Смекни!
smekni.com

Теория и методология защиты информации в адвокатской конторе (стр. 5 из 12)

Таким образом, я могу сделать вывод, что полученная информация не только поможет определиться с целями и задачами создания службы защиты информации, но и усовершенствовать уже имеющуюся службу защиты информации и спланировать дальнейшие мероприятия по защите конфиденциальной и общедоступной информации в адвокатской конторе «Юстина».


3. Рекомендации

I. Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (СлЗИ).

1. Руководитель предприятия своим приказом должен назначить начальника службы защиты информации во главе группы компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.

2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов должен сформировать предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».

3. Руководитель группы на основе этого списка должен определить и представить на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием различных тайн).

4. Необходимы анализ существующих мер защиты соответствующих объектов, определение степени их недостаточности, неэффективности, физического и морального износа.

5. Необходимо изучение зафиксированных случаев попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.

6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов должна выявить возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.

7. На основе собранных данных необходимо оценить возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например — для служебного пользования, конфиденциально, строго конфиденциально.

8. Необходимо определить сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.

9. Группе необходимо подготовить введение указанных мер защиты.

Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

В адвокатской фирме «Юстина» целесообразно организовать Службу защиты информации в следующем составе:

- Руководитель СлЗИ;

- сотрудник, занимающийся программно-аппаратной защитой;

- сотрудник, занимающийся инженерно-технической защитой.

Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря).

Для работы СлЗИ необходимо подготовить ряд нормативных документов:

- Положение о СлЗИ;

- Инструкцию по безопасности конфиденциальной информации.

- Перечень сведений, составляющих конфиденциальную информацию.

- Инструкцию по работе с конфиденциальной информацией.

- Должностные инструкции сотрудников СлЗИ.

- Инструкцию по обеспечению пропускного режима в компании.

- Памятку работнику (служащему) о сохранении конфиденциальной информации.

II. Внести дополнения в Устав предприятия для документационного обеспечения защиты: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Фирма имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов». А также необходимо проставить грифы конфиденциальности:

- Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

- Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о клиентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).

- Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.

III. Необходимо дополнить технические средства защиты информации, а именно установить средства, защищающие от прослушивания телефонных переговоров, т.к. бывают случаи, когда клиенту нужна экстренная юридическая помощь или он находится в таком нервном состоянии, что может наговорить по телефону такие вещи, которые конкуренты могут использовать против него. К этому адвокатская фирма «Юстина» не готова. Поэтому некоторые юридические дела проигрываются из-за того, что противник имеет более современные средства перехвата необходимой информации для принятия соответствующих мер. Особенно это касается сложных и запутанных уголовных дел, а также связанных с собственностью большой стоимости.

IV. Периодически проводить тренинги с сотрудниками, на которых им объясняется важность защиты конфиденциальной информации в адвокатской фирме. А также ознакомить всех сотрудников с главой 28 Уголовного кодекса Российской Федерации «Преступления в сфере компьютерной информации».

V. Зафиксировать предложенные рекомендации, разработав пакет документов, включающий в себя:

- Положение о конфиденциальной информации предприятия;

- Инструкцию по защите конфиденциальной информации в информационной системе предприятия;

- Предложения по внесению изменений в Устав предприятия;

- Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;

- Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;

- Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;

- Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);

- Предложения о внесении изменений в должностное (штатное) расписание предприятия (штат Службы защиты информации);

- Предложения о внесении дополнений в должностные инструкции всему персоналу;

- Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;

- План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;

- Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);

- Предложения о внесении дополнений в стандартный договор с контрагентами.

4. Информационно-аналитический обзор

План

4.1. Цели и задачи защиты информации в адвокатской конторе

4.2. Объекты и предметы защиты в адвокатской конторе

4.3. Факторы, влияющие на защиту информации в адвокатской конторе

4.4. Угрозы защищаемой информации в адвокатской конторе

4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе

4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе

4.8. Основные направления, методы и средства защиты информации в адвокатской конторе

4.9. Организация комплексной системы защиты информации в адвокатской конторе

4.1. Цели и задачи защиты информации в адвокатской конторе

Целями защиты информации предприятия являются:

· предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);