Назначение, виды, структура и технология функционирования системы защиты информации в Агентстве юридических услуг

     1.10. Совершенствование нормативно-правовой  базы, регламентирующей порядок  обращения и работы в Агентстве  с конфиденциальной информацией  и сведениями, составляющими адвокатскую тайну и коммерческую тайну Агентства;

     1.11. Совершенствование нормативно-правовой  базы, регламентирующие порядок  обмена конфиденциальной информацией  между адвокатской фирмой и  сторонними организациями;

     1.12. Обеспечение принципа разграничения  доступа: информация должна быть доступна только тем, кому она предназначена и разрешена;

     1.13. Предоставление сотрудникам минимально  достаточных прав по доступу  к информации, необходимых для  выполнения ими своих функциональных  обязанностей;

     1.14. Использование E-mail только в служебных целях;

     1.15. Пользователи информационных ресурсов  должны знать о наличии системы  контроля и защиты информации.

     2. Технические меры:

     2.1. Использование лицензионного программного  обеспечения;

     2.2. Использование сертифицированных  средств защиты информации для обработки, хранения и передачи конфиденциальной информации;

     2.3. Соблюдение положений информационно-технологической  политики Агентства;

     2.4. Обеспечение безотказной работы  аппаратных средств;

     2.5. Проведение комплексной антивирусной защиты;

     2.6. Проведение аудита (контроль за  деятельностью пользователей –  успешный или неуспешный доступ  к сетевым ресурсам, вход-выход  в систему и пр.);

     2.7. Проведение контроля трафика  сети на отдельных ее участках (сегментах);

     2.8. Проведение контроля состояния программного и информационного обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей);

     2.9. Проведение эффективной парольной  защиты;

     2.10. Обеспечение резервного копирования;

     2.11. Проведение контроля за несанкционированными  физическими подключениями к  автоматизированным системам;

     2.12. Внедрение в ЛВС современной  системы обнаружения вторжений;

     2.13. Использование для подключения  к почтовому серверу защищенного соединения с целью шифрования паролей;

     2.14. Запрет несанкционированного доступа  к ЛВС через удаленное соединение.

     3. Режимные меры:

     3.1. Хранение информации ограниченного  распространения, составляющей адвокатскую  тайну и коммерческую тайну Агентства, разрешено только на специально подготовленной вычислительной технике, расположенной в специальных (выделенных) помещениях с ограниченным доступом;

     3.2. Круг лиц из числа сотрудников  Агентства, имеющих право работы  со сведениями, составляющими адвокатскую тайну и коммерческую тайну Агентства, должен быть ограничен;

     3.3. Установление специальных режимных  мер, применяемых в целях защиты  информации в Агентстве (ведение  специального делопроизводства, выделение  специально оборудованных помещений, поддержание необходимого уровня пропускного и внутриобъектового режима, подбор кадров, проведение комплексных защитно-поисковых мероприятий и т.п.);

     3.4. Аттестация объектов информатизации  на соответствие требованиям  обеспечения защиты информации  при проведении работ, связанных с использованием конфиденциальных сведений, составляющих коммерческую тайну Агентства;

     3.5. Совершенствование пропускного  и внутриобъектового режима в  Агентстве и повышение ответственности  сотрудников за выполнение требований  установленных режимов;

     3.6. Разграничение доступа и контроль  за доступом в выделенные помещения;

     3.7. Создание эффективной системы  контроля за выполнением сотрудниками  Агентства требований локальных  нормативных актов по обеспечению  защиты информации Агентства;

     3.8. Совершенствование нормативно-правовой  базы, регламентирующей порядок  обращения и работы в Агентстве  с конфиденциальной информацией  и сведениями, составляющими адвокатскую  тайну и коммерческую тайну  Агентства. 

VI. Организация системы обеспечения защиты информации в Агентстве юридических услуг

     Система обеспечения информационной безопасности Агентства строится на основе разграничения  полномочий управленческих и функциональных подразделений Агентства в данной сфере.

     Основными элементами организационной системы обеспечения информационной безопасности Агентства являются: Президент Агентства, управляющие партнеры и служба защиты информации.

     Президент Агентства определяет приоритетные направления деятельности в области  обеспечения защиты информации в  Агентстве и меры по реализации Концепции защиты информации, утверждает списки сведений, подлежащих защите.

     Управляющие партнеры с учетом определенных Президентом  Агентства приоритетных направлений  в области обеспечения защиты информации предусматривают выделение средств, необходимых для реализации программ и координируют деятельность подразделений с учетом требований защиты информации в Агентстве юридических услуг.

     Служба  защиты информации во взаимодействии с другими структурными подразделениями  Агентства обеспечивает выполнение административно-правовых, организационных и режимных мер по обеспечению защиты информации, координирует деятельность подразделений Агентства в области информационной безопасности, проводит работу по выявлению и оценке угроз, разрабатывает предложения по их предотвращению, контролирует деятельность подразделений по обеспечению информационной безопасности.

     Руководители  структурных подразделений Агентства  обеспечивают выполнение всеми подчиненными сотрудниками установленных требований в области обеспечения защиты информации.

     Обеспечение защиты информации в Агентстве непосредственно  на рабочих местах возлагается на сотрудников Агентства. 

VII. Ответственность за нарушение требований защиты информации в Агентстве

     По  степени опасности нарушения, связанные с несоблюдением локальных нормативных актов по обеспечению защиты информации в Агентстве делятся на две группы:

     1. Нарушения, повлекшие за собой  наступление указанных выше нежелательных  для Агентства последствий (утечку  или уничтожение информации);

     2. Нарушения, в результате которых  созданы предпосылки, способные  привести к нежелательным для  Агентства последствиям (угроза  уничтожения или утраты информации).

     Нарушение требований локальных нормативных  актов Агентства по обеспечению  защиты информации в Агентстве является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между адвокатской фирмой и сотрудниками.

     Степень ответственности за нарушение требований локальных нормативных актов в области защиты информации в Агентстве определяется исходя из размера ущерба, причиненного Агентстве.

     Руководители  структурных подразделений Агентства  несут персональную ответственность  за обеспечение защиты информации в возглавляемых ими подразделениях.

VIII. Ожидаемые результаты реализации концепции защиты информации в Агентстве

     Реализация  настоящей Концепции позволит:

     - улучшить организационную структуру системы защиты информации в Агентстве, ее кадровое обеспечение;

     - повысить оснащенность Агентства высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;

     - улучшить обеспеченность Агентства документами в области защиты информации;

В результате будет создана система, соответствующая задачам обеспечения защиты информации в Агентстве юридических услуг , и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности адвокатской конторы.