Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

(п. 7 ст. 2 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»)

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

В соответствии с требованиями, установленными ч.ч.1 - 4 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.

Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Соблюдение требований, установленных Федеральными законами и принятыми в соответствии с ними нормативными правовыми актами возможно только с применением программных и аппаратных комплексов по защите от несанкционированного доступа.

Средства защиты конфиденциальной информации в автоматизированных системах организаций должны отвечать целому ряду требований, таким, как надежность, масштабируемость, совместимость и соответствие законодательству.
В Российской Федерации надежность средства защиты конфиденциальной информации и соответствие технических параметров средства защиты требованиям законодательства подтверждается сертификацией ФСТЭК. В соответствии с законодательством, защита конфиденциальной информации должна происходить с использованием решений, сертифицированных ФСТЭК по требованиям руководящих документов (РД) и на отсутствие недекларированных возможностей (НДВ).
При построении подсистемы информационной безопасности необходимо учитывать необходимость её соответствия требованиям РД Гостехкомиссии России: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Так как встроенные средства безопасности операционных систем не имеют удовлетворяющего требованиям РД гибкого и надёжного механизма защиты конфиденциальной информации, организациям и компаниям следует обеспечивать безопасность конфиденциальной информации на должном уровне специальными аппаратными и программными средствами защиты.

В настоящее время одной из наиболее значимых задач в области информационной безопасности является информационная защита, в частности, защита персональных данных, коммерческой тайны и другой информации конфиденциального характера в сферах муниципальных учреждений, в том числе предприятий ЖКХ, гостиничного и санаторно-курортного обслуживания, а также медицинских и лечебно-профилактических учреждений (ЛПУ), расположенных в местах постоянного проживания и отдыха россиян.

Необходимость решения подобных задач диктуется государственными правовыми и нормативными актами, требующими выполнения работ по созданию систем защиты информации конфиденциального характера, в том числе систем защиты персональных данных в организациях, являющихся операторами персональных данных. Таким образом, защищается не только информация конкретной организации, но и конституционные права граждан.

Компания «РНТ» располагает собственным методологическим подходом к решению данных задач. Предлагаемое решение «РНТ» включает полный комплекс средств защиты информации, организационно-технических мер и работ по их разработке и внедрению.

1 этап - предпроектные работы.

На данном этапе производится предварительный анализ существующих систем организации защиты, формируется перечень защищаемых информационных систем, а также перечень защищаемых данных, выявляются ключевые техпроцессы их обработки, формулируются цели обработки и требования к необходимым организационно-техническим мерам, разрабатываются модели угроз и возможностей потенциальных нарушителей безопасности, определяются требуемые уровни защищённости и формируется техническое задание, включающее требования к работам последующих этапов. Этап также включает участие в подготовке внутренних организационных документов Заказчика.

2 этап – проектирование.

На данном этапе производится выбор технических средств и проектирование системы защиты информации. Результатом этапа являются эскизный, а также технический либо технорабочий проекты.

3 этап – внедрение.

На данном этапе производится закупка и поставка технических средств и внедрение системы защиты информации, сопровождаемое комплексом необходимых настроек и испытаний.

4 этап – аттестация системы.

На данном этапе производятся аттестационные испытания системы защиты информации. По результатам выдаётся Аттестат соответствия ФСТЭК России, либо (для коммерческих структур) – Заключение о соответствии системы защиты информации требованиям Регуляторов.

После ввода системы защиты информации в эксплуатацию целесообразно заключение договора технического сопровождения с Центром технической поддержки и сопровождения АО «РНТ».

В решении применяются отечественные сертифицированные средства защиты информации как собственного производства АО «РНТ», такие как СОА «ФОРПОСТ» и ПК «ФАНТОМ», так и других российских лидеров в области защиты информации.

Преимущества решения

Наличие у «РНТ» целостного методологического подхода позволяет одновременно оптимизировать процесс обработки информации, снизить трудозатраты и финансовые затраты, связанные с обслуживанием внедрённого комплекса мер силами Заказчика. Важным результатом внедрения решения «РНТ» является оптимизация нормативных основ обработки информации, а также сокращение возможных претензий и исков, связанных с обработкой информации как со стороны частных лиц, так и со стороны различных организаций, в частности, контролирующих государственных структур.

Главное положение описывает единый подход к конфиденциальности и является главным руководящим звеном, который обязателен для исполнения всех сотрудников:

• Список данных, которые составляют коммерческую тайну. Список конфиденциальных данных, список персональных данных сотрудников и тд
• Ограничение свободного доступа к такой информации
• Документы по поводу использования и передачи конфиденциальной информации
• Ограничение на копирование конфиденциальной информации на носители
• При необходимости, использование технических/организационных/программных мер для защиты конфиденциальной информации, которые не нарушают законодательство страны
• Должна определятся ответственность за несоблюдение режима сохранения конфиденциальности

Нормативные документы

• Федеральный закон от 20 февраля 1995г. №24-03 «Об информации, информатизации и защите информации»
• Закон РФ от 29 июля 2004г. №98-Ф3 «О коммерческой тайне»
• Закон РФ от 10 января 2002г. №1-Ф3 «Об электронной цифровой подписи»
• Федеральный закон РФ от 30 декабря 2001г. №197-Ф3 «Трудовой кодекс РФ»

Термины

Режим конфиденциальности — организационные, правовые и технические меры, принимаемые предприятием.

Конфиденциальные данные — данные о предметах, лицах, фактах, процессах независимо от формы, составляющие коммерческую тайну, которые охраняемые законодательством страны, и нормативными актами и документами предприятия.

Передача конфиденциальной информации — обладатель в документированном виде доводит до сотрудников конфиденциальную информацию, в установленном порядке законов. Конфиденциальный документ — зафиксированная на материальном носителе конфиденциальная информация с реквизитами, которая разрешает ее идентифицировать.

Гриф конфиденциальности -бывают следующие:

• Коммерческая тайна — вид грифа конфиденциальности для документов, которые имеют данные и составляют коммерческую тайну предприятия
• Персональные данные — вид грифа на документы, которые содержат персональные данные сотрудников
• Для внутреннего пользования — вид грифа конфиденциальности для документов, которые имеют другую защищаемую информацию

Ограничительные отметки: отметки которые ограничивают доступ к данным.

Схема отнесения информации к категории конфиденциальной

Конфиденциальная информация предприятия может состоять из:

• данных, определяющие коммерческую тайну
• персональных данных сотрудников предприятия
• других данных, на которых наложен гриф конфиденциальности

К конфиденциальной информации можно относить:

• данные о событиях, фактах жизни сотрудника, которые разрешают идентифицировать его личность
• данные подпадаемые под законодательство страны, находящиеся в руках предприятия
• техническую, организационную или другую предпринимательскую информацию:
  • которая может обладать потенциальной или действительной коммерческой ценностью
  • к которой нету доступа в паблике
  • по отношению которой, владелец видит в ней ценность

Информация действительно имеет ценность, если она:

• имеет сведения об увеличения доходов
• об избежание убытков
• другую выгоду

• содержащаяся в реестрах государства
• данные о деятельности предпринимателя, лицензии и другие документы, которые указывают на данный вид деятельности
• Все что связанно с федеральным бюджетом, и теми вещами, на которые были потрачены эти деньги
• О состоянии противопожарной безопасности, экологической, и тд.
• О численности сотрудников, о наличии свободных мест
• О задолженности по выплате заработной плате и другим выплатам
• о нарушении законов страны и их последствиях
• О условиях приватизации объектов государственной собственности, о участниках составление договоров приватизации
• о списке лиц, которые имеют без доверенности выступать от имени юридического лица

Уровень конфиденциальности данных должен соответствовать тяжести ущерба, которые может быть нанесен предприятию или его сотрудниками. Под ущербом понимают расходы, которые потратит на: восстановление нарушенного права, утраты, повреждение, не полученные доходы.

Схема доступа к документам и конфиденциальной информации

Допуск сотрудников предприятия к конфиденциальным данным реализуется с помощью приказа главного директора по безопасности предприятия. Допуск сотрудников к конфиденциальной информации возможен только после подписания трудового договора.

