Основные методы защиты информации

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 2. Классификация  основных методов криптографического закрытия

 

 

3. Контроль защиты информации

 

С целью взаимопонимания между руководством фирмы и работником всех рангов, а также службе безопасности для защиты конфиденциальной информации следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основные  формы контроля:

1. аттестация работников;
2. отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
3. регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
4. самоконтроль.

При работе с персоналом фирмы необходимо уделять внимание не только сотрудникам, работающим с конфиденциальной информацией. Под контролем должны находиться и лица, не имеющие доступа к секретам фирмы. Также необходимо учитывать, что эти работники могут быть посредниками в действиях злоумышленника.

Кроме того, нужно всегда помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Необходимо сделать так, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым  из руководителей или работников требований по защите информации к ним обязательно должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Очень важно, чтобы наказание было обязательным и своевременным, не взирая на должнос тной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно  с виновным лицом ответственность  за разглашение сведений, являющихся секретами фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

По фактам разглашения или утечки конфиденциальной информации, а также другим грубым нарушениям правил защиты информации организуется служебное расследование.

Данное расследование проводит специальная комиссия, которая формируется приказом первого руководителя фирмы. Расследование необходимо для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба.

План  проведения служебного расследования:

1. определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разгла шение и т.д.);
2. определение конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);
3. назначение ответственных лиц за проведение каждого мероприятия;
4. указание сроков проведения мероприятия;
5. определение порядка документирования;
6. обобщение и анализ выполненных  действий по всем мероприятиям;
7. установление причин утраты информации, виновных лиц, вида и объема ущерба;
8. передача материалов служебного расследования с заключительными вывода ми первому руководителю фирмы для принятия решения.²³

При проведении служебного расследования все мероприятия  в обязательном порядке документируются с целью последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

1. письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;
2. акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;
3. другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

           Служебное расследование проводится в очень краткие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в нем очень подробно описы вается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.²⁴

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Ответственность за нарушение правил работы с персональными данными

 

Статья 90 ТК РФ предусматривает ответственность  за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может  нести дисциплинарную, административную, гражданско-правовую и уголовную  ответственность.

Уголовная ответственность - статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Ответственность по ч. 1 ст. 137 УК несет любое физическое лицо, достигшее 16 лет (общий субъект), а по ч. 2 ст. 137 УК - должностное лицо, либо служащий государственного или муниципального учреждения, который использует для совершения преступления свое служебное положение.

Если работник отдела кадров или руководитель допустили ситуацию, когда информация о работнике стала известна другим, ненамеренно? Тогда к ним могут применяться меры административной и дисциплинарной ответственности.

 Административная  ответственность – это административные штрафы. Нарушение правил работы с персональными данными может повлечь за собой административную ответственность работодателя или работников отделов кадров. Кодекс РФ об административных правонарушениях содержит по этому поводу две статьи.

Статья 13.11 предусматривает ответственность  в виде предупреждения или наложения  штрафа на работодателя в размере  от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового кодекса РФ и локальными нормативными актами предприятия.²⁵

Так как  персональные данные – это один из видов охраняемой законом тайны, то защита ее конфиденциальности предусмотрена статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф для него будет составлять от 40 до 50 МРОТ.

К административной ответственности может привлечь Рострудинспекция или суд.

Дисциплинарная  ответственность – это дисциплинарная ответственность работника отдела кадров. В отношении данного сотрудника работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Также кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (п.п. "в" п.6 ст.81).

Факт  нарушения правил работы с персональными  данными может быть установлен представителем работодателя (например, начальником  отдела кадров), самим работником или  специалистом Рострудинспекции.

Работники и  их представители имеют право  осуществлять контроль над выполнением  требований по защите конфиденциальности этой категории информации, запрещать  или приостанавливать обработку  персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и  защите персональных данных работник вправе обжаловать в судебном порядке.

Таким образом, в настоящее время в мире существует достаточно много способов как украсть  конфиденциальную информацию и воспользоваться  в собственных интересах, так  и способов защитить конфиденциальную информацию от несанкционированного доступа  и сохранить ее неприкосновенность.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

 

Таким образом, рассмотрев способы и средства нарушения конфиденциальности информации в области персональных данных, а также методы ее защиты в информационных системах, можно сделать следующие выводы.

Личная  тайна граждан охраняется законом на самом высшем уровне. Необходимо учесть, что основная причина правонарушений в данных вопросах – это неграмотность работников отделов кадров. На очень многих предприятиях нет конкретных правил хранения персональных данных. Рострудинспекция при проведении проверок все же требует веские доказательства сохранности данных сведений.

Необходимо выделить, что существуют законы, в которых предусмотрены наказания за нарушения в вопросах охраны персональных данных работника. Но все таки в этих законах прописаны санкции, которые восстанавливают справедливость, но не снижают количество правонарушений.

Большое значение имеет то, как руководитель каждого предприятия относится к правам своих работников. Так как только администрация предприятия или организации может и должна контролировать соблюдение порядка по хранению и защите персональных данных своих работников.

 

 

 

 

 

 

 

 

 

 

 

 

Список использованных источников

 

            Нормативно-правовые акты

1. Российская Федерация. Законы. О персональных данных. [Текст]: федеральный закон: принят Государственной думой 8 июля 2006 года (в ред. Законов с дополнениями от 25 июля 2011 г. №261). – [5-изд.]. – М.: Ось-12, [2011]. – 54, [1] с.; 21 см. – (Актуальный закон). ISBN 5-67956-867-X
2. Приказ «трех». Федеральная служба по техническому и экспертному контролю №55; ФСБ РФ №86; МИТ и С РФ №20. Приказ №58 положение №781 от 13 февраля 2008 года с дополнениями 2011 г. «Об утверждении порядка проведения классификации информационных систем персональных данных» [текст]. С Комментариями. М.: ИНФОРМ, 2011.

 

   Учебная и научная литература

3. Аверьянов, А.А. Персональные данные граждан [Текст]: А.А.Аверьянов. - М.: ЮНИТИ, 2011. – 487 с.
4. Анин, Б.А. Защита компьютерной информации [Текст]: Б.А. Анин. - СПб.: БХВ-Петербург. 2011.- 384с.
5. Войтенко, М.Р. Методы защиты персональных данных [Текст]: М.Р. Войтенко. - М.: ЮРИСТ, 2010. – 324 с.
6. Дашков, Е.В. Теория информационной безопасности и методология защиты информации [Текст]: Е.В. Дашков. – М.: ИНФОРМ, 2011. – 521 с.
7. Жарков, В.П. Информационная безопасность [Текст]: В.П. Жарков. – М.: Преспетива, 2011. – 287 с.
8. Завгородний, В.И. Комплексная защита информации в компьютерных системах: учебное пособие [текст]. М.: Логос; ПБОЮЛ Н.А.Егоров, 2011. - 376 с.
9. Ловцов, Д.А. Контроль и защита информации в АСУ; в 2 кн. Кн.1. Вопросы теории и применения. М.: ВА им. Ф.Э. Дзержинского, 2010. - 587 с.
10. Яшкова, И.В. Комментарии к закону о персональных [текст]. М.: ЮНИТИ, 2011. – 436 с.

¹ Ловцов, Д.А. Контроль и защита информации в АСУ; в 2 кн. Кн.1. Вопросы теории и применения. М.: ВА им. Ф.Э. Дзержинского, 2010. С.147

² Российская Федерация. Законы. О персональных данных. [Текст]: федеральный закон: принят Государственной думой 8 июля 2006 года (в ред. Законов с дополнениями от 25 июля 2011 г. №261). – [5-изд.]. – М.: Ось-12, [2011]. – 54, [1] с.; 21 см. – (Актуальный закон). С.95

³Российская Федерация. Законы. О персональных данных. [Текст]: федеральный закон: принят Государственной думой 8 июля 2006 года (в ред. Законов с дополнениями от 25 июля 2011 г. №261). – [5-изд.]. – М.: Ось-12, [2011]. – 54, [1] с.; 21 см. – (Актуальный закон). С.67

⁴ Российская Федерация. Законы. О персональных данных. [Текст]: федеральный закон: принят Государственной думой 8 июля 2006 года (в ред. Законов с дополнениями от 25 июля 2011 г. №261). – [5-изд.]. – М.: Ось-12, [2011]. – 54, [1] с.; 21 см. – (Актуальный закон). С.64

⁵ Ловцов, Д.А. Контроль и защита информации в АСУ; в 2 кн. Кн.1. Вопросы теории и применения. М.: ВА им. Ф.Э. Дзержинского, 2010. С.186

⁶Анин, Б.А. Защита компьютерной информации [Текст]. - СПб.: БХВ-Петербург. 2011. С.98

⁷Аверьянов, А.А. Персональные данные граждан [текст]. - М.: ЮНИТИ, 2011. с.112

⁸Анин, Б.А. Защита компьютерной информации [Текст]. - СПб.: БХВ-Петербург. 2011. С.153

⁹ Аверьянов, А.А. Персональные данные граждан [текст]. - М.: ЮНИТИ, 2011. с.132

¹⁰ Жарков, В.П. Информационная безопасность [текст]. – М.: Преспетива, 2011. С.207

¹¹ Анин, Б.А. Защита компьютерной информации [Текст]. - СПб.: БХВ-Петербург. 2011. С.203