Розділ 7. Основи безпеки інформаційних ресурсів

Міру віддаленості від об'єкта захисту можна характеризу­вати наступними параметрами:

• об'єкти, що збігаються, — об'єкти захисту самі містять дже­
рела техногенних загроз і їхній територіальний поділ немож­
ливий;

• близько розташовані об'єкти — об'єкти захисту розташовані
в безпосередній близькості від джерел техногенних загроз, і
будь-який прояв таких загроз може справити суттєвий вплив
на об'єкт;

• середньовіддалені об'єкти — об'єкти захисту розташовують­
ся на відстані від джерел техногенних загроз, на якому прояв
впливу цих загроз може справити несуттєвий вплив на об'єкт
захисту;

• віддалено розташовані об'єкти — об'єкт захисту розташо­
вується на відстані від джерела техногенних загроз, що ви­
ключає його прямий вплив;

• вельми віддалені об'єкти — об'єкт захисту розташовується на
значній відстані від джерела техногенних загроз, що повніс­
тю виключає будь-які впливи на об'єкт захисту, в тому числі
і за вторинними проявами.

Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейс­мологічних, гідрографічних та інших умовах. Особливості обста­новки можна оцінювати за наступною шкалою:

• дуже небезпечні умови — об'єкт захисту розташований у зо­
ні дії природних катаклізмів;

• небезпечні умови — об'єкт захисту розташований у зоні, в
якій багаторічні спостереження показують можливість проя­
ву природних катаклізмів;

• помірно небезпечні умови — об'єкт захисту розташований у
зоні, в якій за проведеними спостереженнями протягом три­
валого періоду відсутні прояви природних катаклізмів, але
існують передумови виникнення стихійних джерел загроз на
самому об'єкті;

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• слабо небезпечні умови — об'єкт захисту розташований поза
межами зони дії природних катаклізмів і на об'єкті існують
передумови виникнення стихійних джерел загроз;

• безпечні умови — об'єкт захисту розташований поза межами
зони дії природних катаклізмів і на об'єкті відсутні переду­
мови виникнення стихійних джерел загроз.
Кваліфікація антропогенних джерел відіграє важливу роль у

визначенні їхніх можливостей зі здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взає­модії з мережею, що підлягає захисту:

• нульовий рівень — визначається відсутністю можливості
будь-якого використання програм;

• перший рівень — обмежується можливістю запуску завдань/
програм із фіксованого набору, призначеного для оброблен­
ня інформації, яка підлягає захисту (рівень некваліфіковано-
го користувача);

• другий рівень — враховує можливість створення й запуску
користувачем власних програм із новими функціями з об­
роблення інформації (рівень кваліфікованого користувача,
програміста);

• третій рівень — визначається можливістю управління функ­
ціонуванням мережі, тобто впливом на базове програмне
забезпечення, його состав і конфігурацію (рівень системного
адміністратора);

• четвертий рівень — визначається повним обсягом можли­
востей суб'єктів, що здійснюють проектування й ремонт тех­
нічних засобів, аж до включення до складу мережі власних
технічних засобів із новими функціями з оброблення інфор­
мації (рівень розробника та адміністратора).

Нульовий рівень є найнижчим рівнем можливостей з веден­ня діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може ско­ристатися правами відповідного рівня.

Розділ 7. Основи безпеки інформаційних ресурсів

Привабливість здійснення діяння з боку джерела загроз уста­новлюється наступним чином:

• особливо привабливий рівень — інформаційні ресурси, які
підлягають захисту, містять інформацію, яка може нанести
непоправні збитки та привести до краху організації, що здій­
снює захист;

• привабливий рівень — інформаційні ресурси, що підлягають
захисту, містять інформацію, яка може бути використана для
одержання вигоди на користь джерела загрози або третіх
осіб;

• помірно привабливий рівень — інформаційні ресурси, що
підлягають захисту, містять інформацію, розголошення якої
може нанести збитки окремим особам;

• слабко привабливий рівень — інформаційні ресурси, що під­
лягають захисту, містять інформацію, яка при її накопиченні
та узагальненні протягом певного періоду може спричинити
збитки організації, що здійснює захист;

• непривабливий рівень — інформація не представляє інтере­
су для джерела загрози.

