Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
Часть II.
КАК ЗАЩИЩАТЬ
Глава 6
СОЗДАНИЕ СИСТЕМЫ ПРАВОВОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна - только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.
Целями защиты информации предприятия являются (схема 4):
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, предприятия, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
Часть II.
КАК ЗАЩИЩАТЬ
Глава 6
СОЗДАНИЕ СИСТЕМЫ ПРАВОВОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна - только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.
Целями защиты информации предприятия являются (схема 4):
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, предприятия, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37