Универ

Library

Разработка мер по защите информации коммерческой организации

Введение

защита информация коммерческий

Во всех промышленно развитых странах мира, вопросы, касающиеся охраны коммерческой тайны относятся к компетенции, как определенных уполномоченных лиц, так и внутрифирменных подразделений предприятия.

Необходимо отметить, что на всех российских предприятиях уже существуют службы безопасности, и в связи с этим особое внимание вопросам конфиденциальности необходимо уделять при заключении трудовых договоров между администрацией предприятия и работниками. Именно здесь отражены индивидуальные обязанности работников по хранению коммерческой тайны. [4]

Как правило, предприниматели не совсем хорошо понимают, чем является коммерческая тайна, каким образом ее необходимо хранить и каким образом это влияет на экономическое состояние предприятия. Доказано на практике, что всякая информация в бизнесе представляет собой товар, и каждый его собственник вправе отстаивать свои интересы и защищать коммерческую тайну и свои права на нее. Вместе с тем, на сегодняшний день компьютерные технологии, проникли практически во все виды человеческой деятельности человека. Исходя из этого, появилось большое количество проблем, связанных с защитой конфиденциальности информации, которая содержится в документах, обработка которых проходит с использованием указанных технологий.

Конфиденциальная информация - представляет собой информацию, доступ к которой ограничен законодательством Российской Федерации и является коммерческой, служебной или личной тайной, которая в свою очередь охраняющиеся владельцем данной информации. Таким образом, в любой современной компании конфиденциальная информация может быть разделена на следующие три категории:

§во-первых, персональные данные;

§во-вторых, коммерческая тайна;

§в-третьих, служебная тайна. [7]

Рекомендуется руководствоваться принципом экономической целесообразности затрат на организацию защиты информации - они не должны превышать величину возможного ущерба от ее нарушения или утраты.

Целью данной работы является разработка мер по защите информации коммерческой организации.

Задачами данной работы являются: во-первых, концепция, во-вторых, организация, в-третьих, практическое внедрение информации на предприятии «ЛЮКСВЕЙ».



1. концепция Защиты информации на предприятии


Информация представляет собой один из основных элементов управления деятельностью каждого предприятия. В рыночных условиях от наличия информации в значительной степени зависит успех предпринимательской деятельности. На сегодняшний день организации часто сталкиваются с проблемой утечки информации и необходимостью создания системы защиты коммерческой тайны. Организация и внедрение системы защиты представляет собой сложный и многоэтапный процесс, который затрагивает все структурные подразделения организации.


Таблица 1 - Роли и источники информации

Роль информацииИсточники внешней деловой информации§ Макроэкономическая роль (государственные и специальные институты); § Финансовая роль (брокерские компании, банковские учреждения и прочие финансовые учреждения); § Биржевая роль (биржи, банковские учреждения); § Коммерческая роль (каталоги, базы данных); § Статистическая роль; § Деловые новости (Средства Массовой Информации).1. Высшие законодательные и исполнительные органы; 2. Средства Массовой Информации (печать, радио, телевидение); 3. Корпоративные форумы (конгрессы, симпозиумы, выставки и тому подобное); 4. Корпоративные организации (ассоциации, биржи, консультационные фирмы, аналитические и рекламные агентства); 5. Печатная продукция (от разных организаций); 6. Электронная продукция (Базы данных, информация на носителях, сети, сайты); 7. Партнеры и потенциальные клиенты (бизнес-планы и предложения).

Система защиты преследует следующие цели:

§достижения стабильности в жестких условиях ведущейся конкурентной борьбы на рынке товаров и услуг;

§сохранения конфиденциальности информации на протяжении определенного промежутка времени;

§обеспечение возможности проверить каждый из возможных каналов утечки информации;

§предотвращения негативных последствий обусловленных текучкой кадров.

Основная цель функционирования системы защиты информации - установление оптимального режима работы предприятия с таким расчетом, чтобы ограничить распространение сведений, которые содержат коммерческую тайну, а также сделать данные сведения недоступными для посторонних лиц, предотвратить их утечку и создать требуемые условия работы тем лицам, которые имеют к ним разрешенный и вместе с тем законный доступ.

По степени функционирования предприятия накапливается некоторый объем информации, разглашение которой, в том числе самими работниками, способно усугубить экономическое положение предприятия. Исходя из этого, собственник информации вправе обеспечить ей статус охраняемой посредством отнесения последней к коммерческой тайне и таким образом ограничить свободный доступ к информации на вообщем-то законном основании.

Только сохранение данной информации в секрете и обуславливает коммерческую ценность информации. [5]

Исследования, проведенные западными специалистами, говорят о том, что 25% служащих предприятия готовы в любое время и по каким-либо обстоятельствам пренебречь интересами фирмы, 50% могут проделать это при определенном стечении обстоятельств и лишь 25% являются верными своей фирме и коллегам, и никогда не предадут корпоративные интересы.

В общем виде потери предприятия могут обусловить:

) снижение возможностей продажи лицензий на собственные научные разработки, снижение приоритета в исследованных сферах научно-технического прогресса, увеличение затрат направляемых на переориентацию деятельности исследовательских подразделений;

) возникновение трудностей в области закупки сырья, технологий, оборудования, а также компонентов необходимых для нормальной производственной деятельности;

) ограничение сотрудничества предприятия с деловыми партнерами, уменьшение вероятности заключения выгодных контрактов, появление проблем при выполнении договорных обязательств.

Точный сметный расчет совокупной величины всех возможных потерь достаточно сложен, а порой даже он даже не представляется возможным из-за отсутствия достоверных исходных данных.


Рисунок 1 - Возможные действия клиента в случае компрометации приватных данных


Компенсация этих потерь требует больших дополнительных затрат, что в свою очередь понижает общую эффективность производства и вероятность ведения успешной конкурентной борьбы.

Исходя из этого вопросам, касающимся защиты коммерческой тайны, уделяется все больше внимания, и далее имеет большое значение подробно рассмотреть мероприятия направленные на обеспечение конфиденциальности информации на предприятии. [4]

Модель нарушителя безопасности показана на рисунке 2.



Рисунок 2 - Модель нарушителя безопасности данных


Суммируя соотношение форм и видов уязвимости защищаемой информации, можно утверждать что:

. Формы проявления уязвимости информации показывают результаты дестабилизации воздействия на информацию, а виды уязвимости - конечный суммарный итог реализации форм проявления уязвимости;

. Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, однако она не поглощает утечку, так как не все формы проявления уязвимости информации, которые привели, или могут привести к утечке, совпадают с теми формами, которые могут привести к утрате;

. Самыми опасными формами проявления уязвимости конфиденциальной документированной информации являются потеря, хищение и разглашение - первые две из них единовременно могут привести как к утрате, так и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться, со всеми вытекающими из этого последствиями;



Рисунок 3 - Концепция нарушения конфиденциальности информации


. Неправомерно отождествлять, как это зачастую делается в научной публицистике и нормативных документах, включая законы, виды и отдельные формы проявления уязвимости информации (утрата = потеря, утрата = хищение, утечка = разглашение (распространение)), а также формы проявления уязвимости информации и способы дестабилизирующего воздействия на информацию;

. Следует уделять равноценное внимание предотвращению, причем как утраты защищаемой документированной информации, так и ее утечки, ведь ущерб собственнику информации наносится в любом случае. [6]


2. Организация защиты информации на предприятии


С целью обеспечения защиты интеллектуальной собственности на предприятиях устанавливается определенный порядок работы с информацией и доступа к ней, который подразумевает комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и прочих мероприятий, которые основаны на правовых нормах или на организационно-распорядительных положениях руководителя предприятия.

Эффективная защита коммерческой тайны подразумевает обязательное выполнение ряда условий:

§единство в решении вопросов производственного, режимного, а также коммерческого и финансового характера;

§координация мер безопасности между всеми заинтересованными подразделениями предприятия;

§научная оценка информации и объектов, подлежащих классификации. Разработка режимных мер до начала проведения режимных работ;

§персональная ответственность (в том числе и материальная) руководителей разного уровня, а также исполнителей, которые принимают участие в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.

Этапы организации системы защиты коммерческой тайны:

1. Определяется предмет защиты. Разрабатывается Перечень сведений, составляющих коммерческую тайну, в которой выделяется наиболее ценная информация, нуждающаяся в особой охране, учитываются требования по защите других предприятий (фирм), участвующих в совместных работах.

. Устанавливаются периоды существования конкретных сведений в качестве коммерческую тайну.

. Определяются категории носителей ценной информации:

§персонал и документация, изделия и материалы;

§технические средства хранения, обработки и передачи информации;

§физические излучения.

С целью организации восприятия создаваемой системы защиты можно разработать соответствующую схему, в которой устанавливаются определенные сотрудники, осведомленные о коммерческой тайне, а также названия (категории) классифицированных документов и изделий и тому подобного.

. Перечисляются стадии (этапы) работ, время материализации коммерческой тайны в носителях информации применительно к пространственным зонам.

. Составляется схема работ с конкретными сведениями, материализованными в носителях, в пределах предприятия (фирмы) и вне его и предполагаемого их перемещения.

. Рассматриваются допустимые для предприятия несанкционированные перемещения, которые можно использовать конкурентами с целью овладения ими коммерческой тайной. Разрабатываются (или корректируются) в процессе анализа разрешительные подсистемы допуска и доступа к конкретным сведениям, составляющим коммерческую тайну.

. Устанавливается, кто именно реализует мероприятия, и кто является ответственным за защиту конкретной информации, процессов работ с классифицированными данными. Планируются меры по координации, назначаются конкретные исполнители.

. Намечаются действия направленные на активизацию и стимулирование лиц, которые задействованы в защите.

. Проверяется надежность принятых к реализации мер обеспечения защиты. [1]

Российские предприниматели используют следующие основные способы защиты информации:

Законодательная защита - основана на соблюдении тех прав предпринимателя на конфиденциальную информацию, которые предусмотрены законодательством Российской Федерации. В случае нарушения прав предпринимателя как собственника, владельца или пользователя информации он может обратиться в соответствующие органы с целью восстановления нарушенных прав, возмещения убытков и прочего;

Физическая защита - подразумевает пропускной режим, установленный на предприятии, охрану, специальные гостевые карточки для посторонних, использование закрывающихся сейфов, секретных шкафов;

Организационная защита - подразумевает:

§введение должности или создания службы, ответственной за отнесение определенной информации к категории конфиденциальной, соблюдение правил доступа и пользования этой информацией;

§разделение информации по степени конфиденциальности и организация допуска к конфиденциальной информации только в соответствии с должностью или с разрешения руководства;

§соблюдение установленных правил пользования информацией;

§наличие постоянно действующей системы контроля над соблюдением правил доступа и пользования информацией;

Техническая защита - подразумевает использование ряда технических средств контроля и зашиты, как сигнализирующие устройства, видеокамеры, микрофоны, средства идентификации, а также программные средства защиты компьютерных систем от несанкционированного доступа;

Работа с кадрами - подразумевает активную работу кадровых служб фирмы по набору и проверке персонала принимаемого на работы, его дальнейшему обучению, кадровой расстановке, а также продвижению и стимулированию персонала.

Необходимо регулярно проводить инструктаж персонала о важности соблюдений правил пользования конфиденциальной информацией и об ответственности за нарушение этих правил. [2]

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мероприятий направленных на защиту от хищений, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации, а также многое другое.


Рисунок 4 - Блок-схема решения задачи защиты информации от утечки и перехвата по техническим каналам


Существует спецтехника соответствующих направлений направленная на защиту, которая включает в себя:

§системы обнаружения технических средств съема информации;

§технические системы защиты информации;

§специальные приемные устройства;

§детекторы металлических предметов и взрывчатых и неразрешенных веществ;

§аппаратура аудио- и видеоконтроля;

§средства звукозаписи.

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей, возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и тому подобного.

К правовым мерам следует отнести разработку необходимых норм, которые устанавливают ответственность за совершение преступлений совершенных в сфере высоких технологий, защиту авторских прав программистов-разработчиков, совершенствование уголовного и гражданского законодательства.

Правовые меры затрагивают вопросы общественного контроля над программными разработчиками компьютерных систем и принятия международных договоров об их ограничениях, если они оказывают свое влияние или способны повлиять на военные, экономические и социальные аспекты существования тех государств, которые и заключили необходимое соглашение. [3]

Направления обеспечения технической защиты компьютерной системы:

§защита информационных ресурсов от несанкционированного доступа и использования - используются средства контроля включения питания и загрузки программного обеспечения, методы парольной защиты при входе пользователя;

§защита от утечки по побочным каналам электромагнитных излучений и наводок - с помощью экранирования аппаратуры, помещений, применением маскирующих генераторов шумов, дополнительной проверкой аппаратуры на наличие возможных компрометирующих излучений;

§защита информации в каналах связи и узлах коммутации - используются процедуры аутентификации абонентов и сообщений, шифрование и специальные протоколы связи;

§защита юридической значимости электронных документов - при доверительных отношениях двух субъектов предпринимательской деятельности и когда возникает необходимость передачи документов по компьютерным сетям - для определения истинности отправителя документ дополняется «цифровой подписью» - специальной меткой, неразрывно логически связанной с текстом и формируемой с помощью секретного криптографического ключа;

§защита автоматизированных систем от компьютерных вирусов и от незаконной модификации, в данном случае применяются специализированные иммуностойкие программы и механизмы модификации фактов программного обеспечения.

Действенным способом ограничения несанкционированного доступа к компьютерным системам является также регулярная смена паролей, особенно при увольнении работников, обладающих информацией о способах защиты.


. Практическое внедрение защиты информации на предприятии «Люксвей»


Рекомендации по организации фирменных бизнес-процессов предприятия «ЛЮКСВЕЙ» в соответствии с требованиями Федерального Закона №152 (Таблица 2)


Таблица 2 - Три способа по организации фирменных бизнес-процессов

Обезличивание персональных данныхПонижение класса персональных данныхУничтожение персональных данныхВ процессе осуществления аудита можно подтверждать возможность организации взаимодействия организаций и пользователей сети с применением обезличенных данных. Это в свою очередь избавляет организацию от необходимости выполнения аттестации требуемых информационных систем персональных данных, и минимизирует издержки на настройку системы под имеющиеся требования, предусмотренные Федеральным Законом №152.Данный способ, направленный на оптимизацию бизнес-процессов следует использовать в том случае, когда полное обезличивание представляется невозможным, однако в указанном случае имеет место явная избыточность имеющихся в наличии данных. Понижение класса данных дает возможность снизить издержки, затрачиваемые на организацию защиты персональных данных.В процессе ведения аудита может быть установлен факт избыточного хранения данных, который не соответствуют целям обработки персональных данных. В указанном случае организации выносятся рекомендации по разработке схемы по уничтожению персональных данных.

Оптимальное решение аппаратной защиты локальной сети извне заключается в установке двух аппаратных брандмауэров в локальной сети предприятия, которые будут расположены между всемирной сетью Интернет и DMZ.

Таким образом, будет организованна защита DMZ. Схема данной реализации показана на рисунке 5.


Рисунок 5 - DMZ с двумя брандмауэрами


Эта DMZ с двумя брандмауэрами обеспечивает лучшую защиту по сравнению с обычной DMZ, так как выделенные брандмауэры более сложные и сильные наборы правил безопасности. Вместе с тем, выделенный брандмауэр зачастую имеет возможность анализа входящего и исходящего трафика по протоколу НТТР, он способен уловить атаки, осуществляемые на прикладном уровне, которые идут на сервер, и защитить от них.