Необхідні умови готовності джерела визначаються, виходячи з джерела загрози, можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передба­чається:

• загроза реалізована — умови сприятливі або можуть бути
сприятливими для реалізації загрози;

• загроза помірно реалізована — умови сприятливі для реалі­
зації загрози, проте довгострокові спостереження не припус­
кають можливості її активізації у період існування й активної
діяльності об'єкта захисту;

• загроза слабо реалізована — існують об'єктивні причини на
самому об'єкті або в його оточенні, що перешкоджають ре­
алізації загрози;

• загроза нереалізована — відсутні передумови для реалізації
передбачуваної подій.

Міра непереборності наслідків загрози (фатальність) визна­чається за наступною шкалою:

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• непереборні наслідки — результати прояву загрози мо­
жуть призвести до повного руйнування (знищення, втрати)
об'єкта захисту, як наслідок до непоправних втрат і виклю­
чення можливості доступу до інформаційних ресурсів, що
підлягають захисту;

• практично непереборні наслідки — результати прояву за­
грози можуть призвести до руйнування (знищення, втрати)
об'єкта та до значних витрат (матеріальних, часу і т.ін.) на
відновлення, які порівняні з витратами на створення нового
об'єкта та суттєвого обмеження часу доступу до інформацій­
них ресурсів, що підлягають захисту;

• частково переборні наслідки — результати прояву загрози
можуть призвести до часткового руйнування і, як наслідок,
до значних витрат на відновлення, обмеження часу доступу
до інформаційних ресурсів, що підлягають захисту;

• переборні наслідки — результати прояву загрози можуть
призвести до часткового руйнування (знищення, втрати)
об'єкта захисту, що не потребує великих витрат на його від­
новлення і, практично не впливає на обмеження часу доступу
до інформаційних ресурсів, які підлягають захисту;

• відсутність наслідків — результати прояву загрози не можуть
вплинути на діяльність об'єкта захисту.

Результати проведеного ранжирування відносно конкретно­го об'єкта захисту можна звести в таблицю, яка дозволяє виз­начити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.

При виборі припустимого рівня джерела загроз передба­чається, що джерела загроз, які мають коефіцієнт (K_dg_n)j менше (0,1...0,2), можуть у подальшому не враховуватися як малоймо­вірні.

Визначення актуальних (найбільш небезпечних) загроз здій­снюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.

Розділ 7. Основи безпеки інформаційних ресурсів

7.1.6. Класифікація уразливостей безпеці

Загрози як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушен­ня безпеки інформації на конкретному об'єкті інформатизації.

Уразливості, властиві об'єкту інформатизації, невіддільні від нього та обумовлюються недоліками процесу функціонування, властивостями архітектури автоматизованих систем, протоко­лами обміну та інтерфейсами, програмним забезпеченням і апа­ратною платформою, умовами експлуатації та розташування.

Джерела загроз можуть використовувати уразливості для порушення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі незловмисні дії джерел загроз з активізації чи ін­ших уразливостей, що приносять шкоду.

Кожній загрозі можуть бути зіставлені різноманітні уразли­вості. Усунення або суттєве послаблення уразливостей впливає на можливість реалізації загроз безпеці інформації.

Для зручності аналізу уразливості поділені на класи (поз­начаються заголовними літерами), групи (позначаються римсь­кими цифрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, випадковими (рис. 7.4).

Об'єктивні уразливості залежать від особливостей побудо­ви та технічних характеристик обладнання, що застосовується на об'єкті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженер­но-технічними методами відбивання загроз безпеці інформації.

Суб'єктивні уразливості залежать від дій співробітників і в основному усуваються організаційними та програмно-апарат­ними методами.

Випадкові уразливості залежать від особливостей середови-Ща, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе

Розділ 7. Основи безпеки інформаційних ресурсів

тільки при проведення комплексу організаційних та інженерно-технічних заходів із протидії загрозам інформаційній безпеці.

7.1.7. Ранжирування уразливостей

Усі уразливості мають різну міру небезпеки (K_dan)f, яку мож­на кількісно оцінити на основі ранжирування. При цьому кри­теріями порівняння (показниками) можна вибрати:

• фатальність (К_})р що визначає міру впливу уразливості на
непереборність наслідків реалізації загрози. Для об'єктивних
уразливостей — це інформативність, тобтЬ здатність уразли­
вості повністю (без спотворення) передати корисний інфор­
маційний сигнал;

• доступність (К₂)р що визначає зручність (можливість) вико­
ристання уразливості джерелом загроз (масогабаритні роз­
міри, складність, вартість необхідних засобів, можливість ви­
користання неспеціалізованої апаратури);

• кількість (К₃)й що визначає кількість елементів об'єкта, для
яких характерна та чи інша уразливість.

O^dan)/ Д^ля окремої уразливості можна визначити як відно­шення добутку приведених вище показників до максимального значення (125):

(K_dan)_f=(K,K₂K,)/l25.

Кожний показник оцінюється експертно-аналітичним ме­тодом за п'ятибальною системою. Причому 1 відповідає міні­мальній мірі впливу оцінюваного показника на небезпеку вико­ристання уразливості, а 5 — максимальній.

Для підгрупи уразливостей m(K_dan)f визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі.

Для зручності аналізу i(K_dan)j для групи нормується віднос­но сукупності всіх коефіцієнтів підгруп у своєму класі, a K(K_dan)j Для класу визначається як сукупність коефіцієнтів підгруп класу нормованих відносно всієї сукупності коефіцієнтів підгруп.

Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводяться в таблицю.

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

7.1.8. Класифікація актуальних загроз

При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу цієї чи іншої загрози, характерні джерела цих загроз і уразли­вості, що сприяють реалізації загроз.

Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі на­слідки реалізації загроз (атаки) та обчислюється коефіцієнт не­безпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому перед­бачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися із-за малої ймовірності їх здійснення на об'єкті захисту.

Така матриця складається окремо для кожної загрози. І вже після виявлення найбільш актуальних загроз вживаються заходи з вибору методів і засобів для відбивання.

7.2. ОСНОВНІ НАПРЯМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ ТА ІНФОРМАЦІЙНИХ РЕСУРСІВ

7.2.1. Основні визначення

Напрями забезпечення безпеки інформації — це норма­тивно-правові категорії, орієнтовані на забезпечення комплекс­ного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або організації, на рівні окремої особистості.

З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації [80]:

• правовий захист — це спеціальні закони, інші нормативні
акти, правила, процедури та заходи, що забезпечують захист
інформації на правовій основі;

• організаційний захист — це регламентація виробничої діяль­
ності та взаємовідносин виконавців на нормативно-правовій

Розділ 7. Основи безпеки інформаційних ресурсів

основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям;

• інженерно-технічний захист — це використання різноманіт­них технічних засобів, що перешкоджають нанесенню збит­ків.

Крім того, заходи захисту, орієнтовані на забезпечення безпе­ки інформації, можуть бути охарактеризовані цілим рядом пара­метрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоп­лення та масштабність.

Так, за характером загроз заходи захисту орієнтовані на за­хист інформації від розголошення, витоку та несанкціоновано­го доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як об'єктовий, груповий або індивідуальний захист.

7.2.2. Правовий захист

Поняття права визначається як сукупність загальнообов'яз­кових правил і норм поведінки, що встановлені або санкціоно­вані державою, відносно до певних сфер життя та діяльності де­ржавних органів, підприємств (організацій) та населення (окре­мої особистості).

Правовий захист інформації як ресурсу признаний на між­державному, державному рівні та визначається міждержавними Договорами, конвенціями, деклараціями та реалізується патента­ми, авторським правом та ліцензіями на їхній захист. На держав­ному рівні правовий захист регулюється державними та відом­чими актами (рис. 7.5).

У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, Кримінальне право, викладене у відповідних кодексах. Що сто­сується відомчих нормативних актів, то вони визначаються на-

Розділ 7. Основи безпеки інформаційних ресурсів

казами, керівництвами, положеннями та інструкціями, які вида­ються відомствами, організаціями та підприємствами, що діють у межах певних структур.

Сучасні умови вимагають і визначають необхідність комплек­сного підходу до формування законодавства із захисту інформа­ції, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.

Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне зако­нодавство, основні загальні закони, закони з організації держав­ної системи управління, спеціальні закони, відвмчі правові акти і т.ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.

Конституційне законодавство. Норми, що стосуються пи­тань інформатизації та захисту інформації, входять до нього як складові елементи.

Загальні закони, кодекси (про власність, про надра, про пра­ва громадян, про громадянство, про податки, про антимонополь-ну діяльність і т.ін.), які включають норми з питань інформатиза­ції та інформаційної безпеки.

Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питан­нями інформаційного забезпечення та захисту інформації конк­ретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що становить загальнодержавний інтерес.

Спеціальні закони, які належать до конкретних сфер відно­син, галузей господарства, процесів. До їхнього числа входять Закони України «Про інформацію», «Про захист інформації в ав­томатизованих системах» і т.ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Шдзаконні нормативні акти із захисту інформації.

Правоохоронне законодавство України, яке містить нор­ми про відповідальність за правопорушення у сфері інформати­зації.

Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особли­ве місце посідають Закони «Про інформацію» та «Про захист ін­формації в автоматизованих системах», які закладають основи правового визначення всіх найважливіших компонентів інфор­маційної діяльності [31,32]:

• інформації та інформаційних систем;

• суб'єктів — учасників інформаційних процесів;

• правовідносин виробників та споживачів інформаційної
продукції;

• власників (джерел) інформації — оброблювачів та спожива­
чів наоснові відносин власності при забезпеченні гарантій
інтересів громадян та держави.

Ці закони також визначають основи захисту інформації у сис­темах оброблення і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з органі­зації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцен­зування, сертифікації, експертизи, а також загальні принципи за­хисту та гарантій прав учасників інформаційного процесу.

Питання правового режиму інформації з обмеженим досту­пом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.

Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем становить ієрархічну систему від Конституції України до функ­ціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягає охороні, і заходи відповідальності за їх розголошення.

Одним із нових напрямків правового захисту є страхове за­безпечення. Воно призначене для захисту власної інформації та засобів її оброблення як від традиційних загроз (крадіжки,

Розділ 7. Основи безпеки інформаційних ресурсів

стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несан­кціонований доступ до конфіденційної інформації.

Метою страхування є забезпечення страхового захисту фі­зичних та юридичних від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями зі сторони конкурентів та зло­вмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.

Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами [78,63]:

ТР ЕОТ-95 «Тимчасові рекомендації з технічного захисту ін­формації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромаг­нітних випромінювань і наводок»;

ПЕМВН-95 «Тимчасові рекомендації з технічного захисту ін­формації від витоку каналами побічних електромагнітних вип­ромінювань і наводок».

Дії із захисту інформації від несанкціонованого доступу рег­ламентують [32,49, 50, 51, 52, 53]:

Закон України «Про захист інформації в автоматизованих системах»;

нормативні документи системи технічного захисту інформа­ції в комп'ютерних (автоматизованих системах) від несанкціоно­ваного доступу і т.ін.

Правовими документами є й державні та міждержавні стан­дарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема [11,12, 13,26,27,28]:

• ДСТУ 3396.0-96. Захист інформації. Технічний захист інфор­
мації. Основні положення;

• ДСТУ 3396.1-96. Захист інформації. Технічний захист інфор­
мації. Порядок проведення робіт;

• ДСТУ 3396.2-97. Захист інформації. Технічний захист інфор­
мації. Терміни та визначення;

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• ГОСТ 28147-89 Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преоб­
разования;

• ГОСТ 34.310-95. Информационная технология. Криптог-
рафичеекая защита информации. Процедуры выработки и
проверки электронной цифровой подписи на базе асиммет­
рического криптографического алгоритма;

• ГОСТ 34.311-95 Информационная технология.
Криптографическая защита информации. Функция хеши­
рования. Опираючись на державні правові акти та, враховуючи
відомчі інтереси на рівні конкретного підприємства (фірми, ор­
ганізації), розроблюються власні нормативно-правові докумен­
ти, орієнтовані на забезпечення інформаційної безпеки. До таких
документів відносяться [75,80]:

• Положення про збереження конфіденційної інформації;

• Перелік відомостей, які складають конфіденційну інформа­
цію;

• Інструкція про порядок допуску співробітників до відомос­
тей, які складають конфіденційну інформацію;

• Положення про спеціальне діловодство та документообіг;

• Перелік відомостей, які дозволені до опублікування у відкри­
тому друці;

• Положення про роботу з іноземними фірмами та їхніми
представниками;

• Зобов'язання співробітника про збереження конфіденційної
інформації;

• Пам'ятка співробітнику про збереження комерційної таєм­
ниці.

Указані нормативні акти спрямовані на попередження ви­падків неправомірного оголошення (розголошення) секретів на правовій основі — у разі їх порушення повинні вживатися від­повідні заходи впливу.

Залежно від характеру інформації, її доступності для зацікав­лених споживачів, а також економічної доцільності конкретних захисних заходів можуть бути вибрані наступні форми захисту інформації:

Розділ 7. Основи безпеки інформаційних ресурсів

• патентування;

• авторське право;

• признання відомостей конфіденційними;

• товарні знаки;

• застосування норм зобов 'язувального права.

Існує певна різниця між авторським правом та комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця стосується безпосередньо змісту. Ав­торське право захищає від копіювання незалежно від конфіден­ційних відносин із власником. До авторського права вдаються при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що порівняно з патен­том та авторським правом комерційна та виробнича таємниці є найбільш зручними, надійними та гнучкими формами захисту інформації.

Окрім вищевикладених форм правового захисту та права на­лежності інформації, широко застосовується офіційна передача права на користування нею у вигляді ліцензії.

Ліцензія [license] (від лат. licentia — свобода, право) — це дозвіл, виданий державою на проведення деяких видів госпо­дарської діяльності, включаючи зовнішньоторговельні опера­ції (ввезення та вивезення) та надання права використовувати захищені патентами винаходи, технологи, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів.

Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, пов'язані з виробництвом, техноло­гією, управлінням, фінансами та іншою діяльністю, розголошен­ня, витік не несанкціонований доступ до якої може призвести до збитків їхнім власникам.

До комерційної таємниці не належать:

• відомості, що охороняються державою;

• відомості, які є загальновідомими на законній підставі;

• відомості про негативні сторони діяльності;

• установчі документи та відомості про господарську діяль­
ність.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Створюючи систему інформаційної безпеки, необхідно чіт­ко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієн­та, конкурента та посадової особи будуть просто безпідставними.

Якщо перелік відомостей конфіденційного характеру не до­ведений своєчасно до кожного співробітника (природно, якщо від допущений до виконання посадових обов'язків) у письмово­му вигляді, то співробітник, який викрав важливу інформацію при порушенні встановленого порядку роботи з нею, скоріше за все буде не покараним.

Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації) відображають­ся у сукупності установчих, організаційних та функціональних документів.

Вимоги забезпечення безпеки та захисту інформації відобра­жаються у Статуті (установчому договорі) у вигляді наступних положень:

• підприємство має право визначати склад, обсяги та порядок
захисту конфіденційних відомостей, вимагати від своїх спів­
робітників забезпечення їх збереження та захисту від внут­
рішніх та зовнішніх загроз;

• підприємство зобов'язане забезпечувати збереження конфі­
денційної інформації.

Такі вимоги дають адміністрації підприємства наступні права:

• створювати організаційні структури із захисту конфіденцій­
ної інформації;

• видавати нормативні та розпорядчі документи, які визнача­
ють порядок виділення відомостей конфіденційного характе­
ру та механізми їхнього захисту;

• включати вимоги із захисту інформації в угоди з усіх видів
господарської діяльності;

• вимагати захисту інтересів підприємства з боку державних
та судових інстанцій;

• розпоряджатися інформацією, що є власністю підприємства,
з метою вигоди та недопущення економічних збитків колек­
тиву підприємства та власникові засобів виробництва;

Поиск по сайту: