Игорь Чумарин - Тайна предприятия - что и как защищать

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274:

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их Сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.

ИНСТРУКЦИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ.

Одним из основных локальных нормативных актов предприятия, регламентирующих оборот конфиденциальных сведений, является Инструкция по защите конфиденциальной информации

в информационной системе предприятия. Обратите внимание на то, что эта Инструкция не является элементом технической документации - это внутренний правовой акт, и относиться к нему необходимо именно с этой точки зрения. Технические и программные тонкости системы защиты описываются в иной документации.

Вариант.

1. Общие положения.

1.1. ЦЕЛИ

Целью данного документа является четкая регламентация эффективных мер защиты и надежного сохранения информации, являющейся конфиденциальной согласно Положению о конфиденциальной информации Предприятия и обращающейся в информационной системе (ИС). Мероприятия защиты проводятся для обеспечения физической и логической целостности, а также для предупреждения несанкционированного получения, распространения и модификации информации. Меры защиты подразумевают обязательное наличие ответственного за защиту информации в ИС лица, выработку и неукоснительное соблюдение организационных мер, а также

постоянный контроль со стороны службы безопасности (СБ).

1.2. ОПРЕДЕЛЕНИЯ

Ресурс - компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.

Конфиденциальность ресурса - свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.

Целостность ресурса - обеспечение его правильности и работоспособности в любой момент времени. I

Доступность ресурса - обеспечение беспрепятственного до- | ступа к нему авторизованного субъекта ИС. |

Субъекты ИС - пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.

Авторизованный субъект - субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными

актами.

АРМ - автоматизированное рабочее место, персональное,

созданное на основе персональной электронной вычислительной машины.

2. Допуск к использованию ресурсов.

2.1. ОБЩИЕ ПОЛОЖЕНИЯ

Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:

4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.

Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».

Под допуском подразумевается официальное присвоение

сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.