Лаб Раб ИБ_1-Конфиденциальная информация. Лабораторная работа 1 конфиденциальная информация
Скачать 120 Kb.
|
Лабораторная работа № 1 КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ Цель работы: Изучение приемов и методов организации антивирусной и парольной защиты и порядка обращения с информацией, подлежащей защите. Изучить: Порядок обращения с информацией подлежащей защите Соглашение о неразглашении конфиденциальной информации 1. ПОРЯДОК ОБРАЩЕНИЯ С ИНФОРМАЦИЕЙ ПОДЛЕЖАЩЕЙ ЗАЩИТЕ Настоящий Порядок разработан с целью соблюдения надлежащих правил обращения с не содержащими государственной тайны конфиденциальными и другими защищаемыми сведениями, а также защиты прав и интересов ОРГАНИЗАЦИИ, ее клиентов и корреспондентов в случае неправомерного обращения с защищаемой информацией. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями. К категориям конфиденциальных относятся сведения, удовлетворяющие следующим критериям: они не являются общеизвестными или общедоступными на законных основаниях; монопольное обладание этими сведениями даёт ОРГАНИЗАЦИИ коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) ОРГАНИЗАЦИИ, его клиентам или корреспондентам (коммерческая тайна); в отношении которых ОРГАНИЗАЦИЯ обязана обеспечить реализацию необходимых мер защиты (банковская тайна, персональные данные, служебная тайна); эти сведения не защищены действующим законодательством (авторским, патентным правом и т.п.). 3. Под банковской тайной понимаются сведения об операциях, счетах и вкладах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите согласно ст. 26 Закона РФ «О банках и банковских деятельности» и ст. 857 Гражданского кодекса. Под служебной тайной понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно «Перечня сведений ограниченного распространения в ОРГАНИЗАЦИИ», введенного Приказом № __ от __.__.__г. Под коммерческой тайной ОРГАНИЗАЦИИ понимаются сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью ОРГАНИЗАЦИИ, разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам. Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность. 4. Перечень сведений (информационных ресурсов), составляющих банковскую тайну определяется в соответствии с Законом РФ «О банках и банковских деятельности». 5. Перечень сведений (информационных ресурсов), составляющих коммерческую тайну ОРГАНИЗАЦИИ, неправильное обращение с которыми может нанести ущерб их собственнику, владельцу или иному лицу, определяется руководством ОРГАНИЗАЦИИ на основании предоставленных действующим законодательством прав. 6. Указанные перечни оформляются в виде “Перечня информационных ресурсов, подлежащих защите” (Приложение 4 к Положению об определении требований к защите (категорировании) ресурсов). Кроме конфиденциальной информации в данный «Перечень ...» включается информация, подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может привести к нанесению ощутимого ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам. 7. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, составляющей коммерческую тайну ОРГАНИЗАЦИИ, имеет право передавать и продавать ее другим юридическим и физическим лицам в качестве товара при условии, что данная сделка не противоречит обязательствам ОРГАНИЗАЦИИ, не ущемляет права и не наносит вред самому ОРГАНИЗАЦИИ, его сотрудникам, клиентам или корреспондентам. Раскрытие юридическим или физическим лицам коммерческой тайны ОРГАНИЗАЦИИ возможно в случае привлечения их к совместной хозяйственной, финансовой и иной деятельности, требующей передачи конфиденциальных сведений, и только в том объеме, который необходим для реализации целей и задач ОРГАНИЗАЦИИ, а также при условии принятия ими на себя обязательств по неразглашению и исключению неправомерного использования полученных сведений. Право принятия решения на передачу (предоставление) конфиденциальных сведений третьим лицам предоставлено только Руководителю ОРГАНИЗАЦИИ. Конфиденциальные сведения других юридических или физических лиц, переданные ОРГАНИЗАЦИИ для выполнения работ или осуществления иной совместной деятельности, и в отношении которых ОРГАНИЗАЦИЯ взяла на себя обязательство о неразглашении и исключении неправомерного их использования, подлежат защите наравне с другими сведениями, составляющими коммерческую тайну ОРГАНИЗАЦИИ. Вся информация, предоставляемая раскрывающей стороной получающей стороне, остается исключительной собственностью раскрывающей стороны. Информация не считается коммерческой тайной, а получающая ее сторона не будет иметь никаких обязательств в отношении данной информации, если она: стала известна получающей стороне в результате неправильного обращения или хранения раскрывающей стороной; стала известна получающей стороне от третьих лиц; независимо разработана получающей стороной, при условии, что лицо или лица, разработавшие ее, не имели доступа к конфиденциальной информации раскрывающей стороны. Передача сведений, составляющих банковскую тайну, осуществляется в строгом соответствии с действующим законодательством. 8. Каждый сотрудник ОРГАНИЗАЦИИ обязан сохранять банковскую, служебную и коммерческую тайну и соблюдать требования обращения с защищаемой информацией, ставшей ему известной (или доступной для манипулирования) в процессе работы. Свои обязательства по сохранению коммерческой тайны ОРГАНИЗАЦИИ он подтверждает при заключении трудового договора (контракта), подписывая “Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией”. Каждый сотрудник обязан знать и выполнять требования настоящего документа и принимать меры по предотвращению несанкционированной утечки (разглашения), искажения, блокирования или уничтожения используемой им в работе информации, подлежащей защите в соответствии с “Перечнем ...”. В случае отсутствия, по мнению исполнителя, в “Перечне...” тех или иных подлежащих защите сведений, он обязан в кратчайший срок через руководителя своего структурного подразделения представить в отдел технической защиты информации Управления безопасности и защиты информации ОРГАНИЗАЦИИ свои предложения о внесении в “Перечень...” необходимых дополнений (изменений) и принятия мер по защите соответствующих информационных ресурсов. 9. Ответственными за принятие необходимых организационных и технических мер безопасности и соблюдение сотрудниками ОРГАНИЗАЦИИ требований обращения с защищаемой информацией являются Управления безопасности и защиты информации ОРГАНИЗАЦИИ (отдел технической защиты информации) и руководители структурных подразделений ОРГАНИЗАЦИИ (в соответствии с закреплением ответственности подразделений в “Перечне сведений...”) 10. Порядок учета, хранения и уничтожения документов и магнитных носителей информации. В подразделениях ОРГАНИЗАЦИИ учет документов и магнитных носителей с защищаемой информацией осуществляется лицами (далее - делопроизводителями), которым поручен прием и учет несекретной документации. На документах, содержащих сведения ограниченного распространения, проставляется пометка “Для служебного пользования”. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа. Использовать другие ограничительные пометки или грифы (“Конфиденциально”, “Банковская тайна” и т.п.) запрещается. Отнесение конкретных документов к документам «ДСП» производится исполнителем (разработчиком) и/или лицом, подписывающим (утверждающим) документ на основании “Перечня ...”. Документы с пометкой “Для служебного пользования”: учитываются, как правило, отдельно от несекретной информации. При незначительном объеме таких документов разрешается вести их учет совместно с другими несекретными документами. К регистрационному номеру (индексу) документа добавляется отметка “ДСП”; на последнем листе (на оборотной стороне) должно быть указано количество экземпляров, фамилия исполнителя, номер его телефона и дата печати. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для делопроизводства. Черновики и варианты уничтожаются секретарем с отражением факта уничтожения в учетных формах. Недописанные по каким-либо причинам проекты документов уничтожаются лично исполнителем; после регистрации передаются сотрудникам подразделений под расписку; пересылаются сторонним организациям заказными почтовыми отправлениями, а при наличии соответствующего договора через органы фельдсвязи или спецсвязи; размножаются (тиражируются) с разрешения начальника подразделения. Разрешение оформляется на последнем листе (на оборотной стороне) размножаемого документа. Учет размноженных документов осуществляется поэкземплярно; хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах). Требования пунктов настоящего Порядка распространяется и на съемные машинные носители информации, содержащие сведения ограниченного распространения. Используемые для записи защищаемой информации носители должны быть учтены у делопроизводителей подразделений ОРГАНИЗАЦИИ. На магнитном носителе проставляются регистрационный номер, пометка “Для служебного пользования”, дата и роспись работника, отвечающего за учет носителей. При необходимости направления документов с пометкой “Для служебного пользования” в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается исполнителем и руководителем подразделения, готовившего документ. Исполненные документы с