p> - відомості про конструкції машин і обладнання (в тому числі схеми та креслення окремих вузлів, виробів), використовуваних матеріалах, їх складах (хімічних тощо), методи і способах виробництва, дизайні та інші відомості про тих, що розробляються або вироблених виробах, технологіях, про шляхи і напрямки модернізації відомих технологій, процесів і обладнання;
- програмне забезпечення для ЕОМ та ін
Ділова інформація включає:
- відомості про фінансовий бік діяльності підприємства (фінансова звітність, стан розрахунків з клієнтами, заборгованість, кредити, платоспроможність), про розмір прибутку, собівартості виробленої продукції та ін;
- стратегічні і тактичні плани розвитку виробництва, в тому числі із застосуванням нових технологій, винаходів, ноу-хау тощо;
- плани і обсяги реалізації творів продукції (плани маркетингу, дані про характер та обсяги торговельних операцій, рівнях граничних цін, наявність товарів на складах і т.п.);
- аналіз конкурентоспроможності виробленої продукції, ефективності експорту та імпорту, передбачуваний час виходу на ринок;
- плани рекламної діяльності;
- списки торгових та інших клієнтів, представників, посередників, конкурентів; відомості про взаємини з ними, їх фінансове становище, що проводяться операціях та обсягах, умови діючих контрактів тощо) В». [3]
Через Вестн велике кількість різнопланових загроз безпеки інформації різного походження. В якості критеріїв розподілу безлічі загроз на класи можуть використовуватися види породжуваних небезпек, ступінь злого наміру, джерела прояви загроз і т.д. Все різноманіття існуючих класифікацій може бути зведено до деякої системної класифікації (див. Додаток № пЂ± 1). p> Важливу роль відіграє політика інформаційної політики безпеки.
Політика інформаційної безпеки (ПІБ) - сукупність законів, правил, практичних рекомендацій і практичного досвіду, що визначають управлінські та проектні рішення в області захисту інформації. На основі ПІБ будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поведінку ІС в різних ситуаціях. p> Для конкретної інформаційної системи політика безпеки повинна бути індивідуальною. Вона залежить від технології обробки інформації, використовуваних програмних і технічних засобів, структури організації і т.д. При розробці і проведенні політики безпеки в життя доцільно дотримуватися таких прин-ціпи:
1) неможливість минати захисні засоби (всі інформаційні потоки в мережу, що захищається і з неї повинні проходити через систему захисту інформації (СЗІ). Не повинно бути "таємних" модемних чи входів тестових ліній, що у обхід екрана);
2) посилення найслабшої ланки (надійність будь СЗІ визначається самим сла-бим ланкою. Часто такою ланкою виявляється не чи комп'ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер);
3) неприпустимість переходу у відкритий стан (за будь-яких обставинах (у тому числі позаштатних) СЗІ або цілком виконує свої функції, або повинна повністю блокувати доступ);
4) мінімізація привілеїв (наказує виділяти користувачам і адміністраторам тільки ті права доступу, що необхідні їм для виконання службових обов'язків);
+5) поділ обов'язків (припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це має особливе значення для запобігання зловмисних або некваліфікованих дій системного адміністратора);
6) багаторівневий захист (наказує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні слідувати програмно-технічні засоби, за ідентифікацією й аутентифікацією - Керування доступом і, як останній рубіж, - протоколювання й аудит. Ешелонована оборона здатна принаймні, затримати зловмисника, а наявність такого рубежу, як протоколювання й аудит, істотно утрудняє непомітне виконання злочинних дій);
7) різноманітність захисних засобів (рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками подолання СЗІ);
8) Принцип простоти і керованості інформаційної системи в цілому і СЗІ особливо визначає можливість формального чи неформального докази коректності реалізації механізмів захисту. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування;
9) забезпечення загальної підтримки заходів безпеки (носить нетехнічний характер. Рекомендується з самого початку передбачити комплекс заходів, спрямованих на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне).
Основу політики безпеки складає спосіб керув...
