· предотвращение угроз безопасности личности и предприятия;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательством [22].
К задачам защиты информации на предприятии относятся:
1. Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать предприятию преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.
4. Документирование процесса защиты информации, особенно сведений, составляющих коммерческую тайну, с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что предприятие принимало необходимые меры к защите этих сведений.
5.Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации [4, с.313].
4.2. Объекты и предметы защиты в адвокатской конторе
Основными объектами защиты в адвокатской конторе являются:
· персонал (так как эти лица допущены к работе с охраняемой законом информацией (адвокатская и коммерческая тайны, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
· объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;
· информация ограниченного доступа:
- адвокатская тайна (факт обращения к адвокату, включая имена и названия доверителей; все персональные данные клиентов; все доказательства и документы, собранные адвокатом входе подготовки к делу; сведения, полученные адвокатом от доверителей; информация о доверителе, ставшая известной адвокату в процессе оказания юридической помощи; содержание правовых советов, данных непосредственно доверителю или ему предназначенных; все адвокатское производство по делу; условия соглашения об оказании юридической помощи, включая денежные расчеты между адвокатом и доверителем; любые другие сведения, связанные с оказанием адвокатом юридической помощи) [9, с. 30],
- коммерческая тайна (сведения о применяемых оригинальных методах управления фирмой, сведения о подготовке, принятии и исполнении отдельных решений руководства фирмы по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров); сведения о кругообороте средств организации, финансовых операциях, состоянии банковских счетов организации и проводимых операциях, об уровне доходов организации, о состоянии кредитов организации (пассивы и активы); сведения о рыночной стратегии фирмы, об эффективности коммерческой деятельности фирмы; обобщенные сведения клиентах и других партнерах, состоящих в деловых отношениях с организацией; обобщенные сведения о внутренних и зарубежных фирм как потенциальных конкурентах, оценка качества деловых отношений с конкурирующими предприятиями; сведения об условиях конфиденциальности, из которых можно установить порядок соглашения и другие обязательства организации с клиентами; сведения о методах расчета, структуре, уровне реальных цен на услуги и размеры скидок; сведения о порядке и состоянии организации защиты коммерческой тайны, о порядке и состоянии организации охраны, системы сигнализации, пропускном режиме[19]),
- персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника[20]).
· защищаемая от утраты общедоступная информация:
- документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)
- информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки)
· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
· средства защиты информации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система сигнализации, антижучки и др.)
· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов)
Предметом защиты информации в адвокатской конторе являются носители информации, на которых зафиксированы, отображены защищаемые сведения [4, с.311]:
· Личные дела клиентов в бумажном и электронном (база данных клиентов) виде;
· Личные дела работников в бумажном и электронном (база данных работников) виде;
· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
Внешние факторы:
· деятельность конкурентных юридических фирм, направленная против интересов фирмы «Юстина»;
· деятельность правоохранительных органов власти, направленная на удовлетворение собственных интересов и не учитывающая при этом интересы адвокатской фирмы (обыски адвокатов без предварительного получения решения суда; изъятие в ходе обысков документов, содержащих конфиденциальную информацию; формальный подход судей при вынесении решений о проведении обыска у адвоката; обыск в помещениях занимаемых адвокатом в отсутствие адвоката; незаконный досмотр адвокатского производства адвокатов как один из способов незаконного доступа к адвокатской тайне) [8, 14];
· недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика (например, несостыковка пунктов Уголовно-процессуального кодекса Российской Федерации и закона «Об адвокатской деятельности и адвокатуре в Российской Федерации», закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», предписывающий адвокатам выполнять роль секретных сотрудников правоохранительных органов) [8, 14, 21].
Внутренние факторы:
· недостаточное внимание к обеспечению защиты информации со стороны руководства (в адвокатской фирме нет отдельной службы защиты информации);
· довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
· недостаточное финансирование мероприятий по обеспечению информационной безопасности предприятия;
· недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в адвокатской фирме (в данный момент в штате фирмы «Юстина» нет ни одного специалиста по защите информации).
4.4. Угрозы защищаемой информации в адвокатской конторе
Внешние угрозы:
· Конкуренты (адвокатские фирмы, являющиеся конкурентами «Юстине»);
· Административные органы (органы государственной власти);
· Преступники, хакеры.
Внутренние угрозы:
· Персонал;
· Администрация предприятия.
Классификация угроз:
1. По объектам:
1.1. Персонал;
1.2. Материальные ценности;
1.3. Финансовые ценности.
2. По ущербу:
2.1. Материальный;
2.2. Моральный.
3. По величине ущерба:
3.1. Предельный (полное разорение);
3.2. Значительный (некоторая валового дохода);
3.3. Незначительный (потеря прибыли).
4. По отношению к объекту:
4.1. Внутренние;
4.2. Внешние.
5. По вероятности возникновения:
5.1. Весьма вероятные;
5.2. Вероятные;
5.3. Маловероятные.
6. По характеру воздействия:
6.1. Активные;
6.2. Пассивные.
7. По причине проявления:
7.1. Стихийные;
7.2. Преднамеренные.