пометкой “Для служебного пользования” группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. На обложке дела, в которое помещены такие документы, также проставляется пометка “Для служебного пользования”. Уничтожение дел, документов, машинных носителей с пометкой “Для служебного пользования”, утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт. Передача документов и дел с пометкой “Для служебного пользования” от одного работника другому осуществляется с разрешения руководителя подразделения, с отметкой в соответствующих журналах учета. При смене работника, ответственного за учет документов с пометкой “Для служебного пользования”, составляется акт приема-сдачи этих документов, который утверждается начальником управления. Проверка наличия документов, магнитных носителей информации и дел с пометкой “Для служебного пользования” проводится один раз в год комиссией, назначаемой начальником управления. Результаты проверки оформляются актом. Проверка наличия документов и порядка обращения с ними при необходимости может проводиться соответствующими сотрудниками Управления безопасности и защиты информации, а также лицом, которому поручен прием и учет документации ограниченного распространения. В случае невыполнения требований настоящего документа и нанесения Банку, его клиентам и корреспондентам материального или иного ущерба, к получающей стороне (сотруднику, организации) предъявляются требования о его возмещении в соответствии с действующим законодательством. За разглашение (несанкционированную передачу третьим лицам и т.п.) сведений, содержащих персональные данные или составляющих коммерческую или банковскую тайну должностные лица (сотрудники), клиенты и корреспонденты ОРГАНИЗАЦИИ несут уголовную (ст. 183 УК РФ), гражданскую (ст. 139, 857 ГК РФ) или дисциплинарную ответственность в порядке, определяемом действующим законодательством и внутренними нормативными актами ОРГАНИЗАЦИИ. Получающая сторона несет ответственность за: разглашение конфиденциальных сведений (составляющих банковскую тайну, коммерческую тайну или персональных данных) вследствие их неправильного хранения или использования; не пресечение разглашения или неправомерного использования конфиденциальных сведений, после обнаружения факта разглашения. За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой ОРГАНИЗАЦИЕЙ информации, сотрудники ОРГАНИЗАЦИИ несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации. 2. СОГЛАШЕНИЕ О НЕРАЗГЛАШЕНИИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ДОГОВОР № __(о конфиденциальности и неразглашении информации) г. Нальчик " "_________ 200_ г. _______________, именуемое в дальнейшем “Раскрывающая сторона”, ____________, действующего на основании______, с одной стороны и ________, в лице ___________, действующего на основании_______________, именуемый в дальнейшем “Получающая сторона”, с другой стороны, а вместе и далее по тексту - Стороны, заключили настоящий договор, именуемый в дальнейшем “Договор” о нижеследующем: 1. Предмет Договора 1. Согласно Соглашению о научно-техническом сотрудничестве №________ и в рамках проведенных предварительных переговоров и консультаций, Раскрывающая сторона предполагает возможность, по мере необходимости и по своему усмотрению, передавать Получающей стороне определенную информацию, которую считает конфиденциальной или секретом фирмы и которая касается аспектов деятельности фирмы, которое является неотъемлемой частью договора. 2. К настоящему Договору, конфиденциальной информацией следует считать информацию, представленную Раскрывающей стороной Получающей стороне в письменном, электронном или ином виде и относящаяся к предмету коммерческой и иной деятельности или техническим возможностям Раскрывающей стороны, а также к изделиям, услугам, фактическим или аналитическим данным, заключениям и материалам, включая, но не ограничиваясь, заметками, документацией и переписками, которые в соответствии с действующим законодательством РФ не может быть отнесена к коммерческой или служебной тайне. 2. Обязательства сторон Стороны подтверждают понимание важности вопроса и соглашаются принять на себя следующие обязательства: 2.1. В течение 10 лет с даты заключения Договора Получающая сторона не будет разглашать никакой информации, полученной ею от Раскрывающей стороны, являющейся секретом фирмы или конфиденциальной, какому-либо другому лицу, предприятию, организации, фирме и не будет использовать эту информацию для своей собственной выгоды, за исключением цели, определенной сторонами письменно в явном виде. 2.2. Получающая сторона будет соблюдать такую же высокую степень секретности во избежание разглашения или использования этой информации, какую Получающая сторона соблюдала бы в разумной степени в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации такой же степени важности. 3. Особые условия 3.1. Любая информация, либо не определенная подпунктом 1.2. настоящего Договора, но передача которой оформлена в письменном виде и отнесена обеими сторонами к Договору, считается конфиденциальной или секретом фирмы. 3.2. Информация не будет считаться конфиденциальной или секретом фирмы и Получающая сторона не будет иметь никаких обязательств в отношении данной информации, если она удовлетворяет одному из следующих пунктов: 3.2.1. Уже известна Получающей стороне. 3.2.2. Является или становится публично известной в результате неправильного, небрежного или намеренного действия Раскрывающей стороны. 3.2.3. Легально получена от третьей стороны без ограничения и без нарушения Договора. 3.2.4. Представлена третьей стороне Раскрывающей стороной без аналогичного ограничения на права третьей стороны. 3.2.5. Самостоятельно разработана Получающей стороной, при условии, что ни Получающая сторона лично, ни лица, при участии которых она была разработана не имели доступа к конфиденциальной или являющейся секретом фирмы информации. 3.2.6. Разрешена к выпуску письменным разрешением Раскрывающей стороны. 3.2.7. Раскрыта правительству по требованию правительственного органа и Получающая сторона прилагает максимальные усилия, чтобы добиться обращения с этой информацией как с конфиденциальной или являющейся секретом фирмы, либо если раскрытия требует Закон. 3.3. Получающая сторона назначает указанное ниже лицо своим Ответственным за Секретность для получения по ее поручению всей конфиденциальной или являющейся секретом фирмы информации согласно договору. Получающая сторона может сменить своего Ответственного за Секретность в 30-дневный срок после назначения. 3.4. Вся информация, выдаваемая Раскрывающей стороной Получающей стороне в какой-либо форме согласно Договору, будет и останется исключительной собственностью Раскрывающей стороны, и данные и любые их копии должны немедленно возвращаться Раскрывающей стороне по письменному требованию или уничтожаться по усмотрению Раскрывающей стороны. 3.5. Все материальные носители на которых написана конфиденциальная информация, переданные принимающей стороне в соответствии с настоящим договором, а также снятые с них копии, технические и программные средства являются собственностью Раскрывающей стороны и подлежат возврату Получающей стороной в соответствии с указаниями Раскрывающей стороны. 4. Ответственность 4.1. Получающая сторона будет ответственна за: 4.1.1. Неумышленное разглашение или использование конфиденциальной информации, если она не соблюдает столь же высокой степени осторожности, какую бы она соблюдала в разумных пределах в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации аналогичной важности и, - после обнаружения неумышленного разглашения или использования этой информации, она не пытается прекратить ее неумышленное разглашение или использование. 4.1.2. Несанкционированное разглашение или использование конфиденциальной или являющейся секретом фирмы информации лицами, которые работают или работали на нее по найму, если ей не удается охранять эту информацию с такой же высокой степенью тщательности, какую бы она соблюдала в разумных пределах в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации аналогичной важности. 4.2. В случае причинения убытков в результате разглашения конфиденциальной информации Получающей стороной в нарушение настоящего Договора последняя обязана возместить причиненные Получающей стороне убытки в полном объеме. 4.3. Также в случае причинения существенного ущерба Получающей стороне в результате нарушения Договора Раскрывающей стороной, последняя несет ответственность в соответствии с действующим законодательством РФ. 5. Прочие условия 5.1. Ни одна из сторон не будет разглашать факт существования Договора без предварительного согласия другой стороны. 5.2. Договор не может быть поручен или передан Получающей стороной третьей стороне в силу Закона или смены руководства. Любая попытка третьей стороны получить договор от Получающей стороны без предварительного письменного соглашения Раскрывающей стороны будет недействительной. Если третья сторона возбудит судебный иск или другое юридическое действие на предмет раскрытия какой-либо конфиденциальной информации, Получающая сторона немедленно уведомит Раскрывающую сторону и обеспечит ей помощь, какую Раскрывающая сторона потребует для предотвращения разглашения. Настоящий Договор подлежит юрисдикции и толкованию в соответствии с законами РФ. 5.3. Выигравшая сторона в любом иске или судебном разбирательстве между сторонами, вытекающим из настоящего Договора или связанных с ним, будет иметь право на возмещение в разумных пределах гонораров ее адвокатам и издержек, понесенных в связи с любым таким иском или судебным разбирательством. 5.4. В случае реорганизации Получающей стороны все права и обязанности по настоящему Договору переходят к ее правопреемнику. Кроме того лица, в силу должностных обязанностей имеющие доступ к секретной информации, но не ставшие сотрудниками правопреемника, продолжают нести обязанности по сохранению информации в секрете в соответствии с условиями настоящего Договора. 5.5. В случае ликвидации Получающей стороны обязанности по настоящему договору несет каждое лицо, которое в силу своих должностных обязанностей получало информацию, отнесенную настоящим Договором к конфиденциальной или являющейся секретом фирмы. 5.6. Все устные договоренности, закрепленные на каком-либо материальном носителе, по настоящему Договору имеют силу. Договор может быть видоизменен или дополнен в письменной форме, подписанной обеими сторонами. 5.7. Любые разногласия и споры по настоящему договору Стороны будут решать путем переговоров. В случае не достижения соглашения, спор передается на разрешение в Арбитражный суд г. Нальчика. 5.8. Настоящий Договор вступает в силу с момента его подписания. 8. Юридические адреса и подписи сторон: От Раскрывающей стороны От получающей стороны В случае изменения юридического адреса, расчетного счета или обслуживающего банка стороны обязаны в 10-дневный срок уведомить об этом друг друга. Перечень сведений, которые Раскрывающая сторона считает конфиденциальной. Формы, методы и средства коммерческой деятельности. Бизнес-планы, бизнес технологии, бизнес-процессы и коммерческие операции. Информация по маркетингу. Информация, указанная в технической документации по разработкам. Описание процесса изготовления изделия. Схемы составных частей и компоновочные схемы. Необходимые расходные материалы и фурнитура. План–график выполнения работ. Наличие и содержание договоров и соглашений с юридическими и физическими лицами, а также их проектов. Информация по заказчикам. Данные по ценам на продукцию (услуги). Объёмы продаж (поставок) продукции (услуг). Банковские вклады. Сведения по рекламе продукции (услуг). Количественный, поимённый состав и анкетные данные сотрудников, занимаемые ими должности. Служебные, финансовые и товарно-транспортные документы и их копии на любых носителях. Лицензионная и патентная информация, “ноу-хау”. Информация по разрабатываемым проектам, используемая для разработки оборудования и проектной документации. Компьютерные программы. Система и средства защиты информации. А также другая информация, которая может быть передана получающей стороне во время проведения испытаний на ее территории, презентаций, осуществления совместных проектов и совместной деятельности, иная информация, признаваемая конфиденциальной по законодательству Российской Федерации. Задание на выполнение работы Изучить: - порядок обращения с информацией подлежащей защите - соглашение о неразглашении конфиденциальной информации Изучить меры обеспечения непрерывной работы и восстановления автоматизированной системы. Изучить средства обеспечения непрерывной работы и восстановления информации. Изучить порядок составления Плана защиты. Составить План защиты и План обеспечения непрерывной работы на вашем компьютере. Составить пример соглашения о неразглашении конфиденциальной информации. Привести примеры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными действующим законодательством правами и обязанностями. Составить отчет. СПИСОК ЛИТЕРАТУРЫ Минаев В. А. Безопасность электронного бизнеса. - М.: Гелиос АРВ, 2002. Рассолов М. М. Информационное право. - М.: Юристъ, 2006. Горбатов А. С., Фатьянов А. А. Правовые основы защиты информации.- М.: МИФИ, 2006. Барсуков В. С., Водолазкий В. В. Современные технологии безопасности. - М.: Нолидж, 2005. Партыка Т. Л., Попов И. И. Информационная безопасность. - М.: ИНФРА-М, 2004. СПИСОК ЛИТЕРАТУРЫ Минаев В. А. Безопасность электронного бизнеса. - М.: Гелиос АРВ, 2002. Рассолов М. М. Информационное право. - М.: Юристъ, 2006. Горбатов А. С., Фатьянов А. А. Правовые основы защиты информации.- М.: МИФИ, 2006. Барсуков В. С., Водолазкий В. В. Современные технологии безопасности. - М.: Нолидж, 2005. Партыка Т. Л., Попов И. И. Информационная безопасность. - М.: ИНФРА-М, 2004. |