Теория и методология защиты информации в адвокатской конторе

 

2. Заключение

 

2.1. Концепция защиты информации в адвокатской фирме «Юстина»

Утверждено

постановлением

Президента фирмы «Юстина»

от _______ 200_года № __

Концепция защиты информации в адвокатской  фирме «Юстина»

Концепция защиты информации в адвокатской фирме «Юстина» (далее - концепция) представляет собой систему взглядов на содержание проблемы защиты информации, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в адвокатской фирме «Юстина» (в дальнейшем – адвокатская фирма).

Цель разработки и  внедрения Концепции – определение  основных положений политики адвокатской  фирмы в области защиты информации и создание единой системы правовых, организационных, технических и иных мер, надежно обеспечивающих защищенность адвокатской фирмы в информационной сфере.

Концепция служит основой  для разработки целевых программ по обеспечению защиты информации адвокатской  фирмы и подготовки предложений  по их совершенствованию.

 

I. Общие положения

Отправной точкой при  разработке политики адвокатской фирмы  в области защиты информации является ясное понимание роли и места  системы защиты информации в деятельности адвокатской фирмы и в сфере  обеспечения его безопасности в  целом. Защита информации является одним из элементов общей политики адвокатской фирмы в области безопасности, которая охватывает более широкий круг вопросов, начиная от охраны материальных ценностей адвокатской фирмы и защиты его персонала до использования криптографических средств защиты информации и предотвращения возможной утечки информации за счет побочных электромагнитных излучений. Элементы общей системы безопасности адвокатской фирмы должны быть взаимосвязаны и согласованы.

Защита информации в  адвокатской фирме основывается на ряде основополагающих принципов:

• законности – соблюдение законодательства Российской Федерации по защите информации и законных интересов всех участников информационного обмена;
• приоритетности - предварительное категорирование (ранжирование) информационных ресурсов адвокатской фирмы по степени важности в виде перечней сведений, подлежащих защите, и оценка реальных угроз информационной безопасности;
• комплексного подхода – согласование мероприятий, проводимых в области защиты информации адвокатской фирмы, со всем комплексом мероприятий по физической и технической безопасности адвокатской фирмы, а также противодействие всем возможным угрозам информационной безопасности адвокатской фирмы; оптимальное сочетание проводимых мероприятий;
• единой политики - координация деятельности различных подразделений адвокатской фирмы по созданию и поддержанию необходимого уровня защиты информации в адвокатской фирме, определение обязанностей и ответственности подразделений (их руководителей);
• целесообразности - затраты на обеспечение защиты информации не должны превышать потери, которые может понести адвокатская фирма при реализации угроз.

Политика в области  защиты информации в адвокатской  фирме включает следующие основные этапы:

• определение информации, подлежащей защите (объекты защиты);
• определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;
• определение ценности защищаемой информации (риски) и ее ранжирование;
• разработка комплекса мер по поддержанию необходимого уровня защиты информации;
• распределение полномочий и ответственности за обеспечение установленного режима безопасности.

Законодательной основой  настоящей Концепции являются Конституция  Российской Федерации, Гражданский  и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.

 

II. Цели и задачи защиты информации в адвокатской конторе

Целями защиты информации в адвокатской фирме являются:

• предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);
• предотвращение угроз безопасности личности и адвокатской конторы;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение, конфиденциальности документированной информации в соответствии с законодательством.

К задачам защиты информации в адвокатской фирме относятся:

1. Обеспечение деятельности адвокатской фирмы режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать адвокатской конторе преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.
4. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.
5. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

 

III. Основные объекты защиты

Основными объектами  защиты в адвокатской фирме являются:

1. Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);
2. Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
3. Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы адвокатской фирмы, с помощью которых производится обработка защищаемой информации;
4. Помещения, предназначенные для ведения закрытых переговоров и совещаний;
5. Помещения, в которых расположены средства обработки защищаемой информации;
6. Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Подлежащая защите информация может находиться в адвокатской  фирме:

• на бумажных носителях;
• в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
• передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
• присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
• записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).

 

IV. Угрозы защищаемой информации и возможные источники их возникновения

Под угрозами защищаемой информации понимаются потенциально возможные  негативные воздействия на защищаемую информацию, к числу которых относятся:

1. Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
2. Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

Источниками (каналами) возникновения угроз могут являться:

• стихийные бедствия (пожары, наводнения и т.п.);
• технические аварии (внезапное отключение электропитания, протечки и т.п.);
• несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;
• несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;
• умышленное или неумышленное разглашение защищаемой информации;
• хищение носителей информации или несанкционированное копирование информации;
• посылка в ЛВС пакетов, нарушающих нормальную работу сети;
• внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;
• внедрение деструктивных программ – вирусов, сетевых червей и пр.;
• проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;
• получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;
• хищение, физический вывод из строя технических средств;
• прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;
• прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;
• внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений адвокатской фирмы, в которых обрабатывается защищаемая информация;
• использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);
• использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;
• незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);
• умышленное изменение используемого программного обеспечения для несанкционированного сбора защищаемой информации.

 

V. Меры по обеспечению защиты информации в адвокатской конторе

Основными мерами по обеспечению  защиты информации в адвокатской  фирме являются:

• административно-правовые и организационные;
• технические, основанные на использовании аппаратно-программных и специальных средств;
• режимные.

1. Административно-правовые  и организационные меры:

1.1. Определение правового  статуса всех субъектов отношений  в информационной сфере, включая  пользователей информационных и коммуникационных систем, установление их ответственности за соблюдение нормативных правовых актов адвокатской фирмы в этой сфере;

1.2. Разработка перечня  возможных нарушений информационной  безопасности и локальных нормативных  актов, определяющих порядок защиты интересов адвокатской фирмы в сфере защиты информации;

1.3. Оценка эффективности  действующих в адвокатской фирме  локальных нормативных актов  по обеспечению защиты информации;

1.4. Включение в должностные  инструкции сотрудников обязанностей и ответственности в области обеспечения защиты информации;

1.5. Совершенствование  системы обучения сотрудников  адвокатской фирмы по вопросам  защиты информации в адвокатской  фирме;

1.6. Подготовка и повышение  квалификации специалистов в  области защиты информации;

1.7. Аттестация объектов  информатизации по выполнению  требований обеспечения защиты  информации при проведении работ,  связанных с использованием сведений, составляющих адвокатскую тайну  и коммерческую тайну адвокатской  фирмы;

1.8. Разработка правил (регламентов, порядков) эксплуатации технических и программных средств с указанием действий в случаях нарушения режима безопасности (подозрений на нарушение);

1.9. Оперативное реагирование (внедрение) на появление новых  разработок в области информационных технологий;

1.10. Совершенствование  нормативно-правовой базы, регламентирующей  порядок обращения и работы  в адвокатской фирме с конфиденциальной  информацией и сведениями, составляющими  адвокатскую тайну и коммерческую  тайну адвокатской фирмы;

1.11. Совершенствование нормативно-правовой базы, регламентирующие порядок обмена конфиденциальной информацией между адвокатской фирмой и сторонними организациями;