Файл: Назначение и структура системы защиты информации коммерческого предприятия (Сущность понятия конфиденциальность).pdf

В условиях формирования общего экономического пространства перед предприятиями особо остро встает задача сохранения коммерческой тайны. Можно сказать определенно: в период становления рынка недобросовестная конкуренция представляет собой серьезную угрозу этому процессу. Стало почти массовым процессом беззастенчивое заимствование интеллектуальной и промышленной собственности (методик, программ, знания и технологии) сотрудниками предприятий, работающими одновременно в кооперативах, малый предприятиях и других коммерческих структурах. К этому следует добавить целенаправленные действия по сманиванию или подкупу рабочих и служащих предприятий конкурента, чтобы завладеть секретами их коммерческой и производственной деятельности.

Современный промышленный шпионаж предполагает использование новейших достижений электроники, непосредственное тайное наблюдение, кражи со взломом, подкуп и шантаж. Речь идет о настоящей «тайной войне». Вот один из показательных примеров, приведенных в статье «Космический товар по минимальным ценам». Американское космическое ведомство весьма заинтересовано в приобретении у России целого ряда образцов космической техники и технологии по ее созданию, которые «в настоящее время предлагаются русскими по минимальным ценам». «Еще несколько лет назад мы намеревались выкрасть кое-что из этого», — заявило одно, пожелавшее остаться неизвестным, должностное лицо администрации США^[1].

Урон американскому бизнесу от краж торговых секретов превышает по их оценкам 4 млрд. долларов ежегодно. То, что в мировой практике именуется промышленным шпионажем, мы даже не можем юридически классифицировать. С переходом на рыночные отношения и условия самостоятельности предприятий перед нами встали серьезные проблемы по обеспечению сохранности своих коммерческих секретов и безопасности предприятия.

Отечественный и зарубежный опыт свидетельствует, что основную роль в обеспечении сохранности коммерческой тайны играют сами предприятия, а не государственные органы. На основании всего вышесказанного тема данной работы является актуальной и социально значимой.

Главной целью курсовой работы является исследование порядок передачи конфиденциальной информации.

Для достижения поставленной цели необходимо разрешить следующие задачи:

Изучить основы конфиденциальной информации и ее передачу;

Проанализировать порядок передачи в ООО «ТерминСтройБЫТ»;

Предложить рекомендации по совершенствованию системы передачи в сторонние организации.

Объектом исследования является ООО «ТерминСтройБЫТ».

Предметом исследования является деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Теоретическую и методологическую базу исследования составили публикации, монографии, учебники, раскрывающие сущность современной системы управления, а так же особое внимание было обращено на публикации, которые освещают вопросы безопасности предприятия.

Структура работы. Данная работа состоит из введения, двух глав, заключения, списка использованной литературы, приложений.

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1 Сущность понятия конфиденциальность

Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации^[2].

В мировой практике сначала применялись термины «промышленная тайна», «торговая тайна», «тайна кредитных отношений», т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном – «промысловая тайна» и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин «коммерческая тайна», объединяющий тайну любой деятельности, имеющей целью извлечение прибыли.

Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя.^[3]

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации.

Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность.

В Доктрине информационной безопасности РФ термин «информационная безопасность» обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа. Следующее определение конфиденциальности дает ФЗ «Об информации, информационных технологиях и о защите информации»^[4]ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.

Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Секретность - правила и условие доступа и допуска к объектам информации^[5].

Таким образом, словосочетание «информационная безопасность» не сводится исключительно к защите от несанкционированного доступа к информации.

Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом.

1.2 Порядок передачи конфиденциальных документов в сторонние организации

Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, передача информации в сторонние организации включает в себя следующие стадии, например, передача конфиденциальной информации российским и зарубежным контрагентам

1. Передача конфиденциальной информации российским и зарубежным контрагентам осуществляется после подписания ими Соглашения о конфиденциальности.

2. Соглашения оформляются юридическим отделом предприятия, осуществляющими взаимодействие с контрагентами, в соответствии с типовой формой и порядком, принятыми на предприятии.

3. Оформленный и завизированный установленным порядком проект Соглашения подписывается Генеральным директором предприятия.

4. В случае если запрашиваемая информация относится к категории конфиденциальной, решение о передаче ее контрагенту в объеме, достаточном для выполнения работ, принимает Генеральный директор предприятия. Оформление, учет и передача конфиденциальной информации в этом случае осуществляется в соответствии с данным Положением. В целях обеспечения своевременности выполнения данных работ ответственным исполнителем разрабатывается план подготовки и представления необходимых материалов, который согласовывается с заместителем Генерального директора по безопасности.

5. В случае если для получения конфиденциальной информации необходимо обращение к другим структурным подразделениям предприятия, ответственный исполнитель направляет запрос на имя заместителя Генерального директора по безопасности^[6].

6. В случае положительного решения, необходимые сведения оформляются и передаются ответственному исполнителю в соответствии с Инструкцией по делопроизводству предприятия.

7. Руководитель структурного подразделения предприятия, осуществляющего фактическую передачу конфиденциальной информации Контрагенту, направляет заместителю Генерального директора по безопасности копию запроса Контрагента на предоставление информации и служебную записку, в которой излагаются:

цель передачи;
копию запроса;
перечень переданных сведений;
перечень лиц Контрагента допускаемых к передаваемой конфиденциальной информации.

8. В случае если информация, необходимая для проведения работ не определена Перечнями как конфиденциальная, а характер и важность проводимых работ, а так же другие факторы вызывают необходимость перевода ее в разряд конфиденциальной, то:

руководитель соответствующего структурного подразделения представляет заместителю Генерального директора по безопасности письменное аргументированное предложение о необходимости отнесения данной информацию к разряду конфиденциальной;
заместитель Генерального директора по безопасности организует рассмотрение представленного предложения и вынесение соответствующего мотивированного заключения.
После утверждения решения Генеральным директором предприятия необходимые изменения вносятся в Перечни.
До принятия окончательного решения конфиденциальность данной информации обеспечивается в соответствии с предлагаемой степенью ее конфиденциальности^[7].

9. При передаче персональных данных работника должны выполняться следующие требования:

персональные данные работника не могут сообщаться третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
персональные данные работника не могут сообщаться в коммерческих целях без письменного согласия работника;
лица, получающие персональные данные работника, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
специально уполномоченные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций[30];
не может запрашиваться информация о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.