2015-04-17
1997
Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил и средств предприятия, используемых для организации защиты информации.
Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.
Предприятия, работающие с незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.
|
|
|
Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его заместитель, непосредственно возглавляющий эту работу.
Руководитель предприятия несет персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:
- знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;
- определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;
- проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;
- оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.
Заместитель руководителя предприятия обязан постоянно изучать все стороны и направления деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ. Более подробно обязанности руководителя предприятия и его заместителя, отвечающего за защиту информации, рассмотрены в других статьях.
|
|
|
На предприятиях для организации работ по защите информации могут создаваться следующие основные виды структурных подразделений:
режимно-секретные;
подразделения по технической защите информации и противодействию иностранным техническим разведкам;
подразделения криптографической защиты информации; мобилизационные;
подразделения охраны и пропускного режима.
Функции, возлагаемые на перечисленные подразделения, определяются решением (приказом) руководителя предприятия и отражаются в соответствующих положениях.
По решению руководителя предприятия данные подразделения организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочиями должностного лица, осуществляющего руководство работой структурных подразделений предприятия, деятельность которых связана с использованием и защитой информации.
Режимно-секретное подразделение, мобилизационное подразделение и подразделение по технической защите информации и противодействию иностранным техническим разведкам создаются на предприятиях, выполняющих работы с использованием сведений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).
Режимно–секретное подразделение является основным структурным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных подразделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну. На предприятиях, не выполняющих работы со сведениями, составляющими государственную тайну, для решения аналогичных задач в отношении других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации).
Подразделение по технической защите информации и противодействию иностранным техническим разведкам решает задачи организации и проведения комплекса технических мероприятий, направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических средств сведений, отнесенных к конфиденциальной информации и подлежащих защите.
Подразделение криптографической защиты информации создается в целях предотвращения утечки конфиденциальной информации при ее передаче по открытым каналам (линиям) связи с помощью технических средств, а также при использовании локальных вычислительных сетей, имеющих выход за пределы территории предприятия.
Подразделение охраны и пропускного режима создается в целях предотвращения несанкционированного (бесконтрольного) пребывания на территории и объектах предприятия посторонних лиц и транспорта, нанесения ущерба предприятию путем краж (хищений) с территории предприятия материальных средств и иного имущества. В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдельные самостоятельные подразделения.
Мобилизационное подразделение решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва и поступления мобилизационных людских и материальных ресурсов.
Кроме перечисленных подразделений предприятия к работе по организации защиты информации могут привлекаться и иные структурные подразделения, для которых выполнение мероприятий по защите информации не является основной функцией.
К таким подразделениям относятся кадровый орган, орган юридической службы (юрисконсульт), орган психологической и воспитательной работы, пресс-служба предприятия и др. Особо необходимо отметить важность участия в организации защиты информации производственных, так называемых «тематических» структурных подразделений (отдельных должностных лиц), которые создают продукцию и товары или оказывают услуги (например, производство стрейч пленки), и в связи с этим самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власти.
|
|
|
Для проведения работ по организации защиты информации используются также возможности различных нештатных подразделений предприятия, в том числе коллегиальных органов (комиссий), создаваемых для решения специфических задач в этой области. В их числе — постоянно действующая техническая комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию объектов информатизации и др. Функции, возлагаемые на данные комиссии, рассмотрены в других статьях.
Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации.
Под средствами защиты информации понимают технические, криптографические, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциальной информации, а также средства, устройства и системы контроля эффективности защиты информации.
Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техническим средствам доступа к информации, подлежащей защите.
Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования).
Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.
|
|
|
Эффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации.
Методы защиты информации — применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации.
Общие методы защиты информации подразделяются на правовые, организационные, технические и экономические.
Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками).
Передача информации, в установленном порядке отнесенной к коммерческой тайне или содержащей персональные данные работника предприятия, должна осуществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.
Организационные механизмы защиты информации определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.
Технические методы защиты информации, используемые в комплексе с организационными методами, играют большую роль в обеспечении защиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации. Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.
Среди перечисленных методов защиты информации особо выделяются организационные методы, направленные на решение следующих задач:
реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;
осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;
определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;
ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности;
подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;
организация и ведение конфиденциального делопроизводства;
осуществление систематического контроля за соблюдением установленных требований по защите информации.
Приведенный перечень организационных методов не является исчерпывающим и, в зависимости от специфики деятельности предприятия, степени конфиденциальности используемой информации, объема выполняемых работ, а также опыта работы в области защиты информации, может быть дополнен иными методами.
Тема 1.4.Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД.
Внешнеэкономическая деятельность предприятий — это сфера хозяйственной деятельности, связанная с международной производственной и научно-технической кооперацией, экспортом и импортом продукции, выходом предприятия на внешний рынок. Она является следствием развития внешнеэкономических связей как совокупности направлений, форм, методов и средств торгово-экономического, научно-технического сотрудничества, а также валютно-финансовых и кредитных отношений государства с зарубежными странами в целях рационального использования преимуществ международного разделения труда и международных экономических отношений для решения народно-хозяйственных и внешнеполитических задач.
