Информационная безопасность в ИП Морозов

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Информационная безопасность

1.1 Понятие информационной безопасности

1.2 Общие проблемы защиты информации

1.3 Правовое обеспечение информационной безопасности

1.4 Организационное обеспечение информационной безопасности

2. Организация информационной безопасности в ИП Морозов

2.1 Организационно-экономическая характеристика ИП Морозов

2.2 Организационно-правовое обеспечение информационной безопасности ИП Морозов

Заключение

Список использованной литературы



Введение

Деятельность предприятий в современных условиях хозяйствования в России является весьма сложной. И это связано не только с общим кризисным состоянием российской экономики, сохраняющейся инфляцией, низким курсом рубля и прочими макроэкономическими деформациями, но и с рядом специфических факторов, усиливающих активизацию угроз экономической безопасности предприятий.

Деятельность предприятия, по своей сути, является весьма разносторонней. Она связана с решением организационных вопросов, правовыми и экономическими проблемами, техническими аспектами, кадровыми и т.д.

В любом случае каждое предприятие представляет собой систему, включающую основные элементы и связи между ними. Как раз по линиям внутренних и внешних связей системы и могут реализоваться угрозы ее экономической безопасности.

Объектом системы обеспечения экономической безопасности выступает стабильное экономическое состояние субъекта в текущем и перспективном периоде. Именно от объекта защиты во многом зависят основные характеристики системы обеспечения экономической безопасности. Поскольку объект защиты является сложным, многоаспектным, то эффективное обеспечение экономической безопасности должно основываться на комплексном подходе к управлению этим процессом. Комплексный подход предполагает учет в управлении объектом всех основных его аспектов, и все элементы управляемой системы рассматриваются только в совокупности, целостности, единстве. Таким образом, необходимо создание комплексной системы обеспечения экономической безопасности предпринимательской деятельности.

информационный безопасность защита информация



1. Информационная безопасность

1.1 Понятие информационной безопасности

Следующие факторы, наряду с задачами построения гражданского общества в Российской Федерации как информационного общества с возрастанием роли информационных ресурсов и технологий в развитии граждан, общества и государства в XXI в., выводят вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности:

• национальные интересы, угрозы им и обеспечение защиты от этих угроз выражаются, реализуются и осуществляются через информацию и информационную сферу;

• Человек и его права, информация и информационные системы и права на них -- это основные объекты не только информационной безопасности, но и основные элементы всех объектов безопасности во всех ее областях;

• решение задач национальной безопасности связано с использованием информационного подхода как основного научно-практического метода;

• проблема национальной безопасности имеет ярко выраженный информационный характер.

Укрепление информационной безопасности названо в концепции национальной безопасности Российской Федерации в числе важнейших долгосрочных задач. Роль информационной безопасности и ее место в системе национальной безопасности страны определяются также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое.

Государственная информационная политика (ГИП) представляет собой совокупность целей, отражающих национальные интересы России в информационной сфере, стратегических направлений их достижения (задач) и систему мер их реализующих, она является важной составной частью внешней и внутренней политики государства и охватывает все сферы жизнедеятельности общества.

В рамках такой политики должны быть заложены основы для решения таких крупных задач, как формирование единого информационного пространства России и ее вхождение в мировое информационное пространство, обеспечение информационной безопасности личности, общества и государства, формирование демократически ориентированного массового сознания, становление отрасли информационных услуг, расширение правового поля регулирования общественных отношений, в том числе связанных с получением, распространением и использованием информации.

В целом, сегодня сложились две тенденции в органах государственной власти в определении понятия и структуры информационной безопасности. Представители гуманитарного направления связывают информационную безопасность только с институтом тайны. Представители силовых структур предлагают распространить сферу информационной безопасности практически на все вопросы и отношения в информационной сфере, по сути, отождествляя информационную безопасность с информационной сферой. Эти два взаимоисключающих подхода порождают путаницу, причем не только в журнальных статьях, но даже в законодательных актах. Истина, как всегда, лежит посередине.

Под информационной безопасностью (ИБ) понимают состояние защищенности национальных интересов страны (жизненно важных интересов личности, общества и государства на сбалансированной основе) в информационной сфере от внутренних и внешних угроз. Это соответствует логике Закона РФ «О безопасности» и содержанию Концепции национальной безопасности.

Перечислим основные составляющие и аспекты информационной безопасности (которые не следует отождествлять с ИБ в целом):

• защита информации (в смысле охраны персональных данных государственной и служебной тайны и других видов информации ограниченного распространения); иногда ошибочно, скорее по инерции, отождествляют два разных понятия -- защиту информации и информационную безопасность, хотя это сегодня совсем не одно и то же;

• компьютерная безопасность или безопасность данных -- набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных в компьютерных сетях, меры по защите информации от не авторизованного доступа, разрушения модификации, раскрытия и задержек в доступе, при этом используется термин «критические данные», под которым понимают данные, требующие защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных. Целью является обезопасить систему, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. При этом достигаются следующие цели: конфиденциальность критической информации, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода); доступность информации, когда она нужна; учет всех процессов, связанных с информацией;

• защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры;

• защищенность потребностей граждан, отдельных групп и социальных слоев, массовых объединений людей и населения в целом в качественной (ценной) информации, необходимой для их жизнедеятельности (функционирования), образования и развития, т. е. Информационно-психологическая удовлетворенность потребностей граждан и защищенность от негативных (преднамеренных и случайных) информационно-психологических и информационно-технологических воздействий.

1.2 Общие проблемы защиты информации

В общие проблемы защиты информации входят такие вопросы, как:

1.Особенности защиты информации в современных условиях.

2.Защита информации в автоматизированных системах обработки данных.

3.Особенности защиты информации в ПЭВМ.

Рассмотрим каждых из данных вопросов по отдельности.

1. Особенности защиты информации в современных условиях

Несмотря на все возрастающие усилия по созданию технологий защиты данных их уязвимость в современных условиях не только не уменьшается, но и постоянно возрастает. Поэтому актуальность проблем, связанных с защитой информации все более усиливается.

Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Например, конфиденциальность данных, которая обеспечивается применением различных методов и средств (шифрование закрывает данные от посторонних лиц, а также решает задачу их целостности); идентификация пользователя на основе анализа кодов, используемых им для подтверждения своих прав на доступ в систему (сеть), на работу с данными и на их обеспечение (обеспечивается введением соответствующих паролей). Перечень аналогичных задач по защите информации может быть продолжен. Интенсивное развитие современных информационных технологий, и в особенности сетевых технологий, создает для этого все предпосылки.

Защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

На сегодняшний день сформулировано два базовых принципа по защите информации:

целостность данных - защита от сбоев, ведущих к потере информации, а также защита от не авторизованного создания или уничтожения данных;

конфиденциальность информации.

Защита от сбоев, ведущих к потере информации, ведется в направлении повышения надежности отдельных элементов и систем, осуществляющих ввод, хранение, обработку и передачу данных, дублирования и резервирования отдельных элементов и систем, использования различных, в том числе автономных, источников питания, повышения уровня квалификации пользователей, защиты от непреднамеренных (ошибочных) и преднамеренных действий, ведущих к выходу из строя аппаратуры, уничтожению или изменению (модификации) программного обеспечения и защищаемой информации.

Защита от не авторизованного создания или уничтожения данных обеспечивается физической защитой информации, разграничением и ограничением доступа к элементам защищаемой информации, закрытием защищаемой информации в процессе непосредственной ее обработки, разработкой программно-аппаратных комплексов, устройств и специализированного программного обеспечения для предупреждения несанкционированного доступа к защищаемой информации.

Конфиденциальность информации обеспечивается идентификацией и проверкой подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю, идентификацией внешних устройств по физическим адресам, идентификацией программ, томов, каталогов, файлов по именам, шифрованием и дешифрованием информации, разграничением и контролем доступа к ней.

Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и др.

К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и т.п.

К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль за разработчиками и пользователями компьютерных систем и программ.

Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.

В следующих вопросах и темах мы рассмотрим проблемы защиты информации в автоматизированных системах обработки данных, особенности защиты информации в ПЭВМ, использование специализированного программного обеспечения для архивации данных и борьбе с компьютерными вирусами, а также основы криптографической защиты информации.

2. Защита информации в автоматизированных системах обработки данных

Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД.

Основными видами информации, подлежащими защите в АСОД, могут быть:

§ исходные данные, т.е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем;

§ производные данные, т.е. данные, полученные в АСОД в процессе обработки исходных и производных данных;

§ нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты;

§ программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации;

§ алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД);

§ методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД);

§ постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД);

§ техническая, технологическая и другая документация, находящаяся на объектах АСОД.

Под угрозой информации в АСОД понимают меру возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации.

Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы:

I. Механизмы защиты:

1) введение избыточности элементов системы;

2) резервирование элементов системы;

3) регулирование доступа к элементам системы;

4) регулирование использования элементов системы;

5) маскировка информации;

6) контроль элементов системы;

7) регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД;

8) своевременное уничтожение информации, которая больше не нужна для функционирования АСОД;

9) сигнализация о состоянии управляемых объектов и процессов;

10) реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.

II. Управления механизмами защиты:

1) планирование защиты - процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование;

2) оперативно-диспетчерское управление защитой информации - организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов;

3) календарно-плановое руководство защитой - регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализе этой информации и выработке решений о корректировке планов защиты;

4) обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации - планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.

К основным методам защиты информации относятся:

Ш повышение достоверности информации;

Ш криптографическое преобразование информации;

Ш контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;

Ш ограничение доступа;

Ш разграничение и контроль доступа к информации;

Ш разделение доступа (привилегий);

Ш идентификация и аутентификация пользователей, технических средств, носителей информации и документов.

3. Особенности защиты информации в ПЭВМ

Особенностями ПЭВМ с точки зрения защиты информации являются:

ь малые габариты и вес, что делает их легко переносимыми;

ь наличие встроенного внутреннего запоминающего устройства большого объема, сохраняющего записанные данные после выключения питания;

ь наличие сменного запоминающего устройства большого объема и малых габаритов;

ь наличие устройств сопряжения с каналами связи;

ь оснащенность программным обеспечением с широкими функциональными возможностями.

Основная цель защиты информации в ПЭВМ заключается в обеспечение ее физической целостности и предупреждении несанкционированного доступа к ней.

В самом общем виде данная цель достигается путем ограничения доступа посторонних лиц в помещения, где находятся ПЭВМ, а также хранением сменных запоминающих устройств и самих ПЭВМ с важной информацией в нерабочее время в опечатанном сейфе.

Наряду с этим для предупреждения несанкционированного доступа к информации используются следующие методы:

§ опознавание (аутентификация) пользователей и используемых компонентов обработки информации;

§ разграничение доступа к элементам защищаемой информации;

§ регистрация всех обращений к защищаемой информации;

§ криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);

§ криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки.

Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы.

1. Распознавание по простому паролю. Каждому зарегистрированному пользователю выдается персональный пароль, который он вводит при каждом обращении к ПЭВМ.

2. Опознавание в диалоговом режиме. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи (пароль, дата рождения, имена и даты рождения родных и близких и т.п.), которые сравниваются с данными, хранящимися в файле. При этом для повышения надежности опознавания каждый раз запрашиваемые у пользователя данные могут быть разными.

3. Опознавание по индивидуальным особенностям и физиологическим характеристикам. Реализация данного способа предполагает наличие специальной аппаратуры для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном.

4. Опознавание по радио кодовым устройствам. Каждому зарегистрированному пользователю выдается устройство, способное генерировать сигналы, имеющие индивидуальные характеристики. Параметры сигналов заносятся в запоминающие устройства механизмов защиты.

5. Опознавание по специальным идентификационным карточкам. Изготавливаются специальные карточки, на которые наносятся данные, персонифицировавшие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные на карточку заносятся в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку может быть известен только пользователю, вводиться им каждый раз при обращении к системе и уничтожаться сразу же после использования.

Каждый из перечисленных способов опознавания пользователей имеет свои достоинства и недостатки, связанные с простотой, надежностью, стоимостью и др.

Разграничение доступа к элементам защищаемой информации заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения своих полномочий. Само разграничение может осуществляться несколькими способами.

1. По уровням секретности. Каждому зарегистрированному пользователю предоставляется вполне определенный уровень допуска (например, «секретно», «совершенно секретно», «особой важности» и т.п.). Тогда пользователю разрешается доступ к массиву (базе) своего уровня и массивам (базам) низших уровней и запрещается доступ к массивам (базам) более высоких уровней.

2. Разграничение доступа по специальным спискам. Для каждого элемента защищаемых данных (файла, базы, программы) составляется список всех пользователей, которым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа.

3. Разграничение доступа по матрицам полномочий. Данный способ предполагает формирование двумерной матрицы, по строкам которой содержатся идентификаторы зарегистрированных пользователей, а по столбцам - идентификаторы защищаемых элементов данных. Элементы матрицы содержат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента.

4. Разграничение доступа по мандатам. Данный способ заключается в том, что каждому защищаемому элементу присваивается персональная уникальная метка, после чего доступ к этому элементу будет разрешен только тому пользователю, который в своем запросе предъявит метку элемента (мандат), которую ему может выдать администратор защиты или владелец элемента.

Регистрация всех обращений к защищаемой информации осуществляется с помощью устройств, которые контролируют использование защищаемой информации, выявляют попытки несанкционированного доступа к ней, накапливают статистические данные о функционировании системы защиты.

Криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных) заключается в использовании методов сжатия данных, которые при сохранении содержания информации уменьшают объем памяти, необходимой для ее хранения.

Криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки осуществляется с помощью устройств программно-аппаратных комплексов, обеспечивающих шифрование и дешифрование файлов, групп файлов и разделов дисков, разграничение и контроль доступа к компьютеру, защиту информации, передаваемой по открытым каналам связи и сетям межмашинного обмена, электронную подпись документов, шифрование жестких и гибких дисков.

1.3 Правовое обеспечение информационной безопасности

В целях охраны и защиты прав и свобод в информационной сфере Конституция РФ устанавливает гарантии, обязанности, механизмы защиты и ответственности. К основным конституционным гарантиям относятся:

• признание прав и свобод человека и гражданина неотчуждаемыми (статья 17), равными (статья 19), непосредственно действующими (статья 18) согласно общепризнанным принципам и нормам международного права и защищаемыми государством (статья 45);

• законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться. Если они не опубликованы официально для всеобщего сведения (часть 3 статьи 15);

• права и свободы «определяют смысл, содержание и применение законов, деятельность законодательной и исполнительной власти, местного самоуправления и обеспечиваются правосудием» (статья 18);

• органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечивать каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное предусмотрено законом (часть 2 статьи 24);

• механизмы защиты наряду с государственной защитой предусматривают право каждого на самозащиту «всеми способами, не запрещенными законом» (часть 2 статьи 45), судебную защиту (часть 1 и 2 статьи 46), международно-правовую защиту (часть 3 статьи 46);

• сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом (часть 3 статьи 41).

Важной сферой безопасности информации является защита прав собственности на нее. Информация (несмотря на ряд существенных особенностей) должна рассматриваться законом как объект права собственности. В первой части Гражданского кодекса РФ (ст. 128), принятого Государственной Думой (21.10.94 г.), впервые в России информация определена в качестве объекта права.

Федеральным законом «Об информации, информатизации и защите информации» от 20.02.95 года определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.

Источники права на доступ к информации

Наряду с нормами Конституции РФ источниками права о доступе к информации являются:

• законы (Основы законодательства РФ о культуре, Основы законодательства РФ об Архивном фонде и архивах; Федеральные законы «Об информации, информатизации и защите информации», «О порядке опубликования и вступления в силу Федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания», «О библиотечном деле», «Об участии в международном информационном обмене» и др.);

• подзаконные нормативные акты (указы Президента РФ, постановления Правительства РФ);

• международные правовые акты, международные договоры и соглашения;

• судебная практика.

Уровни доступа к информации с точки зрения законодательства

Вся информация с точки зрения права делится на несколько основных сегментов:

Информация без ограничения права доступа. К такого рода информации, например, относится:

• информация общего пользования, предоставляемая пользователям бесплатно;

• информация о состоянии окружающей природной среды, ее загрязнении -- сведения (данные), полученные в результате мониторинга окружающей природной среды, ее загрязнения (Федеральный закон от 2 мая 1997 г. №76-ФЗ «Об уничтожении химического оружия»);

• информация в области работ по хранению, перевозке, уничтожению химического оружия -- сведения о состоянии здоровья граждан и объектов окружающей среды в районах размещения объектов по хранению химического оружия и объектов по уничтожению химического оружия, мероприятиях по обеспечению химической, санитарно-гигиенической, экологической и пожарной безопасности при проведении работ по хранению, перевозке и уничтожению химического оружия, а так же о мерах по предотвращению возникновения чрезвычайных ситуаций и ликвидации их последствий при выполнении указанных работ, предоставляемые общественных объединений (Федеральный закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия», статья 1.2).

Информация, содержащая сведения об обстоятельствах и фактах, представляющих угрозу жизни. Здоровью граждан, не подлежит засекречиванию, не может быть отнесена к тайне.

Информация с ограниченным доступом -- государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, профессиональная тайна и персональные данные как институт охраны права неприкосновенности частной жизни.

Информация, распространение которой наносит вред интересам общества, законным интересам и правам граждан, - порнография; информация, разжигающая национальную, расовую и другую рознь;

пропаганда и призывы к войне, ложная реклама, реклама со скрытыми вставками и т. п. - так называемая «вредная» информация.

Объекты интеллектуальной собственности (то, что не может быть отнесено к информации с ограниченным доступом, но охраняется особым порядком через институты интеллектуальной собственности -- авторское право, патентное право, средства индивидуализации и т. п. Исключение составляют ноу-хау. Которые охраняются в режиме коммерческой тайны).

Иная общедоступная информация, в которой эксперты выделяют более 20 видов открытой общедоступной информации.

Виды доступа к информации

Доступ к информации также важно четко разграничить в зависимости о вида информации и вида субъекта, реализующего свое право на доступ к информации. Исходя из этого, различаются следующие виды доступа:

1. Обязательное доведение.

2. Свободный доступ.

3. Предоставление информации по запросу юридических лиц.

4. Предоставление информации по запросу физических лиц.

Например, доступ к информации через обязательное ее доведение (на примере законодательной деятельности) должен быть обеспечен после принятия закона и подписания его Президентов РФ, поскольку законы должны быть опубликованы и вступить в силу только в случае их обязательного опубликования.

Наряду с этим обязательному доведению подлежит информация об обстоятельствах и фактах по угрозе общественной безопасности, здоровью и жизни граждан, о реквизитах организаций, предоставляющих информацию, о реестрах официальных документов, которые также подлежат обязательному доведению.

Свободный доступ -- это ситуация, когда, например, на сервере соответствующего субъекта органа власти в электронном виде высставляется информация о законопроекте. Правомочия на свободный доступ к информации в данном случае могут реализоваться через обязанность государства создавать условия, при которых лицо, заинтересованное в получении информации, могло получить к ней доступ по своему желанию. В перечень таких условий могут входить -- накопление информации и поддержание кк в актуальном состоянии, систематизация информации и т. п. В то же время условия свободного доступа, включая адрес нахождения информации, должны быть широко известны, и здесь применимо уже правомочие обязательного доведения.

Различаются четыре основных вида отношений, которые могут возникать между субъектами по степени ограничения доступа:

• лиц (как физических, так и юридических) по отношению к государству;

• государства по отношению к лицам (как физическим, так и юридическим);

• физических лиц по отношению к организациям (юридическим лицам);

• юридических лиц по отношению к физическим лицам.

Например, при запросе лиц в органы государственной власти и органы местного самоуправления ограничение права на доступ к информации связано только с государственной тайной, служебной тайной и персональными данными, потому что коммерческой тайны, банковской тайны, профессиональной тайны в органах государственной власти и органах местного самоуправления, по определению, быть не может.

Что касается государственных предприятий, которые, казалось бы, представляют государство, то в данной ситуации они являются коммерческими структурами с государственным видом собственности, в которой может иметь место коммерческая тайна.

При запросах государства по отношению к физическим и юридическим лицам (что регламентируется нормами Законов РФ «О государственной службе», «О воинской обязанности и военной службе», «Об обороне» и т. п.) в качестве основания для ограничения права доступа к информации могут выступать персональные данные, коммерческая тайна, банковская тайна и профессиональная тайна.

При реализации права физических лиц на доступ к информации у юридических лиц в качестве основания для ограничения права доступа к информации могут выступать профессиональная тайна, коммерческая тайна, банковская тайна. При запросе юридических лиц к физическим лицам основанием для ограничения права могут выступать персональные данные.

При реализации права на доступ к информации важно обеспечить, чтобы получаемая информация была достоверной, полной и ее подлинность при дальнейшем использовании не вызывала ни у кого сомнения. В связи с возрастающим объемом хранения и использования информации, в том числе ограниченного доступа, в электронном виде все чаще применяется понятие «электронного документа». В то же время проблемы сохранения электронных документов от уничтожения, копирования, модификации, подделки требует для своего разрешения специфических средств и методов защиты (формирование корпоративных сетей, техническая защита сетей, криптографическая защита и т. д.).

Ответственность за нарушение законодательства в информации

За не предоставление информации гражданам, палатам Федерального Собрания РФ и Счетной палате РФ (статьи 140и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237), в Уголовном кодексе РФ (от 13.06.1996 г.) предусмотрена ответственность.

Ответственность в действующем законодательстве оговорена в случае неправомерного засекречивания, нарушения требований по составу предоставляемых сведений, не опубликования сведений, нарушения права граждан на бесплатное получение информации. Сокрытие (не предоставление) сведений об обстоятельствах, создающих опасность для жизни или здоровья людей, несвоевременное предоставление сведений, сокрытие информации, сообщение ложных (недостоверных) сведений, ограничение права на предоставление информации, искажение сведений, нарушение свободного международного информационного обмена.

Защита права на доступ к информации может осуществляться:

-в форме, находящейся за пределами юрисдикции (самозащита своих прав и законных интересов)

-в юрисдикционной форме (в административном или в судебном порядке).

В административном порядке -- через подачу жалобы лицом, чьи права нарушены, на должностное лицо (орган) в вышестоящую инстанцию, специальный орган -- Судебную палату по информационным спорам при Президенте РФ.

В судебном порядке -- лицо может выбрать любой способ защиты нарушенных прав через подачу иска (жалобы) для рассмотрения в гражданском, административном или уголовном судопроизводстве.

При рассмотрении иска в гражданском судопроизводстве потерпевший вправе использовать основные способы защиты гражданских прав, предусмотренных в статье 12 Гражданского кодекса РФ (от 30.11.1996 г.), в том числе требовать:

• признание права;

• прекращение действий, нарушающих право или создающих угрозу его нарушения;

• признания недействительным акта государственного органа или ограна местного самоуправления;

• восстановление права;

• возмещение убытков;

• компенсации морального ущерба.

Случаи возможной административной ответственности при нарушении права на доступ к объективной информации достаточно многочисленны.

Так, в Кодексе РФ об административных правонарушениях (от 30.12.2001 г.) [29] предусматривается административная ответственность за следующие нарушения:

• нарушение права граждан на ознакомление со списком избирателей (статья 5.1);

• изготовление или распространение анонимных агитационных материалов (статья 5.12);

• умышленное уничтожение, повреждение агитационных печатных материалов (статья 5.14);

• не предоставление или не опубликование отчетов о расходовании средств на подготовку и проведение выборов (референдума) (статья 5.17);

• не предоставление либо не опубликование сведений об итогах голосования или о результатах выборов (статья 5.25);

• невыполнение обязанностей по регистрации в судовых документах операций с вредными веществами и смесями (статья 8.16);

• изготовление или эксплуатацию технических средств, не соответствующим государственным стандартам или нормам на допускаемые уровни радиопомех (статья 13.8);

• не предоставление сведений федеральному антимонопольному органу (статья 19.8);

• не предоставление информации для составления списков присяжных заседателей (статья 17.6);

• невыполнение законных требований прокурора (в том числе на предоставление информации) (статья 17.7);

• не сообщение сведений о гражданах, состоящих или обязанных состоять на воинском учете (статья 21.4);

• нарушение порядка и сроков предоставления сведений о несовершеннолетних, нуждающихся в передаче воспитания, и др. (статья 5.36);

• нарушение порядка предоставления обязательного экземпляра документов и др. (статья 13.23);

• отказ в предоставлении гражданину информации (статья 5.39);

• злоупотребление свободой массового информации (статья 13.15);

• воспрепятствование распространению продукции средства массовой информации (статья 13.16);

• воспрепятствование приему радио- и телепрограмм (статья 13.18);

• нарушение правил распространения обязательных сообщений (статья 13.17). уголовная ответственность в этой сфере предусмотрена в Уголовном кодексе РФ (от 13.06.1996 г.) в следующих статьях:

- статья 140 -- отказ в предоставлении гражданину информации;

- статья 237 -- сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей;

- статья 287 -- отказ в предоставлении информации Федеральному Собранию РФ или Счетной палате РФ.



2. Организация информационной безопасности в ИП Морозов

2.1 Организационно-экономическая характеристика ИП Морозов

Полное фирменное наименование Общества: Индивидуальный Предприниматель Морозов Александр Иванович

Сокращенное фирменное наименование Общества: ИП Морозов

Юридический адрес: 602252, Владимирская область, г. Муром, ул. Московская,112а

Цель деятельности Общества: получение прибыли.

Виды деятельности (основными согласно Уставу Общества являются):

• деятельность в области бухгалтерского учета;

• консультирование по аппаратным средствам вычислительной техники;

• аудиторская деятельность по информационной безопасности;

• защита персональных данных;

• повышение квалификации;

• предоставление прочих услуг.

ИП вправе осуществлять иные виды деятельности, не запрещенные законодательством, направленные на достижение уставных целей, после получения соответствующей лицензии. ИП Морозов является юридическим лицом, может от своего имени приобретать и осуществлять имущественные и личные не имущественные права, выполнять обязанности, быть истцом и ответчиком в суде.

Организация несет ответственность по своим обязательствам в пределах принадлежащего ей имущества. ИП Морозов имеет круглую печать, содержащую фирменное наименование, организационно-правовую форму, вправе иметь штампы и бланки со своим наименованием, самостоятельный расчетный и иные счета.

ИП обладает следующими лицензиями:

1. Лицензия Федеральной службы по техническому и экспертному контролю на деятельность по технической защите конфиденциальной информации Серия КИ 0057 Номер 002840 Регистрационный номер № 1028 от 04.03.2010.

2. Лицензия Управления ФСБ России по Владимирской области на осуществление работ с использованием сведений, составляющих государственную тайну ЛЗ № 0001521 Регистрационный номер № 1465 от 29.12.2008.

3. Лицензия Управления ФСБ России по Владимирской области на осуществление деятельности по предоставлению услуг в области шифрования информации ЛЗ № 0016233 Регистрационный номер №148У от 05.03.2010.

4. Лицензия Управления ФСБ России по Владимирской области на осуществление деятельности по распространению шифровальных (криптографических) средств ЛЗ № 0016231 Регистрационный номер № 146Р от 05.03.2010.

5. Лицензия Управления ФСБ России по Владимирской области на осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств ЛЗ № 0016232 Регистрационный номер № 147Х от 05.03.2010.

Эффективность коммерческой деятельности характеризуют основные экономические показатели, представленные в таб.1

№	Показатели	Ед. измерения	Отчетный год	Прошлый год	Темп изменения в %
1	Товарооборот	Тыс. руб.	15080	14253	105,8
2	Численность работников	Чел.	15	15	100
3	Товарооборот на одного работника	Тыс. руб.	202,3	193,9	104,3
4	Валовой доход	Тыс. руб.	4520,2	4296	105
5	Уровень валового дохода	В % к товарообороту	34,3	32,98	104
6	Издержки обращения	Тыс. руб.	3260	3102,6	105,07
7	Уровень издержек обращения	В % к товарообороту	21,59	21,67	99,6
8	Прибыль от продаж	Тыс. руб.	1440,2	1228,6	101
9	Рентабельность продаж	В % к товарообороту	12,71	11,31	112,4

В 2013 году динамика товарооборота имеет положительную тенденцию. Товарооборот увеличился на 4,3%. Рост продаж обеспечен с неизменной численностью, что позволило повысит товарооборот одного работника на 4,3%.

Товарооборот в сопоставимых ценах (при индексе цен 1,04) составил 14287,3 тыс. руб., что выше уровня 2012 года. Таким образом, прирост товарооборота обеспечен не только ценовым фактором, но и ростом физической массы реализованных товаров.

Расширение прямых связей с изготовителями позволило увеличить средний размер валового дохода. Рост товарооборота опережает рост суммы издержек обращения, следовательно, повысилась эффективность расходов на продажу.

Увеличение валового дохода и относительное снижение издержек обращения повлияло на увеличение прибыли и рентабельности продаж, что обеспечивает возможность самофинансирования. ИП Морозов имеет возможность за счет собственных средств увеличивать оборотный капитал, развивать и совершенствовать материально-техническую базу.

Общая численность сотрудников ИП Морозов составляет 15 человек (Рис.1). Генеральный директор: Морозов Александр Иванович.

Штатная численность ИП - 15 сотрудников (Табл. 2). Преимущественно все сотрудники обладают высшим образованием. Отдел защиты информации укомплектован сотрудниками с высшим техническим образованием, отдел управленческого консалтинга - с высшим экономическим. Штат ИП достаточно молодой, средний возраст персонала -26,6 лет: это сказывается на новаторстве принимаемых решений и быстрой адаптации к изменениям законодательства Российской Федерации.

Таблица 2

Штатная численность и образование персонала

№ п/п	Должность	Образование	Возраст	Подготовка/переподготовка	Аттестация
01	Генеральный директор	Высшее экономическое, высшее гуманитарное	45	нет	нет
02	Заместитель ген. Директора	Высшее педагогическое	29	Неполное высшее образование по специальности «Организация и технология защиты информации», Южно-Уральский государственный университет, 2009г. - по настоящее время	нет
03	Руководитель отдела защиты информации	Высшее техническое	24	Курсы повышения квалификации в ОАО «Инфотекс», г. Москва, 2010 год	нет
04	Аудитор	Высшее техническое	22	нет	нет
05	Аудитор	Высшее техническое	25	нет	нет
06	Аудитор	Высшее техническое	23	нет	нет
07	Аудитор	Высшее техническое	21	нет	нет
08	Аудитор	Высшее техническое	25	нет	нет
09	Руководитель отдела консалтинга	Высшее	36
10	Менеджер по информированию	Среднее специальное	51	нет	нет
11	Менеджер по информированию	Высшее гуманитарное	41	нет	нет
12	Менеджер по проектам	Неоконченное высшее экономическое	20	нет	нет
13	Офис-менеджер	Высшее экономическое	22	нет	нет
14	Специалист по работе с клиентами	Высшее экономическое	35	Нет данных	Нет данных
15	Менеджер по маркетингу и связям с общественностью	Высшее экономическое	24	нет	нет

Организационная защита информации - это комплекс направлений и методов управленческого, ограничительного и технического характера, определяющих основы и содержание системы защиты информации, побуждающий персонал соблюдать правила защиты конфиденциальной и секретной информации.

К организационным мерам относятся: установление с помощью «Положения о коммерческой тайне» и приказа генерального директора ИП Морозов режима доступа к коммерческой тайне, а также перечня должностных лиц компании, имеющих такой доступ, введение кодов доступа к базам данных, хранение документов в специальных сейфах и т.д.

Деятельность ИП Морозов регулируется Уставом организации. Однако организация недавно столкнулась с необходимостью введения режима КТ, и весь пакет организационно-распорядительной и эксплуатационной документации в настоящее время находится на стадии утверждения.

Введение режима коммерческой тайны (КТ) обязательно сопряжено с разработкой соответствующего пакета документов и проведением определённых организационных мероприятий. В должностной инструкции руководителя отдела защиты информации (ЗИ) отмечено, что он: «организует разработку и внедрение организационных и технических мероприятий по комплексной защите информации ИП Морозов, обеспечивает соблюдение режима проводимых работ и сохранение конфиденциальности документированной информации». Таким образом, ответственность за введение режима возложена на руководителя отдела ЗИ.

В должностные обязанности офис-менеджера входит проведение ознакомления под роспись всех сотрудников с документами, регламентирующими порядок охраны коммерческой тайны компании.

2.2 Организационно-правовое обеспечение информационной безопасности ИП Морозов

Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также контроль за их исполнением.

Главной целью правового обеспечения является соблюдение законности. В состав правового обеспечения входят кодексы, законы, указы, постановления государственных органов власти, приказы, инструкции министерств, ведомств, организаций, местных органов власти.

Данный список нормативно-правовых актов неполный. В него необходимо добавить нормативно-правовую базу правовой подсистемы обеспечения режима защиты коммерческой тайны и персональных данных в целом.

В состав правового обеспечения входят также локальные нормативные документы:

· Перечень сведений, составляющих коммерческую тайну ИП Морозов;

· Перечень издаваемых конфиденциальных документов ИП Морозов;

· Номенклатура конфиденциальных дел ИП Морозов;

· Положение о коммерческой тайне в ИП Морозов;

· Инструкция по конфиденциальному документационному обеспечению управления ИП Морозов

· Журнал учета бумажных носителей

· Журнал учета изданных конфиденциальных документов

· Журнал учета размножения конфиденциальных документов

Журнал регистрации поступивших конфиденциальных документов

Размещено на Allbest.ru