- •Утверждаю
- •К.К. Борзунов
- •Введение
- •1 Уязвимость информации
- •2 Формы и причины проявления уязвимости информации
- •2.1 Несовершенство или нарушения организации работы с информацией или с носителем информации.
- •2.2 Несовершенство системы защиты информации или нарушения в обеспечении информационной безопасности.
- •2.3 Негативные социальные и психологические явления, происходящие в организации или ее структурном подразделении.
- •2.4 Высокая ценность информации
- •Понятие, причины и условия утечки защищаемой информации
- •Литература Обязательные источники
- •Основная литература
- •Дополнительная литература
2.1 Несовершенство или нарушения организации работы с информацией или с носителем информации.
В каждой организации ведется работа с информацией, а в некоторых – с конфиденциальной информацией. При этом каждая организация использует свои специфические приемы, методы, принципы организации работы с защищаемой информацией. Разрабатываются должностные инструкции, определяющие и регулирующие сферу деятельности каждого должностного лица, в которых регламентируется порядок работы с носителями защищаемой информации. В каждой организации существуют свои требования к работе с информацией (особенно защищаемой), которые должны выполнять все сотрудники организации не только для того, чтобы уменьшить уязвимость информации, но и чтобы обеспечить эффективную, рациональную, оперативную работу всей организации в целом.
При организации работы с информацией (носителем информации) необходимо учитывать следующие факторы:
доступность информации для сотрудников организации (если эта информация не является конфиденциальной);
оперативность движения информации;
создание условий для оперативного использования информации;
возможность оперативного поиска информации;
выбор оптимальной технологии работы с информацией;
рациональная организация рабочих мест и условий труда сотрудников;
выбор оптимальной организационной формы работы с информацией (централизованная, децентрализованная, смешанная);
разработка и внедрение нормативных и методических документов по организации работы с информацией и другие.
Несовершенство организации работы с информацией ведет к созданию уязвимости информации, даже если она не является конфиденциальной – любая информация о тех или иных уязвимых местах информационной системы может помочь злоумышленнику найти лазейку к ценной для него информации. Ответственность за несовершенство организации работы с информацией лежит на разработчиках нормативно-методических документов по работе с конфиденциальной информацией и руководителе организации, который утвердил эти недоработанные документы и, следовательно, способствовал внедрению недоработанной системы работы с информацией.
Нарушение правил работы с информацией или носителем информации также создает предпосылки для реализации угроз злоумышленника. Прежде чем действовать, злоумышленник анализирует слабые стороны, которые существуют в системе защиты нужной ему информации, и одной из таких слабых сторон является низкая дисциплина труда на предприятии и нарушение требований организационной защиты информации. К нарушениям правил работы с информацией или носителем информации можно отнести:
несоблюдение сотрудниками требований нормативных и методических документов по работе с информацией (или носителями информации) из-за неаккуратности, пренебрежения к требованиям режима конфиденциальности или иных причин;
создание сотрудниками условий для бесконтрольного и беспрепятственного выхода информации за пределы организации (если информация конфиденциальная – то за пределы круга лиц, которые имеют право доступа к ней);
нарушение правил организации работы с конфиденциальной информацией;
невыполнение сотрудниками своих должностных обязанностей или распространение их деятельности на должностные обязанности других сотрудников, не предусмотренное их должностными инструкциями.
Если за несовершенство организации работы с информацией рядовой сотрудник не несет личной ответственности, то за нарушение требований к работе с информацией (особенно если это нарушение имело негативные последствия) сотрудник несет персональную ответственность и может быть подвержен административному, материальному или даже уголовному наказанию.