Конфіденційність інформації - обов'язкова до виконання особою, який отримав доступом до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника.

(п. 7 ст. 2 Федерального закону Російської Федераціївід 27.07.2006 №149-ФЗ «Про інформацію, інформаційних технологійта про захист інформації»)

Обмеження доступу до інформації встановлюється федеральними законами з метою захисту основ конституційного ладу, моральності, здоров'я, правий і законних інтересів інших, забезпечення оборони держави та безпеки держави.
Обов'язковим є дотримання конфіденційності інформації, доступ якої обмежений федеральними законами.
Федеральними законами встановлюються умови віднесення інформації до відомостей, що становлять комерційну таємницю, службову таємницю та іншу таємницю, обов'язковість дотримання конфіденційності такої інформації, а також відповідальність за її розголошення.
Інформація, отримана громадянами (фізичними особами) у виконанні ними професійних обов'язків чи організаціями під час здійснення ними певних видів діяльності (професійна таємниця), підлягає захисту у разі, якщо ці особи федеральними законами покладено обов'язки щодо дотримання конфіденційності такої інформації.
Інформація, що становить професійну таємницю, може бути надана третім особам відповідно до федеральних законів та (або) за рішенням суду.
Порядок доступу до персональних даних громадян ( фізичних осіб) встановлюється федеральним законом про персональні дані.

Відповідно до вимог, встановлених ч.ч.1 - 4 Федерального закону Російської Федерації від 27.07.2006 №149-ФЗ «Про інформацію, інформаційні технології та про захист інформації»

1. Захист інформації є прийняття правових, організаційних та технічних заходів, спрямованих на:
1) забезпечення захисту інформації від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також інших неправомірних дій щодо такої інформації;
2) дотримання конфіденційності інформації обмеженого доступу;
3) реалізацію права доступу до информации.
2. Державне регулювання відносин у сфері захисту інформації здійснюється шляхом встановлення вимог про захист інформації, а також відповідальності за порушення законодавства Російської Федерації про інформацію, інформаційні технології та про захист інформації.
3. Вимоги щодо захисту загальнодоступної інформаціїможуть встановлюватися тільки для досягнення цілей, зазначених у пунктах 1 та 3 частини 1 цієї статті.
4. Власник інформації, оператор інформаційної системи у випадках, встановлених законодавством України, зобов'язані забезпечити:
1) запобігання несанкціонованому доступу до інформації та (або) передачі її особам, які не мають права на доступ до інформації;
2) своєчасне виявлення фактів несанкціонованого доступу до інформації;
3) запобігання можливості несприятливих наслідків порушення порядку доступу до інформації;
4) недопущення впливу на технічні засоби обробки інформації, внаслідок якого порушується їхнє функціонування;
5) можливість негайного відновлення інформації, модифікованої чи знищеної внаслідок несанкціонованого доступу до неї;
6) постійний контроль забезпечення рівня захищеності інформації.

Порушення вимог цього Закону тягне у себе дисциплінарну, цивільно-правову, адміністративну чи кримінальну відповідальність відповідно до законодавством Російської Федерації.

Дотримання вимог, встановлених Федеральними законами та прийнятими відповідно до них нормативними правовими актами можливе лише із застосуванням програмних та апаратних комплексів із захисту від несанкціонованого доступу.

Засоби захисту конфіденційної інформації в автоматизованих системах організацій повинні відповідати низці вимог, таким як надійність, масштабованість, сумісність і відповідність законодавству.
У Російській Федерації надійність засобу захисту конфіденційної інформації та відповідність технічних параметрівзасоби захисту вимог законодавства підтверджується сертифікацією ФСТЕК. Відповідно до законодавства, захист конфіденційної інформації має відбуватися з використанням рішень, сертифікованих ФСТЕК щодо вимог керівних документів (РД) та на відсутність недекларованих можливостей (НДВ).
При побудові підсистеми інформаційної безпекиНеобхідно враховувати необхідність відповідності вимогам РД Держтехкомісії Росії: «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації».
Оскільки вбудовані засоби безпеки операційних системне мають задовольняючого вимогам РД гнучкого та надійного механізму захисту конфіденційної інформації, організаціям та компаніям слід забезпечувати безпеку конфіденційної інформації на належному рівні спеціальними апаратними та програмними засобамизахисту.