Внешнеэкономические связи — это международные хозяйственные, торговые, политические отношения, включающие обмен товарами, различные формы экономического содействия, научно-технического сотрудничества, специализацию, кооперацию производства, оказание услуг и совместное предпринимательство.
Разница между понятиями «внешнеэкономические связи» и «внешнеэкономическая деятельность» заключается в следующем. Внешнеэкономические связи относятся к уровню макроэкономического (межгосударственного) регулирования, а внешнеэкономическая деятельность — к микроуровню, т. е. к уровню фирм и предприятий [3, с. 90–92].
ВЭД осуществляется на уровне производственных структур (фирм, организаций, предприятий, объединений) с полной самостоятельностью в выборе внешнего рынка и иностранного партнера, номенклатуры и ассортиментных позиций товара для экспортно-импортной сделки, в определении цены и стоимости контракта, объема и сроков поставки и является частью их производственно-коммерческой деятельности как с внутренними, так и с зарубежными партнерами.
ВЭД относится к рыночной сфере, базируется на критериях предпринимательской деятельности и структурной связи с производством, отличается правовой автономностью, экономической, а также юридической независимостью от каких-либо отраслевых ведомств и министерств.
Управление ВЭД предприятия — это воздействие на процессы подготовки и реализации внешнеэкономических операций, ориентированное на получение прибыли, повышение рентабельности посредством участия в международном разделении труда.
При классификации видов ВЭД предприятий большинство учёных включают в их состав:
1. внешнеторговую деятельность;
2. производственную кооперацию;
3. международное инвестиционное сотрудничество;
4. валютные и финансово-кредитные операции;
5. отношения с международными организациями.
Внешнеторговая деятельность— это предпринимательство в области международного обмена товарами, работами, услугами, информацией и результатами интеллектуальной деятельности.
Внешнеторговая операция — это комплекс действий контрагентов, то есть иностранных партнеров во внешнеторговой операции, направленных на совершение товарного обмена и обеспечивающих его. В полный комплекс, характеризующий внешнеторговую операцию, могут входить: изучение рынка конкретного товара, его реклама, создание сбытовой сети, проработка коммерческих предложений, проведение переговоров, заключение и исполнение контрактов.
К основным формам внешнеэкономических связей относятся следующие:
1. Торговля. С помощью этой формы осуществляется купля-продажа товаров широкого потребления: одежды, обуви, парфюмерии, галантереи, культтоваров, а также продовольственных товаров и сырья. Происходит также торговый обмен продукцией для промышленного потребления: узлы, детали, запасные части, прокат, подшипники, агрегаты и т. д. Возможна покупка товаров и оборудования для общественного потребления: городской транспорт, оборудование для больниц, поликлиник, курортов, лекарства, устройства и оборудование для охраны окружающей среды. Осуществляется купля-продажа продукции интеллектуального труда: лицензии, ноу-хау, инжиниринговая продукция.
2. Совместное предпринимательство. Данная форма внешнеэкономических связей может быть реализована в промышленной сфере на заводах, фабриках, предприятиях; в сельском хозяйстве, науке, образовании, медицине, транспорте, культуре, искусстве, кредитно-финансовой сфере.
3. Оказание услуг. Большое распространение в международном бизнесе принадлежит посредническим, банковским, биржевым услугам, страхованию, туризму, международным перевозкам грузов. Быстро растет объем услуг, которые оказывают компьютерные сети, имеющиеся в развитых странах мира.
4. Сотрудничество, содействие. Все большее распространение во внешнеэкономических связях получают научное, техническое, экономическое сотрудничество. Усиливаются научный, культурный обмен, растет число спортивных мероприятий.
Внешняя торговля на современном этапе — это наиболее интенсивно развивающаяся форма международных экономических отношений.
Заинтересованность практически всех стран в расширении своей внешней торговли связана прежде всего с потребностью сбыта национальной продукции на внешних рынках, необходимостью получения определенных товаров извне и, наконец, стремлением извлечь высокую прибыль за счет международного разделения труда, позволяющего добиться экономии общественного труда в процессе рационального производства и обмена его результатами между различными странами.
Современные внешнеторговые операции очень разнообразны. Поэтому не представляется возможным предложить один критерий, в соответствии с которым можно дать исчерпывающую классификацию внешнеторговых сделок. Все они должны рассматриваться с нескольких точек зрения: по направлениям торговли; видам товаров и услуг; степени готовности товаров; применяемым методам торговли; организационным формам торговли.
Тема 1.5.Особенности и основные требования защиты персональных данных в АИС.
Основные требования по защите персональных данных общеизвестны:
· Закон «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
· установлен предельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу Закона «О персональных данных» - 01.01.2010 года
· вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных»
· за неисполнение требований предусмотрены различные виды ответственности
· перечень организационных и технических мероприятий также определен:
o уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
o разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
o создание системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений
o аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
o повышение квалификации сотрудников в области защиты персональных данных
