Для группы Ои2-03 по МДК01.01 ЛПР № 11 и 12, лекция 22
учебно-методический материал

Практическая работа № 11 (2 часа)

• Тема: Изучение методики выявления состава носителей защищаемой информации
• Цель работы: изучить методику выявления состава носителей защищаемой информации

• Краткая теория:

Носители информации — материальные объекты, в том числе, физические поля, в которых сведения находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

К носителям информации могут быть отнесены:

• люди;

• материальные тела — документы, изделия, материалы и т.п.;

• машинные носители информации — магнитные, полупроводниковые, оптические и др.

• поля — акустические, электрические, магнитные и электромагнитные (в диапазоне видимого и инфракрасного света, в радиодиапазоне);

• элементарные частицы.

Совокупность объектов защиты информации может быть установлена исходя из анализа ряда определений, приведенных в Государственном стандарте Российской Федерации  Р 51275-  99  «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»:

Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов).

Информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации.

Обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации.

Система обработки информации — совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации.

Рис. 1. Основные источники защищаемой информации

Средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации.

Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

К источникам защищаемой информации (объектам защиты) относятся (рис. 1):

• персонал предприятия, а также подчиненных или взаимодействующих предприятий (организаций), допущенный к информации с ограниченным доступом в установленном порядке или могущий ознакомиться с такой информацией, в том числе непреднамеренно;

• материальные средства, содержащие информацию ограниченного доступа (оборудование, материалы, здания, сооружения, хранилища, транспорт и т.д.);

• информационные ресурсы с ограниченным доступом (информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера);

• средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии, технические средства передачи информации, вспомогательные средства и системы);

• технические средства и системы охраны и защиты материальных и информационных ресурсов.

• Литература:

Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. –  СПб: Академия, 2012. – 416с.

• Задание:

Изучить теоретический материал (с. 96-101). Анализируя полученные знания, правильно и квалифицированно постараться ответить на контрольные вопросы, предложенные ниже.

• Контрольные вопросы. Ответьте на вопросы или раскройте понятия:

1. Носители информации.
2. Объект информатизации.
3. Информационные ресурсы.
4. Информационная технология.
5. Обработка информации.
6. Система обработки информации.
7. Средства обеспечения объекта информатизации.
8. Система защиты информации.
9. Что относится к источникам защищаемой информации (объектам защиты)?
10. Транспортные средства и особенности транспортировки носителей ИОД.

• Оформление отчета:

1. В лабораторной тетради отразить тему, цель.
2. Привести аргументированные ответы на контрольные вопросы.

Практическая работа № 12 (2 часа)

• Тема: Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
• Цель работы: изучить особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа

• Краткая теория:

Особенности рыночных отношений в стране в настоящее время характеризуются жесткой конкуренцией, в том числе недобросовестной, незащищенностью предпринимателей и собственников, связанной с имеющимися недостатками в законодательстве.

В соответствии со ст. 128 Гражданского кодекса Российской Федерации (ГК РФ) информация является объектом гражданско-правовых отношений, входит в состав имущественного комплекса предприятия (ст. 132) и защищается собственником способами, предусмотренными ГК РФ и законодательством (ст. 139).

Таким образом, если речь идет не о государственной, а о коммерческой тайне, то основным органом ее защиты является собственник.

Вместе с тем предпринимательство как процесс очень часто требует использования информации, в том числе ограниченного доступа, во взаимоотношениях с контрагентами. Конечно же основным способом защиты передаваемой контрагентам информации является нормативно-правовое закрепление обязанностей контрагента по ее защите.

Такое закрепление предусмотрено Федеральным законом от 29 июля 2004 г. №. 98-ФЗ «О коммерческой тайне»:

«1. Отношения между обладателем информации, составляющей коммерческую тайну, и его контрагентом в части, касающейся охраны конфиденциальности информации, регулируются законом и договором.

2. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору.

3. В случае, если иное не установлено договором между обладателем информации, составляющей коммерческую тайну, и контрагентом, контрагент в соответствии с законодательством Российской Федерации самостоятельно определяет способы защиты информации, составляющей коммерческую тайну, переданной ему по договору.

4. Контрагент обязан незамедлительно сообщить обладателю информации, составляющей коммерческую тайну, о допущенном контрагентом либо ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании информации, составляющей коммерческую тайну, третьими лицами.

5. Обладатель информации, составляющей коммерческую тайну, переданной им контрагенту, до окончания срока действия договора не может разглашать информацию, составляющую коммерческую тайну, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором.

6. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности информации, переданной по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором». (Статья 12. Охрана конфиденциальности информации в рамках гражданско-правовых отношений).

Анализ приведенной правовой нормы показывает наличие в ней слабых мест, касающихся добросовестного выполнения контрагентом обязательств, предусмотренных частями 2, 3 и особенно 4 и 6 ст. 12 Закона.

Очевидно, что контрагент не заинтересован в том, чтобы в договоре (контракте) присутствовали обязательства, вытекающие из содержания части 2 ст. 12, а при их отсутствии в договоре — самостоятельно принимаемые меры защиты (в соответствии с частью 3) будут минимальными и, возможно, малоэффективными.

Выполнение обязанностей по информированию собственника при разглашении информации контрагентом, предусмотренных частью 4 ст. 12, маловероятно, так как влечет необходимость возмещения убытков в соответствии с частью 6 ст. 12.

Эта особенность требует от собственника информации принятия ряда мер, направленных на защиту своих интересов.

До заключения контракта (договора):

• изучать контрагента с точки зрения его добросовестности; в этих целях могут быть использованы возможности органов государственной власти, ведущих учет недобросовестных предпринимателей (органов внутренних дел, налоговых органов, арбитражных судов и т.п.), общественных предпринимательских объединений, обществ защиты прав потребителей, аудиторских фирм;

• использовать возможности службы безопасности предприятия для изучения контрагента и его руководителей в рамках Закона РФ от 11 марта 1992 г. № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»;

• разрабатывать типовые контракты (договора), обеспечивающие защиту интересов предприятия в информационной сфере, использовать в этих целях специалистов службы безопасности, а также опыт других предприятий.

При заключении контракта (договора):

• отстаивать при проведении переговоров о подписании контрактов необходимость включения в них положений типовых контрактов, обеспечивающих защиту интересов предприятия в информационной сфере;

• привлекать специалистов службы безопасности предприятия к проведению переговоров;

• использовать специализированные фирмы для оценки проектов контрактов с учетом достаточности изложенных в них мер защиты информации предприятия.

После заключения контракта:

• документировать факты передачи информации ограниченного доступа контрагенту;

• контролировать наличие на носителях передаваемой информации, установленных законодательством атрибутов;

• осуществлять мониторинг рынка с целью выявления товаров и услуг, произведенных с использованием незаконно полученной информации предприятия.

• Литература:

Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. –  СПб: Академия, 2012. – 416с.

• Задание:

Изучить теоретический материал (с.101-103).Анализируя полученные знания, правильно и квалифицированно постараться ответить на контрольные вопросы, предложенные ниже.

• Контрольные вопросы. Ответьте на вопросы или раскройте понятия:

1. Каким документом закрепляется нормативно-правовое закрепление обязанностей контрагента по ее защите?
2. Укажите основное содержание данного документа.
3. Проведите анализ данной правовой формы.
4. Какие меры должен предпринять собственник до заключения контракта (договора)?
5. Какие меры должен предпринять собственник при заключения контракта (договора)?
6. Какие меры должен предпринять собственник после заключения контракта (договора)?

• Оформление отчета:

1. В лабораторной тетради отразить тему, цель.
2. Привести аргументированные ответы на контрольные вопросы.