Тема 10. Минимальные (базовые) требования к безопасности информации. Защита коммерческой информации в организации
Владение информацией необходимого качества — полной и точной — в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет тем самым высокую цену «информационного фактора». Согласно Гражданскому кодексу Республики Беларусь (глава 66,ст.1011), действующему с 7 декабря 1998 г. «Лицо, без законных оснований получившее или распространившее нераскрытую информацию либо использующее ее, обязано возместить тому, кто правомерно обладает этой информацией, убытки, причиненные ее незаконным использованием». Регламент использования информационного пространства и защита информации от несанкционированного доступа отражены в Постановлении Совета Министров Республики Беларусь от 27 декабря 2002 г. № 1819: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; информатизация - организационный социально - экономический и научно - технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов; документированная информация(документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации; информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах); информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность; конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством; средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию; собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами; владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных Законом; пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Защита информации от несанкционированного использования, изменения или уничтожения приобретает в условиях рыночной экономики первоочередное значение. Круг вопросов, связанных с этой проблемой, можно условно разделить так: 1) защита государственных интересов; 2) защита служебной, предпринимательской и финансовой деятельности, в том числе обеспечение коммерческой тайны; 3) защита интересов правообладателей и пользователей. Защита государственных интересов приобретает все большую актуальность в связи с привлечением коммерческих организаций к реализации государственных программ. Любая организация должна четко определить перечень сведений, которые относятся к государственной тайне, и установить порядок обращения с ними. Права и обязанности участников информационных процессов при работе с такими сведениями регламентируются законом «О государственной тайне», где оговорена возможность ограничения прав собственности предприятий, учреждений, организаций и граждан на информацию в связи с ее засекречиванием, а также меры ответственности за разглашение сведений и их утрату. Решение задачи защиты коммерческой тайны имеет две составляющие: законодательную защиту со стороны государства интересов владельцев коммерческой тайны, а также собственные мероприятия владельца, направленные на их защиту. По гражданскому законодательству обладатель технической, организационной или коммерческой информации, составляющей секрет производства (ноу-хау), имеет правовую защиту от незаконного ее использования при условии, что: 1) эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; 2) к этой информации нет свободного доступа на законном основании; 3) обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности. Какие собственные мероприятия по защите информации, проведенные организацией, могут быть приняты во внимание на юридическом уровне? Подходы к решению проблемы защиты коммерческой тайны на предприятиях в общем виде должны сводиться к исключению неправомерных или неосторожных действий со сведениями, составляющими коммерческую тайну.
Для этого необходимо: 1) определить порядок работы с документами, образцами, изделиями и др., содержащими сведения, составляющие коммерческую тайну; 2) разработать правила присвоения и снятия грифа секретности с документов и изделий, включающих подобную информацию. При этом могут применяться различные ограничительные грифы: «конфиденциально», «коммерческая тайна», «секрет предприятия, фирмы» и др.; 3) установить круг лиц и порядок доступа к подобной информации; 4) выработать меры по контролю обращения с документами и изделиями, содержащими сведения, отнесенные к коммерческой тайне; 5) включить в трудовые договоры с сотрудниками обязательство о неразглашении сведений, составляющих коммерческую тайну, определив санкции за нарушение порядка работы с ними и их разглашение. Организация имеет право не предоставлять сведения, касающиеся коммерческой тайны, контролирующим органам, если эти вопросы не входят в их компетенцию и не относятся к предмету контроля. Контролирующие органы не должны разглашать коммерческую тайну. В противном случае причиненные убытки подлежат возмещению в полном. Предметом защиты коммерческой информации могут быть все свойственные данному предприятию особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен и др. В первую очередь к коммерческой информации следует отнести, сохранив в режиме: 1) знание и опыт в области реализации продукции и услуг; 2) сведения о конъюнктуре рынка, маркетинговые исследования; 3) анализ конкурентоспособности продукции и услуг; 4) информацию о потребителях, заказчиках, посредниках; 5) банковские отношения, кредиты, ссуды, долги; 6) знание наиболее выгодных форм использования денежных средств, ценных бумаг, акций, капиталовложений; 7) бухгалтерские и финансовые отчеты, сведения о зарплате; 8) предполагаемые объемы коммерческой деятельности, материалы договоров (условия, реализация, порядок передачи продукции);
9) списки клиентов и деловую переписку; 10) цены и расценки, формы и виды расчетов. В настоящее время большинство перечисленных сведений размещается на электронных носителях, которые и становятся объектами защиты. Комплекс мероприятий по созданию системы защиты информации в информационных системах включает, в соответствии с «Положением о защите информационных систем»: • классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа; • анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования; • присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями технических нормативных правовых актов в области защиты информации; • разработку или корректировку политики информационной безопасности; • разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации; • реализацию требований задания по безопасности в информационной системе; • оценку соответствия системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, путем проведения мероприятий по аттестации системы защиты информации; • ввод информационной системы в эксплуатацию.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|