (см. таблицу 4).

Таблица 4

Программа обучения персонала правилам защиты секретов фирмы

Содержание

Мероприятие

Форма проведения

Политика безопасности Компании

Ознакомление сотрудников Компании с принципами политики безопасности

Лекционное занятие

Правовое обеспечение информационной безопасности

Изучение действующего законодательства в области защиты информации

Лекционное занятие

Отнесение информации к секретам фирмы

Инструктаж сотрудников по определению уровня секретности информации

Семинар-практикум

Правила работы с конфиденциальной информацией

Демонстрация приемов защищенной работы с конфиденциальной информацией

Семинар-практикум

Правила работы с средствами вычислительной техники, предназначенными для обработки информации, составляющей секреты фирмы

Ознакомление с правилами работы с средствами вычислительной техники, предназначенными для обработки информации, составляющей секреты фирмы

Лекционное занятие

Построение модели нарушителя конфиденциальных данных

Определение возможных угроз конфиденциальной информации и мер противодействия

Семинар-практикум

Последовательность действий в экстремальных ситуациях

Определение последовательности действий в экстремальных ситуациях и отработка навыков защиты конфиденциальной информации

Решение ситуационных задач

Последовательность действий в экстремальных ситуациях

Определение последовательности действий в экстремальных ситуациях и отработка навыков защиты конфиденциальной информации

Деловая игра

Роль сотрудников в обеспечении комплексной системы защиты конфиденциальной информации

Мотивация сотрудников

Тренинг

Итоговой тестирование

Проверка знаний и навыков обеспечения защиты секретов фирмы

Тестирование

Следующим этапом становится разработка материалов учебных занятий. Следует так подобрать информацию и форму ее представления, что бы сделать сам процесс обучения индивидуализированным, ориентированным на сотрудников разного должностного состава. Стоит отметить необходимость получения каждым слушателем только тех знаний, которые ему пригодятся в его профессиональной деятельности (не должно быть избыточности).

В отдельную категорию обучающихся стоит отнести сотрудников, работа которых связана с обработкой особо ценных документов. К ним относятся, например, секретарь-референт, работники отдела безопасности.

Особое внимание слушателей стоит обратить на факт конфиденциальности рассматриваемых материалов, то есть все записи и конспекты делать в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами.

При описании методики уже было отмечено, что занятия проходят в различных формах – лекции, семинары, деловые игры, ситуационные задачи, тренинги. В качестве примера можно привести лекционный материал по теме «Правовое обеспечение информационной безопасности» (Приложение 2).

Для обеспечения высокого качества обучения необходимо придерживаться следующих принципов:

  • учебный материал для изучения должен быть объективным и соответствовать реальной действительности;
  • планирование учебного процесса должно быть последовательным и системным;
  • процесс обучения должен включать разнообразные методы;
  • необходимо обеспечивать прочное усвоение знаний;
  • в процессе обучения следует поддерживать связь между теорией и практикой.

По окончании обучения проводится проверка усвоения сотрудниками полученных знаний. Результаты проверки фиксируются в протоколе комиссии, ведущей проверку. Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются.

Заключение

Настоящее исследование повещено проблемам организации инструктирования и обучения персонала вопросам защиты секретов фирмы. В ходе работы было определено, что реализация процессов информатизации общества – задача комплексная, включающая несколько уровней, одним из которых является обеспечение информационной безопасности.

Ключевую роль в процессе построения надежной системы защиты конфиденциальной информации играет работы с персоналом, включающая проведение инструктажей и обучение правилам защиты секретов фирмы.

Проведенное исследование позволило сформулировать следующие положения:

  • роль информации возрастает с каждым годом, что существенно влияет на ее ценность и выдвигает требования по организации ее защиты;
  • к задачам защиты информации относится предотвращение ее утечки, угроз безопасности, несанкционированных действий;
  • человеческий фактор может стать определяющим в процессе реализации защиты секретов фирмы;
  • работа с персоналом в рамках построения системы защиты конфиденциальной информации подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, включающую, в числе прочего, организацию обучения правилам защиты секретов фирмы и проведение инструктажа;
  • процесс обучения правилам защиты секретов фирмы носит систематический характер и нуждается в соответствующем методическом сопровождении (программа обучения, материалы занятий, тесты и т.д.).

Таким образом, в работе определена роль информации и выделены задачи ее защиты; выявлены особенности работы с персоналом как объектом и субъектом защиты; выделены особенности проведения инструктажа и обучения персонала правилам защиты секретов фирмы; разработаны рекомендации по инструктированию и обучению персонала правилам защиты секретов фирмы, что свидетельствует о достижении цели и решении задач, определенных во введении.

