Южно-уральский государственный университет

Международный факультет

Кафедра Антикризисного управления

Курс лекций

Обеспечение безопасности деятельности предприятия.

Информационная безопасность.

Разработал: Кошкаров В.Н.

Челябинск

2012

ОГЛАВЛЕНИЕ

Введение 5

5. Система информационной безопасности предприятия. 6

5.1 Основные определения. Информация и ее свойства. 6

5.2 Стандарты обеспечения информационной безопасности. 8

5.2.1 Роль стандартов информационной безопасности. 8

5.2.2 Документирование деятельности по обеспечению ИБ предприятия. 11

Документы первого уровня. 13

5.3 Система информационной безопасности предприятия. 16

5.3.1 Основные положения. 16

5.3.2 Защита коммерческой тайны на предприятии. 19

Правовое обеспечение. 19

Законодательно различные аспекты коммерческой тайны (КТ) регулируются: Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ, Уголовным кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными федеральными законами и целым рядом подзаконных актов. 19

Информация, составляющая коммерческую тайну - должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней у третьих лиц нет свободного доступа на законном основании и в отношении нее обладателем введен режим коммерческой тайны. 19

Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей КТ, следующих мер по охране ее конфиденциальности: 20

1. определение перечня информации, составляющей коммерческую тайну; 20

2. ограничение доступа к информации, составляющей КТ, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 20

3. учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана; 20

4. регулирование отношений по использованию информации, составляющей КТ, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 21

5. нанесение на материальные носители (документы), содержащие информацию, составляющую КТ, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем и место жительства). 21

Меры по охране конфиденциальности информации признаются разумно достаточными, если: 22

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 22

2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. 22

Целесообразно охранять как коммерческую тайну только ту часть информации предприятия, которая обеспечивает возможность расширять рынок сбыта продукции, существенно улучшать ее качество, заключать особо выгодные сделки с партнерами. 22

5.3.3 Защита персональных данных на предприятии. 24

Конституция РФ. ---------------------------------------------------- 26

Статья 23 26

Статья 24 26

Статья 29 26

Статья 51 26

5.3.4 Электронный документооборот. Электронная подпись. 28

электронный документ - документ, в котором информация представлена в электронно-цифровой форме. 28

электронный документ любого объема должен преобразовываться в бинарную последовательность строго определенной длины; 33

полученная хешированная версия документа должна зависеть от каждого бита исходного документа и от порядка их следования; 33

Известные алгоритмы хэширования: 33

ГОСТ Р 34.11-94. Вычисляет хэш размером 32 байта. 33

MD5 (Message Digest). Microsoft Windows - для преобразования пароля пользователя в 16-байтное число. 33

SHA-1 (Secure Hash Algorithm). Алгоритм вычисления дайджеста сообщений, вырабатывающий 160-битовый хэш-код входных данных. Используется во многих сетевых протоколах защиты информации. 33

5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией. 34

Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ. 34

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). 34

5.4 Создание системы информационной безопасности предприятия. 36

5.4.1 Основные цели, методы и принципы. 36

5.4.2 Методическое направление работ по созданию КСЗИ 38

5.4.3 Организационное направление работ по созданию КСЗИ 39

5.4.4 Техническое направление работ по созданию КСЗИ 40

5.4.5 Выводы. Как построить защищенную информационную систему? 40

5.5 Современные технологии защиты данных. 44

5.5.1 Технология криптографической защиты информации. 44

5.5.2 Технологии аутентификации. 44

Приложение 48

Приложение №9 52