Файл: Методика защиты информации в системах электронного документооборота (1. Построение защищенного электронного документооборота на предприятии).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 04.07.2023

Просмотров: 1230

Скачиваний: 50

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1. Построение защищенного электронного документооборота на предприятии

1.1 Построение модели угроз электронного документооборота предприятия

1.2 Классификация средств и методов защиты электронного документооборота предприятия на основе угроз

1.3 Постановка цели защиты электронного документооборота предприятия

2. Описание исследуемого объекта

2.1 Краткая характеристика ООО «Торговый дом «Демидовский»

2.2 Анализ документов, регулирующих защиту электронного документооборота

2.3 Анализ системы защиты конфиденциальной информации

3. Анализ документооборота организации

3.1 Структурирование защищаемой информации на объекте

3.2 Оценка рисков информационных угроз безопасности защищённого документооборота

3.3 Оценка общего информационного риска в организации

3.4 Организационно-правовые мероприятия

3.5 Инженерно-технические средства защиты

3.6 Программно-аппаратные средства защиты

3.7 Этапы обработки документов

3.8 Система электронного документооборота «Дело»

Заключение

Список использованной литературы

Отдел по работе с клиентами

Основными задачами сотрудников отдела по работе с клиентами являются:

выполнение плана продаж;

анализ и систематизация клиентской базы;

контроль состояния дебиторской и кредиторской задолженностей клиентов;

разрешение конфликтных ситуации с клиентами;

консультации потенциальных покупателей.

В состав отдела входят десять человек, включая начальника отдела.

Приёмная директора предприятия

Единственным сотрудником приемной директора является секретарь, в обязанности которого входит:

осуществление работы по организационно-техническому обеспечению административно-распорядительной деятельности руководителя;

приём поступающей на рассмотрение руководителя корреспонденции, передача ее в соответствии с принятым решением в структурные подразделения или конкретным исполнителем для использования в процессе работы либо подготовки ответов;

ведение делопроизводства, выполнение различных операций с применением компьютерной техники, предназначенной для сбора, обработки и представления информации при подготовке и принятии решений;

приём документов и личных заявлений на подпись руководителя;

подготовка документов и материалов, необходимых для работы руководителя;

по поручению руководителя составление писем, запросов, других документов, подготовка ответов авторам писем.

2.2 Анализ документов, регулирующих защиту электронного документооборота

В соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года, конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Перечень конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему времени принят ряд законодательных актов, в которых регулируются отношения, связанные с различными видами конфиденциальной информации:

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;


Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»;

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

В статье 5 Федерального закона «Об информации, информационных технологиях и защите информации» даётся классификация информации в зависимости от порядка её распространения, Законодатель разделяет информацию на следующие группы:

информацию, свободно распространяемую;

информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информацию, распространение которой в Российской Федерации ограничивается или запрещается.

В статье 9 говориться, что Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Ниже будут рассмотрены упомянутые законы.

Коммерческая тайна в соответствии с законом «О коммерческой тайне» определена как конфиденциальность информации. Данная конфиденциальность дает возможность обладателю коммерческой тайны получить при равных возможностях экономическую выгоду в виде сохранения на рынке, в виде увеличения доходов и сокращения расходов. Содержание коммерческой тайны – это экономическая, в том числе финансовая, научно-техническая, в том числе «ноу-хау», и производственная информация.

Чтобы вышеуказанная информация получила статус коммерческой тайны, в отношении этой информации обладателем должен быть введен режим коммерческой тайны. Кроме того, эта информация должна иметь действительную или потенциальную коммерческую ценность в силу того, она неизвестна никому, кроме ее обладателя. Также не должно быть свободного доступа к этой информации.

Режим коммерческой тайны определен в законе как меры, которые предпринимает ее обладатель для охраны ее конфиденциальности. Эти меры носят правовой, организационный, технический и иной характер.

В статье 4 закона содержится норма о том, кому принадлежит право решать, относится или нет информация к коммерческой тайне. Данное право принадлежит обладателю такой информации с учетом положения данного Закона.

Весьма важна для понимания совокупности норм закона статья 5, закрепляющая состав сведений, которые не могут составлять коммерческую тайну. Перечислим сведения, которые не могут составлять коммерческую тайну:


содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

о загрязнении окружающей среды, состоянии безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

обязательность раскрытия или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Права обладателей коммерческой тайны закреплены в ст.7 Закона. Данные права приобретаются владельцем с момента установления режима коммерческой тайны для той или иной информации. Обладатель имеет следующие права:

устанавливать, изменять и отменять режим коммерческой тайны;

использовать информацию, составляющую коммерческую тайну, для собственных нужд;

разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;

вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;


требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;

требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Ст.10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:

разработка перечня информации, относящейся к коммерческой тайне;

ограничение и регламентирование доступа к носителям информации;

определение круга лиц, имеющих права доступа к информации;

разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;

нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).

После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

Кроме того, обладатель информации, признанной коммерческой тайной, вправе применить разрешенные, не противоречащие закону, методы и средства технической защиты носителей конфиденциальной информации.

Ст.11 Закона посвящена охране конфиденциальной информации в рамках трудовых правоотношений. Здесь работодатель для охраны коммерческой тайны обязан:

составить перечень информации, составляющей коммерческую тайну;

ознакомить с указанным перечнем под роспись всех сотрудников, доступ к коммерческой тайне которых необходим по долгу службы;

ознакомить под роспись сотрудников с режимом коммерческой тайны и мерой ответственности за его нарушение;

обеспечить условия для соблюдения режима коммерческой тайны на рабочих местах.

Получение работником сведений, составляющих коммерческую тайну, осуществляется только с его согласия, за исключением случая, когда получение таких сведений прямо предусмотрено его трудовыми обязанностями. В случае незаконного установления режима коммерческой тайны относительно информации, к которой работник получил доступ при исполнении им своих трудовых обязанностей, он может обжаловать это в суде.


Для защиты конфиденциальности информации работник должен придерживаться следующих правил. Он обязуется:

выполнять установленный в организации режим коммерческой тайны;

не разглашать сведения, составляющие коммерческую тайну, и не использовать без согласия работодателя и его контрагентов эти сведения в личных целях;

вернуть все имеющиеся у него документы, содержащие информацию, составляющую коммерческую тайну;

не разглашать вышеуказанные сведения после окончания трудового договора. Если между работником и работодателем было заключено соглашение о неразглашении коммерческой тайны с указанием срока такого неразглашения, то работник обязан хранить молчание по поводу коммерческой тайны в течение этого срока. Если данное соглашение не заключалось, то в течение трех лет с момента прекращения трудового договора.

При разглашении коммерческой тайны работник обязан возместить причиненный работодателю ущерб.

Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Рассмотрим положения данного Закона, касающиеся трудовых правоотношений.

К персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.

Одной из важнейших норм Закона является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т.е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.