Теорія і методологія захисту інформації в адвокатській конторі

8. Виявити канали і методи несанкціонованого доступу до інформації, що захищається на підприємстві.
9. Визначити основні напрямки, методи та засоби захисту інформації на підприємстві.

2. Висновок
2.1. Концепція захисту інформації в адвокатській фірмі «Юстина»
Затверджено
постановою
Президента фірми «Юстина»
від _______ 200_року № __
Концепція захисту інформації в адвокатській фірмі «Юстина»
Мета розробки та впровадження Концепції - визначення основних положень політики адвокатської фірми в області захисту інформації та створення єдиної системи правових, організаційних, технічних та інших заходів, надійно забезпечують захищеність адвокатської фірми в інформаційній сфері.
Концепція є основою для розробки цільових програм щодо забезпечення захисту інформації адвокатської фірми та підготовки пропозицій щодо їх вдосконалення.
I. Загальні положення
Відправною точкою при розробці політики адвокатської фірми в галузі захисту інформації є чітке розуміння ролі і місця системи захисту інформації в діяльності адвокатської фірми і в сфері забезпечення його безпеки в цілому. Захист інформації є одним з елементів загальної політики адвокатської фірми в області безпеки, яка охоплює більш широке коло питань, починаючи від охорони матеріальних цінностей адвокатської фірми та захисту її персоналу до використання криптографічних засобів захисту інформації та запобігання можливого витоку інформації за рахунок побічних електромагнітних випромінювань. Елементи загальної системи безпеки адвокатської фірми повинні бути взаємопов'язані та узгоджені.
Захист інформації в адвокатській фірмі грунтується на ряді основних принципів:
─ законності - дотримання законодавства Російської Федерації щодо захисту інформації та законних інтересів всіх учасників інформаційного обміну;
─ пріоритетності - попереднє категоріювання (ранжування) інформаційних ресурсів адвокатської фірми за ступенем важливості у вигляді переліків відомостей, що підлягають захисту, і оцінка реальних загроз інформаційній безпеці;
─ комплексного підходу - узгодження заходів, що проводяться в області захисту інформації адвокатської фірми, з усім комплексом заходів з фізичної та технічної безпеки адвокатської фірми, а також протидія усім можливим загрозам інформаційної безпеки адвокатської фірми; оптимальне поєднання проведених заходів;
─ єдиної політики - координація діяльності різних підрозділів адвокатської фірми зі створення і підтримання необхідного рівня захисту інформації в адвокатській фірмі, визначення обов'язків і відповідальності підрозділів (їх керівників);
─ доцільності - витрати на забезпечення захисту інформації не повинні перевищувати втрати, які може понести адвокатська фірма при реалізації загроз.
Політика в галузі захисту інформації в адвокатській фірмі включає наступні основні етапи:
─ визначення інформації, що підлягає захисту (об'єкти захисту);
─ визначення можливих негативних впливів на захищає інформацію (загрози) і способів реалізації цих загроз;
─ визначення цінності інформації, що захищається (ризики) і її ранжування;
─ розробка комплексу заходів з підтримання необхідного рівня захисту інформації;
─ розподіл повноважень і відповідальності за забезпечення встановленого режиму безпеки.
Законодавчою основою цієї Концепції є Конституція Російської Федерації, Цивільний і Кримінальний кодекси, закони, укази, постанови, інші нормативні документи чинного законодавства Російської Федерації, документи Федеральної служби з технічного та експортного контролю (ФСТЕК), а також нормативно-методичні матеріали та організаційно-розпорядчі документи організації, що відображають питання забезпечення інформаційної безпеки підприємства.
II. Цілі і завдання захисту інформації в адвокатській конторі
Цілями захисту інформації в адвокатській фірмі є:
· Запобігання витоку, розкрадання, втрати, спотворення, підробки конфіденційної інформації (комерційної та адвокатської таємниці);
· Запобігання загрозам безпеки особистості та адвокатської контори;
· Запобігання несанкціонованих дій по знищенню, модифікації, спотворення, копіювання, блокування конфіденційної інформації;
· Запобігання інших форм незаконного втручання в інформаційні ресурси і системи, забезпечення правового режиму документованої інформації як об'єкта власності;
· Захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, наявних в інформаційних системах;
· Збереження, конфіденційності документованої інформації відповідно до законодавства.
До завдань захисту інформації в адвокатській фірмі належать:
1. Забезпечення діяльності адвокатської фірми режимним інформаційним обслуговуванням, тобто постачанням всіх служб, підрозділів та посадових осіб необхідною інформацією, як засекреченої, так і несекретної. При цьому діяльність по захисту інформації по можливості не повинна створювати великих перешкод та незручностей у вирішенні виробничих і інших завдань, і в той же час сприяти їх ефективному вирішенню, давати адвокатській конторі переваги перед конкурентами і виправдовувати витрати коштів на захист інформації.
2. Гарантія безпеки інформації, її засобів, запобігання витоку інформації, що захищається і попередження будь-якого несанкціонованого доступу до носіїв засекреченої інформації.
3. Відпрацювання механізмів оперативного реагування на загрози, використання юридичних, економічних, організаційних, соціально-психологічних, інженерно-технічних засобів і методів виявлення і нейтралізації джерел загроз безпеці адвокатської фірми.
4. Документування процесу захисту інформації з тим, щоб у разі виникнення необхідності звернення до правоохоронних органів, мати відповідні докази, що адвокатська фірма приймала необхідні заходи до захисту цих відомостей.
5.Організація спеціального діловодства, що виключає несанкціоноване отримання конфіденційної інформації.
III. Основні об'єкти захисту
Основними об'єктами захисту в адвокатській фірмі є:
1.Інформаціонние ресурси, що містять відомості, віднесені відповідно до чинного законодавства до адвокатської таємниці, комерційної таємниці та іншої конфіденційної інформації (надалі - захищається інформації);
2.Средства і системи інформатизації (засоби обчислювальної техніки, інформаційно-обчислювальні комплекси, мережі, системи), на яких проводиться обробка, передача та зберігання інформації, що захищається;
3.Программние засоби (операційні системи, системи управління базами даних, інше загальносистемне і прикладне програмне забезпечення) автоматизованої системи адвокатської фірми, за допомогою яких проводиться обробка інформації, що захищається;
4.Помещенія, призначені для ведення закритих переговорів і нарад;
5.Помещенія, в яких розташовані засоби обробки інформації, що захищається;
6.Техніческіе засоби і системи, що обробляють відкриту інформацію, але розміщені в приміщеннях, в яких обробляється захищається інформація.
Підлягає захисту інформація може знаходитися в адвокатській фірмі:
─ на паперових носіях;
─ в електронному вигляді (оброблятися, передаватися і зберігатися засобами обчислювальної техніки);
─ передаватися по телефону, телефаксу, телексу і т.п. у вигляді електричних сигналів;
─ проводитися у вигляді акустичних і вібросигналів в повітряному середовищі і огороджувальних конструкціях під час нарад та переговорів;
─ записуватися і відтворюватися за допомогою технічних засобів (диктофони, відеомагнітофони та ін.)
IV. Загрози інформації, що захищається і можливі джерела їх виникнення
Під погрозами захищається інформації розуміються потенційно можливі негативні впливи на захищає інформацію, до числа яких належать:
1.Утрата відомостей, що становлять адвокатську таємницю, комерційну таємницю адвокатської фірми та іншу захищається інформацію, а також спотворення (несанкціонована модифікація, підробка) такої інформації;
2.Утечка - несанкціоноване ознайомлення з захищається сторонніх осіб (несанкціонований доступ, копіювання, розкрадання тощо), а також витік інформації з каналів зв'язку та за рахунок побічних електромагнітних випромінювань;
3.Недоступность інформації в результаті її блокування, збою устаткування або програм, дезорганізації функціонування операційних систем робочих станцій, серверів, маршрутизаторів, систем управління баз даних, розподілених обчислювальних мереж, дії вірусів, стихійних лих та інших форс-мажорних обставин.
Джерелами (каналами) виникнення загроз можуть бути:
─ стихійні лиха (пожежі, повені тощо);
─ технічні аварії (раптове відключення електроживлення, протікання і т.п.);
─ несанкціоноване отримання ідентифікаторів користувачів і їх паролів, паролів доступу до загальних ресурсів;
─ несанкціонована передача інформації, що захищається з внутрішньої (локальної) мережі в глобальну мережу Internet;
─ навмисне чи ненавмисне розголошення інформації, що захищається;
─ розкрадання носіїв інформації або несанкціоноване копіювання інформації;
─ посилка в ЛВС пакетів, що порушують нормальну роботу мережі;
─ впровадження програм-троянів, резидентних програм, що забезпечують отримання повного контролю над комп'ютером;
─ впровадження деструктивних програм - вірусів, мережевих черв'яків і пр.;
─ проникнення шкідливих програм через Internet, електронну пошту, гнучкі диски, CD-диски;
─ отримання інформації про топологію мережі, принципах її функціонування, характеристичної інформації мережі або ділянки мережі;
─ розкрадання, фізичний виведення з ладу технічних засобів;
─ прослуховування мережевого трафіку (з метою отримання інформації про мережеві ресурси, хешірованних паролі, ідентифікатори користувачів і ін) з використанням легальних робочих станцій;
─ прослуховування мережевого трафіку з використанням нелегальних комп'ютерів, підключених до ЛВС фізично (локально) або віддалено;
─ впровадження технічних і програмних засобів скритного знімання інформації з робочих станцій, засобів зв'язку, з приміщень адвокатської фірми, в яких обробляється захищається інформація;
─ використання спеціальних методів і технічних засобів (побічні випромінювання, наведення по ланцюгах живлення, електронні закладки, дистанційне приховане відеоспостереження чи фотографування застосування підслуховуючих пристроїв, перехоплення електромагнітних випромінювань і наведень і т.п.);
─ використання для доступу до інформації так званих "люків", "дірок" і "лазівок" та інших можливостей обходу механізму розмежування доступу, що виникають внаслідок недосконалості загальносистемних компонентів програмного забезпечення (операційних систем, систем управління базами даних та ін) і неоднозначності мов програмування , що застосовуються в автоматизованих системах обробки даних;
─ незаконне підключення спеціальної реєструючої апаратури до пристроїв чи лініями зв'язку (перехоплення модемного і факсимільного зв'язку);
─ навмисна зміна використовуваного програмного забезпечення для несанкціонованого збору інформації, що захищається.
V. Заходи щодо забезпечення захисту інформації в адвокатській конторі
Основними заходами щодо забезпечення захисту інформації в адвокатській фірмі є:
─ адміністративно-правові та організаційні;
─ технічні, засновані на використанні апаратно-програмних і спеціальних засобів;
─ режимні.
1. Адміністративно-правові та організаційні заходи:
1.1. Визначення правового статусу всіх суб'єктів відносин в інформаційній сфері, включаючи користувачів інформаційних і комунікаційних систем, встановлення їх відповідальності за дотримання нормативних правових актів адвокатської фірми в цій сфері;
1.2. Розробка переліку можливих порушень інформаційної безпеки і локальних нормативних актів, що визначають порядок захисту інтересів адвокатської фірми у сфері захисту інформації;
1.3. Оцінка ефективності діючих в адвокатській фірмі локальних нормативних актів щодо забезпечення захисту інформації;
1.4. Включення в посадові інструкції співробітників обов'язків і відповідальності в галузі забезпечення захисту інформації;
1.5. Удосконалення системи навчання співробітників адвокатської фірми з питань захисту інформації в адвокатській фірмі;
1.6. Підготовка та підвищення кваліфікації фахівців у сфері захисту інформації;
1.7. Атестація об'єктів інформатизації щодо виконання вимог забезпечення захисту інформації при проведенні робіт, пов'язаних з використанням відомостей, що становлять адвокатську таємницю і комерційну таємницю адвокатської фірми;
1.8. Розробка правил (регламентів, порядків) експлуатації технічних і програмних засобів із зазначенням дій у випадках порушення режиму безпеки (підозр на порушення);
1.9. Оперативне реагування (впровадження) на появу нових розробок в області інформаційних технологій;
1.10. Удосконалення нормативно-правової бази, яка регламентує порядок звернення та роботи в адвокатській фірмі з конфіденційною інформацією та даними, що становлять адвокатську таємницю і комерційну таємницю адвокатської фірми;
1.11. Удосконалення нормативно-правової бази, що регламентують порядок обміну конфіденційною інформацією між адвокатською фірмою і сторонніми організаціями;
1.12. Забезпечення принципу розмежування доступу: інформація повинна бути доступна тільки тим, кому вона призначена і дозволена;
1.13. Надання співробітникам мінімально достатніх прав з доступу до інформації, необхідних для виконання ними своїх функціональних обов'язків;
1.14. Використання E-mail тільки в службових цілях;
1.15. Користувачі інформаційних ресурсів повинні знати про наявність системи контролю та захисту інформації.
2. Технічні заходи:
2.1. Використання ліцензійного програмного забезпечення;
2.2. Використання сертифікованих засобів захисту інформації для обробки, зберігання та передачі конфіденційної інформації;
2.3. Дотримання положень інформаційно-технологічної політики адвокатської фірми;
2.4. Забезпечення безвідмовної роботи апаратних засобів;
2.5. Проведення комплексного антивірусного захисту;
2.6. Проведення аудиту (контроль за діяльністю користувачів - успішний або неуспішна доступ до мережевих ресурсів, вхід-вихід в систему тощо);
2.7. Проведення контролю трафіку мережі на окремих її ділянках (сегментах);
2.8. Проведення контролю стану програмного та інформаційного забезпечення комп'ютерів (складу і цілісності програмного забезпечення, коректності настроювань і т.д.) і маршрутизаторів (маршрутних таблиць, фільтрів, паролів);
2.9. Проведення ефективної парольного захисту;
2.10. Забезпечення резервного копіювання;
2.11. Проведення контролю за несанкціонованими фізичними підключеннями до автоматизованих систем;
2.12. Впровадження в ЛВС сучасної системи виявлення вторгнень;
2.13. Використання для підключення до поштового сервера захищеного з'єднання з метою шифрування паролів;
2.14. Заборона несанкціонованого доступу до ЛВС через віддалене з'єднання.
3. Режимні заходи:
3.1. Зберігання інформації обмеженого поширення, що становить адвокатську таємницю і комерційну таємницю адвокатської фірми, дозволене тільки на спеціально підготовленій обчислювальної техніки, розташованої в спеціальних (виділених) приміщеннях з обмеженим доступом;
3.2. Коло осіб з числа співробітників адвокатської фірми, що мають право роботи з відомостями, складовими адвокатську таємницю і комерційну таємницю адвокатської фірми, повинен бути обмежений;
3.3. Встановлення спеціальних режимних заходів, що застосовуються в цілях захисту інформації в адвокатській фірмі (ведення спеціального діловодства, виділення спеціально обладнаних приміщень, підтримання необхідного рівня пропускного і внутрішньооб'єктового режиму, підбір кадрів, проведення комплексних захисно-пошукових заходів тощо);
3.4. Атестація об'єктів інформатизації на відповідність вимогам забезпечення захисту інформації при проведенні робіт, пов'язаних з використанням конфіденційних відомостей, що становлять комерційну таємницю адвокатської фірми;
3.5. Удосконалення пропускного та внутрішнього режиму в адвокатській фірмі і підвищення відповідальності працівників за виконання вимог встановлених режимів;
3.6. Розмежування доступу та контроль за доступом у виділені приміщення;
3.7. Створення ефективної системи контролю за виконанням співробітниками адвокатської фірми вимог локальних нормативних актів щодо забезпечення захисту інформації адвокатської фірми;
3.8. Удосконалення нормативно-правової бази, яка регламентує порядок звернення та роботи в адвокатській фірмі з конфіденційною інформацією та даними, що становлять адвокатську таємницю і комерційну таємницю адвокатської фірми.
VI. Організація системи забезпечення захисту інформації в адвокатській конторі
Система забезпечення інформаційної безпеки адвокатської фірми будується на основі розмежування повноважень управлінських і функціональних підрозділів адвокатської фірми в даній сфері.
Основними елементами організаційної системи забезпечення інформаційної безпеки адвокатської фірми є: Президент адвокатської фірми, керуючі партнери і служба захисту інформації.
Президент адвокатської фірми визначає пріоритетні напрями діяльності у галузі забезпечення захисту інформації в адвокатській фірмі і заходи з реалізації Концепції захисту інформації, затверджує списки відомостей, які підлягають захисту.
Керуючі партнери з урахуванням визначених Президентом адвокатської фірми пріоритетних напрямів у сфері забезпечення захисту інформації передбачають виділення коштів, необхідних для реалізації програм і координують діяльність підрозділів з урахуванням вимог захисту інформації в адвокатській конторі.
Служба захисту інформації у взаємодії з іншими структурними підрозділами адвокатської фірми забезпечує виконання адміністративно-правових, організаційних та режимних заходів щодо забезпечення захисту інформації, координує діяльність підрозділів адвокатської фірми в області інформаційної безпеки, проводить роботу з виявлення та оцінки загроз, розробляє пропозиції щодо їх запобігання, контролює діяльність підрозділів по забезпеченню інформаційної безпеки.
Керівники структурних підрозділів адвокатської фірми забезпечують виконання всіма підлеглими співробітниками встановлених вимог у галузі забезпечення захисту інформації.
Забезпечення захисту інформації в адвокатській фірмі безпосередньо на робочих місцях покладається на співробітників адвокатської фірми.
VII. Відповідальність за порушення вимог захисту інформації в адвокатській фірмі
За ступенем небезпеки порушення, пов'язані з недотриманням локальних нормативних актів щодо забезпечення захисту інформації в адвокатській фірмі діляться на дві групи:
1. Порушення, що спричинили за собою настання зазначених вище небажаних для адвокатської фірми наслідків (витік або знищення інформації);
2. Порушення, в результаті яких створені передумови, здатні привести до небажаних для адвокатської фірми наслідків (загроза знищення або втрати інформації).
Порушення вимог локальних нормативних актів адвокатської фірми щодо забезпечення захисту інформації в адвокатській фірмі є надзвичайною подією і тягне за собою наслідки, передбачені чинним законодавством Російської Федерації, локальними нормативними актами і договорами, укладеними між адвокатською фірмою та працівниками.
Ступінь відповідальності за порушення вимог локальних нормативних актів у галузі захисту інформації в адвокатській фірмі визначається виходячи з розміру шкоди, заподіяної адвокатській фірмі.
Керівники структурних підрозділів адвокатської фірми несуть персональну відповідальність за забезпечення захисту інформації в очолюваних ними підрозділах.
Так як система організації захисту конфіденційної інформації включає в себе комплекс заздалегідь розроблених на певний строк заходів, що охоплюють сукупність усіх видів діяльності, спрямованих на вдосконалення забезпечення схоронності інформації з урахуванням змін зовнішніх і внутрішніх умов і розпорядчих конкретним особам або підрозділів певний порядок дій, то вкрай важливим представляється ознайомлення з отриманою інформацією.
Наприклад, знання об'єкта і предмета захисту в адвокатській конторі дозволить визначитися з цілями і завданнями системи, що розробляється захисту інформації на підприємстві, знання можливостей методів і засобів захисту інформації дозволить активно і комплексно застосувати їх при розгляді та використання правових, організаційних та інженерно-технічних заходів захисту конфіденційної інформації. Аналітичні дослідження, моделювання ймовірних загроз дозволять намітити при необхідності додаткові заходи захисту. При цьому характеристика підприємства допоможе оцінити ймовірність виконання заходів захисту, наявність методичного матеріалу, матеріального забезпечення, готовність служби захисту інформації та персоналу виконати всі необхідні заходи. Знання недоліків у забезпеченні схоронності конфіденційної інформації допоможе спланувати подальші заходи щодо забезпечення захисту інформації.
Таким чином, я можу зробити висновок, що отримана інформація не тільки допоможе визначитися з цілями і завданнями створення служби захисту інформації, а й удосконалити вже наявну службу захисту інформації та спланувати подальші заходи щодо захисту конфіденційної і загальнодоступної інформації в адвокатській конторі «Юстина».

3. Рекомендації
I. Для забезпечення працездатності розробленої системи захисту інформації необхідно створити спеціальний відділ у складі організації, що займається цими питаннями - Службу захисту інформації (СлЗІ).
1. Керівник підприємства своїм наказом повинен призначити начальника служби захисту інформації на чолі групи компетентних співробітників, які висловлюють свої пропозиції за обсягом, рівнем і способам забезпечення збереження конфіденційної інформації.
2. Керівник групи, володіючи відповідною кваліфікацією в цій області, із залученням окремих фахівців повинен сформувати попередній список відомостей, які в подальшому увійдуть до «Переліку відомостей, що становлять конфіденційну інформацію підприємства».
3. Керівник групи на основі цього списку повинен визначити та подати на погодження необхідні до захисту об'єкти (обладнання для обробки та обігу інформації, програмне забезпечення, комунікації для передачі конфіденційних даних, носії інформації, персонал, допущений до роботи з використанням різних таємниць).
4. Необхідні аналіз існуючих заходів захисту відповідних об'єктів, визначення ступеня їх недостатності, неефективності, фізичного і морального зносу.
5. Необхідно вивчення зафіксованих випадків спроб несанкціонованого доступу до інформаційних ресурсів і розголошення інформації.
6. На основі досвіду підприємства, а також використовуючи метод моделювання ситуацій, група фахівців повинна виявити можливі шляхи несанкціонованих дій по знищенню інформації, її копіювання, модифікації, спотворення, використання і т. п. Загрози ранжуються за ступенем значущості і класифікуються за видами впливу.
7. На основі зібраних даних необхідно оцінити можливий збиток підприємства від кожного виду загроз, який стає визначальним чинником для категоріювання відомостей у «Переліку» за ступенем важливості, наприклад - для службового користування, конфіденційно, суворо конфіденційно.
8. Необхідно визначити сфери обігу кожного виду конфіденційної інформації: по носіях, по території розповсюдження, з допущених користувачам. Для вирішення цього завдання група залучає керівників структурних підрозділів і вивчає їхні побажання.
9. Групі необхідно підготувати введення зазначених заходів захисту.
Начальник СлЗІ є новою штатною одиницею. На цю посаду необхідно взяти професіонала та спеціаліста в галузі захисту інформації, а також добре знає юридичну сторону цієї проблеми, що має досвід керівництва і координації роботи подібних служб. Вимоги - вища професійна освіта і стаж роботи в галузі захисту інформації не менше 5 років, добре знання законодавчих актів у цій галузі, принципів планування захисту.
В адвокатській фірмі «Юстина» доцільно організувати Службу захисту інформації в наступному складі:
Ø Керівник СлЗІ;
Ø співробітник, який займається програмно-апаратної захистом;
Ø співробітник, який займається інженерно-технічним захистом.
Функції конфіденційного діловодства покласти на вже наявних співробітників, що займаються в даний час створенням і обробкою документів, що містять конфіденційну інформацію (секретаря).
Для роботи СлЗІ необхідно підготувати ряд нормативних документів:
ü Положення про СлЗІ;
ü Інструкцію з безпеки конфіденційної інформації.
ü Перелік відомостей, що становлять конфіденційну інформацію.
ü Інструкцію по роботі з конфіденційною інформацією.
ü Посадові інструкції працівників СлЗІ.
ü Інструкцію щодо забезпечення пропускного режиму в компанії.
ü Пам'ятку працівнику (службовцю) про збереження конфіденційної інформації.
II. Внести доповнення до Статуту підприємства для документаційного забезпечення захисту: «Підприємство має право самостійно встановлювати обсяг відомостей, що становлять комерційну та іншу охоронювану законом таємницю та порядок її захисту. Фірма має право з метою захисту економічного суверенітету вимагати від персоналу, партнерів, контрагентів та інших фізичних і юридичних осіб, установ і організацій у забезпеченні збереження конфіденційних відомостей підприємства на підставі договорів, контрактів та інших документів ». А також необхідно проставити грифи конфіденційності:
Ø Найнижчий гриф конфіденційності «ДСК» проставити на телефонні довідники, в яких вказуються окремі дані про кадровий склад або партнерів; журнали реєстрації, документи, що регламентують діяльність, службове листування (заяви, розпорядження, накази, доповідні і т.д.).
Ø гриф "конфіденційно" проставити на інформації про окремі аспекти ділових угод за короткий проміжок часу; розгорнуті відомості про персонал компанії (персональні дані працівників); поточні документи, що відображають фінансову діяльність (комерційна таємниця); документи, що містять дані про клієнтів, не надаються третіми особам (відомості, що становлять адвокатську таємницю).
Ø Гриф "СУВОРО КОНФІДЕНЦІЙНО" привласнити документів, що містять дані про ділові операції з партнерами та клієнтами фірми, про підсумки діяльності за тривалий період часу; документів, що містять найважливіші аспекти комерційної діяльності компанії, стратегії діяльності, документів, що містять детальну інформацію про фінансове становище.
III. Необхідно доповнити технічні засоби захисту інформації, а саме встановити кошти, які захищають від прослуховування телефонних переговорів, тому що бувають випадки, коли клієнту потрібна екстрена юридична допомога чи він знаходиться в такому нервовому стані, що може наговорити по телефону такі речі, які конкуренти можуть використати проти нього. До цього адвокатська фірма «Юстина» не готова. Тому деякі юридичні справи програються через те, що противник має більш сучасні засоби перехоплення необхідної інформації для прийняття відповідних заходів. Особливо це стосується складних і заплутаних кримінальних справ, а також пов'язаних з власністю великої вартості.
IV. Періодично проводити тренінги з працівниками, на яких їм пояснюється важливість захисту конфіденційної інформації в адвокатській фірмі. А також ознайомити всіх співробітників з главою 28 Кримінального кодексу Російської Федерації «Злочини у сфері комп'ютерної інформації».
V. Зафіксувати запропоновані рекомендації, розробивши пакет документів, що включає в себе:
§ Положення про конфіденційну інформацію підприємства;
§ Інструкцію щодо захисту конфіденційної інформації в інформаційній системі підприємства;
§ Пропозиції щодо внесення змін до Статуту підприємства;
§ Пропозиції щодо внесення змін до трудового договору, контракт з керівником і колективний договір;
§ Угода про нерозголошення конфіденційної інформації підприємства зі співробітником;
§ Зобов'язання співробітника про нерозголошення конфіденційної інформації підприємства при звільненні;
§ Пропозиції про внесення змін до Правил внутрішнього розпорядку підприємства (в частині регламентації заходів фізичного захисту інформації та питань режиму);
§ Пропозиції про внесення змін до посадова (штатний) розклад підприємства (штат Служби захисту інформації);
§ Пропозиції про внесення доповнень до посадових інструкцій всьому персоналу;
§ Відомість ознайомлення співробітників підприємства з Положенням про конфіденційну інформацію та Інструкцією по захисту конфіденційної інформації в ІС підприємства;
§ План проведення занять з персоналом щодо збереження та нерозголошення конфіденційної інформації;
§ Пропозиції про внесення змін до структури інтерв'ю при прийомі на роботу (уточнення зобов'язань інформаційного характеру з останніх місць роботи);
§ Пропозиції про внесення доповнень до стандартний договір з контрагентами.

4. Інформаційно-аналітичний огляд
План
\ U 4.1. Цілі і завдання захисту інформації в адвокатській конторі
4.2. Об'єкти і предмети захисту в адвокатській конторі
4.3. Фактори, що впливають на захист інформації в адвокатській конторі
4.4. Загрози інформації, що захищається в адвокатській конторі
4.5. Джерела, види та способи дестабілізуючого впливу на захищає інформацію
4.6. Причини дестабілізуючого впливу на захищає інформацію в адвокатській конторі
4.7. Канали і методи несанкціонованого доступу до інформації, що захищається в адвокатській конторі
4.8. Основні напрямки, методи та засоби захисту інформації в адвокатській конторі
4.9. Організація комплексної системи захисту інформації в адвокатській конторі
4.1. Цілі і завдання захисту інформації в адвокатській конторі
Цілями захисту інформації підприємства є:
· Запобігання витоку, розкрадання, втрати, спотворення, підробки конфіденційної інформації (комерційної та адвокатської таємниці);
· Запобігання загрозам безпеці особи і підприємства;
· Запобігання несанкціонованих дій по знищенню, модифікації, спотворення, копіювання, блокування конфіденційної інформації;
· Запобігання інших форм незаконного втручання в інформаційні ресурси і системи, забезпечення правового режиму документованої інформації як об'єкта власності;
· Захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, наявних в інформаційних системах;
· Збереження, конфіденційності документованої інформації відповідно до законодавства [22].
До завдань захисту інформації на підприємстві належать:
1. Забезпечення управлінської, фінансової та маркетингової діяльності підприємства режимним інформаційним обслуговуванням, тобто постачанням всіх служб, підрозділів та посадових осіб необхідною інформацією, як засекреченої, так і несекретної. При цьому діяльність по захисту інформації по можливості не повинна створювати великих перешкод та незручностей у вирішенні виробничих і інших завдань, і в той же час сприяти їх ефективному вирішенню, давати підприємству переваги перед конкурентами і виправдовувати витрати коштів на захист інформації.
2. Гарантія безпеки інформації, її засобів, запобігання витоку інформації, що захищається і попередження будь-якого несанкціонованого доступу до носіїв засекреченої інформації.
3. Відпрацювання механізмів оперативного реагування на загрози, використання юридичних, економічних, організаційних, соціально-психологічних, інженерно-технічних засобів і методів виявлення і нейтралізації джерел загроз безпеки компанії.
4. Документування процесу захисту інформації, особливо відомостей, що становлять комерційну таємницю, з тим, щоб у разі виникнення необхідності звернення до правоохоронних органів, мати відповідні докази, що підприємство брало необхідних заходів до захисту цих відомостей.
5.Організація спеціального діловодства, що виключає несанкціоноване отримання конфіденційної інформації [4, с.313].

4.2. Об'єкти і предмети захисту в адвокатській конторі
Основними об'єктами захисту в адвокатській конторі є:
· Персонал (так як ці особи допущені до роботи з охороняється законом інформацією (адвокатська та комерційна таємниці, персональні дані) або мають доступ до приміщень, де ця інформація обробляється).
· Об'єкти інформатизації - засоби та системи інформатизації, технічні засоби прийому, передачі та обробки інформації, приміщення, в яких вони встановлені, а також приміщення, призначені для проведення службових нарад, засідань і переговорів з клієнтами;
· Інформація обмеженого доступу:
ü адвокатська таємниця (факт звернення до адвоката, включаючи імена і назви довірителів; всі персональні дані клієнтів; всі докази і документи, зібрані адвокатом вході підготовки до справи; відомості, отримані адвокатом від довірителів; інформація про довірителя, яка стала відомою адвокату у процесі надання юридичної допомоги; зміст правових рад, даних безпосередньо довірителю або йому призначених; всі адвокатське провадження у справі; умови угоди про надання юридичної допомоги, включаючи грошові розрахунки між адвокатом і довірителем; будь-які інші відомості, пов'язані з наданням адвокатом юридичної допомоги) [9, с. 30],
ü комерційна таємниця (відомості про застосовуваних оригінальних методах управління фірмою, відомості про підготовку, прийняття та виконання окремих рішень керівництва фірми з комерційних, організаційних та інших питань; відомості про факти проведення, цілях, предмет і результати нарад і засідань органів управління організації (керуючих партнерів); відомості про кругообіг засобів організації, фінансові операції, стан банківських рахунків організації і проведених операціях, про рівень доходів організації, про стан кредитів організації (пасиви і активи); відомості про ринкової стратегії фірми, про ефективність комерційної діяльності фірми; узагальнені відомості клієнтів і інших партнерів, які перебувають у ділових стосунках з організацією; узагальнені відомості про внутрішні і зарубіжних фірм як потенційних конкурентів, оцінка якості ділових відносин з конкуруючими підприємствами; відомості про умови конфіденційності, з яких можна встановити порядок угоди й інші зобов'язання організації з клієнтами; відомості про методах розрахунку, структурі, рівні реальних цін на послуги та розміри знижок; відомості про порядок та стан організації захисту комерційної таємниці, про порядок та стан організації охорони, системи сигналізації, пропускному режимі [19]),
ü персональні дані працівників (прізвище, ім'я, по батькові, рік, місяць, дата і місце народження, адресу, сімейний стан, освіта, професія, рівень кваліфікації, дохід, наявність судимостей і деяка інша інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника [20]).
· Захищається від втрати загальнодоступна інформація:
ü документована інформація, яка регламентує статус підприємства, права, обов'язки і відповідальність його працівників (Статут, журнал реєстрації, установчий договір, положення про діяльність, положення про структурні підрозділи, посадові інструкції працівників)
ü інформація, яка може служити доказовим джерелом у разі виникнення конфліктних ситуацій (розписки)
· Матеріальні носії охороняється законом інформації (особові справи працівників, особисті справи клієнтів, електронні бази даних працівників і клієнтів, паперові носії та електронні варіанти наказів, постанов, планів, договорів, звітів, що становлять комерційну таємницю)
· Засоби захисту інформації (Інтернет-шлюз Advanced, біометричний турнікет ТБІ 1.3, вуличний комплект UPC-26-220 (24), система сигналізації, антіжучкі та ін)
· Технологічні відходи (сміття), що утворилися в результаті обробки охороняється законом інформації (особові справи колишніх клієнтів)
Предметом захисту інформації в адвокатській конторі є носії інформації, на яких зафіксовані, відображені захищаються відомості [4, с.311]:
· Особисті справи клієнтів у паперовому та електронному (база даних клієнтів) вигляді;
· Особисті справи працівників у паперовому та електронному (база даних працівників) вигляді;
· Накази, постанови, положення, інструкції, угоди і зобов'язання про нерозголошення, розпорядження, договори, плани, звіти, відомість ознайомлення з Положенням про конфіденційну інформацію та інші документи, що становлять комерційну таємницю, в паперовому та електронному вигляді.
4.3. Фактори, що впливають на захист інформації в адвокатській конторі
Зовнішні фактори:
· Діяльність конкурентних юридичних фірм, спрямована проти інтересів фірми «Юстина»;
· Діяльність правоохоронних органів влади, спрямована на задоволення власних інтересів і не враховує при цьому інтереси адвокатської фірми (обшуки адвокатів без попереднього отримання рішення суду; вилучення в ході обшуків документів, що містять конфіденційну інформацію; формальний підхід суддів при винесенні рішень про проведення обшуку у адвоката; обшук у приміщеннях займаних адвокатом у відсутності адвоката; незаконний огляд адвокатського виробництва адвокатів як один із способів незаконного доступу до адвокатської таємниці) [8, 14];
· Недостатня розробленість нормативної правової бази, що регулює відносини в інформаційній сфері, а також недостатня правозастосовна практика (наприклад, нестикування пунктів Кримінально-процесуального кодексу Російської Федерації і закону «Про адвокатську діяльність і адвокатуру в Російській Федерації», закон «Про протидію легалізації (відмиванню) доходів, отриманих злочинним шляхом, і фінансуванню тероризму », що пропонує адвокатам виконувати роль секретних співробітників правоохоронних органів) [8, 14, 21].
Внутрішні чинники:
· Недостатня увага до забезпечення захисту інформації з боку керівництва (в адвокатській фірмі немає окремої служби захисту інформації);
· Досить байдуже ставлення до забезпечення захисту інформації з боку співробітників фірми (записування паролів на папері, використання однакових паролів і т.д.);
· Недостатнє фінансування заходів щодо забезпечення інформаційної безпеки підприємства;
· Недостатня кількість кваліфікованих кадрів в області забезпечення інформаційної безпеки в адвокатській фірмі (в даний момент у штаті фірми «Юстина» немає жодного фахівця по захисту інформації).

4.4. Загрози інформації, що захищається в адвокатській конторі
Зовнішні загрози:
· Конкуренти (адвокатські фірми, що є конкурентами «Юстин»);
· Адміністративні органи (органи державної влади);
· Злочинці, хакери.
Внутрішні загрози:
· Персонал;
· Адміністрація підприємства.
Класифікація загроз:
1. По об'єктах:
1.1. Персонал;
1.2. Матеріальні цінності;
1.3. Фінансові цінності.
2. За збитку:
2.1. Матеріальний;
2.2. Моральний.
3. За величиною збитку:
3.1. Граничний (повне руйнування);
3.2. Значний (деяка валового доходу);
3.3. Незначний (втрата прибутку).
4. По відношенню до об'єкту:
4.1. Внутрішні;
4.2. Зовнішні.
5. За ймовірності виникнення:
5.1. Дуже ймовірні;
5.2. Ймовірні;
5.3. Малоймовірні.
6. За характером впливу:
6.1. Активні;
6.2. Пасивні.
7. Через прояви:
7.1. Стихійні;
7.2. Навмисні.
4.5. Джерела, види та способи дестабілізуючого впливу на захищає інформацію
До джерел дестабілізуючого впливу на інформацію належать [4, с.203]:
1. люди;
2. технічні засоби відображення (фіксації), зберігання, обробки, відтворення, передачі інформації, засоби зв'язку та системи забезпечення їх функціонування;
3. природні явища.
Найпоширенішим, різноманітним і небезпечним джерелом дестабілізуючого впливу на захищає інформацію є люди. До них відносяться:
- Співробітники даної адвокатської фірми;
- Особи, які не працюють у фірмі, але мають доступ до інформації, що захищається підприємства в силу службового становища (з контролюючих органів державної і муніципальної влади та ін);
- Співробітники конкуруючих вітчизняних і зарубіжних фірм;
- Особи з кримінальних структур, хакери.
Ці категорії людей поділяються на дві групи:
- Що мають доступ до носіїв даної інформації, що захищається, технічним засобам її показу, зберігання, обробки, відтворення, передачі та систем забезпечення їх функціонування та
- Не мають такого.
Найрізноманітнішим це джерело є тому, що йому, в порівнянні з іншими джерелами, властиво значно більша кількість видів і способів дестабілізуючого впливу на інформацію [4, с. 204].
Самим небезпечним це джерело є тому, що він самий масовий; вплив з його боку носить регулярний характер, його вплив може бути не тільки ненавмисним але і навмисним і чиниться їм вплив може призвести до всіх форм прояву уразливості інформації (з боку інших джерел - до окремих формах).
До технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації та засобів зв'язку в адвокатській конторі відносяться електронно-обчислювальна техніка (персональні комп'ютери); копіювально-розмножувальна техніка (ксерокси, принтери, сканери); засоби відео-і звукозаписної і відтворюючої техніки ( відеокамери, диктофони) і засоби телефонного, телеграфного, факсимільного, гучномовного передачі інформації.
Системи забезпечення функціонування технічних засобів відображення, зберігання, обробки, відтворення та передачі інформації це системи електропостачання, водопостачання, теплопостачання, кондиціювання та допоміжні електричні та радіоелектронні засоби (електричний годинник, побутові магнітофони та ін.)
Природні явища включають стихійні лиха і атмосферні явища.
Види і способи дестабілізуючого впливу на захищає інформацію диференціюються за джерелами впливу. Найбільша кількість видів і способів дестабілізуючого впливу має відношення до людей [4, с. 207].
З боку людей можливі наступні види впливу, що призводять до знищення, спотворення та блокування:
1. Безпосередній вплив на носії інформації, що захищається.
2. Несанкціоноване поширення конфіденційної інформації.
3. Висновок з ладу технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації та засобів зв'язку.
4. Порушення режиму роботи перерахованих коштів та технології обробки інформації.
5. Виведення з ладу і порушення режиму роботи систем забезпечення функціонування названих засобів.
Способами безпосереднього впливу на носії інформації, що захищається можуть бути:
- Фізичне руйнування носія (поломка, розрив і ін);
- Створення аварійних ситуацій для носіїв (підпал, штучне затоплення, вибух і т.д.);
- Видалення інформації з носіїв (замазування, стирання, знебарвлення і ін);
- Створення штучних магнітних полів для розмагнічування носіїв;
- Внесення фальсифікованої інформації в носії;
-Ненавмисне залишення їх у неохоронюваної зоні, найчастіше в громадському транспорті, магазині, на ринку, що призводить до втрати носіїв [4].
Несанкціоноване поширення конфіденційної інформації може здійснюватися шляхом:
- Словесної передачі (повідомлення) інформації;
- Передачі копій (знімків) носіїв інформації;
- Показу носіїв інформації;
- Введення інформації в обчислювальні мережі;
- Опублікування інформації у відкритій пресі;
- Використання інформації у відкритих публічних виступах, у т.ч. по радіо, телебаченню;
- Втрата носіїв інформації.
До способів виведення з ладу технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації та засобів зв'язку і систем забезпечення їх функціонування, що призводить до знищення, спотворення та блокування, можна віднести:
- Неправильний монтаж засобів;
- Поломку (руйнування) коштів, в т.ч. розрив (пошкодження) кабельних ліній зв'язків;
- Створення аварійних ситуацій для технічних засобів (підпал, штучне затоплення, вибух тощо);
- Відключення коштів від мереж живлення;
- Виведення з ладу або порушення режиму роботи систем забезпечення функціонування засобів;
- Вмонтування в ЕОМ руйнують радіо-і програмних закладок;
- Порушення правил експлуатації систем.
Способами порушення режиму роботи технічних засобів відображення, зберігання, обробки, відтворення, передача інформації, засобів зв'язку і технології обробки інформації, що приводять до знищення, спотворення та блокування інформації, можуть бути:
- Пошкодження окремих елементів засобів;
- Порушення правил експлуатації засобів;
- Внесення змін в порядок обробки інформації;
- Зараження програм обробки інформації шкідливими програмами;
- Видача неправильних програмних команд;
- Перевищення розрахункового числа запитів;
- Створення перешкод у радіо ефірі за допомогою додаткового звукового або шумового фону, зміни (накладення) частот передачі інформації;
- Передача хибних сигналів - підключення пригнічують фільтрів в інформаційні ланцюги, ланцюги живлення та заземлення;
- Порушення (зміна) режиму роботи систем забезпечення функціонування засобів.
До видів дестабілізуючого впливу на захищає інформацію з боку технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації та засобів зв'язку і систем забезпечення їх функціонування відносяться вихід коштів з ладу; збої в роботі засобів і створення електромагнітних випромінювань. Це призводить до знищення, перекручення, блокування, розголошенню (з'єднання з номером телефону не того абонента, який набирається, або чутність розмови інших осіб через несправності в ланцюгах комутації телефонної станції). Електромагнітні випромінювання, у тому числі побічні, які утворюються в процесі експлуатації засобів, призводять до розкрадання інформації.
До стихійних лих і одночасно видів впливу слід віднести землетрус, повінь, ураган (смерч) і шторм. До атмосферних явищ (видами впливу) відносять грозу, дощ, сніг, перепади температури і вологості повітря, магнітні бурі. Вони призводять до втрати, знищення, перекручення, блокування та розкрадання.
Способами впливу з боку і стихійних лих і атмосферних явищ можуть бути:
- Руйнування (поломка);
- Затоплення;
- Спалення носіїв інформації, засобів відображення, зберігання, обробки, відтворення, передачі інформації і кабельних засобів зв'язку, систем забезпечення функціонування цих засобів;
- Порушення режиму роботи засобів і систем, а також технології обробки інформації.
4.6. Причини дестабілізуючого впливу на захищає інформацію в адвокатській конторі
До причин, що викликають навмисне дестабілізуючий вплив, слід віднести [4, с. 213]:
- Прагнення отримати матеріальну вигоду (підзаробити);
- Прагнення завдати шкоду (помститися) керівництву або колезі по роботі;
- Прагнення надати безкорисливу послугу приятелеві з конкуруючої фірми;
- Прагнення просунутися по службі;
- Прагнення убезпечити себе, рідних та близьких від загроз, шантажу, насильства;
- Фізичний вплив (побої, катування) з боку зловмисника;
- Прагнення показати свою значимість.
Причинами ненавмисного дестабілізуючого впливу на інформацію з боку людей можуть бути:
- Некваліфіковане виконання операцій;
- Халатність, безвідповідальність, недисциплінованість, несумлінне ставлення до виконуваної роботи;
- Недбалість, необережність, неакуратність;
- Фізичне нездужання (хвороби, перевтома, стрес, апатія).
Причинами дестабілізуючого впливу на інформацію з боку технічних засобів відображення, зберігання, обробки відтворення, передачі інформації і засобів зв'язку і систем забезпечення їх функціонування можуть бути:
- Недолік чи погана якість засобів;
- Низька якість режиму функціонування засобів;
- Перезавантаженням засобів;
- Низька якість технології виконання робіт.
В основі дестабілізуючого впливу на інформацію з боку природних явищ лежать внутрішні причини і обставини, непідконтрольні людям, а, отже, і не піддаються нейтралізації або усунення.
4.7. Канали і методи несанкціонованого доступу до інформації, що захищається в адвокатській конторі
До числа найбільш ймовірних каналів витоку інформації можна віднести [15]:
· Спільну з іншими фірмами діяльність, участь у переговорах;
· Фіктивні запити з боку про можливість працювати у фірмі на різних посадах;
· Відвідування фірми;
· Спілкування представників фірми про характеристики послуг, що надаються;
· Надмірну рекламу;
· Консультації фахівців з боку, які в результаті цього отримують доступ до настанов і документів фірми;
· Публікації у пресі та виступи;
· Наради, конференції тощо;
· Розмови в неробочих приміщеннях;
· Скривджених співробітників фірм;
· Технічні канали;
· Матеріальні потоки (транспортування спецпошта).
При організації захисту інформації в адвокатській конторі необхідно враховувати наступні можливі методи та способи збору інформації:
· Опитування співробітників досліджуваної фірми при особистій зустрічі;
· Нав'язування дискусій з потрібних проблем;
· Розсилка в адреси підприємств та окремих співробітників запитальників та анкет;
· Ведення приватного листування наукових центрів і вчених з фахівцями.
Для збору відомостей в ряді випадку представники конкурентів можуть використовувати переговори з визначення перспектив співробітництва, створення спільних підприємств. Наявність такої форми співробітництва, як виконання спільних програм, які передбачають безпосередню участь представників інших організацій у роботі з документами, відвідування робочих місць, розширює можливості для зняття копій з документів, збору різних зразків матеріалів, проб і т.д. При цьому з урахуванням практики розвинених країн економічні суперники можуть вдатися у тому числі і до протиправних дій, промислового шпигунства.
