Вопрос 1 а) Определение и нормативное закрепление состава защищаемой информации. Б) Определение объектов защиты.
Ответ:
А) Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии с стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.
Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.
Для определения состава защищаемой информации необходимо ответить на вопросы:
1) Какие сведения следует охранять? 2) Кого они интересуют?
3) Почему они нуждаются в получении этих сведений?
4) Какие виды информации имеются в данной организации?
5) Какова ценность каждого из видов информации
6) Какая защита необходима для каждого вида информации?
Кроме того, государственные законодательные акты оговаривают следующие виды защищаемой информации:
1) Информация, относящаяся к государственной тайне – ФЗ "О ГТ ", Указ Президента РФ «О перечне сведений, составляющих ГТ»
2) Информация, составляющая коммерческую тайну. Постановление правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну», Гражданский кодекс РФ, Закон «О коммерческой тайне».
3) Информация, составляющая банковскую тайну. Закон «О банках и банковской деятельности».
4) Информация, составляющая профессиональную тайну. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
– предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
– предприятие обязано обеспечить сохранность конфиденциальной информации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
– Положение о сохранении конфиденциальной информации;
– Перечень сведений, составляющих конфиденциальную информацию;
– Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
– Положение о специальном делопроизводстве и документообороте;
– Перечень сведений, разрешенных к опубликованию в открытой печати;
– Положение о работе с иностранными фирмами и их представителями;
– Обязательство сотрудника о сохранении конфиденциальной информации;
– Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника.
Б) Собственно информация является предметом защиты в системах безопасности, а объектами защиты являются носители информации. Поскольку носители информации имеют разную физическую природу и информация в своем движении даже в одном технологическом процессе часто переходит из одной формы в другую, определить полный перечень объектов, подлежащих защите – задача не простая.
Обычно объекты защиты определяют по основному признаку – содержат ли они или циркулирует ли в них информация ограниченного доступа. Определение объектов защиты при построении комплексной системы защиты информации. Классификация объектов информационной защиты может быть представлена в виде такой схемы:
