Методи  захисту ділової  інформації 
 
 
 

 

      

Зміст

Вступ 3

Система захисту цінної інформації і конфіденційних документів. 5

Висновок 10

Використана література 12 
 
 

 

Вступ

 

     Власною або приватною інформацією будь-якого підприємницького суб’єкту є та, що використовується ним у бізнесі та управлінні підприємством, банком, компанією чи іншою структурою. Ця інформація є його інтелектуальною власністю та являє собою істотну цінність для підприємця. Звичайно виділяють два види власної інформації: технічна, технологічна: методи виготовлення продукції, програмне забезпечення, основні виробничі показники, хімічні формули, рецепти, результати випробувань дослідних зразків, дані контролю якості й ті; ділова: корисні показники, результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку і т .і.

     Власна  інформація підприємця з метою її захисту може бути віднесена до комерційної  таємниці та є конфіденційною при  дотриманні таких умов: інформація не повинна відображати негативні  сторони діяльності фірми, порушення  законодавства та інші подібні факти; інформація не повинна бути загальнодоступною  чи загальновідомою; виникнення чи отримання  інформації повинно бути законним і  пов'язано з витрачанням матеріального, фінансового чи інтелектуального потенціалу фірми; персонал фірми повинен знати  про цінність такої інформації та навчений правилам роботи з нею; підприємцем  повинні бути виконані дії по захисту  цієї інформації.

     Для документування інформації підприємця, яка є результатом творчої  інтелектуальної праці в науці  та виробництві, найбільш характерні не текстові, а зображувальні способи. Досить часто конфіденційна інформація документується фотографічними, відеографічними  та іншими способами. Цінність інформації може бути кошторисною категорією і  відображати конкретний розмір прибутку при її використанні чи розмір збитків  при її втраті. Інформація стає часто  цінною через її правове значення для організації чи розвитку бізнесу, наприклад, установчі документи, програми та плани, договори з партнерами та посередниками і т. і.

     Цінність  може відображати її перспективне, наукове, технічне чи технологічне значення. Отже, власна цінна інформація підприємця не обов'язково є конфіденційною. Цінну  конфіденційну ділову інформацію, як правило, містять: плани розвитку виробництва; ділові плани; плани маркетингу, бізнес-плани; списки власників акцій та інші документи.

     Комерційна  цінність інформації, як правило, недовготривала і визначається часом, необхідним конкуренту для створення тієї ж ідеї чи її викрадення та відтворення, опублікування  та переходу до числа загальновідомих. Степінь цінності інформації та необхідна  надійність її захисту знаходяться в прямій залежності.

     Виявлення та регламентація реального складу інформації, що представляє цінність дня підприємця і належить захисту, є основоположною частиною системи  захисту. Склад цінної інформації визначається її власником і фіксується в спеціальному переліку. Перелік цінних відомостей, що складають таємницю фірми, є постійним  робочим матеріалом керівництва  фірми, служб безпеки та конфіденційної документації. Він регулярно оновлюється, коректується та являє собою інвентарний  список відомостей про конкретні  роботи, конкретну продукцію, конкретні  дослідження, конкретні контракти  і т.і.

     Під конфіденційним (закритим) документом, тобто документом, до якого обмежений  доступ персоналу, треба розуміти необхідним чином оформлений носій цінної ділової інформації, яка складає інтелектуальну власність підприємця.

 

     Система захисту цінної інформації і конфіденційних документів.

 

     Система захисту інформації (СЗІ) представляє собою комплекс організаційних, технічних і технологічних засобів, методів і мір, які перешкоджають несанкціонованому (незаконному) доступу до інформації. Власник інформації особисто визначає не тільки склад цінної інформації, яка належить захисту, але й відповідні способи та засоби захисту. Одночасно ним розробляються міри матеріального і морального стимулювання співробітників, які дотримуються порядку захисту цінної інформації, і міри відповідальності персоналу за розголошення таємниці фірми.

     Система захисту інформації повинна бути багаторівневою з ієрархічним доступом до інформації, гранично конкретизованою  і прив'язаною до специфіки фірми  по структурі методів та засобів  захисту, що використовуються, відкритою  для регулярного оновлення, надійної як в звичайних, так і в екстремальних  ситуаціях. Вона не повинна створювати співробітникам фірми серйозні незручності  в роботі. Комплексність системи  захисту досягається її формуванням  з різних елементів - правових, організаційних, технічних та програмно-математичних. Співвідношення елементів та їх зміст  забезпечують індивідуальність системи  захисту інформації фірми і гарантують її неповторність та трудність подолання.

     Співвідношення  елементів системи, їх склад та взаємозв'язок відображають, визначають не тільки її індивідуальність, але й конкретний заданий рівень захисту з врахуванням  цінності інформації та вартості подібної системи.

     Елемент правового захисту  інформації передбачає: наявність в засновницькій та організаційних документах фірми, контрактах, що укладаються із співробітниками, і в посадових інструкціях положень та зобов'язань по захисту відомостей, що складають таємницю фірми і її партнерів, формулювання і доведення до відома всіх співробітників фірми механізму правової відповідальності за розголошення конфіденційних відомостей. В правовий елемент системи захисту може також включатись страхування цінної інформації від різних ризиків.

