> Політика інформаційної безпеки - набір правил, практичних рекомендацій і практичного досвіду, що визначають управлінські та проектні рішення в області ЗІ. На основі ПІБ будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поведінку ІС в різних ситуаціях.
Розглянемо основні мети безпекової підприємства:
забезпечення безпеки виробничої діяльності та захисту інформації та відомостей, що є комерційною таємницею;
організація роботи з правової, організаційної та інженерно-технічної (фізичної, апаратної, програмної та математичної) захист комерційної таємниці;
організація спеціального діловодства, що виключає несанкціоноване отримання відомостей, що є комерційною таємницею;
запобігання несанкціонованого допуску та доступу до відомостей і робіт, які складають комерційну таємницю;
виявлення та локалізації можливих каналів витоку конфіденційної інформації в процесі повсякденної виробничої діяльності та в екстремальних (аварійних, пожежних та ін.) ситуаціях;
забезпечення режиму безпеки при проведенні всіх видів діяльності, включаючи різні зустрічі, переговори, наради, засідання, пов'язані з діловою співпрацею, як на національному, так і на міжнародному рівні;
забезпечення охорони будівель, приміщень, обладнання, продукції та технічних засобів забезпечення виробничої діяльності;
забезпечення особистої безпеки керівництва та провідних співробітників і фахівців;
оцінка маркетингових ситуацій та неправомірних дій зловмисників та конкурентів.
1.4 Перелік можливих загроз і інформації, що циркулює в організації
Загроза інформаційної безпеки - сукупність умов та факторів, що створюють небезпеку порушення інформаційної безпеки [2, c30].
? Зовнішні загрози:
? конкуренти;
? несанкціонований доступ до інформації (хакери, зломщики)
? віруси;
? надзвичайні ситуації;
? шпигунські програми (флешки тощо);
? несанкціоноване копіювання;
? крадіжка програмно-апаратних засобів.
? Внутрішні загрози:
? розголошення конфіденційної інформації працівниками підприємства;
? порушення цілісності даних з боку персоналу підприємства;
? втрата інформації на жорстких носіях;
? загрози цілісності баз даних;
? делегування зайвих або невживаних повноважень на носій з конфіденційною інформацією, відкриття портів;
? системні збої;
? пошкодження апаратури, відмова програмного або апаратного забезпечення;
? загрози технічного характеру;
? загрози нетехнического або Некомп'ютерний характеру - відсутність паролів, конфіденційна інформація, пов'язана з інформаційними системами зберігається на паперових носіях.
У будь-якій компанії (установі) існує конфіденційна інформація, яка особливо ретельно оберігається від не мають до неї доступу співробітників, а також конкурентів і постачальників. Разом з тим визначити ступінь секретності даних досить складно. У підсумку всі відомості, пов'язані з діяльністю організації, починають вважати конфіденційними. В результаті виникають судові спори як з працівниками, так і з іншими компаніями. Перелік відповідних даних наведено в декількох законодавчих актах, однак і компанія може самостійно обмежити доступ до деякими відомостями. Разом з тим основним документом, що дозволяє визначити, чи відноситься інформація до конфіденційної, є Федеральний закон від 29.07.2004 N 98-ФЗ Про комерційну таємницю raquo ;. Однак перелік, що міститься у цьому Законі, є неповним, а інші відомості про конфіденційної інформації містяться в таблиці 1.
Таблиця. 1 Перелік конфіденційних даних ОГУЗ Смоленський територіальний центр медицини катастроф
Вид Конфід. інформацііПеречень сведенійЗаконодательная нормаІнформація, складова комерційну тайнуСведенія будь-якого характеру (виробничі, технічні, економічні, організаційні та інші), в тому числі про результати інтелектуальної діяльності в науково-технічної сфері, а також відомості про способи здійснення професійної діяльності, які мають дійсну або потенційну комерційну цінність в силу невідомості їх третім ліцамСтатья 3 Федерального закону від 29.07.2004 N 98-ФЗ Про комерційну таємницю Відомості, пов'яз...