Найбільш імовірне використання таких способів добування інформації [15]:
· Візуальне спостереження;
· Підслуховування;
· Технічне спостереження;
· Пряме опитування, вивідування;
· Ознайомлення з матеріалами, документами, виробами тощо;
· Збір відкритих документів та інших джерел інформації;
· Розкрадання документів та інших джерел інформації;
· Вивчення безлічі джерел інформації, які містять по частинах необхідні відомості.
4.8. Основні напрямки, методи та засоби захисту інформації в адвокатській конторі
Напрямки захисту інформації
Правовий захист - спеціальні правові правила, процедури та заходи, що створюються з метою забезпечення інформаційної безпеки підприємства.
Правові заходи, що регулюють питання захисту конфіденційної інформації, можна розділити на дві основні групи. До першої групи належать законодавчі акти держави, що регламентують діяльність підприємств у сфері захисту різних видів таємниць, що визначають обсяг їхніх прав і обов'язків у сфері захисту. До цієї групи можна віднести такі закони, прийняті в Російській Федерації, як: «Про комерційну таємницю» від 29 липня 2004 року; «Про адвокатську діяльність і адвокатуру в Російській Федерації» від 31.05.2002; «Про персональних даних» від 27.07.2006 ; «Про підприємства і підприємницької діяльності» від 25 грудня 1990 р .; «Про приватної детективної й охоронної діяльності в РФ» від 11 березня 1992 р .; «Про конкуренцію і обмеження монополістичної діяльності на товарних ринках» від 22 березня 1991 р .; Цивільний кодекс; Кодекс професійної етики адвоката від 31.01.2003; Трудовий кодекс Російської Федерації від 30.12.2001 та ін
До другої групи належать нормативно-правові документи, що регламентують організацію, порядок і правила захисту конфіденційної інформації на підприємстві. До них відносяться:
1. Статут підприємства, в якому вказуються цілі його діяльності, права, в тому числі право мати таємницю і здійснювати її захист.
2. Колективний договір, в якому визначаються права і
обов'язки сторін, що уклали договір, у тому числі щодо захисту конфіденційної інформації, забезпечення необхідних умов і засобів її захисту.
3. Правила внутрішнього трудового розпорядку, в які також можуть бути включені статті, які зобов'язують усіх працівників захищати інтереси підприємства, його інформацію, у тому числі захищати і різні види таємниць.
4. Інструкція, що визначає організацію, порядок і правила захисту таємниці на підприємстві. Можуть бути підготовлені різні положення, що регламентують права й діяльність різних підрозділів цього підприємства, наприклад, служби захисту інформації підприємства.
5. Документи, типу переліку, реєстру і т.п., що визначають категорії відомостей, які віднесені до конфіденційної інформації підприємства. У цих переліках слід також вказати терміни засекречування інформації та рівень її захисту.
Кримінально-правові норми за своїм змістом є, з одного боку, забороняють, тобто вони під страхом застосування заходів кримінального покарання забороняють громадянам порушувати свої обов'язки і здійснювати злочини, а з іншого боку, вони зобов'язують відповідні органи держави (ФСБ, МВС, прокуратури) залучити осіб, винних у вчиненні злочину, до кримінальної відповідальності.
Крім того, порушення режиму секретності, правил збереження таємниці, що не є злочином, можуть спричинити відповідальність матеріального, дисциплінарного чи адміністративного характеру у відповідності з діючими нормативними актами: відсторонення від роботи, пов'язаної з секретами, або переведення на іншу роботу, менш оплачувану і теж не пов'язану з засекреченої інформацією.
Організаційна захист - регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що використовує нанесення збитку. Організаційну захист забезпечує:
ð Організація режиму охорони, роботи з кадрами, документами;
ð Використання технічних засобів безпеки;
ð Використання інформаційно-аналітичної роботи з виявлення загроз.
Організаційна служба захисту інформації складається з:
1. Підрозділ режиму та охорони підприємства;
2. Спеціальних підрозділів обробки документів конфіденційного характеру, а також інженерно-технічних підрозділів;
3. Інформаційно-аналітичний підрозділів.
Організаційні заходи щодо захисту інформації передбачають, перш за все, підбір і розстановку кадрів, які будуть здійснювати заходи щодо захисту інформації, навчання працівників правил захисту засекреченої інформації, здійснення на практиці принципів і методів захисту інформації.
Інженерно-технічний захист - використання різних технічних засобів для забезпечення захисту конфіденційної інформації. Інженерно-технічний захист використовує такі засоби як:
ð Фізичні - пристрої, інженерні споруди, організаційні заходи, що виключають або ускладнюють проникнення до джерел конфіденційної інформації (системи огорожі, системи контролю доступу, замикаючі пристрої та сховища);
ð Апаратні - пристрої, що захищають від витоку, розголошення і від технічних засобів промислового шпигунства
ð Програмні засоби.
Методи захисту інформації
Метод - в найбільш загальному значенні це спосіб досягнення мети, певним чином упорядкована діяльність [4, с. 270].
Основними методами, які у захист інформації в адвокатській конторі, є наступні: приховування, ранжування, морально-етичні методи та облік.
Приховування - як метод захисту інформації є реалізацією максимального обмеження числа осіб, що допускаються до секретів. Реалізація цього методу досягається зазвичай шляхом засекречування інформації, тобто віднесення її до секретної або конфіденційної інформації різного ступеня секретності та обмеження в зв'язку з цим доступу до цієї інформації в залежності від її важливості для власника, що проявляється в проставляється на носії цієї інформації грифі секретності; усунення або ослаблення технічних демаскуючих ознак об'єктів захисту і технічних каналів витоку відомостей про них.
Ранжування як метод захисту інформації включає, по-перше, поділ засекречується інформація за ступенем секретності, і, по-друге, регламентацію допуску та розмежування доступу до інформації, що захищається: надання індивідуальних прав окремим користувачам на доступ до необхідної їм конкретної інформації та на виконання окремих операцій . Розмежування доступу до інформації може здійснюватися за тематичним ознакою чи за ознакою таємності інформації і визначається матрицею доступу. Тобто користувач не допускається до інформації, яка йому не потрібна для виконання його службових функцій, і тим самим ця інформація приховується від нього і всіх інших (сторонніх) осіб.
Морально-етичні методи захисту інформації припускають, насамперед, виховання співробітника, допущеного до секретів, тобто проведення спеціальної роботи, спрямованої на формування у нього системи певних якостей, поглядів і переконань (розуміння важливості та корисності захисту інформації і для нього особисто), і навчання працівника, обізнаного у відомостях, що становлять охоронювану таємницю, правилами і методів захисту інформації, прищеплення йому навичок роботи з носіями секретної та конфіденційної інформації.
Облік забезпечує можливість отримання у будь-який час даних про будь-якому носії інформації, що захищається, про кількість і місцезнаходження всіх носіїв засекреченої інформації, а також дані про всіх користувачів цієї інформації.
Принципи обліку засекреченої інформації:
─ обов'язковість реєстрації всіх носіїв інформації, що захищається;
─ однократність реєстрації конкретного носія такої інформації;
─ вказівку в обліках адреси, де знаходиться в даний час даний носій засекреченої інформації (в СлЗІ, у виконавця і т.д.);
─ одноосібна відповідальність за збереження кожного носія інформації, що захищається і відображення в обліках користувача даної інформації в даний час, а також усіх попередніх користувачів цієї інформації.
Засоби захисту інформації
Засоби захисту інформації - це сукупність інженерно-технічних, електричних, електронних, оптичних та інших пристроїв і пристосувань, приладів і технічних систем, а також інших речових елементів, які використовуються для вирішення різних завдань із захисту інформації, в тому числі попередження витоку і забезпечення безпеки захищається інформації [4, с. 273].
Як підставу класифікації засобів захисту інформації використовуються основні групи завдань, що вирішуються за допомогою технічних засобів:
1. створення фізичних (механічних) перешкод на шляхах проникнення зловмисника до носіїв інформації (решітки, сейфи, замки і т.д.);
2. виявлення спроб проникнення на об'єкт охорони, до місць зосередження носіїв інформації, що захищається (електронні та електронно-оптичні сигналізатори);
3. попередження про виникнення надзвичайних ситуацій (пожежа, повінь тощо) і ліквідація ПП (засоби пожежогасіння й т.д.);
4. підтримка зв'язку з різними підрозділами, приміщеннями та іншими точками об'єкта охорони;
5. нейтралізація, поглинання або віддзеркалення випромінювання експлуатованих або виробiв, (екрани, захисні фільтри, розділові пристрою в мережах електропостачання і т.п.);
6. комплексна перевірка технічного засобу обробки інформації та виділеного приміщення на відповідність вимогам безпеки оброблюваної мовної інформації установленим нормам;
7. комплексний захист інформації в автоматизованих системах обробки даних за допомогою фільтрів, електронних замків та ключів з метою запобігання несанкціонованого доступу, копіювання або спотворення інформації.
Знання можливостей методів і засобів захисту інформації дозволяє активно і комплексно застосовувати їх при розгляді та використання правових, організаційних та інженерно-технічних заходів захисту конфіденційної інформації.
4.9. Організація комплексної системи захисту інформації в адвокатській конторі
Для організації ефективного захисту конфіденційної інформації необхідно розробити програму, яка повинна дозволити досягати наступні цілі:
· Забезпечити звернення відомостей, що містять різні види таємниць, у заданій сфері;
· Запобігти крадіжці і витік секретів, будь-яке псування конфіденційної інформації;
· Документувати процес захисту таємниці, щоб у разі спроб незаконного заволодіння будь-якої таємницею підприємства можна було захистити свої права юридично і покарати порушника.
Для визначення обсягу інформації, яка потребує захисту, слід залучати працівників підприємства. На чолі цієї роботи має стояти досвідчений менеджер.
Програма буде відображати розмір даного підприємства, тип технології та ділової інформації, яку необхідно захищати, фінансові можливості підприємства, минулі випадки крадіжки подібної інформації, реальний, що мав місце в минулому, або потенційний шкоди від таких крадіжок та інші обставини. У програмі повинні враховуватися можливі джерела і канали витоку інформації.
Для побудови системи захисту конфіденційної інформації на підприємстві необхідне створення служби захисту інформації (СлЗІ), яка бути структурною одиницею підприємства, безпосередньо бере участь у виробничо-комерційної діяльності. Робота цього відділу проводиться у взаємодії зі структурними підрозділами підприємства. Структура і штат СлЗІ в залежності від обсягу робіт та особливостей виробничо-комерційної діяльності визначаються керівником підприємства і, як правило, повинні комплектуватися інженерно-технічними працівниками - фахівцями основного профілю роботи даного підприємства (фірми), а також фахівцями, які мають практичний досвід захисту інформації або роботи з різними групами людей. Призначення на посаду начальника (заступника) СлЗІ підприємства (фірми), а також його звільнення проводиться тільки керівником підприємства. Керівник служби захисту інформації регулярно, у встановлені строки звітує у своїй роботі перед директором підприємства.
Основними функціями СлЗІ є проблеми організації захисту відомостей, віднесених до конфіденційної інформації. Зокрема, діяльність, яка включає навчання працівників підприємства вмінню зберігати секрети своєї фірми; підготовку різних методичних документів, пов'язаних із захистом таємниці, плакатів, які роз'яснюють правила захисту конфіденційної інформації та ін
СлЗІ готує керівництву підприємства пропозиції з питань захисту конфіденційної інформації, порядок визначення та перегляду переліку відомостей, що складають цю інформацію, ступеня і строків секретності такої інформації; визначення кола і порядку допуску осіб до відомостей, що становлять різні види таємниць. СлЗІ виконує також своєрідні розвідувальні функції, зокрема добування інформації про стан ринку, конкурентів, фінансових можливостях партнерів по переговорах і ін
СлЗІ проводить контрольні і аналітичні функції. Контроль за дотриманням працівниками підприємства, пов'язаними по службі з таємницею, правил її захисту. Аналіз інформації, що з метою виявлення спроб конкурентів дістати несанкціонований доступ до захищається підприємством інформації і т.д. Вона повинна бути на високому рівні в організаційній структурі підприємства з тим, щоб мати необхідні адміністративними повноваженнями, з повідомленням про це всіх співробітників підприємства. СлЗІ повинна вживати термінових заходів щодо усунення виявлених недоліків в галузі захисту конфіденційної інформації. Співробітники фірми повинні знати політику фірми щодо захисту цієї інформації і міри покарання за порушення цих правил.
Періодичний перегляд Переліку відомостей, що становлять конфіденційну інформацію підприємства, здійснюється спеціально створеною комісією, очолюваної одним з керівників підприємства. Однак у цій роботі активну участь бере і СлЗІ. Мета перегляду Переліку - виключення з нього відомостей, які втратили свою актуальність, і включення нових, зміна при необхідності ступеня секретності і т.д. Про результати цієї роботи інформуються всі виконавці в тій частині, яка потрібна кожній для його роботи.
Система доступу до відомостей, що становлять якусь таємницю, повинна забезпечити безумовне ознайомлення з такими матеріалами лише тих осіб, яким вони потрібні по службі. Система доступу до конфіденційної інформації - є комплекс адміністративно-правових норм, що забезпечують отримання необхідної для роботи інформації кожним виконавцем і керівником секретних робіт. Мета системи - забезпечити тільки санкціоноване отримання необхідного обсягу конфіденційної інформації. У структуру цієї системи входять:
§ дозвільна система доступу до документальної конфіденційної інформації;
§ система пропусків і шифрів, що забезпечує тільки санкціонований доступ в приміщення, де ведуться секретні роботи.
Для забезпечення фізичної схоронності носіїв засекреченої інформації та запобігання доступу сторонніх осіб потрібна система охорони, яка включає в себе комплекс заходів, сил і засобів, задіяних для перегородження доступу сторонніх осіб до носіїв інформації, що захищається. Забезпечення фізичної цілісності і збереження конфіденційних документів, різних будівель, приміщень, де проводяться роботи з носіями інформації, що захищається, досягається використанням сейфів і металевих шаф для зберігання конфіденційних документів, постановкою металевих грат на вікна сховищ таких документів, введенням спеціальних пропусків або магнітних карток для доступу в приміщення, де ведуться роботи з носіями конфіденційної інформації. Приміщення, в яких ведуться такі роботи з документами, сховища захищається інформації повинні мати цілодобову охорону за допомогою технічних засобів.
Здійснення заходів - це діяльність адміністрації та СлЗІ щодо захисту конфіденційної інформації, спрямована на реалізацію закладених в системі можливостей по захисту конфіденційної інформації. Ці заходи включають:
- По-перше, повсякденний контроль з боку керівництва підприємства і СлЗІ за дотриманням усіма співробітниками, пов'язаними по роботі з конфіденційною інформацією, правил її захисту. Особливу увагу при цьому звертається на працівників підприємства, що мають постійне спілкування з населенням;
- По-друге, забезпечення дотримання всіма співробітниками підприємства вимог, передбачених правилами внутрішнього розпорядку, нормами правил пожежної безпеки, інструкцією по захисту відомостей, що становлять різні види таємниць, та іншими нормативними документами, що регламентують поведінку працівників на підприємстві.
Всі відвідування підприємства сторонніми особами повинні бути суворо регламентовані. Вхід - тільки через одну прохідну за разовими перепустками або відмітками в журналі: дані про прийшов, звідки, до кого, час входу і виходу. Просування по фірмі тільки в супроводі приймає його співробітника.
Не допускається ведення по відкритих каналах зв'язку (телефон, радіотелефон і т.п.) переговорів, які містять конфіденційні відомості;
- По-третє, виявлення каналів і джерел витоку інформації, що захищається і вжиття заходів щодо їх перекриття. Витік інформації, що захищається відбувається найчастіше з вини співробітників підприємства, пов'язаних по роботі з конфіденційною інформацією, і прийняття недостатніх заходів щодо захисту інформації в технічних засобах (СВТ, засобах зв'язку і т.д.).
Всі сигнали про можливий витік інформації повинні ретельно перевірятися і в разі виявлення винних у цьому осіб повинні бути вжиті заходи, як до винуватців (переклад на роботу, не пов'язану з таємницею, відшкодування шкоди, звільнення та ін), так і вжиття заходів щодо запобігання подібних явищ у майбутньому;
- По-четверте, захист конфіденційної інформації передбачає також вжиття заходів щодо запобігання розголошенню інформації, що захищається у відкритих публікаціях співробітниками підприємства, особливо при підготовці та публікації наукових робіт (статей, брошур та ін.) Всі ці документи і публікації повинні попередньо узгоджуватися з фахівцями та керівними працівниками підприємства;
- По-п'яте, важливою ланкою захисту конфіденційної інформації підприємства є робота з клієнтами, партнерами та ін При веденні таких переговорів важливо переконатися, що інша сторона переслідує в переговорах ті ж цілі, що і ви, тобто укласти взаємовигідну угоду, а не отримання конфіденційної інформації про вашу фірму.
Приступаючи до розробки системи заходів щодо забезпечення захисту інформації на підприємстві, його керівник (чи начальник СлЗІ) повинен отримати відповіді на наступні питання:
· Що конкретно необхідно захищати (охороняти), від кого і коли?
· Хто організовує і забезпечує захист (охорону)?
· Як оцінювати ефективність і достатність захисту (охорони)?
Для грамотної побудови та експлуатації системи захисту необхідно дотримати наступні принципи її застосування [15]:
· Простота захисту;
· Прийнятність захисту для користувачів;
· Підконтрольність системи захисту;
· Постійний контроль за найбільш важливою інформацією;
· Дроблення конфіденційної інформації на складові елементи, доступ до яких мають різні користувачі;
· Мінімізація привілеїв з доступу до інформації;
· Установка пасток для провокування несанкціонованих дій;
· Незалежність системи управління для користувачів;
· Стійкість захисту в часі і при несприятливих обставинах;
· Глибина захисту, дублювання та перекриття захисту;
· Особлива особиста відповідальність осіб, які забезпечують безпеку інформації;
· Мінімізація загальних механізмів захисту.
Алгоритм створення системи захисту конфіденційної інформації такий [23]:
1. Визначається предмет захисту. Розробляється Перелік відомостей, що становлять різні види таємниць, у якому виділяється найбільш цінна інформація, що потребує особливої ​​охорони, враховуються вимоги щодо захисту інших підприємств (фірм), що беруть участь у спільних роботах.
