Главная: Рефераты

Рефераты. Теория и методология защиты информации в адвокатской конторе

─                  прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;

─                  прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;

─                  внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений адвокатской фирмы, в которых обрабатывается защищаемая информация;

─                  использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);

─                  использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;

─                  незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);

─                  умышленное изменение используемого программного обеспечения для несанкционированного сбора защищаемой информации.

V. Меры по обеспечению защиты информации в адвокатской конторе

Основными мерами по обеспечению защиты информации в адвокатской фирме являются:

─                  административно-правовые и организационные;

─                  технические, основанные на использовании аппаратно-программных и специальных средств;

─                  режимные.

1. Административно-правовые и организационные меры:

1.1. Определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и коммуникационных систем, установление их ответственности за соблюдение нормативных правовых актов адвокатской фирмы в этой сфере;

1.2. Разработка перечня возможных нарушений информационной безопасности и локальных нормативных актов, определяющих порядок защиты интересов адвокатской фирмы в сфере защиты информации;

1.3. Оценка эффективности действующих в адвокатской фирме локальных нормативных актов по обеспечению защиты информации;

1.4. Включение в должностные инструкции сотрудников обязанностей и ответственности в области обеспечения защиты информации;

1.5. Совершенствование системы обучения сотрудников адвокатской фирмы по вопросам защиты информации в адвокатской фирме;

1.6. Подготовка и повышение квалификации специалистов в области защиты информации;

1.7. Аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих адвокатскую тайну и коммерческую тайну адвокатской фирмы;

1.8. Разработка правил (регламентов, порядков) эксплуатации технических и программных средств с указанием действий в случаях нарушения режима безопасности (подозрений на нарушение);

1.9. Оперативное реагирование (внедрение) на появление новых разработок в области информационных технологий;

1.10. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы;

1.11. Совершенствование нормативно-правовой базы, регламентирующие порядок обмена конфиденциальной информацией между адвокатской фирмой и сторонними организациями;

1.12. Обеспечение принципа разграничения доступа: информация должна быть доступна только тем, кому она предназначена и разрешена;

1.13. Предоставление сотрудникам минимально достаточных прав по доступу к информации, необходимых для выполнения ими своих функциональных обязанностей;

1.14. Использование E-mail только в служебных целях;

1.15. Пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации.

2. Технические меры:

2.1. Использование лицензионного программного обеспечения;

2.2. Использование сертифицированных средств защиты информации для обработки, хранения и передачи конфиденциальной информации;

2.3. Соблюдение положений информационно-технологической политики адвокатской фирмы;

2.4. Обеспечение безотказной работы аппаратных средств;

2.5. Проведение комплексной антивирусной защиты;

2.6. Проведение аудита (контроль за деятельностью пользователей – успешный или неуспешный доступ к сетевым ресурсам, вход-выход в систему и пр.);

2.7. Проведение контроля трафика сети на отдельных ее участках (сегментах);

2.8. Проведение контроля состояния программного и информационного обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей);

2.9. Проведение эффективной парольной защиты;

2.10. Обеспечение резервного копирования;

2.11. Проведение контроля за несанкционированными физическими подключениями к автоматизированным системам;

2.12. Внедрение в ЛВС современной системы обнаружения вторжений;

2.13. Использование для подключения к почтовому серверу защищенного соединения с целью шифрования паролей;

2.14. Запрет несанкционированного доступа к ЛВС через удаленное соединение.

3. Режимные меры:

3.1. Хранение информации ограниченного распространения, составляющей адвокатскую тайну и коммерческую тайну адвокатской фирмы, разрешено только на специально подготовленной вычислительной технике, расположенной в специальных (выделенных) помещениях с ограниченным доступом;

3.2. Круг лиц из числа сотрудников адвокатской фирмы, имеющих право работы со сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы, должен быть ограничен;

3.3. Установление специальных режимных мер, применяемых в целях защиты информации в адвокатской фирме (ведение специального делопроизводства, выделение специально оборудованных помещений, поддержание необходимого уровня пропускного и внутриобъектового режима, подбор кадров, проведение комплексных защитно-поисковых мероприятий и т.п.);

3.4. Аттестация объектов информатизации на соответствие требованиям обеспечения защиты информации при проведении работ, связанных с использованием конфиденциальных сведений, составляющих коммерческую тайну адвокатской фирмы;

3.5. Совершенствование пропускного и внутриобъектового режима в адвокатской фирме и повышение ответственности сотрудников за выполнение требований установленных режимов;

3.6. Разграничение доступа и контроль за доступом в выделенные помещения;

3.7. Создание эффективной системы контроля за выполнением сотрудниками адвокатской фирмы требований локальных нормативных актов по обеспечению защиты информации адвокатской фирмы;

3.8. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы.

VI. Организация системы обеспечения защиты информации в адвокатской конторе

Система обеспечения информационной безопасности адвокатской фирмы строится на основе разграничения полномочий управленческих и функциональных подразделений адвокатской фирмы в данной сфере.

Основными элементами организационной системы обеспечения информационной безопасности адвокатской фирмы являются: Президент адвокатской фирмы, управляющие партнеры и служба защиты информации.

Президент адвокатской фирмы определяет приоритетные направления деятельности в области обеспечения защиты информации в адвокатской фирме и меры по реализации Концепции защиты информации, утверждает списки сведений, подлежащих защите.

Управляющие партнеры с учетом определенных Президентом адвокатской фирмы приоритетных направлений в области обеспечения защиты информации предусматривают выделение средств, необходимых для реализации программ и координируют деятельность подразделений с учетом требований защиты информации в адвокатской конторе.

Служба защиты информации во взаимодействии с другими структурными подразделениями адвокатской фирмы обеспечивает выполнение административно-правовых, организационных и режимных мер по обеспечению защиты информации, координирует деятельность подразделений адвокатской фирмы в области информационной безопасности, проводит работу по выявлению и оценке угроз, разрабатывает предложения по их предотвращению, контролирует деятельность подразделений по обеспечению информационной безопасности.

Руководители структурных подразделений адвокатской фирмы обеспечивают выполнение всеми подчиненными сотрудниками установленных требований в области обеспечения защиты информации.

Обеспечение защиты информации в адвокатской фирме непосредственно на рабочих местах возлагается на сотрудников адвокатской фирмы.

VII. Ответственность за нарушение требований защиты информации в адвокатской фирме

По степени опасности нарушения, связанные с несоблюдением локальных нормативных актов по обеспечению защиты информации в адвокатской фирме делятся на две группы:

1. Нарушения, повлекшие за собой наступление указанных выше нежелательных для адвокатской фирмы последствий (утечку или уничтожение информации);

2. Нарушения, в результате которых созданы предпосылки, способные привести к нежелательным для адвокатской фирмы последствиям (угроза уничтожения или утраты информации).

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.