Особенности работы с персоналом, владеющим конфиденциальной информацией (Угрозы конфиденциальной информации)

Содержание:

Введение

С самого истока человеческой истории появилась необходимость передачи, а также сохранения данных.

Непосредственно в базе обладания данными о самых разных процессах и явлениях возможно результативно и приемлемо создавать различную работу.

В наше время период сформированного государства, общества (США, Япония, государства Западной Европы) по сути уже заступили в информативное сообщество. Другие же, в этом количестве также Российская Федерация, пребывают в близких подступах к нему.

Во свойстве критериев развитости информативного сообщества возможно отметить: присутствие ПК, степень формирования компьютерных сетей и число народонаселенья, занимающегося в информативной области, но кроме того использующего информативные и коммуникационные технологические процессы в собственной обыденной работы.

Предметом курсовой работы является информация. В настоящий период сведения стоит дорого и их следует защищать. Глобальное использование личных ПК, к огорчению, обнаружилось сопряженным с возникновением самовоспроизводящихся программ-вирусов, мешающих стандартной службе ПК, рушащих файловую структуру дисков, а также наносящих вред хранимой в ПК данных.

Данными обладают и применяют их все без исключения общества в отсутствии исключения. Любой индивид решает для себя, какое сведение ему следует приобрести, какое сведения не должна являться доступна остальным и т.д. Человеку несложно, сохранять сведение, которая у него во уме, а как быть, в случае если сведения занесена в «мозг машины», к каковой обладают допуск многочисленные общества.

Целью курсовой работы считается избежать утрату данных. Разрабатываются разнообразные механизмы ее охраны, какие применяются в абсолютно всех стадиях деятельности с ней. Охранять от повреждений и наружных влияний необходимо и приборы, в каковых находится засекреченная и существенные сведения, и каналы связи.

Повреждения имеют все шансы являться обусловлены неисправностью оснащения или канала взаимосвязи, имитацией либо разглашением конфиденциальной данных. Внешние действия появляются, равно как и в следствии естественных бедствий, таким образом и в следствии перебоев оснащения либо кражи.

С целью сбережения данных применяют разнообразные методы охраны:

- безопасность строений, в каком месте находится засекреченная информация;

- надзор допуска к конфиденциальным данным;

- разделение допуска;

- повторение каналов связи также подключение дополнительных устройств;

- шифровальные преобразования данных. ^[1]

Фактическая важность состоит в постановлении трудности информативной защищенности. Существенную роль захватывает создание результативной концепции организации деятельности с персоналом, владеющим секретными данными. Во предпринимательских структурах штат как правило содержит в себе абсолютно всех работников этой компании, в этом числе и управляющих.

Штат производит новые идеи, нововведения, раскрытия и изобретения, какие продвигают научно - технический рост, увеличивают материальное благополучие работников компании и считаются нужными не только лишь с целью компании в полном, однако и с целью любого отдельного работника. Любой работник справедливо заинтересован в сохранении в секрете этих нововведений, какие увеличивают доходы и авторитет компании. Невзирая на данное, штат, к огорчению, считается в таком случае период главным источником потери (разглашения, утечки) ценной и секретных сведениях (9, с. 47).

В курсовой работе были применены использованные материалы экспертов: В.К. Левина, А.В. Спесивцева, П.И. Семьянова, Д.П. Зегжда, Н.Н. Безрукова, Д.Ю. Мостовой. Даже наиболее идеальная в координационном проекте и превосходно снабженная технически концепция охраны данных никак не способна конкурировать с изобретательностью и хитростью лица, замыслившего похитить или ликвидировать ценные данные. Обыкновенный секретарь руководителя компании обладает вероятностью причинить компании такой существенный вред, что окажется под вопросом само ее существование.

Глава 1. Основные направления обеспечения безопасности информационных ресурсов

1.1 Угрозы конфиденциальной информации

Под конфиденциальной информацией будем понимать информацию, на которую распространяются правила разграничения доступа.

Под правилами разграничения доступа будем понимать совокупность положений, регламентирующих права доступа лиц и процессов к единицам информации.

Можно выделить два вида конфиденциальной информации: служебная и предметная. К служебной информации в частности относятся имена и пароли пользователей. Зная служебную информацию можно получить доступ к предметной информации.

Несанкционированный доступ к информации возможен:

- при отсутствии системы разграничения доступа;

- при ошибках в системе разграничения доступа;

- при сбое/отказе программного или аппаратного обеспечения;

- при ошибочных действиях пользователей или обслуживающего персонала;

- при фальсификации полномочий;

- при использовании специальной аппаратуры и ПО.

Полный перечень способов несанкционированного получения информации:

- использование подслушивающих устройств (закладок);

- использование дистанционного фотографирования;

- перехват электромагнитного излучения;

- принудительное электромагнитное излучение (подсветка);

- маскировка под запросы системы;

- перехват звуковых волн. Современные технические средства позволяют улавливать звук на большом расстоянии;

- восстановление текста напечатанного принтером;

- хищение носителей информации и производственных отходов (анализ бумажных отходов является одним из эффективных приемов добычи информации, которым всегда пользовались разведки всего мира);

- считывание данных с компьютеров пользователей. Доступ может быть и непосредственный, и путем подключения к устройствам внешней памяти, и посредством удаленной консоли;

- считывание остаточной информации из памяти (оперативной или внешней) системы;

- копирование носителей информации с преодолением средств защиты.^[2]

1.2 Идентификация и аутентификация

Важным средством защиты объектов безопасности является идентификация и аутентификация.

Идентификация - это передача субъекта (пользователя или процесса) системе своего имени (идентификатора). На этапе аутентификации происходит проверка подлинности переданного имени. Подтвердить свою подлинность субъект может следующими двумя способами:

- посредством некоторого устройства аутентификации, например, электронной карточки;

- посредством некоторого неотъемлемого от субъекта признака (отпечаток пальцев, рисунок сетчатки глаза, последовательность байтов, однозначно идентифицирующих процесс).

При парольной аутентификации важным является защита пароля от попадания в руки злоумышленников. Получить пароль можно из различных источников:

У владельца пароля; иногда для хранения паролей используется обычная записная книжка или файл, откуда случайно или намеренно пароль может попасть злоумышленнику; иногда пароль сообщают сослуживцу; пароль можно подсмотреть. Пароль можно получить посредством программ - шпионов, которые перехватывают функции ввода и передают пароль злоумышленникам, поэтому должен быть строгий контроль над программным обеспечением, работающим в системе. Пароль можно просто подобрать, ориентируясь на трафаретное мышление большинства людей (год рождения, фамилии и имена близких и т.п.). Существуют даже программы, которые подбирают пароль на основе некоторых трафаретных шаблонов. Пароль может быть перехвачен при передаче по сети.

Для защиты парольного входа используются следующие методы:

- установка минимальной длины паролей;

- пароль должен быть составлен из символов разного регистра, знаков препинания, цифр;

- для каждого пароля должен быть установлен промежуток, по истечению которого пароль должен быть сменен;

- защита файлов, где хранятся пароли;

- использование программ-генераторов паролей;

- использование одноразовых паролей;

Пользователю известен только ключ, при вводе которого каждый раз генерируется новый пароль, который и передается системе.

Таким образом, по сети каждый раз передается разный пароль. Разумеется, зная ключ и алгоритм генерации можно сгенерировать нужный пароль.

Наиболее известным сервером аутентификации является Kerberos.^[3]

Несколько слов следует сказать о биометрических способах аутентификации. Эти методы основываются на физиологических и поведенческих признаках человека. Физиологический подход может основываться на таких параметрах как отпечатки пальцев, геометрия рук или сетчатки глаз и т.д. К поведенческим признакам относится, например, динамика работы с клавиатурой, подпись и др. Принцип использования биометрических показателей заключается в следующем: в начале создается база данных с биометрическими данными. При аутентификации (и одновременно идентификации) программа сканирует базу данных шаблонов в поисках соответствующего шаблона. Обычно биометрический способ аутентификации является лишь одним из этапов полной аутентификации и комбинируется также с парольным подходом. ^[4]

Разграничение доступа является одним из основных способов сохранения конфиденциальности информации и является дополнением таких процедур как идентификация и аутентификация.

Но разграничение доступа не только позволяет сохранять конфиденциальность информации, но и защищает ее от угроз доступности и целостности. Правильное распределение ролей в системе может уберечь объекты безопасности от случайных или некомпетентных действий, которые могут вызвать потерю или искажение информации.

В общем случае постановка задачи следующая. Имеется множество субъектов безопасности (пользователи или процессы), доступ которых к информации предполагается регулировать. С другой стороны, имеется множество объектов данных, доступ к которым субъектов безопасности может регулироваться. В качестве объектов могут выступать самые разные элементы. персонал конфиденциальный информация увольнение

Для реляционных баз данных это могут базы данных, таблицы, столбцы, строки и т.д. Для каждой пары «субъект-объект» должно быть определено множество операций, которые субъект может выполнять над объектом.

Операции могут быть простыми, такими как добавление данных, удаление данных, обновление данных, а могут представлять собой хранимые процедуры, содержащие множество различных действия.

Кроме ограничений на действия с данными для субъектов безопасности, субъекту могут даваться разрешения на операции выдачи прав или введение ограничений на действия с данными других субъектов. Это особо тонкая работа, требующая вдумчивого подхода. Достаточно случайно дать дополнительные права какому-либо пользователю, и он сам сможет расширить свои права для работы с данными или создать нового пользователя с расширенными правами.

Использование ролей не только помогает управлять доступом целой группы пользователей, но и вносит дополнительные сложности для администратора.

Таким образом, перед тем как разрешить, или запретить какие-либо действия над данными необходимо проанализировать все роли, в которые данный пользователь прямо или косвенно (через вложенные роли) входит. При этом может оказаться, что в одной роли данное действие разрешено, а в другой запрещено. Обычно придерживаются следующего правила: запрет всегда сильнее разрешения. Поэтому, если пользователь является членом множества ролей и только в одной роли указан запрет на определенное действие, то для пользователя это действие будет запрещено. В некоторых системах (например, в MS SQLServer) объекты безопасности также могут объединяться в группы (в MS SQLServer -они называются схемами). В этом случае, можно разрешить или запретить какие-либо действия для целой группы объектов. ^[5]

Одним из наиболее мощных средств обеспечения конфиденциальности является шифрование.

Используют два способа шифрования: симметричное и ассиметричное. В первом случае один и тот же ключ используется и для шифрования и для расшифровки. В России разработан и существует стандарт для такого шифрования ГОСТ 28147-89. При передаче шифрованного сообщения между отправителем и получателем и тот и другой должны иметь в своем распоряжении один и тот же ключ. При этом, разумеется, ключ следует содержать в тайне. Когда два человека имеют в своем распоряжении один и тот же ключ, то возрастает вероятность, что ключ попадет и в третьи руки. Кроме этого, получатель не может доказать третьему лицу, что полученное зашифрованное сообщение написано отправителем, так как и сам получатель при желании мог сгенерировать такое сообщение. ^[6]

ГОСТ 28147-89 - единственный российский стандарт симметричного шифрования. Стандарт был введен в 1990 году и объявлен полностью открытым в 1994 году. Однако разработан он был гораздо раньше в одном из закрытых НИИ Советского Союза. Это высоконадежный и простой в реализации алгоритм шифрования.

В ассиметричных раскладах применяются два ключа. Единственный с их называется открытым (либо публичным) также способен легко переходить третьим личностям. Данное источник способен являться специализирован также с целью кодирования также с целью расшифровки. Все зависит с этого, с целью чего же применяется кодирование. Второй источник именуется прикрытым (либо тайным), некто обязан являться популярен только лишь одному субъекту. Если ассиметричное кодирование применяется с целью извлечения уведомлений с множества субъектов, закрытым считается источник с целью расшифровки. В обратном условии, если единственный лицо отправляет шифрованные информации большинству субъектам, в таком случае закрытым источником считается источник с целью кодирования.

Электронная подпись решает проблему идентификации передаваемых данных. Электронная подпись представляет собой некоторую вставку в данные (документ), зашифрованную закрытым ключом. При этом сами данные могут быть как в зашифрованном, так и в открытом виде. В состав электронной подписи обычно входит информация, идентифицирующая как передаваемые данные (например, контрольная сумма, позволяющая проверить целостность данных), так и того, кто передает эти данные (некий личный идентификатор известный получателю). В качестве параметра, определяющего правильность производимой расшифровки, в электронной подписи может содержаться в частности и сам открытый ключ, которым эта подпись расшифровывается. ^[7]

Глава 2. Особенности работы с персоналом, владеющим конфиденциальной информацией

2.1 Персонал как основная опасность утраты конфиденциальной информации

В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.

В выводе проблемы информативной сохранности значительное пространство занимает подбор лучших способов службы с персоналом, владеющим секретными данными. Персонал возбуждает новые идеи, новаторства, раскрытия и изобретения, какие убыстряют научно - промышленный прогресс, увеличивают достаток служащих компании и представляются нужными не только для компании в целом, однако и для любого отдельного работника. Потому другой работник беспристрастно заинтересован хранить в секрете те новшества, какие увеличивают прибыли и авторитет компании.

Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая фирма, которая использует в работе достаточные объемы конфиденциальных сведений. ^[8]

В современных предпринимательских структурах практически каждый основной сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов и криминальных структур. В контексте безопасности кадровая политика имеет профилактическую роль по отношению к такому типу угрозы, как неблагонадежность отдельных сотрудников. Вопросы управления персоналом, работа которого связана с обработкой, хранением и использованием конфиденциальных сведений, документов и баз данных, в настоящее время все в большей степени в концептуальном и практическом аспектах включаются в число главных, при решении проблем информационной безопасности. ^[9]

Информативная безопасность подразумевается, как огражденность данных на других носителях от неожиданных и намеренных неразрешенных влияний природного и ненастоящего характеристики, командированных на ликвидирование, поражение, изменение этих либо других этих, модифицирование ступени доступности дорогих сведений. Кроме высококлассных возможностей работники, сопряженные с тайнами компании, обязаны владеть рослыми нравственными свойствами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на назначенные лимитированиям в применении информативных ресурсов и производят в себя самодисциплину, самодисциплина усилий, операций и выражений.

Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы. Повышение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика работников. Люди рассматриваются как самый ценный ресурс фирмы и решают, с одной стороны, производственные и коммерческие задачи, а с другой - получают во владение ценные и конфиденциальные сведения фирмы и обеспечивают их правильное использование и сохранность. ^[10]

Служба с персоналом предполагает целеустремленную активность управления компании и трудящийся коллектива, командированную на более целое применение трудящийся и созидательных возможностей любого члена коллектива, воспитание в нем фирменной гордости, мешающей происхождению хотения надуть ущерб компании, начинать соучастником в бесчестной конкуренции либо преступных усилиях.

Гуманный принцип обязан непрерывно предусматриваться в длительной стратегии компании и ее нынешной деятельности, проявляться главным составляющей теории эффективной и лучшей системы охраны информативных ресурсов.

Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;

- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;

- инструктирование и обучение сотрудников практическим действиям по защите информации.

А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:

- большой ценой решения о допуске лица к тайне предприятия;

- наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);

- разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.

Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.

Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:

- всех сотрудников данной фирмы, ее персонал;

- сотрудников других фирм;

- сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;

- журналистов средств массовой информации, сотрудничающих с фирмой,

- посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;

- посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;

- родственников, знакомых и друзей всех указанных выше лиц.

Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.^[11]

Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причем овладение требуемой информацией происходит в значительном числе случается в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств. ^[12]

2.2 Доступ персонала к конфиденциальным сведениям, документам и базам данных

В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и защите информации» вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами. Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации. ^[13]

Разрешительная система доступа лежит в основе организационно - правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной коммерческой тайне. В соответствии с Федеральным законом «О коммерческой тайне» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем. ^[14]

Приведенные мероприятия реализуются в рамках позволительной системы доступа персонала компании к данных, сочиняющей коммерческую секрет.

Система доступа персонала компании предугадывает установка на компании целого распорядка воззвания с носителями сведений, устройство ограничений на доступ к ним разных категорий персонала и ступени ответственности за защита подтвержденных носителей сведений. Творение и осуществление позволительной системы доступа персонала к данных, сочиняющей коммерческую секрет, - значительная часть всеобщей системы координационных граней по охране данных на компании.

Актуальность применения позволительной системы доступа к данных определена специальным ролью информативной сочиняющей другого производственного процесса на нынешнем компании, подключающего творение новоиспеченных бумаг (веществ), продуктов и услуг, незаконный доступ к каким сможет привести к утечке секретной данных и, тем наиболее, нанесению убытка предприятию. Творение и действие позволительной системы доступа персонала компании к данных ориентированы, в первоначальную участок, на заключение важных пред предприятием задач и приобретение главных целей его деловитости.

Основным принципом нормативно - законного регулировки процесса ознакомления точного труженика компании с сведениями, образующими коммерческую секрет, представляется уместность доступа сего труженика к точным сведениям либо их носителям. Главные условия обоснованного доступа персонала к коммерческой данных включают: подпись тружеником обещания об неразглашении сведений, образующих коммерческую секрет, а вдобавок трудящийся соглашения, какой в согласовании со ст. 57 Трудового кодекса Российской Федерации сможет иметь данные обещания; присутствие около труженика законного в поставленном распорядке допуска к сведениям, образующим коммерческую секрет; присутствие ратифицированных управляющим компании официальных повинностей труженика, устанавливающих сфера его задач и размер нужной для их вывода данных; формирование дозволения управляющего компании на изучение труженика с точной данными, изображающей коммерческой секретом, и ее носителями. Процесс регулировки доступа тружеников к коммерческому секрету ориентирован на изъятие неосновательного расширения сферы персон, допускаемых на компании к данных разной ступени конфиденциальности, и утечки данной данных, а вдобавок доступа к ней людей, не имеющих на то дозволения уполномоченных официальных граждан.

Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну. Чтобы понять роль разрешительной системы доступа к информации всех категорий сотрудников, в том числе командированных лиц, в совокупности с другими организационными, правовыми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия. В структуре управления процессом доступа особое место занимают руководитель предприятия и его заместители.

Хотя более значительная роль в данной текстуре предотвращается главам структурных подразделений компании, работники каких конкретно допускаются к коммерческому секрету (трудятся с носителями сведений, образующих коммерческую секрет). Данные шефы наделяются левом определять ступень доступа конкретно подвластных им служащих к точным сведениям (носителям). В связи от категорий служащих компании либо командированных персон, потребности ознакомления их с этими либо иными сведениями (в границах официальных повинностей, либо в размере предписания на исполнение поручения) сообразные шефы назначают полномочия данных персон на доступ к данных.

Полномочия служащих на доступ к коммерческому секрету и службу с ее носителями регулируются разрешениями уполномоченных официальных персон, законными в писчем (фактичном) варианте. Формирование таковых разрешений исполняется управляющим компании, его заместителями и начальниками скелетных подразделений в касательстве конкретно подвластных им служащих.

Главным внутренним координационно - распорядительным документом компании, стабилизирующим вопросы доступа всех категорий тружеников и иных персон к коммерческому секрету, представляется состояние об позволительной системе доступа к данных, сочиняющей коммерческую секрет.

Исследование исходного расположения реализовывает, как закон, особо творимая комиссия компании, какая складывается из агентов его скелетных подразделений, исполняющих производственную, домовитую и некоторые варианты деловитости. Члены комиссии обязаны ведать специфику службы компании, распорядок компании и обеспечения охраны секретной данных.

В состав комиссии в обязательном распорядке заходят работники здание сохранности компании. В мишенях больше буквального дефиниции ограничений для точных персон на доступ к разным категориям данных (с учетом ее темы) комиссия сможет вводить много подкомиссий. Методичное управление деловитостью комиссии (подкомиссий) реализовывает работа сохранности компании.

Исследованию расположения предшествует (все)общий анализ разных бумаг (веществ), прочерчиваемый в мишенях выявления и классификации всех информативных струй, имеющийся на компании. В ходе разбора изучаются все направленности и сторонки деловитости компании, в этом числе его взаимодействие с организациями - соисполнителями и заказчиками, служба диссертационных рекомендаций, просветительная активность и т.п. После извлечения итогов разбора создастся конструкция расположения (готовится его проект).Основными разделами положения являются: общие требования по доступу работников к коммерческой тайне; порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности; порядок доступа к делам и документам архивного хранения; порядок копирования (размножения) документов и рассылки их нескольким адресатам; порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов; порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий. ^[15]

В вопросах исследования положения, осуществлении его условий и власти за исполнением предустановленных событий специальная роль предотвращается занятию сохранности, в задачки какой заходит: исполнение событий, командированных на локализация сферы персон, допускаемых к точной данных (ее носителям); обнаружение прецедентов незаконного доступа персон к коммерческой секрете; критика действенности принимаемых начальниками скелетных подразделений компании граней по исключению утечки данных; накачка предложений об внесении конфигураций в официальные инструкции и некоторые бумаги, устанавливающие задачки и функции подразделений (раздельных официальных персон) компании; исследование и понятие на предложение шефу компании планов внутренних координационно - распорядительных бумаг по вопросам охраны коммерческой секреты, в этом числе устанавливающих распорядок функционирования позволительной системы доступа; методичное управление деловитостью официальных персон и скелетных подразделений по осуществлении расположения об позволительной системе доступа к коммерческой тайне компании.

Более значительная функция службы безопасности компании - власть над соблюдением его работниками утверждений организационно - плановых, распорядительных бумаг, регламентирующих вопросы создания и функционирования позволительной системы доступа, в мишенях исключения ситуации незаконного доступа служащих компании, а вдобавок командированных персон к коммерческой тайне.

Работа сохранности испытывает: присутствие законного в поставленном распорядке допуска служащих к коммерческой секрете; соотношение сделанного управляющим скелетного гарнизона компании дозволения условиям позволительной системы; уместность передачи носителей сведений, сохраняющих коммерческую секрет, на иные компании; воплощение тружениками компании поставленных условий по службе с носителями сведений, образующих коммерческую секрет, на рабочих участках; сила и необходимость применения веществ, сохраняющих коммерческую секрет, на конференциях, совещаниях и иных событиях, прочерчиваемых с привлечением агентов иных организаций.

Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений организационно - распорядительных документов, регулирующих вопросы функционирования разрешительной системы на предприятии. ^[16]

2.3 Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Почти любой сотрудник организации является носителем конфиденциальной или секретной информации. Правила работы с секретными документами, слабые места системы охраны, служебные проступки сотрудников или организации в целом, контакты с клиентами и т.д. вся эта информация является конфиденциальной, знают многие сотрудники.

Защититься от утечки подобной данных нельзя: любой работник представляется носителем какой-никаких-то тайн, какой-никакой-то должностной данных. Эти данные уйдет с работником. Вопрос лишь в этом станет ли он ее использовать, и наметет единица сие компании вред.

Благонадежность работника в отношении компании представляется в истинное время довольно активной величиной: если постановка иной компании станет порядочно превосходить зарплату и пакет социальных услуг исходной компании, то работник в течении маленького времени сможет уволиться. К этому же теперь более ценятся профессионалы, какие отработали в некоторых организациях, нежели те, какие 10 - 20 лет отработали в одной. Поэтому возможность увольнения любого сотрудника (в т.ч. ведущих сотрудников и заместителей начальника организации) необходимо учитывать при организации защиты информации.

Если сотрудник в письменной и устной форме сообщает о своем уходе, то необходимо выполнить следующий ряд действий:

- организовать защиту информации до увольнения сотрудника;

- определить причины увольнения;

- побеседовать с сотрудником, обсудить вопрос сохранения коммерческой тайны;

- организовать защиту информации после увольнения сотрудника.

При увольнении сотрудника необходимо провести следующие мероприятия:

- проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему информацию, имеющую отношение к работе, если того не требует служебная необходимость;

- сделать резервную копию файлов увольняемого;

- по мере передачи дел, сокращать права доступа к информации;

- запретить вынос и внос бумажных и электронных носителей.

Внос запрещается по причине возможной замены объекта выноса: стопки дискет или компакт - дисков, книг на полках.

Меры по контролю утечки информации не должны быть слишком настойчивы: может пострадать социально - психологический климат. К тому же от увольняемого сотрудника может понадобиться помощь или консультация после увольнения, поэтому процесс увольнения не должен оказывать сильное негативное воздействие.

Сотрудник может не сообщить истинную причину увольнения: не всегда удобно говорить, что ему очень тяжело работать с этим начальником или коллективом, но необходимо определить истинную причину:

- если сотрудник переходит к конкурентам, например, при окончании разработки новой технологии, то необходимо искусственно задержать данного сотрудника;

- если не устраивает зарплата, то при необходимости данного работника можно ему зарплату повысить;

- при наличии психологических причин (конфликты с коллегами, с начальником, плохая организация труда, неудовлетворенность профессией, отсутствие продвижения по службе, несоответствие оплаты труда по сравнению с другими), по возможности попытаться их устранить или просто откровенно поговорить: у сотрудника может просто накопиться обида, недовольство, непонимание, и простая беседа поможет ему сбросить тяжесть накопившейся обиды.

Иногда после разговора выясняется, что причина кроется в субъективном (неправильном) понимании сотрудником какой-либо ситуации. И поскольку желание ухода в таких случаях является часто субъективным фактором, то устранив их, можно оставить человека на прежнем рабочем месте.

При передаче имущества необходимо передать все числящиеся документы, базы данных, носители информации, изделия, материалы, проверить их комплектность. Необходимо сдать пропуск (идентификатор) для входа на объект, все ключи и печати. В базе данных системы контроля доступа необходимо заблокировать все идентификаторы пользователя на тот случай, если он сделал себе копию, например, магнитной карты.

После увольнения может быть целесообразным еще раз поменять пароли, к которым уволенный мог иметь доступ, проводить оперативную проверку его деятельности в случае работы с конкурентами на предмет использования знаний и технологий, программных комплексов в новой организации.

Увольнение сотрудника по инициативе организации может происходить при плановом сокращении персонала, при общем негативном фоне в отношении данного сотрудника, при его проступках. Однако даже при серьезных проступках рекомендуется не сразу увольнять сотрудника имеющего доступ к сведениям составляющих коммерческую тайну.

Особенно если эта тайна не защищена или ущерб от использования этой информации может принести значительный экономический ущерб в ближайшие полгода. Необходимо перевести сотрудника на другую должность желательно с сохранением зарплаты на это время. После обеспечения условий по защите информации или достаточного снижения ее значимости можно произвести увольнение сотрудника, однако причины увольнения должны быть объективными и проверяемыми, и не должны касаться личных и деловых качеств сотрудника. ^[17]

2.4 Защита информации при проведении совещаний и переговоров

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера.

Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно - исследовательских, опытно - конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к участию в них привлекается только персонал данного предприятия). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела, службы), планирующего проведение данного совещания. Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания, принимаемые руководством предприятия (структурным подразделением, организующим совещание), должны быть как организационными, так и организационно - техническими.

События согласно охране данных ведутся присутствие подготовке, во процессе выполнения также согласно завершении совещания. Во труде управления также официальных персон компании согласно охране данных присутствие проведении совещания существенное роль захватывает стадия планирования определенных событий, направленностях в редкий случай потери доход секретной данных также в ее охрану. Во мишенях более результативного постановления вопросов охраны данных во разрабатываемых координационно - намеревающихся бумагах в комплексе предусматриваются все без исключения события, вне зависимости с их нахождения также ориентированности. Так как данные события обязаны являться увязаны среди себя согласно периода также участку выполнения.

Составление Плана событий согласно охране данных ведется заранее вплоть до основы совещания также содержит выработку определенных граней, установление отвечающих из-за их реализации официальных персон (скелетных подразделений), но кроме того сроков их реализации. Присутствие планировании совещания учитывается подобная последовательность рассмотрения задач, присутствие каковой станет исключается содействие во их обсуждении персон, никак не обладающих ко ним непосредственного взаимоотношения.

Более важны со места зрения охраны данных совещания со заинтересованностью агентов посторонних учреждений (наружные совещания), таким образом равно как возможность потери и доход секретных данных присутствие их проведении согласно сопоставлению со совещаниями, прочерчиваемыми во рамках 1-го компании (внутренними совещаниями), существенно больше.

Службу согласно планированию событий в сфере охраны данных, коротаемых во процессе совещания со заинтересованностью агентов посторонних учреждений, председательствует управляющий компании, прямое содействие во планировании берет на себя зам., во ведении коего пребывают проблемы охраны данных в компании. В заместителя управляющего компании кроме того возлагается единая координирование исполнения спланированных событий.

Присутствие нехватке во текстуре компании этого официального личности, отмеченные проблемы возлагаются в управляющего отделения (управляющего работы защищенности).

Проект событий согласно охране данных присутствие проведении совещания со заинтересованностью агентов посторонних учреждений включает соответствующее главные сегменты. Установление состава соучастников также их уведомление - процедура развития перечня персон, притягиваемых ко роли во совещании, также списка компаний, каким следует сосредоточить требования со приглашениями; процедура подготовки также тенденции подобных запросов, развития их нахождения. Организация должностных комнат, во каковых намечается осуществление совещания, деятельность согласно подбору должностных комнат также контролю их соотношения условиям согласно охране данных; потребность также рациональность принятия добавочных координационно-промышленных граней, нацеленных в редкий случай потери дохода данных; спецоборудование работников зон соучастников совещания, во этом количестве орудиями автоматизации, в каковых допустима обрабатывание секретной данных; процедура применения денег звукоусиления, кинематографа- также видеоаппаратуры.

Установление размера обговариваемой данных-процедура установления списка задач, обдумываемых в собрание, также последовательности их рассмотрения, балла уровня их конфиденциальности; акцентирование задач, ко каким разрешается ограниченный область персон, участвующих во совещании.

Предприятие контролирования из-за исполнением условий согласно охране данных-процедура, методы также способы контролирования всесторонности также свойства коротаемых событий, нацеленных в устранение потери, доход также разглашения секретной данных, утрат хищений носителей данных; скелетные отделения либо официальные личности, соответствующие из-за реализация контролирования; процедура также сроки понятия отвечающими официальными личностям отчетов об присутствии носителей секретной данных обнаруженных патологиях во труде согласно охране данных.

В случае, если во процессе совещания применяются данные, элементы муниципальную секрет, его члены обязаны обладать доступ ко ним данным согласно надлежащей фигуре. План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. Определение состава участников и их оповещение - порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями; порядок подготовки и направления таких запросов, формирования их содержания. Подготовка служебных помещений, в которых планируется проведение совещания, работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации; оборудование рабочих мест участников совещания, в том числе средствами автоматизации, на которых разрешена обработка конфиденциальной информации; порядок использования средств звукоусиления, кино- и видеоаппаратуры.

Определение объема обсуждаемой информации-порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности; выделение вопросов, к которым допускается узкий круг лиц, участвующих в совещании.

Организация контроля за выполнением требований по защите информации-порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации, утрат хищений носителей информации; структурные подразделения или должностные лица, отвечающие за осуществление контроля; порядок и сроки представления ответственными должностными лицам докладов о наличии носителей конфиденциальной информации выявленных нарушениях в работе по защите информации.

Если в ходе совещания используются сведения, составляющие государственную тайну, его участники должны иметь допуск к ним сведениям по соответствующей форме.

При рассмотрении вопросов, отнесенных к иным видам конфиденциальной информации, участники совещания должны иметь оформленное в уставленном порядке решение руководителя предприятия о допуск данной категории (данному виду) информации.

Должностное лицо, ответственное за проведение совещания, указанию руководителя предприятия (руководителя подразделения, организующего совещание) формирует список лиц, участвующих в совещании.

В списке указывают фамилию, имя, отчество каждого участника, его место работы и должность, номер допуска к сведениям, составляющим государственную тайну, или номер решения рук водителя о допуске к иной конфиденциальной информации, и мера вопросов совещания, к обсуждению которых допущен участник. При необходимости в списке могут указываться и другие сведения.

Подготовленный список участников согласовывается с секретно - режимным подразделением (службой безопасности) предприятия совещания и утверждается руководителе этого предприятия, давшим разрешение на проведение совещания.

Включенные в список участники совещания проходят в служебные помещения, в которых оно проводится, предъявляя сотрудникам службы охраны (службы безопасности) документ, удостоверяющий личность. Проход участников совещания в эти помещения может быть организован по пропускам, выдаваемы им исключительно на период проведения совещания и отличающимся от других используемых предприятием-организатором пропусков.

Участники совещания имеют право посещения только тех служебных помещений, в которых будут обсуждаться вопросы, к которым эти участники имеют непосредственное отношение.

Проверку документов, подтверждающих наличие у участников совещания допуска к сведениям, составляющим государственную тайну, и разрешений на ознакомление с конфиденциальной информацией осуществляет служба безопасности предприятия-организатора совещания.

Проверка служебных помещений на предмет возможности обсуждения в них вопросов конфиденциального характера проводится накануне совещания специально назначаемой комиссией, состоящей из специалистов по технической защите информации и противодействию иностранным техническим разведкам. ^[18]

Заключение

В сегодняшней стадии формирования сообщества максимальную значимость обретает никак не новейший, но постоянно значимый источник, именуемый информацией.

Сведения делаются основным ресурсом научно-технического и общественно-финансового формирования всемирного общества.

Почти каждая работа в современном мире непосредственно сопряжена с получением, накапливанием, сбережением, обрабатыванием и применением различных информативных потоков. Единство нынешнего общества равно как общества гарантируется в главном за результат активного информационного обмена.

Поэтому в новейших обстоятельствах появляется множество вопросов, сопряженных с предоставлением и конфиденциальностью коммерческой информации равно как вида интеллектуальной собственности.

В ходе деятельности над установленными вопросами были выполнены заключения: под документами, причисленными законодательством к категории секретной предполагается информация, применяемая бизнесменом в бизнесе и управлении предприятием, фирмой или иной структурой, считается его своей, либо индивидуальной своей, видящей существенную значимость с целью бизнесмена. Данная информация составляет его умственную владение. Подобная информация в законодательстве называется конфиденциальной.

Данная информация отображает первенствующие свершения в области финансовой, предпринимательской также иной работы, оглашение каковой способен причинить вред интересам ее владельцу (компании, предприятию).

Бумаги узкого допуска разделяются в «несекретные» и «секретные». Неотъемлемым показателем засекреченного важного документа считается присутствие в нем данных, причисленных законодательством к общегосударственной тайне.

Открытые бумаги узкого допуска вступают в список сведений секретного характера, принятый Указом Президент РФ с 6 марта 1997 года №188.

Под секретным важным документом, т.е. важным документом, к которому урезан допуск персонала, подразумевается важным образом, утвержденный носитель документированной данных, включающий сведенья, какие никак не принадлежат к общегосударственной тайне и оформляют умственную имущество адвокатского и экономического личности.

Коммерческая тайна - научно-техническая, коммерческая, координационная либо иная применяемая в предпринимательской работе данных, которая владеет настоящей либо возможной финансовой ценностью в силу этого, то что она никак не считается общеизвестной и никак не способна являться просто получена легальным путем иных личностей, какие имели возможность б приобрести финансовую выгоду с ее разглашения либо применения.

Опасность защищенности данных подразумевает неправомерный допуск соперника ко секретной данных также применения ее конкретности с целью нанесения ущерба предприятию.

Следует понимать, что в различие от раскрытых бумаг, процедура выполнения секретных бумаг предполагает собою довольно яркую разными научно-техническими стадиями и процедурами технологию.

Список использованной литературы

1. О средствах массовой информации // [Текст] :федер. закон [принят Гос.Думой от 27 декабря 1991г.] //Собрание законодательства РФ. - 2002г. - №2124. - 1с.

2. Об информации, информатизации и защите информации//[Текст]:федер. закон [принят Гос.Думой 20 февраля 1995г.]//Собрание законодательства РФ.-2006г.-№24.- ст.609. - 164с.

3. О коммерческой тайне//[Текст]:федер. закон [принят Гос.Думой 21 июля 1993г.] //Собрание законодательства РФ.-2003.-№131. - ст.3. - 45с.

4. Безруков,Н.Н.Компьютерныевирусы[Текст] :/Н.Н.Безруков,-М.:Наука,2015г.-24с.

5. Зегжда,Д.П.Защита информации в компьютерных системах [Текст]:/ Д.П.Зегжда [и др.],- М.:Спб.: СПБГТУ,2017г.- 56с.

6. Левин,В.К. Защита информации в информационно-вычислительных системах и сетях [Текст]:/ В.К.Левин - М.:Изд.Программирование,2014г.-№6.-5с.

7. Макарова,Н.В Информатика [Текст] :/ Н.В.Макарова,- М.:Изд. Базовый курс,теория,2014г. -78с.

8. Моисеенков,И.В. Безопасность компьютерных систем [Текст] :/ И.В.Моисеенков,-М.:Изд.Компьютер.Процесс,2013г.-234с.

9. Мостова,Д.Ю. Современные технологии борьбы с вирусами [Текст] :/ Д.Ю.Мостова,- М.:Изд.Мир ПК,-2016г.-№8.-47с.

10 .Пригорьев,В.Л. ПК и общество [Текст]:/ В.Л.Пригорьев, П.И. Кент-М.:ЮНИТИ,2016г.-267с.

11. Петренко,С.А, Политики информационной безопасности [Текст]:/ С.А.Петренко [и др.], - М.:Компания Айти,2015г.-400с.

12. Семьянов,П.П. Анализ средств противодействия исследованию программного обеспечения [Текст] :/ П.П. Семьянов, Д.П.Зегжда-М.:Изд.Компьютер Пресс,1991г.-№11.-27с.

13. Спесивцев,А.В. Защита информации в персональных ЭВМ [Текст] :/ А.В.Спесивцев [и др.], - М.:Изд.Радио и связь,2012г.-21с.

14. Щербаков, А.Ю. Современная компьютерная безопасность [Текст]:/ А.Ю.Щербаков,- М.:Книжный мир,2019.-352с.

15. Киселев, А.Л. Программное обеспечение [Дата обращения 7.10.19; Электронный ресурс] : / А.Л. Киселев, - www.ssofta.narod.ru/admis/4.htm

16. Лукьянов, К.В. Защита информации в офисе [Дата обращения 7.10.19; Электронный ресурс] : / К.В. Лукьянов, Л.В. Никитин, - www.secblog.info.

17. Сидоров, А.Д. Информационные системы [Дата обращения 7.10.19; Электронный ресурс] : / А.Д. Сидоров [и др.], - www.bezopasnik.org/article.

18. Муслимов, Б.И. Конфиденцианая информация [Дата обращения 7.10.19; Электронный ресурс] : / Б.И. Муслимов, А.А. Верещагин, -

1. Зегжда,Д.П.Защита информации в компьютерных системах [Текст]:/ Д.П.Зегжда [и др.],- М.:Спб.: СПБГТУ,2017г.- 56с. ↑

2. Спесивцев,А.В. Защита информации в персональных ЭВМ [Текст] :/ А.В.Спесивцев [и др.], - М.:Изд.Радио и связь,2012г.-21с. ↑

3. Безруков,Н.Н.Компьютерныевирусы[Текст] :/Н.Н.Безруков,-М.:Наука,2015г.-24с. ↑

4. Пригорьев,В.Л. ПК и общество [Текст]:/ В.Л.Пригорьев, П.И. Кент-М.:ЮНИТИ,2016г.-267с. ↑

5. Щербаков, А.Ю. Современная компьютерная безопасность [Текст]:/ А.Ю.Щербаков,- М.:Книжный мир,2019.-352с. ↑

6. Петренко,С.А, Политики информационной безопасности [Текст]:/ С.А.Петренко [и др.], - М.:Компания Айти,2015г.-400с. ↑

7. Сидоров, А.Д. Информационные системы [Дата обращения 7.10.19; Электронный ресурс] : / А.Д. Сидоров [и др.], - www.bezopasnik.org/article. ↑

8. Семьянов,П.П. Анализ средств противодействия исследованию программного обеспечения [Текст] :/ П.П. Семьянов, Д.П.Зегжда-М.:Изд.Компьютер Пресс,1991г.-№11.-27с. ↑

9. Лукьянов, К.В. Защита информации в офисе [Дата обращения 7.10.19; Электронный ресурс] : / К.В. Лукьянов, Л.В. Никитин, - www.secblog.info. ↑

10. Левин,В.К. Защита информации в информационно-вычислительных системах и сетях [Текст]:/ В.К.Левин - М.:Изд.Программирование,2014г.-№6.-5с. ↑

11. Петренко,С.А, Политики информационной безопасности [Текст]:/ С.А.Петренко [и др.], - М.:Компания Айти,2015г.-400с. ↑

12. Муслимов, Б.И. Конфиденцианая информация [Дата обращения 7.10.19; Электронный ресурс] : / Б.И. Муслимов, А.А. Верещагин, - www.sizh@mail.ru ↑

13. Безруков,Н.Н.Компьютерныевирусы[Текст] :/Н.Н.Безруков,-М.:Наука,2015г.-24с. ↑

14. О коммерческой тайне//[Текст]:федер. закон [принят Гос.Думой 21 июля 1993г.] //Собрание законодательства РФ.-2003.-№131. - ст.3. - 45с. ↑

15. Моисеенков,И.В. Безопасность компьютерных систем [Текст] :/ И.В.Моисеенков,-М.:Изд.Компьютер.Процесс,2013г.-234с. ↑

16. Щербаков, А.Ю. Современная компьютерная безопасность [Текст]:/ А.Ю.Щербаков,- М.:Книжный мир,2019.-352с. ↑

17. Киселев, А.Л. Программное обеспечение [Дата обращения 7.10.19; Электронный ресурс] : / А.Л. Киселев, - www.ssofta.narod.ru/admis/4.htm ↑

18. О средствах массовой информации // [Текст] :федер. закон [принят Гос.Думой от 27 декабря 1991г.] //Собрание законодательства РФ. - 2002г. - №2124. - 1с. ↑