2. Встановлюються періоди існування конкретних відомостей в якості різних видів таємниць.
3. Виділяються категорії носіїв цінної інформації: персонал, документи, вироби і матеріали; технічні засоби зберігання, обробки і передачі інформації; фізичні випромінювання. Для забезпечення сприйняття розроблюваної системи захисту можна скласти схему, в якій зазначаються конкретні співробітники, обізнані про різні види таємниць, назви (категорії) класифікованих документів і т.п.
4. Перераховуються стадії (етапи) робіт, час матеріалізації різних видів таємниць у носіях інформації стосовно просторовим зонам (місцями роботи з ними всередині і за межами підприємства). Наприклад, договори, що підписуються за межами підприємства; виступи учасників звітних нарад в конкретних кабінетах; розмноження класифікованих документів на розмножувальній ділянці і т.п.
5. Складається схема робіт з конкретними відомостями, матеріалізованими в носіях, в межах підприємства (фірми) і поза ним і передбачуваного їх переміщення. Розглядаються можливі для підприємства несанкціоновані переміщення, які можуть бути використані конкурентами для оволодіння різними видами таємниць.
6. Розробляються (або коригуються) у процесі аналізу дозвільні підсистеми допуску та доступу до конкретних даних, що становить різні види таємниць.
7. Визначається, хто реалізує заходи і хто несе відповідальність за захист конкретної інформації, процесів робіт з класифікованими даними. Намічаються заходи по координації, призначаються конкретні виконавці.
8. Плануються дії щодо активізації та стимулювання осіб, задіяних у захисті.
9. Перевіряється надійність прийнятих до реалізації заходів забезпечення захисту.
Аналітичні дослідження, моделювання ймовірних загроз дозволяють намітити при необхідності додаткові заходи захисту. При цьому слід оцінити ймовірність їх виконання, наявність методичного матеріалу, матеріального забезпечення, готовність СлЗІ і персоналу їх виконати. При плануванні враховуються мали місце на підприємстві недоліки в забезпеченні збереження конфіденційної інформації [25].
Плановані заходи повинні [15]:
· Сприяти досягненню визначених завдань, відповідати загальному задуму;
· Бути оптимальними.
Не повинні [15]:
· Суперечити законам, вимогам керівника фірми (інтересам кооперуються фірм);
· Дублювати інші дії.
Таким чином, система організації захисту конфіденційної інформації включає в себе комплекс заздалегідь розроблених на певний строк заходів, що охоплюють сукупність усіх видів діяльності, спрямованих на вдосконалення забезпечення схоронності інформації з урахуванням змін зовнішніх і внутрішніх умов і розпорядчих конкретним особам або підрозділів певний порядок дій.

5. Джерела інформації та оцінка їх надійності
5.1. Список виявленої літератури
5.1.1. Консультант-Плюс
1. Російська Федерація. Закони. Цивільний кодекс Російської Федерації (частина перша): федер. закон: [від 30.11.1994 № 51-ФЗ; прийнятий Гос.Думу 21.10.1994; в ред. від 03.06.2006] .- КонсультантПлюс .- (http://www.consultant.ru).
2. Російська Федерація. Закони. Цивільний кодекс Російської Федерації (частина друга): федер. закон: [від 26.01.1996 № 14-ФЗ; прийнятий Гос.Думу 22.12.1995; в ред. від 02.02.2006] .- КонсультантПлюс .- (http://www.consultant.ru).
3. Російська Федерація. Закони. Кодекс професійної етики адвоката: [прийнятий Всеросійським з'їздом адвокатів 31.01.2003; в ред. від 08.04.2005] .- КонсультантПлюс .- (http://www.consultant.ru).
4. Російська Федерація. Закони. Про адвокатську діяльність і адвокатуру в Російській Федерації: федер. закон: [від 31.05.2002 № 63-ФЗ; в ред. від 20.12.2004] .- КонсультантПлюс .- (http://www.consultant.ru).
5. Російська Федерація. Закони. Про затвердження переліку відомостей конфіденційного характеру: указ Президента РФ: [від 06.03.1997 N 1300; в ред. від 10.01.2000] .- КонсультантПлюс .- (http://www.consultant.ru).
6. Російська Федерація. Закони. Про комерційну таємницю: федер. закон: [від 29.07.2004 № 98-ФЗ; прийнятий Гос.Думу 09.07.2004; в ред. від 02.02.2006] .- КонсультантПлюс .- (http://www.consultant.ru).
7. Російська Федерація. Закони. Про персональних даних: федер. закон: [від 27.07.2006 № 152-ФЗ; прийнятий Гос.Думу 08.07.2006] .- КонсультантПлюс .- (http://www.consultant.ru).
8. Російська Федерація. Закони. Про протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, і фінансуванню тероризму: федер. закон: [від 07.08.2001 № 115-ФЗ; прийнятий Гос.Думу 13.07.2001; в ред. від 16.11.2005] .- КонсультантПлюс .- (http://www.consultant.ru).
9. Російська Федерація. Закони. Про федеральну службу безпеки: федер. закон: [прийнято Держ. Думою 22.02.1995; в ред. від 15.04.2006] .- КонсультантПлюс .- (http://www.consultant.ru).
10. Російська Федерація. Закони. Трудовий кодекс Російської Федерації: федер. закон: [від 30.12.2001 № 197-ФЗ; прийнятий Гос.Думу 21.12.2001; в ред. від 09.05.2005] .- КонсультантПлюс .- (http://www.consultant.ru).
5.1.2. Поточні бібліографічні покажчики та реферативні журнали
1. Бєляєв, О.О. Історичні аспекти захисту інформації в Росії / Є. А. Бєляєв / / Інформаційна безпека = Inform.security .- М., 2004 .- № 3.-С.58-59.
2. Будинків, С. Інформаційна безпека / С. Будинків / / Вісн. Волзького ун-ту .- Сер.Інформат, 2005 .- № 8 .- С.53-55
3. Кальченко, Д. Безпека в цифрову епоху / Д. Кальченко / / Комп'ютер Прес, 2005 .- № 4 .- С.34, 36,38-41.
4. Колесніков, К.А. Соціальні чинники інформаційного управління та інформаційна безпека в Росії / К. А. Колесников / / Інтелектуальна власність: правові, економічні та соціальні проблеми: Зб. тр. аспірантів РГІІС: У 2 ч. - М., 2005.-Ч.2.-С.140-143.
5. Мінакова, М.М. Особливості підготовки фахівців з інформаційної безпеки автоматизованих систем / М. М. Мінакова, В. В. Поляков / / Вісн. Алтайськ. наук. центру САН ВШ, 2005 .- № 8 .- С.125-128.
6. Мєшкова, Т.А. Безпека в умовах глобальної інформатизації: нові виклики та нові можливості: автореф. дис .... канд. наук / Мєшкова Т.А.; МДУ ім.М.В.Ломоносова .- М., 2003.-26 с.
5.1.3. Електронний каталог
1. Астахова, Л.В. Теорія інформаційної безпеки та методологія захисту інформації: Конспект лекцій / Л. В. Астахова .- Челябінськ: Вид-во «ЗАТ Челябінська міжрайонна друкарня», 2006 .- 361 с.
2. Буробін, В.М. Адвокатська таємниця / В. М. Буробін, В. Ю. Плетньов, Д. А. Шубін .- М.: Статут, 2006 .- 253 с.
3. Іванов, А.В. Економічна безпека підприємств / А. В. Іванов .- М.: Віраж-центр, 1995 .- 39 с.
4. Курело, А.П. Забезпечення інформаційної безпеки бізнесу / А. П. Курело, С. Г. Антимонов, В. В. Андріанов и др. - М.: БДЦ-прес, 2005 .- (t-Solutions) .- 511 с.
5. Петрухін, І.Л. Приватні таємниці: людина і влада / І. Л. Петрухін .- М.: ЦГПАН, 1998 .- 230 с.
6. Поздняков, Є.М. Захист об'єктів: Рекомендації для керівників і співробітників служб безпеки / Є. М. Поздняков .- М.: Концерн «Банківський діловий центр», 1997 .- (Поради «профі») .- 222 с.
7. Соловйов, Е. Комерційна таємниця та її захист / Е. Соловйов .- М.: Главбух, 1995 .- 48 с.
8. Шафікова, Г.Х. До питання про захист персональних даних працівника / Г. Х. Шафікова / / Регіональна інформаційна економіка: проблеми формування та розвитку: Зб. наук. тр. Міжнар. науч-практ. конф. 25-26 жовтня 2002 .- Челябінськ: Вид-во ЮУрГУ, 2003 .- С. 359-362.
9. Ярочкін, В.І. Комерційна інформація фірми: витік або розголошення конфіденційної інформації / В. І. Ярочкін .- М.: Ось-89, 1997 .- 160 с.

5.1.4. Інформаційно-пошукові системи Інтернет
1. Адвокатська таємниця / Юридична бібліотека [Електронний ресурс] / / Юридична бібліотека URKA.ru. - (http://www.urka.ru/library.php/chat/chat/library/arch/library.php?parent=419).
2. Аналіз загроз і побудова системи інформаційної безпеки [Електронний ресурс] / / МРЦБ. Консультаційна фірма. IT-консалтинг .- (http://www.mrcb.ru/).
3. Астахов, А. Розробка ефективних політик інформаційної безпеки / А. Астахов [Електронний ресурс] / / Директор ИС # 01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html) .