Теория и методология защиты информации в адвокатской конторе

1.12. Обеспечение принципа разграничения доступа: информация должна быть доступна только тем, кому она предназначена и разрешена;

1.13. Предоставление сотрудникам  минимально достаточных прав  по доступу к информации, необходимых  для выполнения ими своих функциональных  обязанностей;

1.14. Использование E-mail только в служебных целях;

1.15. Пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации.

2. Технические меры:

2.1. Использование лицензионного  программного обеспечения;

2.2. Использование сертифицированных  средств защиты информации для  обработки, хранения и передачи конфиденциальной информации;

2.3. Соблюдение положений  информационно-технологической политики  адвокатской фирмы;

2.4. Обеспечение безотказной  работы аппаратных средств;

2.5. Проведение комплексной  антивирусной защиты;

2.6. Проведение аудита (контроль за деятельностью пользователей – успешный или неуспешный доступ к сетевым ресурсам, вход-выход в систему и пр.);

2.7. Проведение контроля  трафика сети на отдельных  ее участках (сегментах);

2.8. Проведение контроля  состояния программного и информационного  обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей);

2.9. Проведение эффективной  парольной защиты;

2.10. Обеспечение резервного  копирования;

2.11. Проведение контроля за несанкционированными физическими подключениями к автоматизированным системам;

2.12. Внедрение в ЛВС  современной системы обнаружения  вторжений;

2.13. Использование для  подключения к почтовому серверу  защищенного соединения с целью  шифрования паролей;

2.14. Запрет несанкционированного  доступа к ЛВС через удаленное  соединение.

3. Режимные меры:

3.1. Хранение информации  ограниченного распространения,  составляющей адвокатскую тайну  и коммерческую тайну адвокатской  фирмы, разрешено только на  специально подготовленной вычислительной технике, расположенной в специальных (выделенных) помещениях с ограниченным доступом;

3.2. Круг лиц из числа  сотрудников адвокатской фирмы,  имеющих право работы со сведениями, составляющими адвокатскую тайну  и коммерческую тайну адвокатской фирмы, должен быть ограничен;

3.3. Установление специальных  режимных мер, применяемых в  целях защиты информации в  адвокатской фирме (ведение специального  делопроизводства, выделение специально  оборудованных помещений, поддержание  необходимого уровня пропускного и внутриобъектового режима, подбор кадров, проведение комплексных защитно-поисковых мероприятий и т.п.);

3.4. Аттестация объектов  информатизации на соответствие  требованиям обеспечения защиты  информации при проведении работ,  связанных с использованием конфиденциальных сведений, составляющих коммерческую тайну адвокатской фирмы;

3.5. Совершенствование  пропускного и внутриобъектового  режима в адвокатской фирме  и повышение ответственности  сотрудников за выполнение требований установленных режимов;

3.6. Разграничение доступа  и контроль за доступом в  выделенные помещения;

3.7. Создание эффективной  системы контроля за выполнением  сотрудниками адвокатской фирмы  требований локальных нормативных  актов по обеспечению защиты информации адвокатской фирмы;

3.8. Совершенствование  нормативно-правовой базы, регламентирующей  порядок обращения и работы  в адвокатской фирме с конфиденциальной  информацией и сведениями, составляющими  адвокатскую тайну и коммерческую тайну адвокатской фирмы.

 

VI. Организация системы обеспечения защиты информации в адвокатской конторе

Система обеспечения  информационной безопасности адвокатской  фирмы строится на основе разграничения  полномочий управленческих и функциональных подразделений адвокатской фирмы  в данной сфере.

Основными элементами организационной системы обеспечения информационной безопасности адвокатской фирмы являются: Президент адвокатской фирмы, управляющие партнеры и служба защиты информации.

Президент адвокатской  фирмы определяет приоритетные направления  деятельности в области обеспечения защиты информации в адвокатской фирме и меры по реализации Концепции защиты информации, утверждает списки сведений, подлежащих защите.

Управляющие партнеры с  учетом определенных Президентом адвокатской  фирмы приоритетных направлений в области обеспечения защиты информации предусматривают выделение средств, необходимых для реализации программ и координируют деятельность подразделений с учетом требований защиты информации в адвокатской конторе.

Служба защиты информации во взаимодействии с другими структурными подразделениями адвокатской фирмы обеспечивает выполнение административно-правовых, организационных и режимных мер по обеспечению защиты информации, координирует деятельность подразделений адвокатской фирмы в области информационной безопасности, проводит работу по выявлению и оценке угроз, разрабатывает предложения по их предотвращению, контролирует деятельность подразделений по обеспечению информационной безопасности.

Руководители структурных  подразделений адвокатской фирмы обеспечивают выполнение всеми подчиненными сотрудниками установленных требований в области обеспечения защиты информации.