Права лиц, допущенных к конфиденциальной информации

Сотрудники, которые допущенные к конфиденциальной информации, должны:

• реализовывать режим конфиденциальности
• не разглашать конфиденциальную информацию в течении трех лет после окончания трудового договора
• сразу же сообщать высшему руководству о факте разглашения или об известной угрозе разглашения конфиденциальной информации
• Если сотрудник виновен в факте разглашения, должен возместить убытки
• Отдать все материальные носители предприятию с конфиденциальной информацией после прекращения трудового договора

Сотрудниками, допущенных к конфиденциальной информации ЗАПРЕЩАЕТСЯ :

• вести разговоры относительно конфиденциальной информации по незащищенным каналам связи, использовать не документированные средства защиты
• использовать конфиденциальную информацию в открытых статьях, выступлениях
• реализовывать фото или видео съемки в помещениях, где проводятся работы с конфиденциальной информацией

Алгоритм обращения с конфиденциальной информацией

• Учет конфиденциальных документов
• Оформление конфиденциальных документов

Режим конфиденциальности при работе в информационной системе определяется Положением о порядке и организации работ по защите конфиденциальной информации. При размещении конфиденциальной информации на переносном носителе, гриф конфиденциальности указывается на бумажной этикетке. Отпечатанные и подписанные документы передаются для регистрации. Черновики уничтожаются. Каждая копия конфиденциального документа имеет такую же значимость как и оригинал. Копия также регистрируется, имеет свой номер в общем списке.

Должна быть реализована сохранность конфиденциальной информации. Она должен быть размещена в специальных помещениях ограниченного доступа.

Алгоритм транспортировки конфиденциальной информации другим предприятиям

Передача контрагентам конфиденциальной информации возможно при подписании ими «Соглашение о конфиденциальности». Если же агенту не хватает какой-то информации, он обращается к ген. директору безопасности предприятия.

Контроль поддержания режима конфиденциальности

Контроль реализации режима конфиденциальности на предприятии создан для изучения и оценки состояния защищенности конфиденциальных данных, выявление недостатков и выявление нарушений режима. Контроль реализации режима поддерживает заместитель ген. директора безопасности предприятия.

Проверка исполнения режима проводит комиссия (отдельные люди) назначаемые ген. директором предприятия. Комиссия имеет право подключать сторонних специалистов по согласованию с директором. Проверяющие имеют право знакомится со всеми документами, проводить консультации. Подразделение, в котором проводилась проверка, реализует план по устранению выявленных недостатков. План согласовывается с зам. ген. директора по безопасности предприятия.

Проведения служебного расследования по фактам разглашения конфиденциальной информации

Для проведения служебного расследования, не позднее, чем следующий день после факта обнаружения факта утечки приказом ген. директора создается комиссия не менее 3 человек. Члены комиссия имеют право:

• реализовывать осмотр помещения и мест где находились конф. документы
• опрашивать сотрудников
• привлекать дополнительных людей, которые не заинтересованны в исходе дела по согласованию ген. директора

Служебное расследование должно проводится максимально в короткие сроки.

Информационная безопасность. Курс лекций Артемов А. В.

Вопрос 3. Система защиты конфиденциальной информации

Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.

Система защиты информации – рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Основной характеристикой системы является ее комплексность, т. е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

Наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

Формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя регламентацию:

Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;

Составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

Разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

Технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

Порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

Веления всех видов аналитической работы;

Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

Пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;

Системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

Действий персонала в экстремальных ситуациях;

Организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

Организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

Работы по управлению системой защиты информации;

Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50–60 % в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты – «элемент организационно-правовой защиты информации».

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т. п.;

Средства защиты помещений от визуальных способов технической разведки;

Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

Средства противопожарной охраны;

Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т. п.);

Технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т. п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

Программы защиты информации, работающие в комплексе с программами обработки информации;

Программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

Регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

Регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;

Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

Регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.

В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т. е. они должны быть «прозрачными».

Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.

Вывод: безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.