Способ построения DMZ с двумя брандмауэрами более затратный, чем по схеме с одним, однако, он отличается большей безопасностью, так как при взломе одного сетевого экрана и доступе к серверу в любом случае закрыт доступ в локальную сеть пользователей.

Следует отметить, что иногда используются схемы подключения и с большим числом сетевых брандмауэров, однако данные топологии встречаются редко.


Рисунок 6 - Локальная сеть предприятия


Рисунок 7 - Минимальные требования к безопасности предприятия


Осуществление мероприятия направленные на защите информации характеризуются своей трудоемкостью и связанны со значительными финансовыми затратами, что в свою очередь обусловлено следующей необходимостью:

§Во-первых, получения соответствующей лицензии на ведение деятельности по технической защите конфиденциальной информации Федеральной службы по техническому и экспортному контролю России;

§Во-вторых, привлечения лицензиата Федеральной службы по техническому и экспортному контролю Российской Федерации с целью проведения мероприятий направлены в свою очередь на организацию системы защиты информационных систем персональных данных и / или ее аттестации в соответствии с требованиями по безопасности информации;

§В-третьих, отправлять сотрудников, которые несут ответственность за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и / или нанимать приглашенных технических специалистов в области защиты информации;

§В-четвертых, устанавливать сертифицированные в соответствии с требованиями Федеральной службы по техническому и экспортному контролю средств защиты информации (сокращенно СрЗИ), а также сертифицированные Федеральной Службой Безопасности средства криптозащиты информации (сокращенно СКЗИ) в соответствии с классом информационных систем персональных данных.

Некоторые мероприятия можно сделать самостоятельно, а в каких-то моментах целесообразно воспользоваться услугами приглашенных специалистов, однако несмотря ни на что защита персональных данных будет необходима в любом случае.

Основы информационной безопасности компьютерной техники:

Информационная безопасность компьютера представляет собой защищенность информации на компьютере от случайных или преднамеренных действий, которые способны нанести непоправимый ущерб владельцу и пользователю данной информации.

С целью обеспечения информационной безопасности компьютера рекомендуется:

1.обязательно установить и правильно настроить антивирусное программное обеспечение;

2.систематически осуществлять проверку компьютера на наличие в нем вредоносного программного обеспечения;

.обновлять антивирусное и сервисное программное обеспечение до актуальных версий;

.создавать отдельные учетные записи для других пользователей компьютера, установив для них только необходимые объемы доступа и привилегий;

.использовать надежные пароли и шифрование наиболее важных файлов и папок.

Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть являются сертифицированными со стороны Федеральной службы по техническому и экспортному контролю или Федеральной Службы Безопасности Российской Федерации.

Данное требование определяется подпунктом «г» пункта №13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, которые были утверждены Постановлением Правительства Российской Федерации под №1119.

Предусмотренный вариант защиты файлового сервера позволяет:

§организовать хранение файлов на linux-сервере;

§распределить права доступа пользователей к файлам;

§организовать доступ к документам из локальной сети с клиентскими машинами под управлением операционной системы Windows.

Присутствуют файловые серверы, работающие под управлением различных платформ. В таких случаях задача защиты информации становится особенно актуальной.

Антивирус Касперского для Linux File Server входит в предлагаемую «Лабораторией Касперского» обновленную линейку продуктов, решений и услуг для гетерогенных сетей. Благодаря интеграции с Samba-серверами и ряду новых возможностей, Антивирус Касперского, предназначенный для Linux File Server, позволяет защищать рабочие станции предприятий и файловые серверы даже в сложных локальных сетях.

Программное решение обладает сертификатом VMware Ready и поддерживает актуальные версии операционных систем Unix, обеспечивая при этом высокоэффективную интегрированную защиту.


Рисунок 8 - Cхема работы АК для файлового сервера Linux


Функции приложения:

Эффективная защита от вредоносных программ. Антивирус Касперского предназначенный для файлового сервера на основе операционной системы Linux сочетает в себе стандартные сигнатурные методы и последние эвристические технологии детектирования вредоносных программного обеспечения, что дает возможность обеспечить оптимальную защиту.

Мощное антивирусное ядро. Использование в приложении новейших эвристических технологий вкупе с традиционными сигнатурными методами дает возможность значительно повысить эффективность обнаружения вредоносных объектов и обеспечить проактивную защиту от новых вредоносных программ.

Постоянная антивирусная защита и проверка по требованию. Приложение осуществляет проверку все запускаемых, открываемых и изменяемых файлов, выполняет лечение или удаление зараженных файлов или фрагментом зараженного кода, а также помещает в карантин подозрительные объекты в отдельное хранилище с целью для дальнейшего их анализа. Антивирусное приложение также осуществляет проверку указанных областей по запросу администратора или согласно заданному администратором расписанию.

Карантин и резервное хранилище. При обнаружении подозрительного объекта приложение помещает его в карантин. Если производится лечение или удаление зараженного объекта, то копия оригинального файла помещается в хранилище резервных копий.

В данном случае в исходном виде сохраняется непосредственно сам зараженный (подозрительный) файл, и все атрибуты данного файла. Исходя из этого, при любых действиях антивирусной программы в отношении файлов работа приложения никак не мешает процессу документооборота на предприятии.



Заключение


Итак, раз коммерческая информация имеет свою цену, то, как именно и какими средствами необходимо обеспечивать ее защиту? Правильно будет утверждать, что для большинства всех российских компаний задача защиты коммерческой информации легко решаема в обозримые сроки и при сравнительно малых финансовых затратах.

В общем, конфиденциальность информации представляет собой обязательное требование необходимое для исполнения лицом, которое имеет доступ к определенной информации, данное требование заключается в том, чтобы не передавать эту информацию третьим лицам без согласия со стороны ее обладателя. Вместе с защитой целостности и доступом к информации защита конфиденциальности и представляют собой три задачи информационной безопасности. [8]

В условиях рыночной экономики информация представляет собой товар, а значит получение, хранение, передача и использование должны соответствовать законодательства касающегося товарно-денежных отношений. Всякий владелец вправе отстаивать собственные интересы и защищать необходимую информацию, имея при этом определенную свободу осуществления предпринимательской деятельности.

Право на тайну заключается в ограничении вмешательства со стороны государства в экономическую жизнь предприятия и защиту интересов последнего при взаимодействии с остальными субъектами рыночных отношений.

В отличие от государственных и от военных тайн, коммерческая тайна является собственностью определенно предприятия, а ее главное предназначение - обеспечивать предприятию экономические преимущества необходимые в конкурентной борьбе.



Список использованных источников


1.Баричев С. Криптография без секретов. 2004. - 43 с.

2.Бекряшев, А.К. Белозеров, И.П. Бекряшева, Н.С. Теневая экономика и экономическая преступность. - Омск: Омский государственный университет. 2000. - 459 с.

.Бородина, А.И. Основы информатики и вычислительной техники: Защита информации. / И.И. Бородина, Л.И, Крошинская, О.Л. Сапун. - Мн.: НО ООО «БИП-С», 2004. - 32 с.

.Пелих, А.С. Чумаков, А.А. Баранников, М.М. и др. Организация предпринимательской деятельности: Учебное пособие (под общ. ред. проф. Пелих А.С.). Изд. 3-е, испр. и доп., 2004. - 384 с.

.Французова, Л.В. Система защиты коммерческой тайны в организации. // ВКК-Национальный союз кадровиков: URL - #"justify">.Алексенцев, А.И. Сущность и соотношение понятий «защита информации» и «безопасность информации». // Безопасность информационных технологий, 1999. - №1, 17 с.

.Защита конфиденциальной информации. // ООО «Лаборатория безопасности»: URL - #"justify">.Организация защиты информации на предприятии. // Центр Сетевой Безопасности Арнис: URL - http://www.arnis.ru/art_120508_p1.htm