     Елемент організаційного  захисту включає  в себе: формування і регламентацію діяльності служби безпеки фірми, забезпечення цієї служби нормативно-методичними документами по організації і технології захисту інформації; регламентацію та регулярне оновлення переліку (списку) цінної, конфіденційної інформації, яка підлягає захисту, складання і ведення переліку конфіденційних документів фірми; регламентацію системи (ієрархічної схеми) обмеження доступу персоналу до конфіденційної інформації; регламентацію технології захисту і обробки конфіденційних документів фірми; побудова захищеного традиційного або безпаперового документообігу; побудова технології документування цінної інформації, складання, оформлення, виготовлення і видавництва конфіденційних документів; побудова технологічної системи обробки і збереження конфіденційних; документів; організацію архівного зберігання конфіденційних документів; регламентацію захисту цінної інформації фірми від несанкціонованих дій персоналу; порядок і правила роботи персоналу з конфіденційними документами і інформацією, контроль за виконанням всіма співробітниками цього порядку і правил; відбір персоналу для роботи з конфіденційною інформацією, навчання та інструктування співробітників; порядок захисту інформації при веденні переговорів, проведенні нарад по конфіденційним питанням, прийомі відвідувачів, здійснення рекламної, виставочної та іншої діяльності; регламентацію аналітичної роботи по виявленню загроз цінній інформації фірми і каналів витоку інформації; обладнання і атестацію приміщень і робочих зон, виділених для здійснення конфіденційної діяльності, ліцензування технічних систем і засобів захисту інформації та охорони; регламентацію пропускного режиму на території, в будівлях і приміщеннях фірми, ідентифікацію персоналу та вантажу; регламентацію системи охорони території, будівлі, приміщень, обладнання, грошових засобів, транспорту і персоналу фірми; регламентацію організаційних питань експлуатації технічних засобів захисту інформації і охорони; регламентацію дій служби безпеки і персоналу в екстремальних ситуаціях; регламентацію роботи по управлінню системою захисту інформації фірми.

     Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі  інші елементи. Центральною проблемою  при розробці методів організаційного  захисту інформації є формування дозвільної (обмежувальної) систем і  доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає. Дозвільна система доступу вирішує наступні задачі: забезпечення співробітників всіма необхідними для роботи документами і інформацією; обмеження кола осіб, які допускаються до конфіденційних документів; виключення несанкціонованого ознайомлення з документу.

     Ієрархічна  послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність  співробітників можуть їх знати". У  відповідності з цією послідовністю  визначається необхідний ступінь посилення  захисних мір, структура рубежів (ешелонів) захисту інформації. Доступ співробітника  до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і  видається керівником в письмовому вигляді: наказом, що затверджує схему  посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обкладинці справи ознайомлення з документом.

     Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У  зв'язку з цим часто використовується єдина назва двох розглянутих  вище елементів системи захисту - елемент організаційно-правового  захисту інформації.

     Елемент технічного захисту  включає: засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди); засоби протипожежної охорони; засоби виявлення приладів і пристроїв технічної розвідки.

     Елемент програмно-математичного  захисту інформації включає: регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту; регламентацію спеціальних засобів і продуктів програмного захисту; регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою.

     Головним  напрямом захисту ділової інформації (документів) від всіх видів загроз є формування захищеного документообігу і використання в обробці і  зберіганні, документів технологічної  системи, що забезпечує безпеку інформації на будь-якому типу носія.

     За  рахунок цього досягається можливість контролю конфіденційної інформації в її джерелах і каналах розповсюдження. Окрім загальних для документообігу принципів захищений документообіг базується на ряді додаткових принципів: персональної відповідальності співробітників за збереження носія і таємницю інформації; обмеженні ділової необхідності доступу персоналу до документів, справ і базам даних; операційному обліку документів і контролю за їх збереженням у процесі руху, розгляду, виконання і використання; жорсткій регламентації порядку роботи з документами, справами і базами даних для всіх категорій персоналу.

     В великих підприємницьких структурах з великим об'ємом документів в  потоках захищеність документообігу досягається за рахунок: формування самостійних, ізольованих потоків конфіденційних (грифованих) документів і, часто, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційних документів, ізольованої від системи обробки інших документів; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки, аналітичної служби фірми.

 

    

Висновок

 

     Отже, будь-яка підприємницька діяльність завжди пов'язана із створенням, використання та зберіганням значних об'ємів інформації та документів, що представляють певну  цінність для фірми які належать обов'язковому захисту від різного  виду погроз. З цією метою на носії  інформації позначається гриф обмеження  доступу, який відносить цей носій  до категорії захищених конфіденційних документів і ініціює включення  по відношенню до нього системи захисних мір.

     Контроль  джерел і каналів розповсюдження конфіденційної інформації дозволяє визначити  наявність і характеристику загроз інформації, виробити структуру системи  захисту інформації, яка надійно  перекриє доступ зловмиснику до цінної інформації фірми.