В даний час одним з найбільш значущих завдань у сфері інформаційної безпеки є інформаційний захист, зокрема, захист персональних даних, комерційної таємниці та іншої інформації конфіденційного характеру у сферах муніципальних установ, у тому числі підприємств ЖКГ, готельного та санаторно-курортного обслуговування, а також медичних та лікувально-профілактичних установ (ЛПЗ), розташованих у місцях постійного проживання та відпочинку росіян.

Необхідність розв'язання таких завдань диктується державними правовими та нормативними актами, що вимагають виконання робіт зі створення систем захисту інформації конфіденційного характеру, у тому числі систем захисту персональних даних в організаціях, які є операторами персональних даних. Отже, захищається як інформація конкретної організації, а й конституційні права громадян.

Компанія «РНТ» має власний методологічний підхід до вирішення даних завдань. Пропоноване рішення «РНТ» включає повний комплекс засобів захисту інформації, організаційно-технічних заходів та робіт з їхньої розробки та впровадження.

1 етап – передпроектні роботи.

На даному етапі проводиться попередній аналіз існуючих системорганізації захисту, формується перелік захищених інформаційних систем, а також перелік даних, що захищаються, виявляються ключові техпроцеси їх обробки, формулюються цілі обробки та вимоги до необхідних організаційно-технічних заходів, розробляються моделі загроз і можливостей потенційних порушників безпеки, визначаються необхідні рівні захищеності та формується. технічне завдання, Що включає вимоги до робіт наступних етапів Етап також включає участь у підготовці внутрішніх організаційних документів Замовника.

2 етап – проектування.

На даному етапі проводиться вибір технічних засобів та проектування системи захисту інформації. Результатом етапу є ескізний, і навіть технічний чи технорабочий проекти.

3 етап – використання.

На даному етапі здійснюється закупівля та постачання технічних засобів та впровадження системи захисту інформації, що супроводжується комплексом необхідних налаштувань та випробувань.

4 етап – атестація системи.

На цьому етапі проводяться атестаційні випробування системи захисту інформації. За результатами видається Атестат відповідності ФСТЕК Росії, або (для комерційних структур) – Висновок про відповідність системи захисту вимогам Регуляторів.

Після введення системи захисту в експлуатацію доцільно укладання договору технічного супроводу з Центром технічної підтримкита супроводу АТ «РНТ».

У рішенні застосовуються вітчизняні сертифіковані засоби захисту як власного виробництва АТ «РНТ», такі як СОА «ФОРПОСТ» і ПК «ФАНТОМ», і інших російських лідерів у сфері захисту.

Переваги рішення

Наявність у «РНТ» цілісного методологічного підходу дозволяє одночасно оптимізувати процес обробки інформації, знизити трудовитрати та фінансові витрати, пов'язані з обслуговуванням впровадженого комплексу заходів Замовника. Важливим результатом впровадження рішення «РНТ» є оптимізація нормативних засад обробки інформації, а також скорочення можливих претензій та позовів, пов'язаних з опрацюванням інформації як з боку приватних осіб, так і з боку різних організацій, зокрема контролюючих державних структур.

Головне становище описує єдиний підхід до конфіденційності і є головною керівною ланкою, яка є обов'язковою для виконання всіх співробітників:

• Список даних, що становлять комерційну таємницю. Список конфіденційних даних, список персональних даних співробітників тощо
• Обмеження вільного доступу до такої інформації
• Документи щодо використання та передачі конфіденційної інформації
• Обмеження на копіювання конфіденційної інформації на носії
• У разі потреби використання технічних/організаційних/програмних заходів для захисту конфіденційної інформації, які не порушують законодавство країни
• Повинна визначатися відповідальність за недотримання режиму збереження конфіденційності

Нормативні документи

• Федеральний закон від 20 лютого 1995р. №24-03 «Про інформацію, інформатизацію та захист інформації»
• Закон РФ від 29 липня 2004р. №98-Ф3 «Про комерційну таємницю»
• Закон РФ від 10 січня 2002р. №1-Ф3 «Про електронну цифровий підпис»
• Федеральний закон РФ від 30 грудня 2001р. №197-Ф3 «Трудовий кодекс РФ»

Терміни

Режим конфіденційності- Організаційні, правові та технічні заходи, що вживаються підприємством.

Конфіденційні дані— дані про предмети, особи, факти, процеси незалежно від форми, що становлять комерційну таємницю, що охороняються законодавством країни, та нормативними актами та документами підприємства.

Передача конфіденційної інформації- Власник у документованому вигляді доводить до співробітників конфіденційну інформацію, в установленому порядку законів. Конфіденційний документ — зафіксована на матеріальному носії конфіденційна інформація з реквізитами, що дозволяє її ідентифікувати.

Гриф конфіденційності-бувають такі:

• Комерційна таємниця — вид грифу конфіденційності для документів, які мають дані та становлять комерційну таємницю підприємства
• Персональні дані - вид грифу на документи, які містять персональні дані співробітників
• Для внутрішнього користування — вид грифу конфіденційності для документів, які мають іншу інформацію, що захищається.

Обмежувальні позначки: позначки, які обмежують доступ до даних.

Схема віднесення інформації до категорії конфіденційної

Конфіденційна інформація підприємства може складатися з:

• даних, що визначають комерційну таємницю
• персональних даних працівників підприємства
• інших даних, на яких накладено гриф конфіденційності

До конфіденційної інформації можна відносити:

• дані про події, факти життя співробітника, які дозволяють ідентифікувати його особистість
• дані, що підпадають під законодавство країни, що знаходяться в руках підприємства
• технічну, організаційну чи іншу підприємницьку інформацію:
  • яка може мати потенційну або дійсну комерційну цінність
  • до якої немає доступу в паблиці
  • щодо якої, власник бачить у ній цінність

Інформація дійсно має цінність, якщо вона:

• має відомості про збільшення доходів
• про уникнення збитків
• іншу вигоду

• держава, що міститься в реєстрах держави
• дані про діяльність підприємця, ліцензії та інші документи, що вказують на даний виддіяльності
• Все що пов'язано з федеральним бюджетом, і тими речами, на які було витрачено ці гроші
• Про стан протипожежної безпеки, екологічної, тощо.
• Про чисельність співробітників, про наявність вільних місць
• Про заборгованість із виплати заробітної плати та інших виплат
• про порушення законів країни та їх наслідки
• Про умови приватизації об'єктів державної власності, про учасників укладання договорів приватизації
• про список осіб, які мають без доручення виступати від імені юридичної особи

Рівень конфіденційності даних повинен відповідати тяжкості шкоди, яку може завдати підприємству або його співробітникам. Під збитком розуміють витрати, які витратить на відновлення порушеного права, втрати, пошкодження, не отримані доходи.

Схема доступу до документів та конфіденційної інформації

Допуск співробітників підприємства до конфіденційних даних реалізується наказом головного директора з безпеки підприємства. Допуск співробітників до конфіденційної інформації можливий лише після підписання трудового договору.

Права осіб, допущених до конфіденційної інформації

Співробітники, які допущені до конфіденційної інформації, повинні:

• реалізовувати режим конфіденційності
• не розголошувати конфіденційну інформацію протягом трьох років після закінчення трудового договору
• одразу ж повідомляти вищому посібнику про факт розголошення або про відому загрозу розголошення конфіденційної інформації
• Якщо працівник винен у факті розголошення, має відшкодувати збитки
• Віддати всі матеріальні носії підприємству з конфіденційною інформацією після припинення трудового договору

Співробітниками, допущеними до конфіденційної інформації ЗАБОРОНЯЄТЬСЯ:

• вести розмови щодо конфіденційної інформації незахищеними каналами зв'язку, використовувати не документовані засоби захисту
• використовувати конфіденційну інформацію у відкритих статтях, виступах
• реалізовувати фото чи відео зйомки у приміщеннях, де проводяться роботи з конфіденційною інформацією

Алгоритм поводження з конфіденційною інформацією

• Облік конфіденційних документів
• Оформлення конфіденційних документів

Режим конфіденційності під час роботи в інформаційній системі визначається Положенням про порядок та організацію робіт із захисту конфіденційної інформації. При розміщенні конфіденційної інформації на переносному носії гриф конфіденційності вказується на паперовій етикетці. Надруковані та підписані документи передаються для реєстрації. Чернетки знищуються. Кожна копія конфіденційного документа має таку значимість, як і оригінал. Копія також реєструється, має свій номер у загальному списку.

Повинна бути реалізована безпека конфіденційної інформації. Вона має бути розміщена у спеціальних приміщеннях обмеженого доступу.

Алгоритм транспортування конфіденційної інформації іншим підприємствам

Передача контрагентам конфіденційної інформації можлива під час підписання ними «Угода про конфіденційність». Якщо ж агенту не вистачає якоїсь інформації, він звертається до гена. директора безпеки підприємства.

Контроль за підтримкою режиму конфіденційності

Контроль реалізації режиму конфіденційності на підприємстві створено для вивчення та оцінки стану захищеності конфіденційних даних, виявлення недоліків та виявлення порушень режиму. Контроль реалізації режиму підтримує заступник ген. директора безпеки підприємства

Перевірка виконання режиму проводить комісія (окремі люди), що призначаються ген. директор підприємства. Комісія має право підключати сторонніх спеціалістів за погодженням з директором. Перевіряючі мають право знайомитись з усіма документами, проводити консультації. Підрозділ, у якому проводилася перевірка, реалізує план усунення виявлених недоліків. План узгоджується із заступником. ген. директора з безпеки підприємства.

Проведення службового розслідування за фактами розголошення конфіденційної інформації

Для проведення службового розслідування, не пізніше ніж наступного дня після факту виявлення факту витоку наказом ген. директора створюється комісія щонайменше 3 людина. Члени комісії мають право:

• реалізовувати огляд приміщення та місць де знаходилися конф. документи
• опитувати співробітників
• залучати додаткових людей, які не зацікавлені у результаті справи за погодженням ген. директора

Службове розслідування повинно проводитись максимально у короткий термін.

Інформаційна безпека. Курс лекцій Артемов А.В.

Запитання 3. Система захисту конфіденційної інформації

Практичною реалізацією політики (концепції) інформаційної безпеки фірми є технологічна система захисту. Захист інформації є жорстко регламентованим і динамічним. технологічний процес, що запобігає порушенню доступності, цілісності, достовірності та конфіденційності цінних інформаційних ресурсіві, зрештою, що забезпечує досить надійну безпеку інформації у процесі управлінської та виробничої діяльності фірми.

Система захисту інформації – раціональна сукупність напрямків, методів, засобів та заходів, що знижують уразливість інформації та перешкоджають несанкціонованому доступу до інформації, її розголошенню чи витоку. Головними вимогами до організації ефективного функціонування системи є: персональна відповідальність керівників та співробітників за збереження носія та конфіденційність інформації, регламентація складу конфіденційних відомостей та документів, що підлягають захисту, регламентація порядку доступу персоналу до конфіденційних відомостей та документів, наявність спеціалізованої служби безпеки, яка забезпечує практичну реалізаціюсистеми захисту та нормативно-методичного забезпечення діяльності цієї служби.

Власники інформаційних ресурсів, у тому числі державні установи, організації та підприємства, самостійно визначають (за винятком інформації, віднесеної до державної таємниці) необхідний ступінь захищеності ресурсів та тип системи, способи та засоби захисту, виходячи з цінності інформації. Цінність інформації та необхідна надійність її захисту перебувають у прямій залежності. Важливо, що структура системи захисту має охоплювати як електронні інформаційні системи, а весь управлінський комплекс фірми у єдності його реальних функціональних і виробничих підрозділів, традиційних документаційних процесів. Відмовитися від паперових документів і часто рутинної, історично сформованої управлінської технології не завжди є можливим, особливо якщо питання стоїть про безпеку цінної, конфіденційної інформації.

Основною характеристикою системи є її комплексність, тобто наявність у ній обов'язкових елементів, що охоплюють усі напрямки захисту інформації. Співвідношення елементів та їх змісту забезпечують індивідуальність побудови системи захисту інформації конкретної фірми та гарантують неповторність системи, складність її подолання. Конкретну систему захисту можна представити у вигляді цегляної стіни, що складається з безлічі різноманітних елементів (цеглинок). Елементами системи є: правовий, організаційний, інженерно-технічний, програмно-апаратний та криптографічний.

Правовий елементсистеми захисту інформації ґрунтується на нормах інформаційного права та передбачає юридичне закріплення взаємовідносин фірми та держави з приводу правомірності використання системи захисту інформації, фірми та персоналу щодо обов'язку персоналу дотримуватися встановлених власником інформації обмежувальних та технологічних заходів захисного характеру, а також відповідальності персоналу за порушення порядку захисту інформації. Цей елемент включає:

Наявність в організаційних документах фірми, правилах внутрішнього трудового розпорядку, контрактах, що укладаються зі співробітниками, у посадових та робочих інструкціях положень та зобов'язань щодо захисту конфіденційної інформації;

Формулювання та доведення до відома всіх співробітників фірми (у тому числі не пов'язаних із конфіденційною інформацією) положення про правову відповідальність за розголошення конфіденційної інформації, несанкціоноване знищення чи фальсифікацію документів;

Роз'яснення особам, які приймаються на роботу, положення про добровільність обмежень, що ними приймаються, пов'язаних з виконанням обов'язків із захисту інформації.

Організаційний елементСистема захисту інформації містить заходи управлінського, обмежувального (режимного) і технологічного характеру, що визначають основи та зміст системи захисту, що спонукають персонал дотримуватися правил захисту конфіденційної інформації фірми. Ці заходи пов'язані із встановленням режиму конфіденційності у фірмі. Елемент включає регламентацію:

Формування та організації діяльності служби безпеки та служби конфіденційної документації (або менеджера з безпеки, або референта першого керівника), забезпечення діяльності цих служб (співробітника) нормативно-методичними документами щодо організації та технології захисту інформації;

Складання та регулярного оновлення складу (переліку, списку, матриці) інформації фірми, що захищається, складання та ведення переліку (опису) паперових, машиночитаних та електронних документів фірми, що захищаються;

Дозвільної системи (ієрархічної схеми) розмежування доступу персоналу до інформації, що захищається;

Методів відбору персоналу для роботи з інформацією, що захищається, методики навчання та інструктування співробітників;

Напрямів та методів виховної роботи з персоналом, контролю за дотриманням співробітниками порядку захисту інформації;

Технології захисту, обробки та зберігання паперових, машиночитаних та електронних документів фірми (діловодчої, автоматизованої та змішаної технологій); позамашина технології захисту електронних документів;

Порядку захисту цінної інформації фірми від випадкових чи навмисних несанкціонованих дій персоналу;

Веління всіх видів аналітичної роботи;

порядок захисту інформації при проведенні нарад, засідань, переговорів, прийомі відвідувачів, роботі з представниками рекламних агентств, засобів масової інформації;

Обладнання та атестації приміщень та робочих зон, виділених для роботи з конфіденційною інформацією, ліцензування технічних системта засобів захисту інформації та охорони, сертифікації інформаційних систем, призначених для обробки інформації, що захищається;

Пропускного режиму на території, у будівлі та приміщеннях фірми, ідентифікації персоналу та відвідувачів;

Системи охорони території, будівлі, приміщень, обладнання, транспорту та персоналу фірми;

дій персоналу в екстремальних ситуаціях;

Організаційних питань придбання, встановлення та експлуатації технічних засобів захисту інформації та охорони;

Організаційних питань захисту персональних комп'ютерів, інформаційних систем, локальних мереж;

Роботи з управління системою захисту;

Критеріїв та порядку проведення оціночних заходів щодо встановлення ступеня ефективності системи захисту інформації.

Елемент організаційного захисту є стрижнем, основною частиною комплексної системи, що розглядається. На думку більшості фахівців, заходи організаційного захисту складають 50–60 % у структурі більшості систем захисту. Це з низкою чинників і з тим, що важливою складовою організаційного захисту є підбір, розстановка і навчання персоналу, який реалізовуватиме практично систему захисту. Свідомість, навченість і відповідальність персоналу можна з повним правом назвати наріжним каменем будь-якої навіть технічно досконалої системи захисту інформації. Організаційні заходи захисту відображаються у нормативно-методичних документах служби безпеки, служби конфіденційної документації установи чи фірми. У цьому часто використовується єдина назва двох розглянутих вище елементів системи захисту – «елемент організаційно-правового захисту інформації».

Інженерно-технічний елементСистема захисту інформації призначена для пасивної та активної протидії засобам технічної розвідки та формування рубежів охорони території, будівлі, приміщень та обладнання за допомогою комплексів технічних засобів. При захисті інформаційних систем цей елемент має дуже важливе значення, хоча вартість засобів технічного захисту та охорони велика. Елемент включає:

Спорудження фізичного (інженерного) захисту від проникнення сторонніх осіб на територію, до будівлі та приміщення (огорожі, грати, сталеві двері, кодові замки, ідентифікатори, сейфи та ін.);

Засоби захисту технічних каналіввитоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів та офісного обладнання, під час проведення нарад, засідань, бесід з відвідувачами та співробітниками, диктування документів тощо;

засоби захисту приміщень від візуальних способів технічної розвідки;

Засоби забезпечення охорони території, будівлі та приміщень (засоби спостереження, оповіщення, сигналізування, інформування та ідентифікації);

Засоби протипожежної охорони;

Засоби виявлення приладів та пристроїв технічної розвідки (підслуховуючих та передавальних пристроїв, таємно встановленої мініатюрної звукозаписної та телевізійної апаратури тощо);

Технічні засоби контролю, що запобігають виносу персоналом із приміщення спеціально маркованих предметів, документів, дискет, книг тощо. Програмно-апаратний елементСистема захисту інформації призначена для захисту цінної інформації, що обробляється і зберігається в комп'ютерах, серверах і робочих станціях локальних мереж та різних інформаційних системах. Однак фрагменти цього захисту можуть застосовуватися як супутні засоби в інженерно-технічному та організаційному захисті. Елемент включає:

Автономні програми, які забезпечують захист інформації та контроль ступеня її захищеності;

Програми захисту інформації, що працюють у комплексі із програмами обробки інформації;

Програми захисту інформації, що працюють у комплексі з технічними (апаратними) пристроями захисту інформації (переривають роботу ЕОМ при порушенні системи доступу, стирають дані при несанкціонованому вході до бази даних та ін.).

Криптографічний елементСистема захисту інформації призначена для захисту конфіденційної інформації методами криптографії. Елемент включає:

Регламентацію використання різних криптографічних методів в ЕОМ та локальних мережах;

Визначення умов та методів криптографування тексту документа при передачі його незахищеними каналами поштового, телеграфного, телетайпного, факсимільного та електронного зв'язку;

Регламентацію використання засобів криптографування переговорів незахищеними каналами телефонного та радіозв'язку;

Регламентацію доступу до баз даних, файлів, електронних документів персональними паролями, ідентифікуючими командами та іншими методами;

Регламентацію доступу персоналу у виділені приміщення за допомогою кодів, що ідентифікують, шифрів.

Складові частини криптографічного захисту, коди, паролі та інші її атрибути розробляються та змінюються спеціалізованою організацією. Використання користувачами власних систем шифрування не допускається.

У кожному елементі захисту можуть бути реалізовані на практиці лише окремі складові частини в залежності від поставлених завдань захисту у великих та невеликих фірмах різного профілю, малому бізнесі. Структура системи, склад і зміст елементів, їх взаємозв'язок залежать від обсягу і цінності інформації, що захищається, характеру виникаючих загроз безпеці інформації, необхідної надійності захисту та вартості системи. Наприклад, у невеликій фірмі з невеликим обсягом інформації, що захищається, можна обмежитися регламентацією технології обробки та зберігання документів, доступу персоналу до документів і справ. Можна додатково виділити в окрему групу та маркувати цінні паперові, машиночитані та електронні документи, вести їх опис, встановити порядок підписання співробітниками зобов'язання про нерозголошення таємниці фірми, організовувати регулярне навчання та інструктування працівників, вести аналітичну та контрольну роботу. Застосування найпростіших методів захисту зазвичай дає значний ефект.

У великих виробничих і дослідницьких фірмах з безліччю інформаційних систем і значними обсягами відомостей формується багаторівнева система захисту інформації, що характеризується ієрархічним доступом до інформації. Однак ці системи, як і найпростіші методи захисту, не повинні створювати співробітникам серйозні незручності у роботі, тобто вони мають бути прозорими.

Зміст складових елементів, методи та засоби захисту інформації в рамках будь-якої системи захисту повинні регулярно змінюватися з метою запобігання їх розкриттю заінтересованою особою. Конкретна система захисту інформації фірми завжди є суворо конфіденційною, таємною. При практичному використаннісистеми слід пам'ятати, що особи, котрі проектують і модернізують систему, контролюють і аналізують її роботу неможливо знайти користувачами цієї системи.

Висновок: безпека інформації у сучасних умовах комп'ютеризації інформаційних процесівмає важливе значення задля унеможливлення незаконного і найчастіше злочинного використання цінних відомостей. Завдання безпеки інформації реалізуються комплексною системоюзахисту інформації, яка за своїм призначенням здатна вирішити безліч проблем, що виникають у процесі роботи з конфіденційною інформацією та документами. Основною умовою безпеки інформаційних ресурсів обмеженого доступу від різних видів загроз є насамперед організація у фірмі аналітичних досліджень, побудованих на сучасному науковому рівні і що дозволяють мати постійні відомості про ефективність системи захисту та напрямки її вдосконалення відповідно до ситуаційних проблем.