Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   2   3   4   5   6   7   8   9   ...   14

Продолжение табл. 9




Область деятельности

Направление формирования

4.

Производственная деятельность

- производственные мощности

- тип используемого оборудования

- запасы сырья, материалов, комплектующих

- запасы готовой продукции

5.

Торговая деятельность

- информация о рыночной стратегии

- методы осуществления продаж

- информация о результатах изучения рынка

- информация о эффективности коммерческой деятельности.

6.

Переговоры и совещания по направлениям деятельности

- информация о подготовке, содержании и результатах переговоров с посредниками и партнерами

- о совещаниях с персоналом

7.

Формирование ценовой политики

- структура цены

- предполагаемые расчетные цены

- методы расчета

- размеры скидок

8.

Формирование состава клиентов, компаньонов, посредников, поставщиков, потребителей

- сведения о зарубежных и внутренних заказчиках, подрядчиках, поставщиках и потребителях.


9.

Изучение направлений интересов конкурентов

- используемые методы аналитической работы

- способы борьбы за рынок

- результаты маркетинговых исследований

10.

Участие в торгах и аукционах

- стратегическая информация

- информация о подготовке к торгам

- информация о намечаемых целях

- о результатах торгов

11.

Научная и исследовательская деятельность по созданию новой техники и технологий

- сведения о программах перспективных исследований и результатах


12.

Использование новых технологий

- информация об их содержании

- специфике применения

- получаемом эффекте

13.

Управление персоналом

- персональные сведения сотрудников

- методики подбора, тестирования кандидатов на должность

- результаты текущей работы с персоналом.

14

Организация безопасности предприятия

- сведения о функционировании СБ

- содержание СЗИ

- системы физической защиты



К особо ценной информации принято относить:

    • сведения о производстве и о продукции;

    • сведения о рынке и научных разработках;

    • материально-техническое обеспечение;

    • условия контрактов и переговоров;

    • сведения о персонале;

    • сведения о системе безопасности;

    • динамика сбыта продукции;

    • эффективность услуг.

Для России характерно отнесение к особо ценной информации  сведений о финансовой деятельности и системе безопасности организации или предприятия. Всегда ценной информацией является «чужая» информация, то есть информация сотрудничающих с предприятием учреждений, организаций, партнеров и клиентов.

^

10.3. Выявление конфиденциальных сведений



Процесс выявления и регламентации реального состава конфиденциальной информации – основополагающая часть системы комплексной защиты информации.

Комплексная защита информации дорогостоящая технология и следовательно определение состава конфиденциальных сведений должно базироваться на экономической целесообразности. Существует два критерия анализа информационных ресурсов:

    • степень заинтересованности конкурентов;

    • степень ценности (стоимостной, правовой аспект).

Для чего необходимо определить полный перечень реальных и потенциальных конкурентов:

    • знание сильных и слабых сторон деятельности конкурентов;

    • обладание информацией о состоянии дел у каждого из конкурентов;

    • о разрабатываемых новшествах;

    • о сотрудничестве со структурами промышленного шпионажа;

    • о сотрудничестве с криминалом.

Информация о реальных и потенциальных конкурентах является основой определения информации, которую необходимо защищать.

Для принятия решения о том является ли информация объектом защиты и целесообразно ли ее защищать необходимо:

    • определить экономическую значимость новшества;

    • произвести расчет величины ущерба от утраты информации.

Новшество представляет собой принятие новой стратегии развития:

    • заключение выгодных контрактов;

    • появление технического (технологического) новшества;

    • установление факта потенциальной или реальной угрозы новшеству со стороны конкурентов.

Ущерб от утраты – стоимость продукции, которая не будет произведена:

    • потери от замораживания капитальных вложений;

    • стоимость произведенных научно-исследовательских работ (НИР).

В процессе анализа выделяют главные элементы, отражающие фирменный секрет, что позволяет удешевить систему комплексной защиты информации, сделать ее максимально целенаправленной, динамичной и эффективной.

Защита всего новшества, включая общеизвестные составляющие, как правило, желаемого результата, не дает. Система защиты становится громоздкой, растет трудность контроля большого объема конфиденциальной информации.

Массовость засекречивания ведет лишь к росту штатной численности службы безопасности и в конечном итоге к снижению эффективности защиты и утрате информации.

Предпосылки отнесения информации к конфиденциальным сведениям:

    • не отражает негативные стороны деятельности фирмы (нарушение законодательства и фальсификацию финансовой деятельности с целью неуплаты налогов);

    • не общедоступна и не общеизвестна;

    • возникновение или получение информации законно и связано с расходованием материального, финансового и интеллектуального потенциала;

    • персонал знает о ценности информации и обучен правилам работы с ней;

    • предприниматель выполняет реальные действия по защите конфиденциальной информации.


^

10.4. Перечень конфиденциальных сведений



Перечень – классифицированный список типовой и конкретно ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах.

Перечень закрепляет факт отнесения сведений к защищаемой информации, определяет срок, период недоступности этих сведений, уровень конфиденциальности (гриф), список должностей, которым дано право использовать эти сведения в работе.

^ Основа Перечня – рекомендация руководителя структурного подразделения, утвержденная первым руководителем предприятия.

Перечень представляет собой постоянный рабочий материал для руководства, службы безопасности и службы защиты информации, следовательно, он должен постоянно поддерживаться в актуальном состоянии.

Важная задача Перечня – дробление коммерческой тайны на отдельные информационные элементы, известные разным должностным лицам.

Закрепление информации за конкретными должностными лицами снижает вероятность разглашения конфиденциальных сведений сотрудниками и предотвращает включение в документы избыточной конфиденциальной информации.

Примечание: при рассмотрении в судах дел о краже информации и понесенных в связи с этим убытках Перечень является доказательством отнесения сведений к конфиденциальным.

^

10.5. Документирование конфиденциальных сведений



Наибольшая безопасность конфиденциальной информации обеспечивается при отсутствии ее фиксации на каком-либо носителе.

Основные отличия документированных конфиденциальных сведений состоят в следующем:

    • обязательность получения разрешения на документирование конфиденциальной информации от полномочного руководителя;

    • установления грифа (уровня) конфиденциальности сведений, подлежащих включению в документ;

    • оформление и учет носителя для документирования, выделенного комплекса конфиденциальных сведений;

    • учет подготовленного черновика документа;

    • составление черновика и вариантов текста документа;

    • получение разрешения на изготовление документа от полномочного руководителя;

    • изготовление проекта конфиденциального документа;

    • издание конфиденциального документа.

Угрозы конфиденциальным документам возникают в момент появления мысли о необходимости документирования.

Существуют следующие угрозы конфиденциальным документам:

    • документирование на случайном носителе вне сферы контроля системы безопасности;

    • подготовка к изданию документа, не обоснованная деловой необходимостью или не разрешенного документирования;

    • включение в документ избыточной информации (равнозначно разглашению);

    • случайное (умышленное) занижение грифа конфиденциальности;

    • изготовление документа в условиях, которые не гарантируют сохранности носителя, конфиденциальность обрабатываемой информации;

    • утеря оригинала, черновика, варианта или редакции документа, его части, приложения;

    • умолчание такого факта или попытка подмены утраченного материала;

    • сообщение содержимого проекта документа постороннему лицу;

    • несанкционированное копирование, даже части, в том числе на неучтенном носителе;

    • утечка информации по техническим каналам;

    • ошибочные действия пользователей, особенно в части разрешительной системы доступа.



^

10.6. Носители конфиденциальных сведений



Носитель до приема конфиденциальной информации должен быть учтен с закреплением уровня конфиденциальности.

Цель – безопасность информации, контроль ее сохранности обеспечивается не только в подлиннике, но и во всех черновиках, вариантах, редакциях, отдельных записях.

Все носители конфиденциальных сведений условно можно классифицировать на следующие виды: носители традиционные текстовые, носители чертежно-графические, машиночитаемые документы, аудио и видео документы и фотодокументы.

К традиционным текстовым носителям относятся:

    • блокнот с отрывными листами и корешком для ведения учета листов, целей использования листов, исполнителей и дат;

    • рабочая тетрадь для документов большого объема;

    • отдельные пронумерованные листы;

    • типографские формы и бланки.

Носители чертежно-графические представляют собой пронумерованные листы кальки, ватмана, координатной бумаги.

Машиночитаемые документы это маркированные и пронумерованные диски, дискеты, магнитные ленты, карты и иные не читаемые визуально.

Аудио и видео документы представляют собой маркированные и пронумерованные лазерные диски, кассеты, магнитные ленты, карты, кинопленки.

Фотодокументы – маркированные и пронумерованные кассеты с фотопленкой, слайды, фотобумага

^

10.7. Задачи учета конфиденциальных документов



Рассмотрим основные задачи учета конфиденциальных документов:

  1. Закрепление факта присвоения носителю категории ограничения доступа;

  2. Присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия;

  3. Документирование фактов перемещения носителей между руководителями и сотрудниками;

  4. Закрепление персональной ответственности за сохранность носителя;

  5. Контроль работы исполнителей над документами и своевременное уничтожение при потере практической ценности.

Учет решает следующие вопросы защиты информации:

    • формирует основу последующей персональной ответственности исполнителя за сохранность конфиденциального документа, повышает внимание к нему;

    • предупреждает возможное неправильное использование либо хранение;

    • формирует гриф конфиденциальности будущего документа;

    • предупреждает возможность тайной подмены носителя, изъятие или включение в него отдельных частей (листов, кусков пленки, объемов информации). Для этого фиксируются технические характеристики носителя (количество листов, длина склейки, объем информации);

    • предупреждает тайную разборку кассет, пеналов, конвертов, и иных оболочек, содержащих технические носители;

    • включат носитель в сферу регулярного контроля сохранности и местонахождения.

Строго обязательна маркировка и учет магнитных носителей информации (МНИ), наиболее опасных для хранения информации. Обнаружение угроз возможно лишь только на основе сложных аналитических наблюдений.

Маркировка МНИ включает в себя:

    • нанесение инвентарного номера;

    • даты регистрации;

    • наименование структурного подразделения;

    • фамилии исполнителя.

Применяемый краситель должен быть механически стойким, он должен окрашивать места и детали крепления или возможно вместо применения красителей применение невосстанавливаемых наклеек.

Служба безопасности на основе учета защищает информацию путем:

    • предотвращения выдачи носителя лицу, не связанному с составлением конкретного документа или исключенному из состава лиц, допущенных к данному носителю;

    • выявляет факт утраты носителя либо его части;

    • организует поиск и проведение служебных расследований;

    • обеспечивает соблюдение принципа персональной ответственности за сохранность конфиденциальной информации;

    • обнаруживает подмену носителя, фальсификацию части носителя;

    • обнаруживает случайную либо умышленную порчу носителя, изменение формата, нумерации листов, вырывание листов, загрязнение, склеивание.

Служба безопасности предотвращает несанкционированную или неоправданную деловой необходимостью передачу носителей между руководителями и исполнителями и несанкционированное ознакомление посторонних в процессе приема и выдачи информации.


^

10.8. Конфиденциальные документы: состав и период нахождения
конфиденциальных документов в делах



Конфиденциальный документ – необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического (физического) лица.

Конфиденциальность есть отражение ограничения на доступ, которое накладывает собственник информации. Называть конфиденциальные документы СЕКРЕТНЫМИ или ставить на них гриф секретности не допускается.

Особенности конфиденциальных документов:

  1. Массовый носитель ценной информации;

  1. Основной источник накопления и объективного распространения централизованной информации (ЦИ);

  2. Основной источник неправомерного разглашения или утечки ЦИ;

  3. Обязательный объект защиты.

В состав конфиденциальных документов в государственных структурах входят документы, проекты документов и сопутствующие материалы для служебного пользования. Они содержат сведения, отнесенные к служебной тайне, имеющие рабочий характер и неподлежащие опубликованию в открытой печати.

В состав конфиденциальных документов в предпринимательских структурах входят документы, содержащие сведения, которые собственник имеет право отнести к коммерческой тайне, к тайне фирмы или мастерства.

Не зависимо от принадлежности в состав конфиденциальных документов входят документы, фиксирующие любые персональные данные, а также технические и технологические новшества до их патентования.

Однако защищаемая информация необязательно является конфиденциальной. Правоустанавливающий документ должен также быть обезопасен от похищения или стихийного бедствия.

При рассмотрении сроков конфиденциальности необходимо помнить, что ценность информации, как правило, не долговечна. Нужно оценивать время необходимое конкуренту для выработки такой же идеи, для похищения идеи, для воспроизводства идеи и для ее опубликования, то есть ее перехода в общедоступную.

Информация может использоваться:

    • для производства и продажи товаров;

    • для патентования и продажи лицензий.

Важным моментов является, то, что защита ценной информации стоит дорого. Это связано с постоянной опасностью потерять ее в результате действии конкурентов.

Конфиденциальность имеет значительный разброс по срокам ограничения свободного доступа от нескольких часов до нескольких лет.

Основная масса конфиденциальных документов сразу же после работы и исполнения теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта конфиденциальна, а после подписания и разрешения первого руководителя гриф конфиденциальности снимается.

Исполненные конфиденциальные документы формируются в дела в соответствии с номенклатурой дел.

Период нахождения конфиденциальных документов в делах может быть кратковременным и долговременным. Это зависит от специфики предприятия.

При сроке от 1 до 3 лет период нахождения конфиденциальных документов в делах считается кратковременным, а при сроке более 3 лет  долговременным. Персональные, производственные, профессиональные данные не должны иметь периода хранения.

^

Контрольные вопросы





  1. Для чего создается Перечень конфиденциальных сведений?

  1. Когда возникают угрозы конфиденциальным документам?

  2. При каких условиях ПЭВМ может хранить конфиденциальные сведения?

  3. Какие нарушения ИБ предупреждает учет?

  4. Почему нельзя называть конфиденциальные документы секретными?


1   2   3   4   5   6   7   8   9   ...   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации