–  предотвращение утечки, хищения, утраты, искажения, подделки информации;

–  предотвращение угроз безопасности личности, предприятия, общества, государства;

–  предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

–  предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

–  защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

–  сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.

Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.

Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:

–  простота защиты;

–  приемлемость защиты для пользователей;

–  подконтрольность системы защиты;

–  постоянный контроль за наиболее важной информацией;

–  дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;

–  минимизация привилегий по доступу к информации;

–  установка ловушек для провоцирования несанкционированных действий;

–  независимость системы управления для пользователей;

–  устойчивость защиты во времени и при неблагоприятных обстоятельствах;

–  глубина защиты, дублирование и перекрытие защиты;

–  особая личная ответственность лиц, обеспечивающих безопасность информации;

–  минимизация общих механизмов защиты.

Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:

а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.

По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):

I. Определение объектов защиты.

II. Выявление угроз и оценка их вероятности.

III. Оценка возможного ущерба.

IV. Обзор применяемых мер защиты, определение их недостаточности.

V. Определение адекватных мер защиты.

VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.

VII. Внедрение мер защиты. VIII. Контроль.

IX. Мониторинг и корректировка внедренных мер.

Детализируем указанные этапы и представим один из вариантов процесса таким образом:

1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.

2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».

3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).