2. Мероприятия по защите коммерческой информации
3) персональное назначение сотрудников, ответственных за хранение конкретных сведений;
4)систематический контроль за сохранностью информации и обеспечением мер по ее защите.
— систематический контроль за офисными помещениями и офисным оборудованием на предмет защиты от хищения информации;
— работу с персоналом, начиная от рабочих категорий и заканчивая менеджерами всех уровней управления (инструктирование вновь принятых по правилам защиты информации; обучение работе с документами, имеющими коммерческую тайну; материальное и моральное стимулирование соблюдения коммерческой тайны; заключение соответствующих договоров о неразглашении коммерческой тайны; профилактические беседы с увольняющимися);
— организацию работы с документами на бумажных носителях, содержащими коммерческую тайну (установление порядка делопроизводства, снятия режима секретности и процедуры уничтожения документов);
— создание условий для защиты электронной информации от несанкционированного доступа;
— защиту коммерческих тайн фирмы в процессе заключения контрактов с поставщиками и клиентами. При заключении кон трактов целесообразно включать в них пункт о том, что поставщик (контрагент) обязуется держать в секрете всю информацию, содержащуюся в договоре.
Обязательной мерой по обеспечению режима коммерческой тайны является заключение заинтересованными лицами должным образом оформленных соглашений о конфиденциальности или иных подтверждающих обязательство о неразглашении коммерческой тайны договоров.
Дополнительными мерами могут являться установление специального порядка доступа к сведениям, составляющим коммерческую тайну, проставление специального грифа на документах, содержащих указанные сведения, ограничение круга физических лиц, имеющих доступ к указанным сведениям.
Специалисты рекомендуют на документах с конфиденциальной информацией делать отметку о том, что изложенные в документе сведения являются частной собственностью фирмы, подлежат защите и возвращению владельцу.
Также полезно заключать соглашение о сохранении коммерческой тайны с фирмами, оказывающими сервисные услуги, в первую очередь установку и ремонт компьютерного оборудования.
Специальные меры, предназначенные для защиты информации, подразделяются на внешние и внутренние.
Внешние включают сбор информации о финансовом состоянии, общественном мнении, деловой репутации бизнес-партнеров. Главная цель — выяснить, можно ли им доверять конфиденциальную коммерческую информацию, а если да, то в какой степени. Особенно важно установить, не является ли партнер потенциальным конкурентом.
Внутренние меры по защите коммерческой информации начинаются с проверки лиц, принимаемых на работу. Изучается не только стандартный набор сведений, сообщаемых в анкете, но и, по возможности, отзывы с предыдущих мест работы, причины увольнения, наличие судимостей и другие стороны, характеризующие личные и деловые качества соискателя. В крупных фирмах для менеджеров среднего и высшего звеньев нередко проводятся психологические тесты. Специалисты рекомендуют постоянно контролировать персонал и выявлять лиц, которые проявляют повышенный интерес к коммерческим сведениям, не имеющим отношения к выполняемым ими функциональным обязанностям.
Удвоенное внимание следует уделять защите информации, представленной в электронном виде. Основная причина — ее легко похитить, причем факт хищения трудно отследить.
Выявление актуальных угроз безопасности информации, составляющей коммерческую тайну
Порядок организации работ по созданию и эксплуатации объектов информатизации и систем защиты информации, составляющей коммерческую тайну, определяется в разрабатываемом в организации Положении о порядке организации и проведении работ по защите информации, составляющей коммерческую тайну.
— порядок организации работ по определению перечня сведений, составляющих коммерческую тайну;
— порядок определения защищаемой информации, составляющей коммерческую тайну, и ее разделение на группы коммерческой ценности;
— обоснование требований по защите информации, формулирование задач защиты информации, составляющей коммерческую тайну;
— выбор способов (мер и средств) защиты информации в соответствии с задачами защиты;
— привлечение подразделений организации, специализированных сторонних организаций (при необходимости) к разработке и развертыванию системы защиты информации и ее элементов на объекте информатизации;
— разработка эксплуатационной документации по вопросам защиты информации, составляющей коммерческую тайну;
— ввод в эксплуатацию разработанной системы защиты информации, составляющей коммерческую тайну на объекте информатизации;
— доработка (принятие дополнительных мер) по результатам опытной эксплуатации системы защиты информации, составляющей коммерческую тайну на объекте информатизации;
— права и обязанности должностных лиц организации по защите информации, составляющей коммерческую тайну.
Определение состава и содержания защищаемой информации (информационных ресурсов), составляющих коммерческую тайну, анализ угроз безопасности информации, составляющей коммерческую тайну, и анализ существующих мер защиты информации проводится в ходе оценки обстановки на основе комплексного обследования объекта информатизации. При этом, после формирования Перечня сведений, составляющих коммерческую тайну, проводится разделение по группам коммерческой ценности, определяется необходимость защиты информации, составляющей коммерческую тайну, от угроз:
— несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств;
— нарушений безопасности из за сбоев в программном обеспечении функционирования автоматизированных систем (далее по тексту – АС) и средств защиты информации, составляющей коммерческую тайну (далее – СЗИКТ), а также от угроз неантропогенного характера (сбоев аппаратуры из за ненадежности элементов, сбоев электропитания, угроз стихийного характера (ударов молний, пожаров, наводнений и т.п.);
Обоснование требований по защите информации, составляющей коммерческую тайну, включает в себя категорирование объекта информатизации, установление требуемого класса защищенности АС, формулирование задач защиты, выполнение которых обеспечит заданный уровень защищенности информации на объекте информатизации.
Выбор способов (мер и средств) защиты информации является определяющим этапом организации защиты информации, составляющей коммерческую тайну.
Для информации, составляющей коммерческую тайну, опасность могут представлять угрозы ее утечки по техническим каналам, угрозы, связанные с несанкционированным доступом и угрозы «заражения» компьютерными вирусами.
— направленные микрофоны, установленные в близлежащих строениях и транспортных средствах, находящихся за границами контролируемой зоны;
— специальные высокочувствительные микрофоны, установленные в воздуховодах или в смежных помещениях, принадлежащих другим организациям;
РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ И ЕЕ УТЕЧКА
У основных составляющих разглашения информации (сообщение, передача, предоставление, пересылка, опубликование, утеря, оглашение) есть специфические особенности, свойственные различным условиям.
1) нехорошее знание (или незнание) требований по защите конфиденциальной информации;
3) бесконтрольное оформление документов, подготовка выступлений, рекламы, публикаций;
4) злостное, преднамеренное невыполнение требований по защите коммерческой тайны. Главные факторы и предпосылки, активизирующие разглашение конфиденциальной информации, и их значение в процентах:
2) попытки сотрудников зарабатывать средства любым способом и любой ценой – 24 %;
6) наличие предпосылок для появления среди работников конфликтных ситуаций (случайный
подбор кадров, отсутствие работы по сплочению коллектива фирмы) – 8 %. Причины утечки информации:
3) отход от правил обращения с соответствующими документами, техническими средствами, образцами товаров и другими материалами, включающими в себя конфиденциальную информацию.
1) недостаточное знание сотрудниками организации правил защиты коммерческой тайны и недопонимание необходимости их тщательного выполнения;
2) применение неаттестованных технических средств обработки конфиденциальной информации;
3) неполномерный контроль за выполнением правил защиты информации правовыми, организационными и инженерно-техническими способами;
4) текучесть кадров, в том числе имеющих сведения, которые являются коммерческой тайной.
Организация защиты информационных объектов.
— административные меры защиты (доступ в помещения, разработка стратегии безопасности);
1) Управление доступом (проверка полномочий, идентификация рес-сов системы, реагирование при попытках несанкционированных действий);
2) Препятствие (физическое преграждение пути нарушителю к защищаемой информации);
4) Регламентация (создание условий обработки, хранения и передачи инфы, при кот несанкционированный доступ минимален)
6) Побуждение (мотивация пользователей и персонала системы соблюд сложившиеся морально-этические нормы).
Загрузка...
