Назначение, виды, структура и технология функционирования системы защиты информации в Агентстве юридических услуг

· визуальное наблюдение;

· подслушивание;

· техническое наблюдение;

· прямой опрос, выведывание;

· ознакомление с материалами, документами, изделиями и т.д.;

· сбор открытых документов и других источников информации;

· хищение документов и других источников информации;

· изучение множества источников информации, содержащих по частям необходимые сведения.  

Основные  направления, методы и средства защиты информации в Агентстве юридических услуг

       Правовая  защита –  защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.¹³

     Правовые  меры, регулирующие вопросы защиты конфиденциальной информации, можно разделить на две основные группы. К первой группе относятся законодательные акты государства, регламентирующие деятельность предприятий в области защиты различных видов тайн, определяющие объем их прав и обязанностей в области защиты. К этой группе можно отнести такие законы, принятые в Российской Федерации, как: Федеральный Закон «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ; Федеральный закон «Об адвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002 № 63 ФЗ; Федеральный закон «О персональных данных» от 27.07.2006 № 152 Ф-З; Закон «О частной детективной и охранной деятельности в РФ» от 11 марта 1992 г. № 2487-1; Гражданский кодекс Российской Федерации; Кодекс профессиональной этики адвоката от 31.01.2003; Трудовой кодекс Российской Федерации от 30.12.2001 и др.

     Ко  второй группе относятся нормативно-правовые документы, регламентирующие организацию, порядок и правила защиты конфиденциальной информации в Агентстве. К ним относятся:

1. Устав предприятия, в котором указываются цели его деятельности, права, в том числе право иметь тайну и осуществлять ее защиту.
2. Коллективный договор, в котором определяются права и 
   обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий и средств ее защиты.
3. Правила внутреннего трудового распорядка, в которые также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе защищать и различные виды тайн.
4. Инструкция, определяющая организацию, порядок и правила защиты тайны в Агентстве. Могут быть подготовлены различные положения, регламентирующие права и деятельность различных подразделений этого предприятия, например, службы защиты информации предприятия.

5. Документы,  типа перечня, реестра и т.п., определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия. В этих перечнях следует также указывать сроки засекречивания информации и уровень ее защиты.

     Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.

     Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

     Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:

     ð Организация режима охраны, работы с кадрами, документами;

     ð Использование технических средств безопасности;

     ð Использование информационно-аналитической работы по выявлению угроз.

     Организационная служба защиты информации состоит из:

     1. Подразделение режима и охраны предприятия;

     2. Специальных подразделений обработки документов конфиденциального характера, а также инженерно-технических подразделений;

     3. Информационно-аналитических подразделений.

     Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку  кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.

     Инженерно-техническая  защита – использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

     ð Физические – устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

     ð Аппаратные – устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

     ð Программные средства. ¹⁴

2.2 Методы  и средства защиты информации  в Агентстве

 

     Метод – в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

     Основными методами, используемыми в защите информации в Агентстве юридических  услуг, являются следующие: скрытие, ранжирование, морально-нравственные методы и учет.

     Скрытие – как метод защиты информации является реализацией максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается путем засекречивания информации, то есть отнесение ее к секретной или конфиденциальной информации различной степени секретности и ограничение в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности; устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

     Ранжирование  как метод защиты информации включает, во-первых, деление засекречиваемой  информации по степени секретности, и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

     Морально-нравственные методы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

     Учет обеспечивает возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные обо всех пользователях этой информации.

     Принципы  учета засекреченной информации:

     - обязательность регистрации всех носителей защищаемой информации;

     - однократность регистрации конкретного носителя такой информации;

     - указание в учетах адреса, где находится в данное время данный носитель засекреченной информации,

     - единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

     Средства защиты информации – это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

     В качестве основания классификации  средств защиты информации используются основные группы задач, решаемые с помощью технических средств:

1. создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);
2. выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);
3. предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);
4. поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;
5. нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);
6. комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;
7. комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.

     Знание  возможностей методов и средств  защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации. ¹⁵

Организация комплексной системы  защиты информации в  Агентстве юридических  услуг 

     Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая  должна позволить достигать следующие  цели:

• обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;
• предотвратить кражу и утечку секретов, любую порчу конфиденциальной информации;
• документировать процесс защиты тайны, чтобы в случае попыток незаконного завладения какой-либо тайной организации можно было защитить свои права юридически и наказать нарушителя.

     Для определения объема информации, нуждающейся  в защите, следует привлекать работников организации. Во главе этой работы должен стоять опытный менеджер.

     Программа будет отражать размер данной организации, тип технологии и деловой информации, которую необходимо защищать, финансовые возможности организации, прошлые случаи кражи подобной информации, реальный, имевший место в прошлом, или потенциальный урон от таких краж и другие обстоятельства. В программе должны учитываться возможные источники и каналы утечки информации.

     Для обеспечения физической сохранности  носителей засекреченной информации и предотвращения доступа посторонних лиц нужна система охраны, которая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носителям защищаемой информации. Обеспечение физической целостности и сохранности конфиденциальных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается использованием сейфов и металлических шкафов для хранения конфиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов, введением специальных пропусков или магнитных карточек для доступа в помещения, где ведутся работы с носителями конфиденциальной информации. Помещения, в которых ведутся такие работы с документами, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.

     Осуществление мер – это деятельность по защите конфиденциальной информации, направленная на реализацию заложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают: