─                  единой политики - координация деятельности различных подразделений адвокатской фирмы по созданию и поддержанию необходимого уровня защиты информации в адвокатской фирме, определение обязанностей и ответственности подразделений (их руководителей);

─                  целесообразности - затраты на обеспечение защиты информации не должны превышать потери, которые может понести адвокатская фирма при реализации угроз.

Политика в области защиты информации в адвокатской фирме включает следующие основные этапы:

─                  определение информации, подлежащей защите (объекты защиты);

─                  определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;

─                  определение ценности защищаемой информации (риски) и ее ранжирование;

─                  разработка комплекса мер по поддержанию необходимого уровня защиты информации;

─                  распределение полномочий и ответственности за обеспечение установленного режима безопасности.

Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.

II. Цели и задачи защиты информации в адвокатской конторе

Целями защиты информации в адвокатской фирме являются:

·                    предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);

·                    предотвращение угроз безопасности личности и адвокатской конторы;

·                    предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

·                    предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

·                    защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

·                    сохранение, конфиденциальности документированной информации в соответствии с законодательством.

К задачам защиты информации в адвокатской фирме относятся:

1.  Обеспечение деятельности адвокатской фирмы режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необхо­димой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать адвокатской конторе преимущества перед конкурентами и оправдывать затраты средств на защиту информации.

2.  Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

3.  Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.

4.  Документирование процесса защиты информации с тем, чтобы в слу­чае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.

5. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

III. Основные объекты защиты

Основными объектами защиты в адвокатской фирме являются:

1. Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);

2. Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;

3. Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы адвокатской фирмы, с помощью которых производится обработка защищаемой информации;

4. Помещения, предназначенные для ведения закрытых переговоров и совещаний;

5. Помещения, в которых расположены средства обработки защищаемой информации;

6. Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Подлежащая защите информация может находиться в адвокатской фирме:

─                  на бумажных носителях;

─                  в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);

─                  передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;

─                  присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;

─                  записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).

IV. Угрозы защищаемой информации и возможные источники их возникновения

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

1. Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;

2. Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;

3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

Источниками (каналами) возникновения угроз могут являться:

─                  стихийные бедствия (пожары, наводнения и т.п.);

─                  технические аварии (внезапное отключение электропитания, протечки и т.п.);

─                  несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;

─                  несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;

─                  умышленное или неумышленное разглашение защищаемой информации;

─                  хищение носителей информации или несанкционированное копирование информации;

─                  посылка в ЛВС пакетов, нарушающих нормальную работу сети;

─                  внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;

─                  внедрение деструктивных программ – вирусов, сетевых червей и пр.;

─                  проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;

─                  получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;

─                  хищение, физический вывод из строя технических средств;

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12