Анализ данных защиты
Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).
Обработка данных
Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.
А как насчет использования данных третьей стороны, которые могут быть конфиденциальными и запатентованными? Большинство источников информации связаны соглашениями о совместном использовании и контроле информации, которые входят в условия приобретения данных. При учете информационной базы организации в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах также необходимо определить, кто работает с данными и на каких условиях собираются и. возможно, распространяются эти данные.
Учет и обработка внешних данных
Данными от внешних источников может являться любая информация, предоставленная источником вне компании. Всякий раз, когда эти данные поступают, они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Независимо от того, являются ли эти данные обычной информацией или последней версией программного продукта, необходимо предусмотреть механизмы для соблюдения соглашений, согласно которым приобретаются и используются эти данные.
Одним из довольно сложных вопросов является сбор информации из источников с общедоступной информацией, которая при работе объединяется с другой информацией. Для служащих не составляет труда вырезать и вставлять информацию с Web-узлов и других источников во внутреннюю документацию. Поскольку согласно стандартам законного использования это вполне легитимно, служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно, если эта информация цитируется дословно. Они, конечно, должны сами это знать. Тем не менее, это должно быть установлено правилами и быть включено в программу предупредительной безопасности.
Поскольку информацию, используемую организацией, используют совместно и другие компании, организация может также захотеть совместно использовать их информацию. Независимо от того, является ли это соглашением о партнерстве или каким-то иным видом деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве интеллектуальной собственности. В разрабатываемые правила информационной безопасности могут быть включены следующие пункты, касающиеся защиты рассредоточенной интеллектуальной собственности.
- Использование информации компании в неделовых целях
- Определение требований, касающихся использования интеллектуальной собственности
- Передача информации третьей стороне
- Соглашения о конфиденциальности
- Полностью открытая информация
- Защита открытой информации
Довольно сложно предугадать, как сложатся обстоятельства бизнеса, и что можно разглашать и на каких условиях, но в правилах должны быть учтены эти процессы. Один из способов выяснить их влияние на политику безопасности заключается в том, чтобы разобраться, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации адвокаты, работающие в комиссии, могли бы собрать все эти соглашения и замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя.
Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то, что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики руководства должны определить, каким образом маркировать данные согласно их уровням защиты. Это оказывается необходимым во многих случаях. В частности, персонал, работающий с информацией здравоохранения, является кандидатом номер один для маркировки защиты.
Персонал и данные персонала
Организация может набирать персонал и собирать информацию о персонале различными способами. Эти способы затрагивают и общение по электронной почте, в процессе которого собирается информация с Wеb-узлов. Компании, которые занимаются продажей товаров и услуг, могут собирать данные о клиентах на основе заказов/входных сообщений или звонков в отдел обслуживания покупателей. Даже объявления о продаже или наведение справок потенциальными покупателями могут дать информацию об отдельном лице или компании. Независимо от того, каким образом приобретены эти данные, для каждого типа данных должны быть сформулированы правила, касающиеся использования этих данных.