Список литературы

        1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» (Собрание законодательства Российской Федерации от 9 августа 2004 г. N 32 ст. 3283)
        2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451)
        3. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3448)
        4. Доктрина информационной безопасности Российской федерации (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895) («Российская газета» от 28 сентября 2000 г. N 187)
  • Ануфриева А.Ю., Пальчун Е.Н. Анализ методов работы с персоналом по защите конфиденциальной информации в органах государственной власти, государственных учреждениях и на предприятиях// Известия Тульского государственного университета. - №3. – 2013. – С. 351-360
  • Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.
  • Информатика: Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2000. - 768 с.: ил.
  • Исаев А.С., Хлюпина Е.А. Правовые основы организации защиты персональных данных. – СПб: НИУ ИТМО, 2014. – 106 с.
  • Каторин Ю.Ф. и др. Энциклопедия промышленного шпионажа. - СПб.: Полигон, 2011. - 896с.
  • Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. - 135 с.
  • Куняев, Н. Н. Информационная безопасность как объект правового регулирования в Российской Федерации / Н. Н. Куняев. //Юридический мир. -2008. - № 2. - С. 38 – 40
  • Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2010. – 125с.
  • Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2011 г.- 320 с.
  • Тенетко М.И., Пескова О.Ю. Анализ рисков информационной безопасности// Известия Южного федерального университета. Технические науки. - №12. – 2011. – С.49-58
  • Формирование информационного общества в XXI веке./Сост.: Е.И.Кузьмин, В.Р.Фирсов - СПб.: РНБ, 2006. - 640 с.
  • Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. - 504с.
  • Блог о информационной безопасности [Электронный ресурс] Режим доступа - http://itsecblog.ru/fizicheskie-sredstva-zashhity-informacii/
  • Панасенко А. Конфиденциальные данные продолжают утекать [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/analytics/Threats_Analysis/Sensitive_data_continue_leak#
  • Стандарты информационной безопасности [Электронный ресурс] Режим доступа - http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html

Приложение

ПРИЛОЖЕНИЕ 1

Документы для подписания сотрудниками при принятии на работу

Обязательство о неразглашении конфиденциальной информации

Фрагмент трудового договора работника, имеющего доступ к информации, которая составляет коммерческую тайну

ПРИЛОЖЕНИЕ 2

Правовое регулирование в области информационной безопасности

Единственным документом, определяющим понятие «информационная безопасность», является утвержденная Президентом Российской Федерации в 2000 г. Доктрина информационной безопасности Российской Федерации. Информационная безопасность Российской Федерации согласно указанному документу – «это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

Доктрина информационной безопасности РФ является документом, закрепляющим методы обеспечения информационной безопасности Российской Федерации, а так же основные положения государственной политики обеспечения информационной безопасности.

В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ.

Закон регулирует отношения, возникающие при:

  • получении права на поиск и дальнейшую обработку информации;
  • использовании инструментов информационных технологий;
  • обеспечении информационной безопасности.

ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Кроме того, защита информации регулируется следующими законами:

  • Федеральный закон от 29.07.2004 г. «О коммерческой тайне» № 98-ФЗ (регулирует отношения, «связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства»).
  • Закон Российской Федерации от 21 июля 1993 г. «О государственной тайне» № 5485-1 (регулирует отношения, «возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации»).

Обеспечение информационной безопасности и защиты информации регламентируется международными и российскими стандартами.

Стандарты в области информационной безопасности представляют собой документы, определяющие правила оценки уровня защиты и устанавливающие требования  к безопасным информационным системам.

Перечислим функции стандартов в области информационной безопасности:

  1. Определение основные понятий информационной безопасности.
  2. Выработка критериев оценки систем защиты.
  3. Оценка инструментов, обеспечивающих информационную безопасность.
  4. Обеспечение технической и информационной совместимости продуктов, обеспечивающих ИБ.
  5. Хранение и предоставление информации об эффективных методах и средствах информационной безопасности.
  6. Придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Международные стандарты, направленные на обеспечение информационной безопасности

Номер документа

Описание

ISO/IEC 25010:2011

Проектирование систем и разработка программного обеспечения. Требования к качеству систем и программного обеспечения и их оценка (SQuaRE). Модели качества систем и программного обеспечения

ISO/IEC 12207:2008

Информационные технологии. Процессы жизненного цикла программного обеспечения

ANSI/IEEE 829

Документация при тестировании программ.

ANSI/IEEE 1008

Тестирование программных модулей и компонент ПС.

ANSI/IEEE 1012

Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Российские государственные стандарты, направленные на обеспечение информационной безопасности

Номер документа

Описание

ГОСТ Р 50922-2006

Защита информации. Основные термины и определения

ГОСТ Р 51275-2006

Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

Р 50.1.056-2005

Техническая защита информации. Основные термины и определения

ГОСТ Р ИСО/МЭК 15408-1-2008

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408-2-2008

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

ГОСТ Р ИСО/МЭК 15408-3-2008

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

ГОСТ Р ИСО/МЭК 18045-2008

Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Отдельно стоит выделить, что наступление ответственности за правонарушения в сфере защиты информации, которая устанавливается в порядке:

  • защиты государства, общества, личности от получения ложной информации или дезинформации;
  • защиты информационной системы от несанкционированного доступа.

То есть за нарушение законодательства в сфере информации предусматривается дисциплинарная, административная, гражданско-правовая или уголовная ответственность.

В завершении исследования вопроса правового регулирования информационной безопасности можно сделать вывод о том, что на сегодняшний момент российское законодательство в области защиты информации не достаточно устоявшееся и сильно отстает от научно-технического прогресса. Терминология, которая используется при регулировании отношений, возникающих в области защиты информации, до сих пор в значительной мере не отработана.

  1. Панасенко А. Конфиденциальные данные продолжают утекать [Электронный ресурс]. – Режим доступа: (https://www.anti-malware.ru/analytics/Threats_Analysis/Sensitive_data_continue_leak#

  2. Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. - 135 с.

  3. Информатика: Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2000. - 768 с.: ил.

  4. Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.

  5. Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2010. – 125с.

СПИСОК ДЛЯ ТРЕНИРОВКИ ССЫЛОК