Политика в области защиты информации в адвокатской фирме включает следующие основные этапы:
─ определение информации, подлежащей защите (объекты защиты);
─ определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;
─ определение ценности защищаемой информации (риски) и ее ранжирование;
─ разработка комплекса мер по поддержанию необходимого уровня защиты информации;
─ распределение полномочий и ответственности за обеспечение установленного режима безопасности.
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.
II. Цели и задачи защиты информации в адвокатской конторе
Целями защиты информации в адвокатской фирме являются:
· предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);
· предотвращение угроз безопасности личности и адвокатской конторы;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательством.
К задачам защиты информации в адвокатской фирме относятся:
1. Обеспечение деятельности адвокатской фирмы режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать адвокатской конторе преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.
4. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.
5.Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
III. Основные объекты защиты
Основными объектами защиты в адвокатской фирме являются:
1.Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);
2.Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
3.Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы адвокатской фирмы, с помощью которых производится обработка защищаемой информации;
4.Помещения, предназначенные для ведения закрытых переговоров и совещаний;
5.Помещения, в которых расположены средства обработки защищаемой информации;
6.Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться в адвокатской фирме:
─ на бумажных носителях;
─ в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
─ передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
─ присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
─ записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).
IV. Угрозы защищаемой информации и возможные источники их возникновения
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
1.Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
2.Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
3.Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.
Источниками (каналами) возникновения угроз могут являться:
─ стихийные бедствия (пожары, наводнения и т.п.);
─ технические аварии (внезапное отключение электропитания, протечки и т.п.);
─ несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;
─ несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;
─ умышленное или неумышленное разглашение защищаемой информации;
─ хищение носителей информации или несанкционированное копирование информации;
─ посылка в ЛВС пакетов, нарушающих нормальную работу сети;
─ внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;
─ внедрение деструктивных программ – вирусов, сетевых червей и пр.;
─ проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;
─ получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;
─ хищение, физический вывод из строя технических средств;
─ прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;
─ прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;
─ внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений адвокатской фирмы, в которых обрабатывается защищаемая информация;
─ использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);
─ использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;
─ незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);
─ умышленное изменение используемого программного обеспечения для несанкционированного сбора защищаемой информации.
V. Меры по обеспечению защиты информации в адвокатской конторе
Основными мерами по обеспечению защиты информации в адвокатской фирме являются:
─ административно-правовые и организационные;
─ технические, основанные на использовании аппаратно-программных и специальных средств;
─ режимные.
1. Административно-правовые и организационные меры:
1.1. Определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и коммуникационных систем, установление их ответственности за соблюдение нормативных правовых актов адвокатской фирмы в этой сфере;
1.2. Разработка перечня возможных нарушений информационной безопасности и локальных нормативных актов, определяющих порядок защиты интересов адвокатской фирмы в сфере защиты информации;
1.3. Оценка эффективности действующих в адвокатской фирме локальных нормативных актов по обеспечению защиты информации;
1.4. Включение в должностные инструкции сотрудников обязанностей и ответственности в области обеспечения защиты информации;