Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ Коммерческая тайна.
Protectiva Compliance Manager

Коммерческая тайна.

Операции с документом
Вверх к Общие вопросы ИБ

Коммерческая тайна.

Послано Pilgrim в 11.Октябрь.2010 15:39

Здравствуйте коллеги.
Имеем на входе:
1.утвержденную концепцию ИБ.
2.набор политик ИБ на все случаи жизни.
3.ответственных сотрудников за обеспечение ИБ.
4.перечень информационных ресурсов.
5.владельцев ресурсов.

Хочется на выходе:
Ввести режим коммерческой тайны.
Подскажите с чего начать, юридические вопросы просто темный лес, а от прочтения нормативных документов о КТ легче не становится.

Спасибо.

Коммерческая тайна.

Послано Александр Астахов в 12.Октябрь.2010 14:48
В ФЗ-98 "О коммерческой тайне" в части 1 статьи 10 достаточно четко прописано как устанавливается режим коммерческой тайны.

Также будет полезно почитать на эту тему статью Как защищаться от инсайдера, в которой сделан обзор всего арсенала средств: административных, организационных и технических, по защите коммерческой тайны.

В том же разделе также есть полезная статья Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации

и другие статьи из того же раздела тоже будут полезны.

Коммерческая тайна.

Послано Tomas в 8.Апрель.2011 11:41
Здравствуйте!

В компании определена цель пройти сертификацию по ИСО 27001. Написал Концепцию. Теперь хочу сделать политику управления активами, но есть проблема, не совсем понимаю, что имеется ввиду в ИСО под понятием "классификация активов".
Как я понимаю, классификация активов проводится на основе категории информации, содержащейся в активе, т.е. определяем категорию информации, исходя из CIA, имеем грифы "стр.конф", "конф", "дсп", "открытая".
далее классифицируем активы исходя из грифа информации?

Re: Коммерческая тайна.

Послано Александр Астахов в 9.Апрель.2011 10:40
у нас в Политике инвентаризации информационных активов написано следующее:

"Классификация информационных активов по критериям конфиденциальности, целостности и доступности осуществляется на основании результатов процесса Оценки ценности активов. Оценку ценности актива ОИБ проводит совместно с его владельцем, принимая во внимание экспертное мнение пользователей данного актива в соответствии с правилами, установленными Политикой управления информационными рисками".

Коммерческая тайна.

Послано Александр Астахов в 9.Апрель.2011 10:44
у нас в Политике инвентаризации информационных активов написано следующее:

"Классификация информационных активов по критериям конфиденциальности, целостности и доступности осуществляется на основании результатов процесса Оценки ценности активов. Оценку ценности актива ОИБ проводит совместно с его владельцем, принимая во внимание экспертное мнение пользователей данного актива в соответствии с правилами, установленными Политикой управления информационными рисками".

Коммерческая тайна.

Послано Tomas в 11.Апрель.2011 10:04
Господин Astahov, Вы не находите в этом некую путаницу?
Поясню: в 27001 подробностей классификации активов нет, зато есть в 13335-3 (знаю, что устарел, но он помогает несколько осознать мысли иностранцев). В этом ИСО рассматриваются два подхода (приложение "В"справочное) это качественная оценка (стоимость актива) и оценка затрат, понесенных при утрате конфиденциальности, целостности и доступности вследствие инцидента ИБ.
В абзаце, который Вы привели используются оба подхода, то есть, Вы предлагаете определить ценность актива, а потом по критериям CIA провести его классификацию.

Коммерческая тайна.

Послано Александр Астахов в 11.Апрель.2011 10:33
ISO 13335-3 использовался при разработке ISO 27005, в котором тоже есть приложение В "Идентификация, оценка активов и оценка воздействия".

Классифицировать активы можно различными способами по различным критериям: по типу, назначению, области использования в бизнес-процессах, виду тайны, степени критичности для бизнеса по критериям CIA и т.п.

Ценность информационного актива для бизнеса определяется величиной ущерба, наносимого бизнесу в результате нарушения свойств безопасности актива (CIA и другие). Эту ценность оценивают как по качественной, так и по количественной шкале.

Коммерческая тайна.

Послано Tomas в 11.Апрель.2011 11:03
"по типу" - Вы имеете ввиду по содержащейся информации: для служебного пользования, открытая...?

"по виду тайны" - Вы имеете ввиду по законам: коммерческая тайна (98-ФЗ, инсайд (224-ФЗ),тайна переписки (ФЗ о связи), тайна следствия и т.д. (около 40 видов тайн)?

"по степени критичности для бизнеса" - CIA по шкалам к1,к2,к3.., ц1,ц2,ц3.. д1,д2,д3... в таком плане?

На сколько я понял, оптимально классифицировать активы исходя из ущерба бизнесу по CIA. у Вас такой подход подразумевается, судя по приведенному абзацу?

Коммерческая тайна.

Послано Александр Астахов в 11.Апрель.2011 11:22
Используются различные способы классификации, в зависимости от целей. Например, для контроля соответствия требованиям законодательства, нужна классификация по виду тайны, для определения требуемых уровней защиты и дифференцированного применения требований безопасности нужна классификация по степени критичности, для формирования реестра активов нужна классификация по области использования активов: бухгалтерские, проектные, маркетинговые, кадровые и прочие, для планирование непрерывности бизнеса нужна классификация по уровням доступности активов и т.д.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex