їх число входять дані про виробництво, підготовці виробництва, маркетингу, фінансах, управлінні інвестиційними проектами, формуванні інфраструктури інформаційного забезпечення, бухгалтерському обліку, складових механізму сертифікації персоналу, програмному та методичному забезпеченні навчального процесу за окремими напрямами та ін. Легітимність цих відомостей встановлюється юридичним відділом підприємства.
Співробітник, відповідальний за перетворення і управління бізнес-процесами, стверджує «Перелік ...», після чого направляє його в заводську експертну комісію із захисту інформації для узагальнення та систематизації.
Розглянувши отримані дані, заводська експертна комісія із захисту інформації дає висновок про доцільність віднесення даної інформації до відомостей, що становлять комерційну таємницю. При прийнятті рішень комісія виходить з забезпечення фінансових та економічних інтересів нашої організації.
Перелік відомостей, що становлять комерційну таємницю, затверджується і вводиться в дію наказом по підприємству.
Потім в структурні підрозділи направляються виписки з «Переліку відомостей, що становлять комерційну таємницю по підрозділу».
Співробітники всіх підрозділів зобов'язані керуватися даними «Переліком» у своїй работе.етап. Ознайомлення персоналу з відомостями, що становлять комерційну таємницю підприємства, здійснюється через дозвільну систему допуску.
Юридичною основою впровадження даної системи є право власника інформації (підприємства) призначати уповноважених осіб, які визначають користувачів інформації і встановлюють їх повноваження. Наказом генерального директора керівники, відповідальні за перетворення і управління бізнес-процесами, призначаються уповноваженими особами власника інформації.
Для доступу до знань, складають комерційну таємницю підприємства, співробітники повинні отримати спеціальний дозвіл. Дозволи на доступ до такої інформації оформляються відповідно до списків, сформованими керівниками структурних підрозділів. У списки пользователейвключают конкретних фахівців, яким ця інформація необхідна для виконання своїх посадових обов'язків.
Співробітники, які отримали дозвіл на доступ до інформації, що становить комерційну таємницю підприємства, проходять первинний інструктаж щодо захисту інформації та підписують договір - зобов'язання щодо нерозголошення комерційної таємниці. Інструктаж проводять фахівці групи захисту інформації та відділу кадров.етап. Щоб попередити витік конфіденційної інформації в системі захисту важливо 1) безперервно відстежувати поточну ситуацію, 2) прогнозувати можливість появи нових загроз. Одним з інструментів управління ризиками є «Перелік загроз». Його розробка і коректування на нашому підприємстві також проводиться покроково.
На першому кроці експерти заводський експертної комісії із захисту інформації:
розробляють «Перелік поточних загроз інформації підприємства»;
розраховують коефіцієнт ймовірності атаки;
проводять експертну оцінку можливої ??величини збитку.
Ця робота виконується на підставі статистичних даних за звітний період (про виникнення загроз для оброблюваної на підприємстві інформації) - відповідно до міжнародних стандартів з комп'ютерної безпеки ISO/IEC 15408, ISO/IEC 15408-2002 (< i align="justify"> Common Criteria for Information Technology Security Evaluation - Загальні критерії оцінки безпеки інформаційних технологій).
На другому кроці виходячи з поточного переліку загроз, коефіцієнтів ймовірності атаки, величини можливого збитку і статистичних даних виконується експертна оцінка ризиків (витоку інформації). Аналіз ризиків - це кількісна (якісна) оцінка збитку, який може бути нанесений у разі реалізації загрози з урахуванням ймовірності її появи. Далі перелік найбільш ймовірних загроз інформації ранжирується - залежно від величини ризику.
На підставі цих даних визначаються «Вимоги щодо захисту конфіденційної інформації і знань» .етап. Відповідно до «Вимог щодо захисту конфіденційної інформації і знань» на заводі впроваджені такі системи:
система легалізації користувачів, автоматизованих робочих місць (АРМ) та програмного забезпечення;
дозвільна система допуску-доступу;
система антивірусного захисту;
система резервного копіювання і відновлення інформації;
система захисту каналів зв'язку та електронних комунікацій,
навчання адміністраторів і користувачів комп'ютерних систем.
Мобільність системи захисту інформації та знань підтримується комплексом організаційно-пра...