Обеспечение защиты информации в адвокатской фирме непосредственно  на рабочих местах возлагается на сотрудников адвокатской фирмы.

 

VII. Ответственность за нарушение требований защиты информации в адвокатской фирме

По степени опасности  нарушения, связанные с несоблюдением  локальных нормативных актов  по обеспечению защиты информации в  адвокатской фирме делятся на две группы:

1. Нарушения, повлекшие за собой наступление указанных выше нежелательных для адвокатской фирмы последствий (утечку или уничтожение информации);

2. Нарушения, в результате  которых созданы предпосылки,  способные привести к нежелательным  для адвокатской фирмы последствиям (угроза уничтожения или утраты информации).

Нарушение требований локальных  нормативных актов адвокатской  фирмы по обеспечению защиты информации в адвокатской фирме является чрезвычайным происшествием и влечет за собой последствия, предусмотренные  действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между адвокатской фирмой и сотрудниками.

Степень ответственности  за нарушение требований локальных  нормативных актов в области  защиты информации в адвокатской фирме определяется исходя из размера ущерба, причиненного адвокатской фирме.

Руководители структурных  подразделений адвокатской фирмы  несут персональную ответственность  за обеспечение защиты информации в  возглавляемых ими подразделениях.

VIII. Ожидаемые результаты реализации концепции защиты информации в адвокатской фирме

Реализация  настоящей Концепции позволит:

• улучшить организационную структуру системы защиты информации в адвокатской фирме, ее кадровое обеспечение;
• повысить оснащенность адвокатской фирмы высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;
• улучшить обеспеченность адвокатской фирмы документами в области защиты информации;

В результате будет  создана система, соответствующая задачам обеспечения защиты информации в адвокатской конторе, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности адвокатской конторы.

 

2.2. Оценка  степени важности полученной  информации

 

Так как система организации  защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий, то крайне важным представляется ознакомление с полученной информацией.

Например, знание объекта  и предмета защиты в адвокатской  конторе позволит определиться с  целями и задачами разрабатываемой системы защиты информации на предприятии, знание возможностей методов и средств защиты информации позволит активно и комплексно применить их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации. Аналитические исследования, моделирование вероятных угроз позволят наметить при необходимости дополнительные меры защиты. При этом характеристика предприятия поможет оценить вероятность выполнения мер защиты, наличие методического материала, материального обеспечения, готовность службы защиты информации и персонала выполнить все необходимые меры. Знание недостатков в обеспечении сохранности конфиденциальной информации поможет спланировать дальнейшие мероприятия по обеспечению защиты информации.

Таким образом, я могу сделать вывод, что полученная информация не только поможет определиться с  целями и задачами создания службы защиты информации, но и усовершенствовать  уже имеющуюся службу защиты информации и спланировать дальнейшие мероприятия по защите конфиденциальной и общедоступной информации в адвокатской конторе «Юстина».

 

3. Рекомендации

 

I. Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (СлЗИ).

1. Руководитель предприятия  своим приказом должен назначить  начальника службы защиты информации  во главе группы компетентных  сотрудников, которые высказывают  свои предложения по объему, уровню  и способам обеспечения сохранности конфиденциальной информации.

2. Руководитель группы, обладая соответствующей квалификацией  в этой области, с привлечением  отдельных специалистов должен  сформировать предварительный список  сведений, которые в дальнейшем  войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».

3. Руководитель группы  на основе этого списка должен  определить и представить на  согласование необходимые к защите  объекты (оборудование для обработки  и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием различных тайн).

4. Необходимы анализ  существующих мер защиты соответствующих  объектов, определение степени их  недостаточности, неэффективности, физического и морального износа.

5. Необходимо изучение  зафиксированных случаев попыток  несанкционированного доступа к  охраняемым информационным ресурсам  и разглашения информации.

6. На основе опыта  предприятия, а также используя  метод моделирования ситуаций, группа специалистов должна выявить возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.

7. На основе собранных  данных необходимо оценить возможный  ущерб предприятия от каждого  вида угроз, который становится  определяющим фактором для категорирования  сведений в «Перечне» по степени  важности, например — для служебного  пользования, конфиденциально, строго конфиденциально.

8. Необходимо определить  сферы обращения каждого вида  конфиденциальной информации: по  носителям, по территории распространения,  по допущенным пользователям.  Для решения этой задачи группа  привлекает руководителей структурных подразделений и изучает их пожелания.

9. Группе необходимо  подготовить введение указанных  мер защиты.

Начальник СлЗИ является новой штатной единицей. На эту  должность необходимо взять профессионала  и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

В адвокатской фирме  «Юстина» целесообразно организовать Службу защиты информации в следующем  составе:

• Руководитель СлЗИ;
• сотрудник, занимающийся программно-аппаратной защитой;
• сотрудник, занимающийся инженерно-технической защитой.