Обеспечение информационной безопасности.

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации для авторизированных пользователей по мере необходимости.

В качестве стандартной модели информационной безопасности приводят модель из трёх категорий:

· конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

· целостность — избежание несанкционированной модификации информации;

· доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа;

Проблема создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современного ювелирного предприятия, является весьма актуальной. Информация уже рассматривается как товар, с ее помощью можно получить прибыль, а также понести убытки. Например, нарушение информационной безопасности предприятия привело к раскрытию оригинальной технологии изготовления изделий, на рынке появляется аналогичный товар, но от другого производителя, что влечет за собой потерю части рынка (прибыли) владельцем технологии. Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных.

Методы обеспечения информационной безопасности:

· законодательные;

· административные;

· инженерно-технические.

Законодательные (правовые) методы защиты информации определяют, кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и многие другие. Такие законы описывают, кто и при каких условиях имеет, а кто не имеет права доступа к определенной информации.

· "Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895);

· Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации";

· Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" Статья 6.1. Права обладателя информации, составляющей коммерческую тайну.;

· "Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.;

· "Гражданский кодекс Российской Федерации (часть четвертая)" от 18.12.2006 N 230-ФЗ (ред. от 03.07.2016) Статья 1255. Авторские права;

Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь декларируют эти правила вместе с мерой ответственности за их нарушение. Опираясь на государственные правовые акты (Международные договоры РФ; Конституция РФ; Законы федерального уровня; Указы Президента РФ; Постановления Правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.), нормативно-методические документы (Доктрина информационной безопасности РФ; Руководящие документы ФСТЭК (ГосТехКомиссии России); Приказы ФСБ) и стандарты информационной безопасности (Международные стандарты; Государственные (национальные) стандарты РФ; Рекомендации по стандартизации; Методические указания) организации разрабатывают собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.

 

К таким документам относятся:

· Политика информационной безопасности;

· Положение о коммерческой тайне;

· Положение о защите персональных данных;

· Перечень сведений, составляющих конфиденциальную информацию;

· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

· Положение о специальном делопроизводстве и документообороте;

· Обязательство сотрудника о сохранении конфиденциальной информации;

· Памятка сотруднику о сохранении коммерческой тайны;

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе.

Административные методы заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Контроль над соблюдением установленного порядка возлагается на специально обученный персонал. Каждая организация самостоятельно разрабатывает и внедряет административные методы. Административные методы защиты зачастую совмещаются с законодательными и могут устанавливать ответственность за попытки нарушения установленных процедур доступа.

К ним можно отнести:

· средства защиты от несанкционированного доступа (Средства авторизации; Мандатное управление доступом; Избирательное управление доступом; Управление доступом на основе ролей; Аудит);

· создание защищенного документооборота;

· обеспечение охранной безопасности предприятия.

Инженерно-технические методы защиты (ИТЗ) – это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

· Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

· Аппаратные средства (приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации). Основная задача аппаратных средств – обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

· Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

· Криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Применение данных методов при обеспечении информационной безопасности ювелирного предприятия позволит организовать бесперебойную работу с минимальными рисками утечки конфиденциальной информации.