Курсовая работа: Защищенный документооборот ООО Группа компаний Мастер

Пензенский государственный университет

Институт информатики и вычислительной техники

Кафедра ИнОУП

КУрсовая работа

Защищенный документооборот

ООО Группа компаний «Мастер»

по дисциплине

«Информационная безопасность и защита информации»

ПОЯСНИТЕЛЬНА ЗАПИСКА

ПГУ 2.032001.111 ПЗ

Выполнил:

студент гр. 07ЗВД41

М.С. Парвадова

Принял:

к. т. н., доцент

А.В. Печерский

2010

Аннотация

Целью курсовой работы по дисциплине «Информационная безопасность и защита информации» является совершенствование документационного обеспечения в области защиты информации, а так же анализ информационной защиты ООО Группа компаний «Мастер» и разработка рекомендаций по совершенствованию защиты документационного обеспечения.

Защита информации – это комплекс мероприятий, направленных
на обеспечение информационной безопасности.

ООО Группа компаний «Мастер» является вымышленным. Анализ информационной защиты является следствием деловой игры.

Содержание

Введение 5

1 Анализ объекта проектирования. 6

2 Анализ нормативной законодательной базы.. 9

3 Анализ документооборота организации. 18

3.1 Оценка рисков информационных угроз безопасности защищённого документооборота. 20

3.2 Оценка общего информационного риска в организации. 21

4 Рекомендации по совершенствованию документооборота на предприятии 22

Заключение. 25

Список используемых источников. 26

Приложение А. Структура организации. 27

Приложение Б. Таблица 1 – Характеристика конфиденциальной информации циркулирующей в ООО Группа компаний «Мастер». 28

Приложение В. Таблица 2 – Оценка рисков информационной безопасности. 29

Приложение Г. Перечень сведений составляющих коммерческую тайну ООО Группа компаний «Мастер». 30

Приложение Д. Положение о режиме коммерческой тайны ООО Группа компаний «Мастер» 34

Введение

С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.

Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери.

Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.

Целью своей курсовой работы по дисциплине «Информационная безопасность и защита информации» является совершенствование документационного обеспечения в области защиты информации, а так же анализ информационной защиты ООО Группа компаний «Мастер» и разработка рекомендаций по совершенствованию защиты документационного обеспечения.

1 Анализ объекта проектирования

Для выполнения курсовой работы я взяла одну из крупнейших компаний на рынке строительных и отделочных материалов, предлагающих свою продукцию жителям г. Пензы и области ООО Группа компаний «Мастер». Эта организация находится в городе Пенза, ул. Совхозная, д. 15.

В соответствии с федеральным законом «Об обществах с ограниченной ответственностью» (Об ООО) от 08.02.1998 N 14-ФЗ обществом с ограниченной ответственностью признается учрежденное одним или несколькими лицами хозяйственное общество, уставный капитал которого разделен на доли определенных учредительными документами размеров; участники общества не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов.

Особенностью ООО по сравнению с другими формами собственности является то, что учредители общества не отвечают по его обязательствам и несут риск убытков связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов. За текущую деятельность отвечают должностные лица (Генеральный директор, Главный бухгалтер).

Структурная схема организации представлена в Приложении А .

Далее рассмотрим отделы предприятия, и определим, какие функции выполняют сотрудники описанных отделов.

Закрытая информация циркулирует повсеместно, во всех отделах фирмы. Рассмотрим деятельность каждого отдела в отдельности.

Бухгалтерия

Основными задачами данного подразделения на исследуемом предприятии являются:

1. осуществление приема и контроля первичной документации по соответствующим участкам бухгалтерского учета;

2. учет основных средств, товарно-материальных ценностей, затрат на производство, реализации продукции, результатов хозяйственно-финансовой деятельности;

3. начисление и перечисление платежей в государственный бюджет и внебюджетные фонды;

4. отражение в бухгалтерском учете операций, связанных с движением денежных средств и товарно-материальных ценностей;

5. подготовка данных по участкам бухгалтерского учета для составления отчетности.

Также на предприятии бухгалтерия выполняет функции отдела кадров, такие как:

1. оформление трудовых контрактов;

2. оценка трудовой деятельности каждого работника;

3. перевод, повышение, понижение, увольнение в зависимости от результатов труда;

4. профориентация и адаптация - включение набранных работников в коллектив, в процесс производства;

5. определение заработной платы и льгот в целях привлечения, сохранение, закрепления кадров;

6. организация обучения кадров.

В состав бухгалтерии входят три человека: главный бухгалтер, бухгалтер, секретарь бухгалтерии.

Отдел по работе с клиентами

Основными задачами сотрудников отдела по работе с клиентами являются:

1. выполнение плана продаж;

2. анализ и систематизация клиентской базы;

3. контроль состояния дебиторской и кредиторской задолженностей клиентов;

4. разрешение конфликтных ситуации с клиентами;

5. консультации потенциальных покупателей.

В состав отдела входят десять человек, включая начальника отдела.

Приемная директора предприятия

Единственным сотрудником приемной директора является секретарь, в обязанности которого входит:

1. осуществление работы по организационно-техническому обеспечению административно-распорядительной деятельности руководителя;

2. приём поступающей на рассмотрение руководителя корреспонденции, передача ее в соответствии с принятым решением в структурные подразделения или конкретным исполнителем для использования в процессе работы либо подготовки ответов;

3. ведение делопроизводства, выполнение различных операций с применением компьютерной техники, предназначенной для сбора, обработки и представления информации при подготовке и принятии решений;

4. приём документов и личных заявлений на подпись руководителя;

5. подготовка документов и материалов, необходимых для работы руководителя;

6. по поручению руководителя составление писем, запросов, других документов, подготовка ответов авторам писем;

2 Анализ нормативной законодательной базы

В соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года, конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Перечень конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему времени принят ряд законодательных актов, в которых регулируются отношения, связанные с различными видами конфиденциальной информации:

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";

- Федеральный закон от 27 июля 2006 г.. N 152-ФЗ "О персональных данных".

В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации" даётся классификация информации в зависимости от порядка её распространения, Законодатель разделяет информацию на следующие группы:

1. информацию, свободно распространяемую;

2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

В статье 9 говориться, что Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Ниже будут рассмотрены упомянутые законы.

Коммерческая тайна в соответствии с законом "О коммерческой тайне" определена как конфиденциальность информации. Данная конфиденциальность дает возможность обладателю коммерческой тайны получить при равных возможностях экономическую выгоду в виде сохранения на рынке, в виде увеличения доходов и сокращения расходов. Содержание коммерческой тайны — это экономическая, в том числе финансовая, научно-техническая, в том числе «ноу-хау», и производственная информация.

Чтобы вышеуказанная информация получила статус коммерческой тайны, в отношении этой информации обладателем должен быть введен режим коммерческой тайны. Кроме того, эта информация должна иметь действительную или потенциальную коммерческую ценность в силу того, она неизвестна никому, кроме ее обладателя. Также не должно быть свободного доступа к этой информации.

Режим коммерческой тайны определен в законе как меры, которые предпринимает ее обладатель для охраны ее конфиденциальности. Эти меры носят правовой, организационный, технический и иной характер.

В статье 4 закона содержится норма о том, кому принадлежит право решать, относится или нет информация к коммерческой тайне. Данное право принадлежит обладателю такой информации с учетом положения данного Закона.

Весьма важна для понимания совокупности норм закона статья 5, закрепляющая состав сведений, которые не могут составлять коммерческую тайну. Перечислим сведения, которые не могут составлять коммерческую тайну:

1. содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2. содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3. о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4. о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5. о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6. о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7. о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8. об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9. о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11. обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Права обладателей коммерческой тайны закреплены в ст. 7 Закона. Данные права приобретаются владельцем с момента установления режима коммерческой тайны для той или иной информации. Обладатель имеет следующие права:

1. устанавливать, изменять и отменять режим коммерческой тайны;

2. использовать информацию, составляющую коммерческую тайну, для собственных нужд;

3. разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;

4. вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;

5. требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;

6. требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

7. защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Ст. 10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:

- разработка перечня информации, относящейся к коммерческой тайне;

- ограничение и регламентирование доступа к носителям информации;

- определение круга лиц, имеющих права доступа к информации;

- разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;

- нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).

После принятия вышеуказанных мер режим коммерческой тайны считается установленным.

Кроме того, обладатель информации, признанной коммерческой тайной, вправе применить разрешенные, не противоречащие закону, методы и средства технической защиты носителей конфиденциальной информации.

Ст. 11 Закона посвящена охране конфиденциальной информации в рамках трудовых правоотношений. Здесь работодатель для охраны коммерческой тайны обязан:

- составить перечень информации, составляющей коммерческую тайну;

- ознакомить с указанным перечнем под роспись всех сотрудников, доступ к коммерческой тайне которых необходим по долгу службы;

- ознакомить под роспись сотрудников с режимом коммерческой тайны и мерой ответственности за его нарушение;

- обеспечить условия для соблюдения режима коммерческой тайны на рабочих местах.

Получение работником сведений, составляющих коммерческую тайну, осуществляется только с его согласия, за исключением случая, когда получение таких сведений прямо предусмотрено его трудовыми обязанностями. В случае незаконного установления режима коммерческой тайны относительно информации, к которой работник получил доступ при исполнении им своих трудовых обязанностей, он может обжаловать это в суде.

Для защиты конфиденциальности информации работник должен придерживаться следующих правил. Он обязуется:

- выполнять установленный в организации режим коммерческой тайны;

- не разглашать сведения, составляющие коммерческую тайну, и не использовать без согласия работодателя и его контрагентов эти сведения в личных целях;

- вернуть все имеющиеся у него документы, содержащие информацию, составляющую коммерческую тайну;

- не разглашать вышеуказанные сведения после окончания трудового договора. Если между работником и работодателем было заключено соглашение о неразглашении коммерческой тайны с указанием срока такого неразглашения, то работник обязан хранить молчание по поводу коммерческой тайны в течение этого срока. Если данное соглашение не заключалось, то в течение трех лет с момента прекращения трудового договора.

При разглашении коммерческой тайны работник обязан возместить причиненный работодателю ущерб.

Федеральный закон от 27.07.06 № 152-ФЗ “О персональных данных” регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Рассмотрим положения данного Закона, касающиеся трудовых правоотношений.

К персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.

Одной из важнейших норм Закона является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т. е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.

На обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме – в зависимости от категории персональных данных, а также характера их обработки.

Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:

– при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;

– при обработке биометрических персональных данных – сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т. д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;

– при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.

В соответствии с Законом "о персональных данных" письменное согласие субъекта на обработку его персональных данных должно включать:

– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

– цель обработки персональных данных;

– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

Оператор обязан предоставить субъекту персональных данных доступ к его данным в любой момент по просьбе субъекта. У субъекта есть право на получение следующей информации:

1. подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2. способы обработки персональных данных, применяемые оператором;

3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4. перечень обрабатываемых персональных данных и источник их получения;

5. сроки обработки персональных данных, в т. ч. сроки их хранения;

6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных.

В том случае, если оператор осуществляет обработку персональных данных с нарушением требований закона, субъект вправе обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.

Что касается хранения персональных данных, то оно может реализовываться оператором как на материальных носителях, так и путем включения данных сведений в информационные системы персональных данных. Важно, что оператор при обработке подобной информации обязан принимать необходимые организационные и технические меры, в частности использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения.

3 Анализ документооборота организации

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указам Президента РФ «Об утверждении перечня сведений конфиденциального характера», к конфиденциальной информации на рассматриваемом предприятии можно отнести сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Выделим, в каких отделах ООО Группа компаний «Мастер» циркулируют документы, содержащие информацию, подлежащую защите.

Сотрудники бухгалтерии работают со следующими документами:

1. счета;

2. банковские выписки;

3. личные карточки сотрудников;

4. трудовые книжки сотрудников;

5. приказы по личному составу;

6. бухгалтерская отчётность.

В отделе по работе с клиентами обрабатываются следующие документы, содержащие конфиденциальную информацию:

1. договора с клиентами;

2. договора с поставщиками;

3. счета.

Сотрудник приемной директора работает с деловой перепиской предприятия, а также принимает документы на подпись директора, которые могут содержать конфиденциальную информацию. Юрист предприятия занимается разработкой договоров а также проверкой документов, разработанных деловыми партнёрами предприятия. Директор предприятия имеет доступ ко всем документам, циркулирующим в ООО Группа компаний «Мастер».

Стоит отметить, что все сотрудники ООО Группа компаний «Мастер» пользуются для выполнения своих должностных обязанностей программой «1С:Предприятие», на компьютерах в бухгалтерии установлена «1С:Бухгалтерия», а на компьютерах в других отделах предприятия «1С:Управление торговлей», один из компьютеров бухгалтерии является сервером на котором хранится база данных программы «1С:Предприятие». С компьютера главного бухгалтера можно получить доступ к АС «Клиент - Сбербанк», которая используется для осуществления платежей, а также получения информации о банковском счёте предприятия. Из сказанного выше следует, что на данном объекте необходимо обеспечить защиту информации, содержащейся на компьютерах предприятия.

Для бумажных документов целесообразно ввести на предприятии следующие грифы:

1. «Коммерческая тайна», для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;

2. «Конфиденциально», для документов, содержащих персональные данные.

Степень конфиденциальности сведений, содержащихся в документах имеющих грифы «Коммерческая тайна» и «Конфиденциально» может быть равна, однако, в соответствии со п. 5 ст. 10 закона «О коммерческой тайне», на документы содержащие коммерческую тайну необходимо наносить гриф «Коммерческая тайна», а не какой-либо другой.

Характеристика конфиденциальной информации, циркулирующей в ООО Группа компаний «Мастер», приведена в Приложении Б .

3.1 Оценка рисков информационных угроз безопасности защищённого документооборота

Сегодня существует ряд подходов к измерению рисков. Наиболее распространенные из них оценка рисков по двум и по трем факторам. В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой (1).

Риск = Р_{происшествия} × Цена потери (1)

В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней угроз и уязвимостей и выражается формулой (2).

P_{происшествия} = Р_угрозы × Р_{уязвимости} (2)

Соответственно, риск рассчитывается по формуле (3).

Риск = Р_угрозы х Р_{уязвимости} × Цена потери (3)

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.

Оценим риски информации на предприятии, используя методику оценки по трём факторам. Результаты оценки приведены в Приложении В .

3.2 Оценка общего информационного риска в организации

Как видно из представленной в приложении таблицы суммарный информационный риск на предприятии составляет 460800 рублей. Бюджет предприятия не позволяет принять такой риск, отсюда следует, что необходимо снизить его до приемлемого уровня.

4 Рекомендации по совершенствованию документооборота на предприятии

Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

В Устав организации необходимо внести дополнения, перечисленные ниже. Раздел «Права и обязанности» следует дополнить следующими пунктами:

Фирма имеет право:

- определять состав, объем и порядок защиты конфиденциальной информации;

- требовать от сотрудников защиты конфиденциальной информации;

- осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

Фирма обязана:

- обеспечить экономическую безопасность и сохранность конфиденциальной информации;

- осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Необходимо в также добавить раздел «Конфиденциальная информация», который будет содержать следующее:

Общество организует защиту своей конфиденциальной информации.

Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение перечисленных дополнений даёт администрации предприятии право:

- создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

- включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);

- требовать защиты интересов фирмы перед государственными и судебными органами;

- распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

В Коллективный договор необходимо добавить требования, представленные ниже. В раздел «Предмет договора» необходимо добавить:

Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.

Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.

В раздел «Кадры. Обеспечение дисциплины труда» необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:

- перечень сведений, составляющих коммерческую тайну;

- договорное обязательство о неразглашении коммерческой тайны;

- инструкция по защите коммерческой тайны.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации).

В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну (Приложение Г).

Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации (Приложение Д) , порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

Заключение

В ходе проведения работы была дана краткая характеристика ООО Группа компаний «Мастер», проанализирована законодательная база в области защиты конфиденциальной информации, проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для ООО Группа компаний «Мастер».

Поставленная задача была решена достаточно полно, разработанные рекомендации, при следовании им обеспечат необходимый уровень безопасности документооборота на рассматриваемом предприятии.

Список используемых источников

1 Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учеб. пособие для вузов по спец. "Документоведение и документационное обеспечение управления. ". — М.: ИНФРА-М, 2001. — 301 с. — (Сер.: Высшее образование)

2 Документы и делопроизводство: Справочное пособие /Т.В.Кузнецова, М.Т.Лихачев, А.Л.Райхцаум, А.В.Соколов: Сост. М.Т.Лихачев. – М.: Экономика, 1991, 271 с.

3 Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство "Ось-982, 1998 г. - 336 с.

4 Сабинин, В. Н. Организация конфиденциального делопроизводства начало обеспечения безопасности информации в фирме [Электронный ресурс]; Режим доступа: http://www.informost.ru/news/05-09/13.php, свободный; Загл. с экрана.

Приложение А

(обязательное)

Структура организации

Приложение Б

(обязательное)

Таблица 1 – Характеристика конфиденциальной информации, циркулирующей в ООО Группа компаний «Мастер»

Приложение В

(обязательное)

Таблица 2 – Оценка рисков информационной безопасности

Приложение Г

(обязательное)

Перечень сведений, составляющих коммерческую тайну

ООО Группа компаний «Мастер»

ООО Группа компаний «Мастер»

ПЕРЕЧЕНЬ

19.11.2010

сведений, составляющих коммерческую тайну

ООО Группа компаний «Мастер»

г. Пенза

1 Общее положение

1. Настоящий Перечень сведений, составляющих коммерческую тайну ООО Группа компаний «Мастер», (далее Перечень) содержит совокупность сведений в области управленческой, финансово-коммерческой, производственно-технической и иной деятельности ООО Группа компаний «Мастер» (далее Общество), имеющих действительную или потенциальную ценность в силу неизвестности их третьим лицам, несанкционированное распространение которых в детализированном виде (т.е. содержащих цифры, фамилии, сроки, даты, названия и пр.) может нанести ущерб имиджу и экономическим интересам Общества.

2. Информация имеет действительную или потенциальную коммерческую ценность, если она позволяет или может позволить обладателю коммерческой тайны при существующих или возможных обстоятельствах в силу неизвестности ее третьим лицам увеличить доходы, избежать убытков, сохранить положение на рынке или получить иную коммерческую выгоду.

3. Обладателем коммерческой тайны в отношении информации, созданной работником в связи с выполнением служебных обязанностей или по заданию работодателя, является работодатель, если условиями трудового договора между ними не предусмотрено иного.

4. В Перечне указаны наименования структурных подразделений Общества, наделенные полномочиями по распоряжению сведениями соответствующей тематической направленности в рамках их компетенции.

5. Внесение изменений и дополнений в настоящий Перечень осуществляется Генеральным директором по представлению структурных подразделений.

6. В Перечень также включены сведения, не относящиеся к коммерческой тайне, но представляемые ограниченному кругу лиц по требованию органов государственной власти и управления, в том числе контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством Российской Федерации, а также трудового коллектива Компании.

7. Настоящий Перечень является методическим руководством для менеджеров при принятии решения об ограничении распространения сведений и соблюдения режима коммерческой тайны при работе с документами. Окончательное решение об ограничении распространения сведений, подготовленных структурным подразделением, принимает руководитель соответствующего структурного подразделения.

Общие требования и порядок работы со сведениями, составляющими коммерческую тайну ООО Группа компаний «Мастер», определены «Положением о режиме коммерческой тайне».

2 Перечень сведений, составляющих коммерческую тайну предприятия

1 По вопросам маркетинга

1.1 Сведения о концепции стратегического развития ООО Группа компаний «Мастер» (далее – Общества), если их разглашение может нанести ущерб интересам Общества.

1.2 Сведения о проводимых маркетинговых исследованиях рынка и их результатах (показатели спроса, конкурентоспособности и т.д.).

1.3 Обобщенные сведения о клиентах и партнерах Общества, в тои числе о поставщиках.

2 Сведения по организационно-правовым вопросам

2.1 Сведения о предполагаемом создании, реорганизации (ликвидации) Обществом дочерних предприятий, если их разглашение может нанести ущерб интересам Общества.

2.2 Сведения по делам, рассматриваемым в судах (в том числе арбитражных и третейских), относительно Общества.

3 Сведения по вопросам торгово-экономических отношений и финансово-хозяйственным вопросам

3.1 Сведения о конкретных параметрах сделок, проводимых Обществом.

3.2 Сведения, раскрывающие предмет переговоров или позицию Общества по тактике и условиям ведения переговоров.

3.3 Сведения, раскрывающие размеры комиссий, агентских вознаграждений и скидок от компаний-партнеров.

3.4 Сведения, раскрывающие методы расчета и размеры премий сотрудников.

3.5 Сведения, раскрывающие ставки внутренней доходности в сделках с различными клиентскими группами.

3.6 Сведения, раскрывающие условия, цели или стоимость заключаемых договоров во время переговоров (проработки заключения договора), если это не касается стандартных договоров.

3.6 Сведения о средствах на счетах Общества и об оборотах Общества.

3.7 Обобщенные сведения о собственности Общества.

4 По вопросам эксплуатации и развития информационно-вычислительных сетей

4.1 Сведения, раскрывающие детальные планы (схемы) информационно-вычислительных сетей Общества.

4.2 Сведения, раскрывающие порядок доступа к информационно-вычислительным ресурсам Общества.

Юрисконсульт И.И. Иванова

Приложение Д

(обязательное)

Положение о режиме коммерческой тайны

ООО Группа компаний «Мастер»

ООО Группа компаний «Мастер»

Положение

19.11.2010

о режиме коммерческой тайны

ООО Группа компаний «Мастер»

г. Пенза

1 Общие положения

1.1 Настоящее Положение о коммерческой тайне (далее – Положение) в целях обеспечения экономической безопасности общества с ограниченной ответственностью ООО Группа компаний «Мастер» (далее – Общество), устанавливает общие нормы о сведениях, составляющих коммерческую тайну (далее – коммерческая тайна), режиме конфиденциальной информации и условиях ее защиты, а также меры ответственности, применяемые за нарушение требований, установленных настоящим Положением.

1.2 Настоящее Положение разработано в соответствии с действующим законодательством РФ, Уставом Общества, должностными инструкциями и иными локальными (внутренними) актами Общества, утвержденными в установленном порядке.

1.3. Действие настоящего Положения распространяется на работников Общества, работающих по трудовому договору, заключенному с Обществом, которые дали обязательство о неразглашении коммерческой тайны, а также на лиц, работающих по договорам, заключенным с Обществом, взявших на себя обязательство о неразглашении коммерческой тайны, в порядке и на условиях, предусмотренных настоящим Положением.

2 Понятия, используемые в настоящем Положении

2.1 РУКОВОДИТЕЛЬ ОБЩЕСТВА – директор или иное должным образом уполномоченное им лицо.

2.2 ИНФОРМАЦИОННАЯ ЗАЩИТА – это совокупность организационно-технических и режимных мероприятий, а также мероприятий скрытого контроля, направленных на предотвращение вступления сведений, составляющих коммерческую тайну, лицам, не имеющим право доступа к ним на законном основании.

2.3 ДОПУСК К КОММЕРЧЕСКОЙ ТАЙНЕ – процедура оформления права работника на доступ к сведениям, составляющим коммерческую тайну.

2.4 НОСИТЕЛИ СВЕДЕНИЙ СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ – материальные объекты, в которых сведения находят свое отображение.

2.5 РАЗГЛАШЕНИЕ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ – передача в устной, письменной, электронной или иной форме, раскрытие и подобные действия, совершенные работником умышленно или по неосторожности, включая халатное отношение к своим должностным обязанностям, повлекшие ознакомление со сведениями, составляющими коммерческую тайну, любых лиц, не имеющих права доступа на законном основании к указанным сведениям.

3 Полномочия руководителя Общества в области защиты коммерческой тайны

Руководитель Общества:

3.1. Организует и контролирует исполнение настоящего Положения.

3.2. Утверждает перечень лиц, допущенных к коммерческой тайне Общества.

3.3. Принимает решения о внесении изменений и дополнений в перечень сведений, оставляющих коммерческую тайну.

3.4. Организует разработку и выполнение мероприятий в области защиты коммерческой тайны Общества.

3.5. В пределах своей компетенции решает иные вопросы, связанные с коммерческой тайной, а также ее защитой.

4 Понятие коммерческой тайны

4.1 Коммерческая тайна представляет собой совокупность сведений о деятельности Общества, его подразделений, отдельных работников, которые в соответствии с настоящим положением отнесены к коммерческой тайне и используются Обществом с целью извлечения прибыли и достижения добросовестного преимущества над конкурентами.

4.2 Информация составляет коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации (Общество) принимает меры к охране ее конфиденциальности.

5 Порядок отнесения сведений к коммерческой тайне

5.1 Отнесение сведений к коммерческой тайне осуществляется путем введения в предусмотренном настоящим Положением порядке ограничений на разглашение и доступ к ее носителям.

5.2 Отнесение сведений к коммерческой тайне осуществляется руководителем Общества в соответствии с принципами обоснованности и своевременности. Обоснованность заключается в установлении целесообразности отнесения конкретных сведений к коммерческой тайне. Своевременность заключается в установлении ограничений на разглашение этих сведений с момента их получения (разработки) или заблаговременно до указанного момента.

5.3 В исключительных случаях, не терпящих отлагательства, отнесение сведений к коммерческой тайне осуществляется путем проставления руководителем Общества грифа «Конфиденциально», с последующим оформлением этих сведений в порядке, предусмотренном настоящим Положением. В данном случае указанные сведения приобретают статус коммерческой тайны с момента проставления указанного грифа.

6 Сведения, составляющие коммерческую тайну

6.1 Сведения, составляющие коммерческую тайну Общества, определены перечнем сведений, составляющих коммерческую тайну ООО Торговый комплекс «База Мастер».

6.2 Изменение и дополнение указанного перечня сведений допускается в письменной форме с обязательным ознакомлением работников с внесенными изменениями и дополнениями под роспись. В противном случае обязательства работника по сохранению коммерческой тайны остаются в прежнем виде.

7 Обязательства работника

7.1 Не разглашать коммерческую тайну Общества, за исключением случаев, когда есть письменное согласие руководителя Общества, когда действующее законодательство РФ или локальные акты Общества прямо обязывали совершить определенные действия, когда имелись обстоятельства, которые уполномочивали его к этому.

7.2 Выполнять относящиеся к работнику требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны Общества и их носителей, соблюдать порядок работы и хранения в отношении документов, содержащих коммерческую тайну, порядок сдачи помещений под охрану и приема из-под охраны, порядок доступа и работы с персональными компьютерами и иной электронной техникой.

7.3 Сохранять коммерческую тайну тех организаций, с которыми имеются деловые отношения у Общества.

7.4 Не использовать коммерческую тайну Общества для занятий другой деятельностью, а также в процессе работы для другой организации, предприятия, учреждения, по заданию физического лица или в ходе осуществления предпринимательской деятельности без образования юридического лица, которая в качестве конкурентного действия может нанести ущерб Обществу.

7.5 Не использовать сведения, составляющие коммерческую тайну, в научной и педагогической деятельности, в ходе публичных выступлений, интервью.

7.6 Незамедлительно ставить в известность соответствующих должностных лиц Общества о необходимости отвечать либо об ответах на вопросы должностных лиц компетентных органов (налоговая инспекция, органы предварительного следствия и т. п.), находящихся при исполнении служебных обязанностей, по вопросам коммерческой тайны Общества.

7.7 Незамедлительно сообщать соответствующему должностному лицу Общества об утрате или недостаче носителей информации, составляющей коммерческую тайну, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны Общества, а также о причинах и условиях возможной утечки коммерческой тайны.

7.8 В случае попытки посторонних лиц получить от работника коммерческую тайну Общества незамедлительно известить об этом соответствующее должностное лицо Общества.

7.9 Не создавать условий для утечки коммерческой тайны и предпринимать все усилия для пресечения такой утечки, если ему стало известно, что утечка имеет место или что складываются условия для возможности таковой.

7.10 В случае увольнения все носители коммерческой тайны Общества (документы, чертежи, магнитные ленты, диски, дискеты, распечатки, кино- и фотоматериалы, изделия и др.), которые находились в распоряжении работника во время работы в Обществе, передать соответствующему должностному лицу Общества.

7.11 В случае увольнения (независимо от причин увольнения) не разглашать и не использовать для себя или других лиц коммерческую тайну Общества в течение 3 лет с момента увольнения.

8 Порядок допуска к коммерческой тайне

8.1 Принятие на себя обязательства о неразглашении коммерческой тайны осуществляется работником на добровольной основе.

8.2 Работник, который в силу своих служебных обязанностей имеет доступ к коммерческой тайне, а также работник, которому будет доверена коммерческая тайна для исполнения определенного задания, обязан в момент приема на работу либо по первому требованию Общества ознакомиться с настоящим Положением и дать Обществу обязательство о неразглашении коммерческой тайны.

8.3 Допуск к коммерческой тайне осуществляется только после дачи работником обязательства о неразглашении коммерческой тайны, за исключением случаев, предусмотренных настоящим Положением.

8.4 Обязательство о неразглашении коммерческой тайны оформляется в письменной форме за подписью работника Общества и является неотъемлемой частью трудового договора, заключаемого с Обществом.

8.5 Обязательство о неразглашении коммерческой тайны оформляется в одном экземпляре, который хранится у Общества.

8.6 Подписанное работником обязательство о неразглашении коммерческой тайны не ограничивает его прав на результаты интеллектуальной деятельности, в т. ч. исключительных прав на них (интеллектуальная собственность).

8.7 Кроме обязательства о неразглашении коммерческой тайны, работник дает согласие на проведение в отношении него уполномоченными должностными лицами проверочных мероприятий в переделах, установленных действующим законодательством РФ.

9 Порядок прекращения допуска к коммерческой тайне

9.1 Допуск работника к коммерческой тайне может быть прекращен в следующих случаях:

• расторжение трудового договора (независимо от причин расторжения);

• однократное нарушение им взятых на себя обязательств, связанных с неразглашением и защитой коммерческой тайны;

• по инициативе руководителя Общества.

9.2 Прекращение допуска осуществляется по решению руководителя Общества, которое оформляется в виде приказа в письменной форме и доводится до сведения работника под роспись.

10 Ответственность за разглашение коммерческой тайны

10.1 За нарушение обязательств о неразглашении коммерческой тайны работник несет ответственность, предусмотренную действующим законодательством РФ и трудовым договором, заключенным с Обществом.

10.2 В случае разглашения коммерческой тайны работник обязан возместить Обществу причиненные этим убытки.

10.3 При обнаружении в действиях работника признаков состава преступления Общество направляет соответствующее сообщение в правоохранительные органы.

11 Заключительные положения

11.1 В случае несогласия с настоящим Положением или перечнем сведений, составляющих коммерческую тайну, или отказа работника либо лица, принимаемого на работу, дать письменное обязательство о неразглашении коммерческой тайны, последний должен дать мотивированное объяснение своего несогласия или отказа, внести предложения по содержанию настоящего Положения или перечня сведений, составляющих коммерческую тайну, либо обязательства о неразглашении коммерческой тайны. Если соответствующие аргументы будут признаны обоснованными, Общество в порядке, предусмотренном настоящим Положением, вправе внести изменения и (или) дополнения в настоящее Положение или перечень сведений, составляющих коммерческую тайну, либо в обязательство о неразглашении коммерческой тайны и рассмотреть вопрос о допуске лица до внесения соответствующих изменений и (или) дополнений и дачи обязательства о неразглашении коммерческой тайны.

Юрисконсульт И.И. Иванова