Основания и методика отнесения сведений к «коммерческой тайне».
Институт ИнЭИ
Направление подготовки 10.04.01 Информационная безопасность
Профиль направления «Управлением информационной безопасностью»
https://www.pkmpei.ru/docs/examprog/bank_INEI_100401.pdf
Ответы по базовой части вступительного испытания в магистратуру
Понятие «угроза безопасности информации». Классификация угроз.
Угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Классификация угроз безопасности ПДн (Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, 2008 год):
По природе возникновения различают:
· естественные угрозы, вызванные воздействиями объективных физических процессов или стихийных природных явлений, не зависящих от человека;
· искусственные угрозы безопасности, вызванные деятельностью человека.
По степени преднамеренности проявления угрозы различают:
· непреднамеренные (случайные), вызванные ошибками (сбоями) аппаратно-программного обеспечения или действиями персонала;
· преднамеренные (умышленные действия, например, шпионаж и диверсии).
По степени воздействия:
· пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании компьютерных систем (угроза копирования данных);
· активные угрозы, которые при воздействии вносят изменения в структуру и содержание компьютерных систем (внедрение аппаратных и программных спецвложений).
|
|
|
Понятие уязвимости информации в информационных системах. Примеры уязвимостей
Уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Примеры уязвимостей:
Сетевые уязвимости:
· уязвимости сетевых протоколов;
· уязвимости уровня операционной системы;
· уязвимости конкретных СУБД ;
· уязвимости программного обеспечения.
· уязвимость со стороны персонала
Кадровые:
1. Недостаточное обучение
2. неосведомленность персонала
3. немотивированность персонала
4. отсутствие мониторинга
Физической безопасности:
1. небрежное использование механизмов физического контроля доступа
2. отсутствие дверей/окон и пр.
3. Подверженность оборудования затоплению/температурам/пыли/перепадам напряжения
Управление коммуникациями и операциями:
1. Сложный интерфейс, приводящий к ошибкам при использовании
2. Плохой контроль изменений
3. Плохое управление сетью
4. отсутствие резервного копирования
5. Отсутствие обновлений ПО
|
|
|
Понятие «риск информационной безопасности». Свойство риска.
Риск информационной безопасности – возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанести ущерб организации.
В стандарте ГОСТ Р ИСО/МЭК 27005-2010 реализован подход к созданию систем защиты информации и основан на оценке показателей риска (R) информационной безопасности для каждой выявленной угрозы (T) по отношению к конкретному информационному активу (A) через имеющиеся уязвимости информационной системы (Y): R = A ∩ T ∩ Y, где A ≠ ∅1 , T ≠ ∅, Y ≠ ∅; R = ∅, если (A = ∅) ∪ (Т = ∅) ∪ (Y = ∅)
Рисунок 1 - Процесс менеджмента риска информационной безопасности
Основания и методика отнесения сведений к «коммерческой тайне».
Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
1. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений ФЗ-№98 «О коммерческой тайне».
|
|
|
Порядок отнесения информации к коммерческой тайне определяет:
· объект, в отношении которого может быть установлен правовой режим коммерческой тайны;
· способ установления правового режима коммерческой тайны;
· субъекта коммерческой тайны, уполномоченного устанавливать данный правовой режим коммерческой тайны.
Объектом правового режима коммерческой тайны является научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Способ установления режима коммерческой тайны включает:
· определение перечня информации, составляющей коммерческую тайну;
· ограничение доступа к информации, составляющей коммерческую тайну
· учет лиц, получивших доступ к информации, составляющей коммерческую тайну
· нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации.
|
|
|
Основным субъектом коммерческой тайны является обладатель информации, составляющей коммерческую тайну. Под таким обладателем понимается лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, которое ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
Дата добавления: 2019-09-13; просмотров: 454; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!