Организация деятельности информационного подразделения службы экономической безопасности хозяйствующего субъекта (на примере ООО «МиксПромо»)

Данная информация является объектом защиты, содержащим конфиденциальную информацию, а также объектом результата работы специалистов. Потеря информации с сетевых ресурсов приведет к возможным простоям в деятельности организации, необходимости восстановления утерянных документов, дополнительным трудозатратам;антивирусная защита рабочих станций специалистов, защита от перебоев электропитания;защита от НСД – программно-аппаратное обеспечение для защиты от несанкционированного доступа в помещения организации, является важнейшимнаправлением защиты и оповещения о вероятном вмешательстве злоумышленника в систему конфиденциальной информации компании. Вывод из строя системы охранного оборудования может повлечь за значительные финансовые потери, связанныес ремонтом и восстановлением, а также с утратой конфиденциальной информации.Сведения, имеющие конфиденциальный характер в условиях ООО «МиксПромо»:бухгалтерская документация – сведения о начислениях заработной платы сотрудникам, налоговая и финансовая отчетность, доходы и расходы компании;кадровая информация – сведения о сотрудниках, работающих в компаниях – клиентах, где производится расчет заработной платы;информация об архитектуре информационных систем;информация об архитектуре и реализации системы антивирусной защиты и от НСД;личные дела граждан (картотека полиции);данные, содержащиеся в материалах работы полиции.Таблица 7 - Перечень сведений конфиденциального характера ООО «Микс-Промо»№ п/пНаименование сведенийГриф конфиденциальностиНормативный документ, реквизиты, №№ статей1.Данные об архитектуре службы каталоговКонфиденциальноВнутренний стандарт предприятия2.Требования по обеспечению сохранения служебной тайны КонфиденциальноГражданский кодекс РФ ст.1393.Персональные данные сотрудниковДля служебного пользованияФедеральный закон 152-ФЗ4.Закрытые ключи ЭПКонфиденциальноФедеральный закон 63-ФЗ5.Персональные данные клиентовКонфиденциальноФедеральный закон 152-ФЗДля оценивания степени ценности активов обычно используется метод ранжирования, при котором для каждого активапроводится сопоставление некоторого ранга (числа), обозначающего степень его ценности относительно другихЗаключениеИнформационная безопасность хозяйствующего субъекта – это состояние информационной системы, способствующее реализации его экономических интересов.В ООО «МиксПромо» соблюдение обязанностей по защите информации вытекает из организационной структуры организации. Так, генеральный директор, являясь высшим звеном, контролирует соблюдения требований законов по защите конфиденциальной информации, утверждение документации в области защиты конфиденциальных данных.Угрозы информационной безопасности, которым подвержено ООО «МиксПромо», делятся на внутренние и внешние. внутренние связаны с нарушениями требований информационной безопасности при обработке персональных данных), внешние - когда источник угроз находится вне пределов информационной системы организации. Реализация угроз возможна через физическое проникновение в помещения, несанкционированное копирование персональных данных в информационной системе, потерю данных вследствие сбоя в информационной системе, перехват информации через различные физические каналы (электромагнитный, визуально-оптический, параметрический, акустический и др.) Основными видами рисков информационной безопасности, связанных с функционированием информационных систем ООО «МиксПромо», являются:риски, связанные с работой оборудования;риски, связанные с ошибками в работе прикладного и системного ПО;риски халатности персонала, что может приводить к ошибкам при использовании информационных систем, компрометации паролей, ключей электронной подписи.Анализ рисков информационной безопасности в комплексе возможно осуществлять с использованием программных систем специального класса таких, как RiskWatch, РискМенеджер, COBRA и др.Группа, обеспечивающая информационную безопасность организации, включает в себя:специалистов по АВЗ (антивирусной защите);специалистов по работе с криптографическим средствами;администраторов безопасности, в функции которых входят вопросы разграничения доступа к информационным системам, а также парольная защита;инженерная служба, курирующая вопросы обеспечения физической защиты помещений, вопросы обслуживания систем видеонаблюдения, охранной и пожарной сигнализации;служба безопасности, курирующая вопросы обеспечения пропускного режима, физической охраны помещений компании.Функциональные обязанности каждого субъекта многообразны и не похожи друг на друга.Правовое обеспечение в соответствии с выявленными угрозами, обеспечивается локальными актами организации, в числе которых «Положение об антивирусной защите в подразделениях ООО», «Акт ввода в эксплуатацию средств вычислительной техники», «Порядок обращения с ключами электронной подписи», должностные инструкции и т.д. Обеспечение деятельности субъектов информационной безопасности ООО «МиксПромо» основано на кадровых, материальных и информационных средствах.В качестве материального обеспечения информационной безопасности рассматривается совокупность технических, энергетических, сырьевых и других ресурсов, предназначенных для повышения эффективности производства.Информационное обеспечение основывается на том, с чем работают сотрудники службы информационной безопасности. К ним относятся: служба каталогов ActiveDirectory, криптографические системы, виртуальные машины и тд.В качестве кадрового обеспечения рассматриваются специалисты, обладающие знаниями и навыками в области обеспечения информационной безопасности, к которым предъявляется ряд серьезных требований для того, чтобы они могли обеспечивать должный уровень защиты.Список использованных источниковИсправить литературуКонституция Российской Федерации от 12.12.1993 / Консультант Плюс[Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_28399/ (дата обращения 03.04.2019).Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ / Консультант Плюс. [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/ (дата обращения 03.04.2019)Гражданский кодекс Российской Федерации от 30.11.1994 N 51-ФЗ / Консультант Плюс. [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_5142/ (дата обращения 03.04.2019)Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ / Консультант Плюс. [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения 03.04.2019)Указ Президента РФ от 31 декабря 1993 г. N 2334 «О дополнительных гарантиях прав граждан на информацию» / Консультант Плюс. [Электронный ресурс]. – Режим доступа: https://base.garant.ru/102839/(дата обращения 03.04.2019)Указ Президента РФ от 20.01.1994 N 170 «Об основах государственной политики в сфере информатизации»/ Консультант Плюс. [Электронный ресурс]. – Режим доступа:https://base.garant.ru/136393/(дата обращения 03.04.2019)Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"/Консультант Плюс. [Электронный ресурс]. – Режим доступа:http://www.consultant.ru/document/cons_doc_LAW_80028/(дата обращения 03.04.2019)Постановление Правительства РФ от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" / Консультант Плюс. [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_78154/(дата обращения 03.04.2019)ГОСТ Р 50922-2006 Защита информации. Основные термины и определения / Электронный фонд правовой и нормативно-технической документации. [Электронный ресурс]. – Режим доступа: http://docs.cntd.ru/document/1200058320 (дата обращения 03.04.2019) ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство / Электронный фонд правовой и нормативно-технической документации. [Электронный ресурс]. – Режим доступа: http://docs.cntd.ru/document/1200027444 (дата обращения 03.04.2019)Агальцов, В. П. Информатика для экономистов: учебное пособие / В. А. Агальцев, В. М. Титов. – М.: ИНФРА-М, 2014. – 237 с.Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. - Москва: Наука, 2015. - 552 c.Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: РиС, 2014. - 586 c.2. Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: ГЛТ, 2016. - 586 c.Бабаш, А. В. Информационная безопасность / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Основы информационно-психологической безопасности: моногр. . - М.: Международный гуманитарный фонд "Знание", 2014. - 416 c.Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2015. - 368 c.Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2014. - 336 c.Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c.Девянин, П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П.Н. Девянин. - М.: Радио и связь, 2013. - 176 c.Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2013. - 392 c.Ищейнов, В.Я. Защита конфиденциальной информации: Учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2013. - 256 c.Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Машиностроение, 2016. - 536 c.Информационная безопасность открытых систем. В 2 томах. Том 2. Средства защиты в сетях / С.В. Запечников и др. - Москва: СПб. [и др.] : Питер, 2014. - 560 c.Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Academia, 2017. - 336 c.Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Москва: Мир, 2013. - 336 c.Мельников, В.П. Информационная безопасность и защита информации / В.П. Мельников. - М.: Академия (Academia), 2016. - 282 c.Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2016. - 368 c.Партыка, Т.Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: ИНФРА-М, 2015. - 368 c.Петров, С. В., Кисляков,П. А. Информационная Безопасность / Александрович Петров Сергей Викторович; Кисляков Павел. - Москва: СПб. [и др.] : Питер, 2013. - 329 c.Рассел, Джесси Honeypot (информационная безопасность) / Джесси Рассел. - М.: VSD, 2013. - 686 c.Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2017. - 304 c.Федоров, А. В. Информационная безопасность в мировом политическом процессе / А.В. Федоров. - М.: МГИМО-Университет, 2017. - 220 c.Чипига, А. Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2013. - 336 c.Хорев, П.Б. Программно-аппаратная защита информации: Учебное пособие / П.Б. Хорев. - М.: Форум, 2013. - 352 c.Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2017. - 416 c.Шаньгин, В. Ф. Информационная безопасность и защита информации / Шаньгин Владимир Федорович. - М.: ДМК Пресс, 2017. - 249 c.Шевченко, А. В. Управление безопасностью информационных процессов: учебное пособие / А. В. Шевченко. – М.: изд-во РАГС, 2013. – 136с.Ярочкин, В. Безопасность информационных систем / В. Ярочкин. - М.: Ось-89, 2016. - 320 c.Ярочкин, В.И. Информационная безопасность / В.И. Ярочкин. - М.: Академический проект, 2014. - 544 c.ПРИЛОЖЕНИЯПлан мероприятий по разработке и введению в действие "Положения о работе с персональными данными" в условиях ООО "Микс Промо"МероприятиеСрокОтветственныеОпределение состава комиссии по подготовке проекта Положения5 дн.Генеральный директорОпределение перечня персональных данных, обрабатываемых в ИС 10 дн.Специалисты по работе с персоналом, ИТ-специалисты, заведующие отделениями, юристОпределение класса защищенности персональных данных10 дн.ИТ-специалистыПодбор стандартов и законодательных актов для разработки Положения10 дн.ЮристОпределение списка ПД, обрабатываемых автоматизированным и неавтоматизированным способом10 дн.ИТ-специалисты, юристРазработка проекта Положения10 дн.ЮристЭкспертиза проекта положения5 дн.Специалисты по работе с персоналом, ИТ-специалисты, заведующие отделениями, юристИздание итогового варианта Положения5 дн.Юрист, специалист по делопроизводствуОзнакомление сотрудников ООО "Региональный центр информационной безопасности" с документом10 дн.Заведующие отделениямиМониторинг исполнения документаПостоянноИТ-специалисты, юрист, заведующие отделениями