Информационная безопасность
..pdfДолжностная инструкция делопроизводителя сектора обработки документов с грифом «Коммерческая тайна»
1. Общие положения.
1.1.Делопроизводитель непосредственно подчиняется заведующему сектором обработки документов с грифом «Коммерческая тайна».
1.2.Делопроизводитель руководствуется в своей работе Инструкцией по защите коммерческой тайны, Положением о специальном отделе и секторе обработки документов с грифом «Коммерческая тайна» и Перечнем сведений, составляющих коммерческую тайну.
2. Обязанности:
2.1.Обязан четко знать сведения, составляющие коммерческую тайну.
2.2.Обрабатывать поступающую корреспонденцию, направлять ее в структурные подразделения.
2.3.Передавать документы на исполнение в соответствии с резолюцией, оформлять регистрационные карточки.
2.4.Вести картотеку учета прохождения документальных материалов, контролировать их исполнение, выдавать справки по зарегистрированным документам исполнителям, допущенным к документам с грифом «Коммерческая тайна».
2.5.Вести учет получаемой и отправляемой корреспонденции с грифом «Коммерческая тайна», систематизировать и хранить документы текущего хранения.
2.6.Подготавливать и сдавать в архив документы, законченные делопроизводством.
2.7.Обеспечивать сохранность проходящей служебной документации.
3. Права:
3.1.Докладывать заведующему сектором о всех выявленных недостатках в организации работы с документами, составляющими коммерческую тайну, в пределах своих обязанностей.
111
elib.pstu.ru
3.2. Вносить предложения по совершенствованию работы, по обеспечению сохранности сведений, составляющих коммерческую тайну.
4. Ответственность.
Делопроизводитель несет ответственность за качество, полноту и своевременность выполнения возложенных на него настоящей должностной инструкцией обязанностей.
112
elib.pstu.ru
ПРИЛОЖЕНИЕ Е
Дополнительный материал
Классификация информационных ресурсов по уровню конфиденциальности
Классификация по степени конфиденциальности – одна из основных и наиболее старых классификаций данных. Она применялась еще задолго до появления вычислительной техники и с тех пор изменилась незначительно.
Класс |
Тип информации |
Описание |
Примеры |
0 |
Открытая |
Общедоступная |
Брошюры, СМИ, |
|
информация |
|
выставки и т.д. |
1 |
|
Информация недос- |
Финансовые отче- |
|
|
тупна в открытом |
ты за прошлые |
|
Внутренняя |
виде, но не несет |
периоды, прото- |
|
опасности при ее рас- |
колы собраний, |
|
|
информация |
||
|
крытии |
телефонный спра- |
|
|
|
||
|
|
|
вочник, должно- |
|
|
|
стные инструкции |
2 |
|
Раскрытие ведет к |
Реальные финан- |
|
Конфиденциальная |
значительным поте- |
совые данные, |
|
рям на рынке |
стратегические |
|
|
|
|
планы, база кли- |
|
|
|
ентов и т.д. |
3 |
Высшая степень |
Раскрытие ведет к |
Зависит от ситуа- |
|
конфиденциально- |
финансовой гибели |
ции, например |
|
сти (секретная ин- |
компании |
секрет производ- |
|
формация) |
|
ства |
113
elib.pstu.ru
Классификация по требуемой степени безотказности
Дополняет предыдущую классификацию для предприятий, имеющих ИС. Безотказность, или надежность доступа к информации, является одной из категорий информационной безопасности. Предлагается следующая схема классификации информации на четыре уровня безотказности:
Параметр |
|
Класс |
|
||
0 |
1 |
2 |
3 |
||
|
|||||
Максимально возможное |
1 неделя |
1 сутки |
1 час |
1 час |
|
непрерывное время отказа |
|||||
|
|
|
|
||
В какое время время отказа |
В рабо- |
В рабо- |
В рабо- |
24 часа |
|
не может превышать указан- |
|||||
ное выше? |
чее |
чее |
чее |
в сутки |
|
|
|
|
|
||
Средняя вероятность доступ- |
|
|
|
|
|
ности данных в произвольный |
80 % |
95 % |
99,5 % |
99,9 % |
|
момент времени |
|
|
|
|
|
Среднее максимальное время |
1 день |
2 часа |
20 минут |
12 минут |
|
отказа |
в неделю |
в неделю |
в неделю |
в месяц |
Требования по работе с конфиденциальной информацией
При работе с информацией 1 класса:
–осведомление сотрудников о закрытости информации;
–ознакомление с возможными методами атак информации;
–ограничение физического доступа;
–документы по процедурам работы с этой информацией. К информации 2 класса добавляется:
–расчет рисков атак на информацию;
–ведение списка лиц, имеющих доступ к этой информации;
–выдача информации под расписку;
–обязательное шифрование при передаче по линиям связи;
–бесперебойное питание ЭВМ.
114
elib.pstu.ru
К информации 3 класса добавляется:
–детальный план спасения либо уничтожения;
–защита ЭВМ и носителей информации от повреждения водой и высокой температурой.
Классификация информационных ресурсов (форма для заполнения)
Подразделение |
|
Информационные |
Класс |
|
ресурсы |
||
|
|
|
|
Отдел продаж |
1. |
Контракты. |
|
|
2. |
… |
2 |
|
|
|
|
|
|
|
|
Отдел маркетинга |
1. |
Планы рекламной деятельности. |
|
|
2. |
… |
1 |
|
|
|
|
|
|
|
|
Отдел перспектив- |
1. |
Содержание ноу-хау. |
|
ных разработок |
2. |
… |
3 |
|
|
|
|
|
|
|
|
Отдел кадров |
1. |
Список учебных заведений. |
|
|
2. |
… |
0 |
|
|
|
|
|
|
|
|
Финансовый отдел |
|
|
|
и т.д. |
|
|
|
|
|
|
|
115
elib.pstu.ru
Виды рисков (форма для заполнения)
Виды рисков |
Необходимые действия |
Риски, связанные с партнерами |
|
Конкурентные риски
Риски, связанные с персоналом
Недостаток информации о рынке
Наличие криминала и т.д.
Угрозы ресурсам (форма для заполнения)
Ресурсы |
В каком виде могут появляться угрозы |
Финансовые
Информационные и др.
116
elib.pstu.ru
Оценка угрозы
1.Сколько раз за последние три года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов:
а) ни разу – 0; б) один или два раза – 10;
в) в среднем раз в год – 20; г) в среднем чаще одного раза в год – 30; д) неизвестно – 10.
2.По Вашему мнению, число такого рода попыток несанкционированного проникновения в информационную систему…
Варианты ответов:
а) растет – 10; б) остается постоянным – 0;
в) снижается – –10.
3.Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?
Варианты ответов:
а) да – 5;
б) нет – 0.
4.Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов:
а) да – 10;
б) нет – 0.
5.Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?
117
elib.pstu.ru
Варианты ответов:
а) нет, все сотрудники отличаются высокой честностью и порядочностью – 0;
б) существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы – 5;
в) существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками – 10.
6.Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов:
а) да – 5;
б) нет – 0.
7.Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?
Варианты ответов:
а) да – 5;
б) нет – 0.
8.Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?
Варианты ответов:
а) да – (–10);
б) нет – 0.
9.Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием «маскарада»?
118
elib.pstu.ru
Варианты ответов:
а) да – (–10);
б) нет – 0.
10. Сколько раз за последние три года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в Вашей организации?
Варианты ответов:
а) ни разу – 0; б) один или два раза – 5;
в) в среднем раз в год – 10; г) в среднем чаще одного раза в год – 15; д) неизвестно – 10.
Степень угрозы при количестве баллов:
–до 9 – очень низкая.
–от 10 до 19 – низкая.
–от 20 до 29 – средняя.
–от 30 до 39 – высокая.
–40 и более – очень высокая.
Оценка уязвимости
1.Сколько людей имеют право пользоваться информационной системой?
Варианты ответов:
а) от 1 до 10 – 0; б) от 11 до 50 – 4;
в) от 51 до 200 – 10; г) от 200 до 1000 – 14; д) свыше 1000 – 20.
2.Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
Варианты ответов:
а) да – 0; б) нет – 10.
119
elib.pstu.ru
3. Какие устройства и программы доступны пользователям?
Варианты ответов:
а) только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных – (–5);
б) только стандартные офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы – 0;
в) пользователи могут получить доступ к операционной системе – 5.
4.Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов:
а) да – 10;
б) нет – 0.
5.Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов:
а) менее 10 человек – 0; б) от 11 до 20 человек – 5; в) свыше 20 человек – 10.
6.Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов:
а) да – 0; б) нет – 10.
7.Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов:
а) официальное право предоставлено всем пользователям– 2; б) официальное право предоставлено только некоторым
пользователям – 0.
120
elib.pstu.ru