Планирование мероприятий по защите конфиденциальной информации на календарный месяц на предприятии
Рассмотренные нормативно-методические документы отражают действующую на предприятии систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При… Читать ещё >
Планирование мероприятий по защите конфиденциальной информации на календарный месяц на предприятии (реферат, курсовая, диплом, контрольная)
Курсовая работа
Планирование мероприятий по защите конфиденциальной информации на календарный месяц на предприятии
планирование правовой защита информация Актуальность темы курсовой работы состоит в том, что главным фактором обеспечения безопасности на предприятии является создание плана мероприятий по защите конфиденциальной информации.
Основной целью курсовой работы является планирование мероприятий по защите конфиденциальной информации на предприятии.
Объектом исследования является режимный объект — ОАО «КБ точного машиностроения имени А.Э. Нудельмана». Предметом изучения является определение общих требований режима секретности на предприятии, разработка целей и задач планирования мероприятий по защите конфиденциальной информации на календарный месяц.
Для достижения поставленной в работе цели определяются следующие задачи:
1. Провести общий анализ деятельности предприятия «КБ точного машиностроения имени А.Э. Нудельмана».
2. Определить основные цели планирования мероприятий по защите конфиденциальной информации.
3. Определить структуру, основное содержание, основные требования, предъявляемые для планирования мероприятий по защите конфиденциальной информации.
4. Определить нормативно-методическую базу.
1. Российское предприятие, разрабатывающие и выпускающие вооружения, ОАО «Конструкторское бюро точного машиностроения им. А.Э. Нудельмана»
ОАО «Конструкторское бюро точного машиностроения им. А.Э. Нудельмана» традиционно является широко диверсифицированным предприятием в области создания систем и комплексов вооружения и военной техники, разрабатывает их в интересах практически всех видов Вооруженных Сил, в том числе в интересах Сухопутных войск, Военно-морского флота, Военно-Воздушных сил и РВСН. Специализируясь в области создания высокоточного оружия, КБ точмаш применяет в своих разработках передовые достижения науки и техники, а также само разрабатывает новейшие технологии, опираясь на высококвалифицированные кадры ученых и инженеров и первоклассную конструкторскую школу, в основе которой лежат лучшие трудовые традиции, заложенные еще в годы Великой Отечественной войны. Оригинальные конструктивные решения, высокий научно-технический потенциал и работоспособность коллектива позволили создать средства вооружения и военную технику, не имеющие аналогов не только в стране, но и в мире.
Основные направления деятельности КБточмаш:
Проектирование, разработка и изготовление высокоточных комплексов вооружения и их составных частей определенных классов, а также конкурентоспособной продукции приборостроительного и общемашиностроительного профиля.
Стратегическая цель:
Создать современный научно-производственный комплекс, успешно функционирующий в условиях динамично меняющейся среды. предприятие должно войти в группу лидеров в области высокоточных комплексов вооружения ближнего действия.
Годовой объем научно-технической и производственной продукции к 2014 году должен быть увеличен в сопоставимых ценах не менее чем в два раза по сравнению с 2006 г., при обеспечении роста активов и прибыльности за счет разработки и производства новой техники, повышения квалификации кадров, внедрения новых технологий, снижения издержек производства.
Стратегия развития предприятия:
1. Предприятие будет проводить активную политику, стремясь не только максимально удовлетворить запросы покупателей, но и создавать изделия, опережающие существующий уровень, оказывающие позитивное, выгодное для КБточмаш, влияние на формирование системы взглядов Заказчиков и потребителей.
2. Оборонные работы по-прежнему будут являться основными для предприятия. Наряду с увеличением объема заказов Министерства обороны Российской Федерации, будут активно вестись работы по расширению рынка сбыта оборонной продукции предприятия за рубежом. Также должен быть увеличен объем выпускаемой гражданской продукции.
3. Предприятие будет интенсивно развиваться как конструкторская организация, разрабатывающая высокоточные комплексы вооружения по сложившимся и новым направлениям техники, реализуя передовой уровень характеристик и ориентируясь как на внутренний, так и на внешний рынки. КБточмаш будет стремиться к замыканию циклов разработки и производства по критическим технологиям у себя, а также на предприятиях, с которыми поддерживаются длительные партнерские отношения.
4. Предприятие будет развивать и расширять свои технологические возможности, выводя свое производство на качественно более высокий уровень, превращаясь из конструкторского бюро с опытным производством в научно-производственное предприятие с возможностями выпуска и поставки заказчикам малых партий разработанной продукции.
5. Расширение научных, конструкторских, технологических и производственных возможностей будет достигаться за счет улучшения структуры кадров, повышения квалификации, насыщения предприятия современной вычислительной техникой и прикладным программным обеспечением, технического перевооружения производства и внедрения высокопроизводительного оборудования, а, кроме того, за счет внедрения современной системы менеджмента качества, отвечающей требованиям международных и государственных стандартов Российской Федерации.
6. Продукция в КБточмаш должна изготавливаться с широким привлечением кооперации, в первую очередь, предприятий создаваемой интегрированной структуры. В производстве должны выполняться, преимущественно, конечные сборочные и сдаточные операции, а также высокоточная обработка наиболее сложных и ответственных деталей.
7. Перечисленные работы требуют высочайшей квалификации и соответственно высокой оплаты. Все большее число персонала будет иметь высшее образование. Предлагаемое построение производства в КБточмаш, с ориентацией на сложные работы, должно позволить решить проблему привлечения в Москву рабочей силы с высокой средней заработной платой.
8. Темпы увеличения численности работающих должны быть в несколько раз ниже темпов наращивания объемов НИОКР и производства. Преимущественное развитие по численности получат лишь производственные и обеспечивающие их подразделения.
9. Дальнейшее укрепление и развитие предприятия будет сопровождаться не только наращиванием собственных возможностей, но и возрастающей активностью поиска путей интеграции с другими предприятиями для замыкания кооперации и повышения устойчивости и конкурентоспособности. КБточмаш будет стремиться создать в рамках и вне рамок интегрированной структуры устойчивую кооперацию, увеличивая объем выпускаемой продукции и повышая её конкурентоспособность.
2. Планирование мероприятий по организационной защите информации на предприятии
2.1 Основные цели планирования
Одно из наиболее важных направлений деятельности предприятия, осуществляющего работу со сведениями конфиденциального характера, — планирование мероприятий по защите конфиденциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом, так и его структурных подразделений (отдельных должностных лиц). Трудно также переоценить значение этого направления в общей системе организационных мер обеспечения информационной безопасности предприятия.
Основными целями планирования мероприятий по защите информации являются:
· организация проведения комплекса мероприятий по защите конфиденциальной информации, направленных на исключение возможных каналов утечки этой информации;
· установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия;
определение сроков (времени, периода) проведения конкретных мероприятий по защите информации;
· систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации;
· установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении конкретных мероприятий;
· уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия.
Основой для планирования мероприятий по защите информации на предприятии служат:
· требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации, соответствующих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлежности), вышестоящей организации, а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия;
· - требования заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов) совместных и других работ;
положения международных договоров (соглашений) и иных документов, определяющих участие предприятия в тех или иных формах международного сотрудничества;
· положения внутренних организационно-распорядительных документов предприятия (приказов, директив, положений, инструкций), определяющих порядок ведения производственной и иной деятельности, а также конкретизирующих вопросы защиты конфиденциальной информации на предприятии;
· результаты комплексного анализа состояния дел в области защиты информации, проводимого службой безопасности (режимно-секретным подразделением) на основании материалов проверок структурных подразделений (филиалов, представительств) предприятия;
· результаты проверок состояния защиты информации, проведенных вышестоящими организации, федеральными органами исполнительной власти (при наличии ведомственной принадлежности) и заказчиками работ (в рамках выполняемых договоров или контрактов), выработанные на основании этих результатов предложения и рекомендации;
· результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами (в части, их касающейся);
· особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации.
Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.
В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ, а также в ходе реализации на предприятии федеральных целевых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, носящие характер программно-целевого планирования. Такими программами могут быть реконструкция предприятия, внедрение новых технологий, в том числе информационных, и т. п.
Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности (режимно-секретном подразделении) предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности).
Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности (режимно-секретным подразделением) в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением.
От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.
2.2 Структура и основное содержание плана мероприятий по защите конфиденциальной информации
Основным организационно-планирующим документом предприятия является План мероприятий по защите конфиденциальной информации на календарный год. Данный план наиболее полно и всесторонне отражает мероприятия по защите информации, предполагаемые к проведению в ходе повседневной деятельности предприятия в течение календарного года. При подготовке плана учитываются вновь принятые (подписанные, утвержденные) нормативные правовые акты и методические документы по защите конфиденциальной информации, действующие приказы и текущие указания вышестоящих органов государственной власти и организаций (при наличии ведомственной принадлежности или иной подчиненности).
План мероприятий по защите конфиденциальной информации на предприятии на календарный год утверждается руководителем предприятия до начала календарного года, на который он разработан. При необходимости план согласовывается с соответствующим органом безопасности. Утвержденный план под расписку доводится до сведения заместителей руководителя предприятия, руководителей структурных подразделений и отдельных должностных лиц, ответственных за проведение указанных в плане мероприятий.
Типовой план мероприятий по защите конфиденциальной информации на календарный год содержит следующие основные разделы:
1. Организаторская работа руководства предприятия — разработка организационно-планирующих документов в ходе повседневной деятельности предприятия и при выполнении предприятием всех видов работ; представляемые в вышестоящий орган государственной власти или в вышестоящую организацию доклады и донесения о состоянии защиты информации; подготовка и издание приказов руководителя предприятия по различным вопросам в сфере защиты конфиденциальной информации; переработка и уточнение должностных обязанностей сотрудников и др.
2. Подготовка персонала по вопросам защиты информации — организация и проведение занятий со всеми категориями сотрудников предприятия с учетом специфики выполняемой ими работы; изучение положений нормативно-методических документов в области защиты информации и при необходимости доведение их требований до сведения сотрудников под расписку; принятие зачетов и проведение занятий с вновь прибывшими или назначенными на должность сотрудниками; мероприятия по обучению сотрудников предприятия в образовательных учреждениях высшего, среднего и дополнительного профессионального образования.
3. Контроль защиты информации и наличия носителей конфиденциальной информации — организация и проведение всех видов проверок состояния защиты информации и наличия носителей конфиденциальной информации. Особое внимание уделяется планированию проводимых по окончании календарного года мероприятий по проверке наличия носителей информации комиссией предприятия. Для предприятий, работающих со сведениями, составляющими государственную тайну, проведение проверок наличия носителей этих сведений планируется в соответствии со сроками, определенными в нормативных правовых актах по обеспечению режима секретности. При наличии у предприятия подчиненных организаций, филиалов и представительств планируются проверки состояния защиты информации в этих организациях комиссиями головного предприятия.
4. Допуск и доступ персонала к конфиденциальной информации и ее носителям — мероприятия, касающиеся разработки, переработки и согласования номенклатуры должностей работников предприятия, подлежащих оформлению на допуск к сведениям, составляющим государственную тайну; вопросы оформления и переоформления материалов на допуск к государственной тайне сотрудников предприятия, в том числе контрактов, трудовых договоров и карточек о допуске; разработка и переработка списков лиц, допускаемых к конфиденциальной информации, а также лиц, допускаемых к конкретным материалам проводимых работ; мероприятия, направленные на разграничение доступа к носителям конфиденциальной информации в зависимости от степени их секретности или конфиденциальности, а также в зависимости от тематики проводимых предприятием работ.
При необходимости отдельным пунктом отражаются вопросы организации учета осведомленности лиц в сведениях особой важности и совершенно секретных сведениях, подготовки соответствующих заключений.
5. Организация и ведение конфиденциального делопроизводства — мероприятия, непосредственно касающиеся деятельности службы безопасности или режимно-секретного подразделения предприятия, а также специально создаваемых на предприятии комиссий по отбору конфиденциальных документов и материалов для уничтожения, пересмотру степени секретности или конфиденциальности материалов, инструктажу лиц, убывающих с носителями конфиденциальной информации за пределы предприятия; вопросы учета, хранения, размножения и уничтожения носителей конфиденциальной информации, порядок работы с ними персонала предприятия.
6. Защита информации при осуществлении рекламной и публикаторской деятельности — мероприятия, связанные с работой экспертной комиссии по принятию решений о возможности публикации научных материалов, информации о деятельности предприятия, использования этих материалов при проведении рекламных акций; мероприятия, осуществляемые при подготовке материалов к открытому опубликованию.
7. Защита информации при использовании технических средств — организационные мероприятия по подготовке и вводу в эксплуатацию объектов информатизации, обрабатывающих информацию с ограниченным доступом, по технической защите информации, защите информации от несанкционированного доступа и от утечки по техническим каналам; работа должностных лиц по противодействию иностранным техническим разведкам, предотвращению утечки информации при использовании средств открытой связи — например факсимильной, телеграфной, голосовой, телефонной.
8. Защита информации в ходе осуществления международного сотрудничества — мероприятия по защите информации при подготовке и реализации международных договоров и иных документов, приеме иностранных делегаций на предприятии. Мероприятия предусматриваются с учетом распределения функций по защите информации между структурными подразделениями предприятия (отделами, службами) и должностными лицами.
9. Выезд за границу сотрудников, допущенных к конфиденциальной информации, — для предприятий, работающих со сведениями, составляющими государственную тайну, планирование мероприятии в данном разделе осуществляется в строгом соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», Законом РФ «О государственной тайне» и иными нормативными правовыми актами РФ. Планируемые мероприятия не должны быть направлены на ограничение права сотрудников предприятия, допущенных конфиденциальной информации (за исключением сведений особой важности и совершенно секретных сведений), на выезд из Российской Федерации.
10. Защита информации при выполнении совместных и других работ — мероприятия, направленные на исключение утечки конфиденциальной информации при участии предприятия в выполнении совместных и других работ, предусмотренных уставом предприятия; порядок и условия отражения в договорах, заключаемых с заказчиками или исполнителями работ, вопросов защиты информации, содержание соответствующих пунктов указанных договоров; мероприятия по защите государственной тайны в ходе деятельности конкурсных комиссий по выбору исполнителей работ; при участии предприятия в выполнении работ в рамках государственного оборонного заказа — особенности проведения этих работ.
Для совместных работ, в которых предприятие выступает в роли заказчика или головного исполнителя, предусматриваются мероприятия по контролю эффективности защиты исполнителями этих работ конфиденциальной информации, передаваемой им предприятием в качестве исходных данных. При выполнении предприятием работ с использованием сведений, составляющих государственную тайну, в данном разделе плана предусматриваются мероприятия, определенные ст. 17 Закона РФ «О государственной тайне» (включение в договоры на проведение работ положений, содержащих меры ответственности заказчиков, головных исполнителей и исполнителей работ за несоблюдение установленных требований и т. д.).
11. Защита информации в чрезвычайных ситуациях — порядок формирования, задачи и основные направления деятельности нештатного подразделения предприятия — специальной комиссии, создаваемой приказом руководителя предприятия в целях выработки мер по предупреждению чрезвычайных ситуаций на предприятии, а также мер по защите информации при возникновении чрезвычайных ситуаций; практические меры, направленные на недопущение нанесения ущерба информационной безопасности предприятия вследствие возникновения чрезвычайной ситуаций, в том числе на предотвращение утечки защищаете информации, утраты, хищения или уничтожения носителе конфиденциальной информации; анализ возможных угроз и различных факторов, приводящих к возникновению на предприятии чрезвычайных ситуаций. Особое внимание уделяется вопросам координации действий всех структурных подразделений, участвующих в решении задач защиты информации.
При планировании мероприятий по защите информации учитываются все возможные виды и способы проявления чрезвычайных ситуаций, мероприятия по защите информации при возникновении чрезвычайных ситуаций отражаются в соответствующих планах работы предприятия (его структурных подразделений) на календарный месяц. В данном разделе плана (либо в отдельном приложении к плану) указываются также:
фамилия, имя, отчество, домашний адрес и контактные те-фоны (в том числе мобильной связи) каждого сотрудника, принимающего участие в ликвидации последствий чрезвычайной ситуации на объектах предприятия;
очередность и порядок вызова (оповещения) всех сотрудников, участвующих в выполнении работ по ликвидации последствий чрезвычайной ситуации, в зависимости от ее вида, сроки прибытия этих сотрудников на объекты предприятия; обязанности каждого сотрудника предприятия и последовательность выполнения им мероприятий (работ) в соответствии с конкретным планом действий; перечень сил и средств (в том числе транспортных средств и средств связи), привлекаемых к решению задач ликвидации последствий чрезвычайных ситуаций; места стоянки и маршруты движения транспортных средств, эвакуирующих носители конфиденциальной информации (в том числе крупногабаритные); маршруты эвакуации носителей конфиденциальной информации, места их сосредоточения, способы и порядок охраны эвакуированных носителей (крупногабаритных изделий), привлекаемые для охраны силы и средства (в том числе штатных подразделений охраны).
12. Пропускной режим и охрана объектов предприятия — организационные мероприятия по созданию и совершенствованию системы пропускного режима и охраны, такие, как подготовка приказов о вводе в действие или о выводе из действия всех видов пропусков, о назначении ответственных должностных лиц, разработка и переработка инструкций и положений, мероприятия по материально-техническому обеспечению, установке и эксплуатации технических средств охраны и др.
13. Аналитическая работа на предприятии — все виды обзоров и отчетов о состоянии дел в области защиты информации на предприятии, оформляемых для руководства предприятия, а также для руководителей вышестоящих органов государственной власти или вышестоящих организаций; мероприятия по формированию материалов, содержащих итоги работы предприятия и его структурных подразделений по защите информации, для изучения всея сотрудниками предприятия. Особое место в разделе занимают аналитические отчеты по итогам календарного месяца и календарного года, которые готовит служба безопасности (режимно-секретное подразделение) предприятия.
При необходимости включения в план иных мероприятий, I вошедших в перечисленные разделы, они отражаются в отдельном разделе плана («Другие мероприятия»). Особое внимание при разработке и реализации плана мероприятии уделяется роли руководителей структурных подразделений предприятия как должностных лиц, ответственных за обеспечение защиты информации в непосредственно подчиненных подразделениях.
Контроль за выполнением конкретных мероприятий, включенных в данный план, осуществляется руководителем предприятия и его заместителем, в ведении которого находятся вопросы защиты конфиденциальной информации. Служба безопасности (режимно-секретное подразделение) предприятия осуществляет текущий контроль за практической реализация включенных в план мероприятий и информирует об их выполнении указанных должностных лиц.
3. Требования, предъявляемые к планированию мероприятий по защите конфиденциальной информации
Основой для планирования мероприятий по защите информации на предприятии служат:
· требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации, соответствующих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлежности), вышестоящей организации, а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия;
· требования заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов) совместных и других работ;
· положения международных договоров (соглашений) и иных документов, определяющих участие предприятия в тех или иных формах международного сотрудничества;
· положения внутренних организационно-распорядительных документов предприятия (приказов, директив, положений, инструкций), определяющих порядок ведения производственной и иной деятельности, а также конкретизирующих вопросы защиты конфиденциальной информации на предприятии;
· результаты комплексного анализа состояния дел в области защиты информации, проводимого службой безопасности (режимно-секретным подразделением) на основании материалов проверок структурных подразделений (филиалов, представительств) предприятия;
· результаты проверок состояния защиты информации, проведенных вышестоящими организации, федеральными органами исполнительной власти (при наличии ведомственной принадлежности) и заказчиками работ (в рамках выполняемых договоров или контрактов), выработанные на основании этих результатов предложения и рекомендации;
· результаты контроля за состоянием защиты информации, проводимого органами безопасности и иными контролирующими органами (в части, их касающейся);
· особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации.
Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный год, календарный месяц, неделю, а также на иной определенный срок, обусловленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.
В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ, а также в ходе реализации на предприятии федеральных целевых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, носящие характер программно-целевого планирования. Такими программами могут быть реконструкция предприятия, внедрение новых технологий, в том числе информационных, и т. п.
Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности (режимно-секретном подразделении) предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности).
Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности (режимно-секретным подразделением) в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением.
От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.
4. Нормативно-методическая база
Нормативно-методическая база — это совокупность законов, нормативно правовых актов и методических документов, регламентирующих технологию создания, обработки, хранения и использования документов в текущей деятельности учреждения, а также регламентирующих работу службы делопроизводства, ее структуру, функции, штаты, техническое обеспечение и др.
Нормативно-методическая база включает в себя:
1. Законодательные акты РФ в сфере информации и документации.
2. Указы и распоряжения Президента РФ, постановления и распоряжения Правительства РФ, регламентирующие вопросы документационного обеспечения на федеральном уровне.
3. Правовые акты федеральных органов исполнительной власти (министерств, комитетов, служб, агентств и др.), как общеотраслевого, так и ведомственного характера.
4. Правовые акты органов представительной и исполнительной власти субъектов РФ и их территориальных образований, регламентирующих вопросы делопроизводства.
5. Правовые акты нормативного и инструктивного характера, методические документы по делопроизводству учреждений, организаций и предприятий.
6. Гос. Стандарты на документацию.
7. Унифицированные системы документации.
8. Общероссийские классификаторы технико-экономической информации.
9. Гос. система документационного обеспечения управления. Основные требования к документам и службам документационного обеспечения. Этот документ ГСДОУ.
10. Нормативные документы по организации управленческого труда и охране труда.
11. Нормативные документы по организации архивного хранения документов.
4.1 Нормативно-методическое обеспечение защиты конфиденциальной информации
Нормативно-методическое обеспечение защиты конфиденциальной информации предназначено для регламентации процессов обеспечения информационной безопасности предприятия, в том числе при работе персонала с конфиденциальной информацией, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах предприятия и определять правовой статус информационной безопасности предприятия. Указанные положения позволяют на законных основаниях вести речь о сохранении предпринимательской тайны, выделять ценную информацию, составляющую собственность и тайну предприятия, и выполнять действия по ее защите. Предмет и направления защиты должны найти отражение, например, в уставе предприятия, типовых формах контрактов различного рода и назначениях, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах.
Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации. Можно выделить основные, на наш взгляд, регламентирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.
Прежде всего, следует назвать Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Перечень предназначен для определения состава конфиденциальных документов и баз данных, установления грифов ограничения доступа к бумажным и электронным документам, определения необходимой структуры системы защиты информации. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т. п.
Другим важным регламентирующим документом является Инструкция по обеспечению безопасности собственной информации предпринимательской фирмы. Она необходима для организации работы по защите конфиденциальной и ценной документированной информации и включает в себя:
· Обязанности сотрудников предприятия при работе с конфиденциальной информацией";
· Порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа";
· Обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала";
· Порядок сохранения тайны предприятия при проведении совещаний, заседаний и переговоров";
· Требования к помещениям для работы с конфиденциальной информацией";
· Порядок охраны территории, здания, помещений, транспортных средств и персонала предприятия";
· Пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов";
· Порядок приема, учета и контроля деятельности посетителей";
· Требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях";
· Организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники";
· Ответственность сотрудников предприятия за разглашение конфиденциальной информации и утрату ценных документов".
Инструкция по обработке, хранению и движению конфиденциальных документов предприятия предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами предприятия. Основные разделы этой инструкции:
· Структура защищенного документооборота предприятия;
· Установление, изменение и снятие грифа конфиденциальности документов;
· Порядок составления, изготовления и издания конфиденциальных документов;
· Копирование и размножение документов;
· Прием и распределение поступивших документов;
· Учет (регистрация) документов;
· Отправка и рассылка документов;
· Порядок передачи документов в процессе их рассмотрения и исполнения;
· Контроль исполнения документов;
· Порядок систематизации документов и формирования дел;
· Порядок передачи документов и дел в архив предприятия, уничтожения документов и дел с истекшим сроком хранения;
· Оперативное (текущее) и архивное хранение дел;
· Проверка наличия документов, дел, баз данных и носителей конфиденциальной информации;
· Правила хранения и использования бланков документов, печатей и штампов.
В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.
Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носят вместе с тем обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами различных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику. Целесообразно выделить следующие информационные документы.
Правила работы руководителей и исполнителей (специалистов) предприятия с конфиденциальными документами и базами данных включают в себя:
· Порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации;
· Рассмотрение документов руководителем и адресование их исполнителям;
· Порядок передачи и получения документов исполнителями";
· Ознакомление исполнителей с содержанием документов и решением по ним руководителя;
· Составление и изготовление документов исполнителями;
· Работа руководителя с подготовленными документами;
· Порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя;
· Проверка наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя;
· Порядок ведения телефонных переговоров, факсимильной переписки;
· Особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой;
· Правила работы с конфиденциальными документами за пределами предприятия, в командировках, транспорте, порядок хранения документов;
· Обеспечение сохранности документов и баз данных во внерабочее время.
Правила работы менеджера по безопасности (управляющего делами, референта) предприятия с конфиденциальными документами и базами данных включают в себя:
· Порядок приема и отправки конфиденциальных документов;
· Порядок учета (регистрации) документов;
· Организация доступа исполнителей к конфиденциальным документам;
· Распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение;
· Формирование и ведение справочно-информационного банка данных по конфиденциальным документам;
· Контроль исполнения документов;
· Оформление и изготовление документов на пишущих устройствах;
· Оформление и ведение номенклатуры дел предприятия;
· Формирование и хранение (текущее и архивное) дел предприятия;
· Порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;
· Защита информации при ведении телефонных переговоров и передаче информации по факсимильной связи;
· Защита информации при работе с ПЭВМ;
· Построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;
· Ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.
Правила работы менеджера по персоналу предприятия включают в себя:
· Обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы";
· Организация и документирование приема сотрудников на работу";
· Обязательства сотрудников по сохранению тайны предприятия";
· Контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией";
· Организация и документирование переводов сотрудников на другие должности и изменения условий контрактов";
· Порядок формирования и ведения личных дел сотрудников";
· Порядок оформления и ведения трудовых книжек сотрудников";
· Порядок ведения справочно-информационного банка данных по персоналу предприятия";
· Правила и методы защиты персональных данных"; «Организация и документирование увольнений сотрудников, обязательства по сохранению секретов предприятия»;
· Порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных";
· Принципы и направления формирования нормального психологического климата в коллективе, воспитания гордости персонала за свое предприятие";
· Психологический анализ сотрудников, тестирование, анкетирование, инструктирование и обучение персонала"; «Правила хранения документов и работы с ними»; «Организация охраны помещения службы персонала в рабочее и *нерабочее время»;
· Ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках предприятия и другой конфиденциальной информации".
Информационные документы могут также регламентировать требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила обеспечения безопасности секретов предприятия и конфиденциальной, ценной информации в экстремальных ситуациях. Правила включают в себя:
· Классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов предприятия, информации и документов;
· Порядок (при необходимости план) эвакуации и охраны документов, дел и баз данных;
· Порядок (при необходимости план) эвакуации и оказания помощи персоналу;
· Порядок охраны имущества предприятия, оборудования и технических средств защиты информации;
· Порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.);
· Порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.
Рассмотренные нормативно-методические документы отражают действующую на предприятии систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация. Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы безопасности, конфиденциальной документации и персонала, а в некрупных фирмах — на менеджера по безопасности.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание ими своих обязанностей по защите секретов предприятия является обязательным условием эффективности функционирования системы защиты и определенной гарантией сохранности собственной информации предприятия.
5. Основные организационно-технические мероприятия по защите информации
Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:
· государственное лицензирование деятельности предприятий в области защиты информации;
· аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну;
· сертификация систем защиты информации;
· категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой информации.
Последовательность и содержание организации комплексной защиты информации представлена на рис. 4.4.
К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:
· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите;
· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
· разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.
06Примерная схема контроля защиты информации
Заключение
Предпринимательская деятельность во всех сферах неразрывно связана с получением и использованием различного рода информации. Причем в современных условиях информация представляет собой особого рода товар, имеющий определенную ценность. Для предпринимателя зачастую наиболее ценной является информация, которую он использует для достижения целей фирмы и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.
Планирование мероприятий по защите конфиденциальной информации как часть деятельности по обеспечению безопасности предпринимательства в целом. Планирование определяется теми задачами, которые ставит перед собой предприятие на перспективу.
Подготовка плана защиты характерна для всех организационно-правовых форм предприятий безопасности. План защиты должен содержать описание целей и задач предприятия безопасности, характеристику услуг, которые будут представлены потребителю.
При этом необходимо помнить:
· чем больше предприятие, тем разносторонне и четче должно быть планирование его защиты;
· планированием должны заниматься профессионалы;
· долгосрочное планирование применяется по преимуществу в крупных предприятиях. Текущее планирование — элемент управленческой деятельности любого предприятия;
· при составлении планов целесообразно составлять каталог сильных и слабых сторон;
· разработка запасного «аварийного» плана позволяет выполнить его даже при самом неблагоприятном стечении обстоятельств
Список используемой литературы
1. Аверченков, В. И. Организационная защита информации: учебное пособие для вузов / В. И. Аверченков, М. Ю. Рытов. — Москва: Изд-во «ФЛИНТА», 2011. — 184 с.
2. Основы организованного обеспечения информационной безопасности объектов информатизации / С. Н. Сёмкин, Э. В. Беляков, С. В. Гребенев, В. И. Козачок. — Москва: Изд-во «Гелиос АРВ», 2005.
3. Основы информационной безопасности: учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. — Москва: 2006. — 544 с.
4. Организационно-правовое обеспечение информационной безопасности: учебное пособие / А. А. Стрельцов, B.C. Горбатов, Т. А. Полякова [и др.]; под ред. А. А. Стрельцова. — Москва: Издательский центр «Академия», 2008. — 256 с.
5. Мельников, П. В. Информационная безопасность и защита информации / П. В. Мельников, С. А. Клейменов, А. М. Петраков. — 6-е изд. — Издательский центр «Академия», 2012.
6. Защита информации и конфиденциальные данные. Романова Д. А. — М.: Ника, 2009.
7. Защита компьютерной информации. Эффективные методы и средства. В. Шаньгин. — М.: Просвет, 2006.
8. Основы защиты информации. Р. Я. Николаенко. — М.: Просвещение, 2000.