2. Лекции по теории информационной безопасности и методологии защиты информации, прочитанные Рагозиным Андреем Николаевичом.
5.2.3. Оценка надежности использованных источников
1.Надежный источник (4, 6-9, 14, 17-22, первичные – 2) – 48%
2.Обычно надежный источник (2, 12) – 7%
3.Довольно надежный источник (1, 3, 5, 10-11, 15-16, 23-25, первичные – 1)– 41%
4.Не всегда надежный источник (13) – 4%
5.Ненадежный источник – 0%
6.Источник неустановленной надежности – 0%
Для подтверждения окончательной гипотезы и принятия правильного решения мне необходима была следующая информация: Положение о конфиденциальной информации предприятия; Инструкция по защите конфиденциальной информации в информационной системе предприятия; трудовой договор, соглашение о неразглашении конфиденциальной информации предприятия с сотрудником и обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении. На основе этих документов я смогла бы сделать вывод о степени защищенности конфиденциальной информации и избежать рекомендаций, которые уже сейчас выполняются в адвокатской фирме «Юстина» (а именно: я рекомендовала подготовить некоторые из этих документов, считая, что они отсутствуют в организации). Но эти документы, относящиеся к безопасности, являются коммерческой тайной организации, поэтому мне не удалось с ними ознакомиться.
Сведения о наличии пропускного режима мне удалось найти, но о порядке его проведения и состоянии организации охраны мне ничего не известно, т.к. это тоже коммерческая тайна организации. А между тем эта информация позволила бы мне сделать вывод о том, достаточно ли строги эти меры.
Таким образом, вся недостающая мне информация не была мною получена в связи с тем, что относится к информации ограниченного доступа.
7. Основная и альтернативная гипотезы
Не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты конфиденциальной информации для обеспечения его информационной безопасности. Из числа тех, кто осознает такую необходимость, есть те, которые не знают, что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.
Однако известно, что только «комплексная система может гарантировать достижение максимальной эффективности защиты информации, т.к. системность обеспечивает необходимые составляющие защиты и устанавливает между ними логическую и технологическую связь, а комплексность, требующая полноты этих составляющих, всеохватности защиты, обеспечивает ее надежность» [2].
Основываясь на этих фактах, в начале работы я сформулировала основную и альтернативную гипотезу. Моя основная гипотеза – в адвокатской фирме «Юстина» не уделяется должное внимание системе защиты конфиденциальной информации, т.е. используются только некоторые технические средства защиты информации (биометрические турникеты, система видеонаблюдения, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика и др.).
И альтернативная гипотеза: в адвокатской фирме «Юстина» создана идеальная система защиты информации, обеспечивающая комплексную безопасность информации фирмы.
Гипотезу об отсутствии системы защиты информации я рассматривать не стала, т.к. «Юстина» довольно крупная, известная и далеко не молодая фирма. Также сведения об информационной системе не дают возможности выдвинуть эту гипотезу.
В ходе подготовки информационно-аналитического обзора я поняла, что система защиты конфиденциальной информации далеко не идеальна, т.к. в такой фирме просто необходимо существование собственной службы защиты информации, а ее до сих пор нет. Однако мне не удалось ознакомиться с некоторыми документами, которые позволили бы сделать вывод об объективном состоянии защиты информации в «Юстине». Скорее всего, положение о конфиденциальной информации предприятия, инструкция по её защите, соглашение о неразглашении конфиденциальной информации предприятия с сотрудником и обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении в фирме есть. Однако это не все необходимые документы и, кроме того, как видно из характеристики информационной системы фирмы технических средств не достаточно для обеспечения должной информационной безопасности. Поэтому я склоняюсь к правильности моей основной гипотезы.