Статья «Информационная безопасность компании» Вопрос: «Что такое информационная безопасность компании?» Ответ: Информационная безопасность компании – это состояние защищенности информационных ресурсов компании, она достигается деятельностью руководства и СБ по защите информации. Общие положения по информационной безопасности Источниками конфиденциальной информации считаются: - люди (сотрудники, клиенты, посетители, обслуживающий персонал); документы материальные и представленные в электронном виде; технические средства носителей информации и их обработки; выпускаемая продукция; производственные и промышленные отходы и т.д. Защита конфиденциальной информации направлена на предотвращение: - несанкционированного доступа к информации; искажения информации; утери информации. Наиболее опасные последствия для компании возникают при получении несанкционированного доступа к конфиденциальной информации, которые могут проявляться в следующем: - разрыв деловых отношений с партнерами; срыв переговоров при заключении выгодного контракта; отказ от коммерческих решений, ставших неэффективными в результате получения информации конкурентами; создание трудностей в снабжении, производстве и сбыте продукции; необходимость проведения новых маркетинговых исследований. К числу наиболее вероятных сценариев получения несанкционированного доступа к конфиденциальной информации относятся следующие: - совместная деятельность с другими компаниями; проведение переговоров; посещение компании; реклама, публикация в печати, интервью для прессы; консультация специалистов со стороны, получающих доступ к документации и производственной деятельности компании; фиктивные запросы о возможности работы с компанией, заключение с ней сделок; рассылка отдельным сотрудникам компании различных анкет и вопросников под маркой научных или маркетинговых исследований; частные беседы с сотрудниками компании, навязывание им незапланированных дискуссий по тем или иным проблемам. Защита конфиденциальной комплекса мер: - информации предполагает применение правовые меры; меры, связанные с кадровой работой; меры, направленные на создание конфиденциального делопроизводства; следующего 2 - режимные мероприятия; организационные мероприятия; мероприятия по инженерно-технической защите; мероприятия по применению технических средств защиты информации. Вопрос: «Какие правовые основы защиты информации в компании?» Ответ: Информационные ресурсы делятся: - общедоступная информация (регламентируется различными нормативно-правовыми актами РФ о средствах массовой информации); - информация с ограниченным доступом: - государственная тайна; - конфиденциальная информация К конфиденциальной информации относится: - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; - сведения, составляющие тайну следствия и судопроизводства; - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна); - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.); - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна); - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Современное законодательство РФ содержит следующие термины, характеризующие разновидности конфиденциальной информации: - тайна следствия; тайна судопроизводства; тайна мер безопасности участников уголовного процесса; тайна мер безопасности, применяемых в отношении правоохранительных или контролирующих органов; тайна частной жизни граждан; семейная и личная тайна; налоговая тайна; профессиональная тайна; адвокатская тайна; нотариальная тайна; медицинская тайна; должностных лиц 3 - - тайна усыновления (удочерения); тайна связи (тайна переписки, тайна телефонных переговоров, тайна почтовых сообщений, тайна телеграфных сообщений); журналистская тайна; тайна записей актов гражданского состояния; тайна завещания; врачебная тайна; служебная тайна; коммерческая тайна; тайна изобретения, полезной модели, промышленного образца; тайна селекционного достижения; тайна научного опыта и тайна торгового процесса; банковская тайна, тайна банковского счета, тайна операций по счету и тайна сведений о клиенте; тайна сведений о выгодоприобретателях, тайна сведений о состоянии здоровья выгодоприобретателей, тайна об имущественном положении выгодоприобретателей; тайна страхования (тайна сведений о страхователе, тайна сведений о состоянии здоровья страхователя, тайна сведений об имущественном положении страхователя, тайна сведений о застрахованном лице, тайна сведений о состоянии здоровья застрахованного лица, тайна сведений об имущественном положении застрахованного лица); инсайдерская тайна; тайна исповеди. ФЗ "Об информации, информационных технологиях и защите информации", принятый 27 июля 2006 года установил: - что такое информация – это сведения (сообщения, данные) независимо от формы их представления (нет привязки к материальным носителям); - свободу поиска, получения, передачи, производства и распространения информации любым законным способом т.е. граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований федеральных законов; - ограничения доступа к информации только федеральными законами, а так же обязательность соблюдения конфиденциальности информации, доступ к которой ограничен федеральными законами; - какая информация предоставляется бесплатно (о деятельности затрагивающая права и обязанности заинтересованного лица и т.д.); - к какой информации не может быть ограничен доступ (нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления, информации о состоянии окружающей среды, информации, накапливаемой в открытых фондах и т.д.); - неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица); - информация может являться объектом публичных, гражданских и иных правовых отношений; госорганов, 4 - информация в зависимости от порядка ее предоставления или распространения подразделяется на: - информацию, свободно распространяемую; - информацию, предоставляемую соответствующих отношениях; - информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; - информацию, распространение которой в Российской Федерации ограничивается или запрещается. по соглашению лиц, участвующих в - обладателем информации (лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать доступ к информации) может быть физическое лицо, юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование; - обладатель информации вправе: - - разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; - использовать информацию, в том числе распространять ее, по своему усмотрению; - передавать информацию другим лицам по договору или на ином установленном законом основании; - защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; - осуществлять иные действия с информацией или разрешать осуществление таких действий. обладатель информации при осуществлении своих прав обязан: - соблюдать права и законные интересы иных лиц; - принимать меры по защите информации; - ограничивать доступ к информации, если такая обязанность установлена федеральными законами. - в случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством; - электронное сообщение, подписанное электронной цифровой подписью, признается электронным документом, равнозначным документу, подписанному собственноручной подписью; - в целях заключения гражданско-правовых договоров обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, рассматривается как обмен документами; - возможность формировать информационные системы, при этом оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств. Права обладателя 5 информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных; - - - защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: - обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; - соблюдение конфиденциальности информации ограниченного доступа, - реализацию права на доступ к информации. обладатель информации, оператор информационной установленных законодательством РФ, обязаны обеспечить: системы в случаях, - предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; - своевременное информации; - предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; - недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; - возможность незамедлительного модифицированной или уничтоженной доступа к ней; - постоянный контроль за обеспечением уровня защищенности информации. обнаружение фактов несанкционированного доступа к восстановления информации, вследствие несанкционированного лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.