Иллюстрированный самоучитель по Development of safety

       

Обработка данных


Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.

А как насчет использования данных третьей стороны, которые могут быть конфиденциальными и запатентованными? Большинство источников информации связаны соглашениями о совместном использовании и контроле информации, которые входят в условия приобретения данных. При учете информационной базы организации в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах также необходимо определить, кто работает с данными и на каких условиях собираются и. возможно, распространяются эти данные.

Учет и обработка внешних данных

Данными от внешних источников может являться любая информация, предоставленная источником вне компании. Всякий раз, когда эти данные поступают, они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Независимо от того, являются ли эти данные обычной информацией или последней версией программного продукта, необходимо предусмотреть механизмы для соблюдения соглашений, согласно которым приобретаются и используются эти данные.

Одним из довольно сложных вопросов является сбор информации из источников с общедоступной информацией, которая при работе объединяется с другой информацией. Для служащих не составляет труда вырезать и вставлять информацию с Web-узлов и других источников во внутреннюю документацию. Поскольку согласно стандартам законного использования это вполне легитимно, служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно, если эта информация цитируется дословно.


Они, конечно, должны сами это знать. Тем не менее, это должно быть установлено правилами и быть включено в программу предупредительной безопасности.

Поскольку информацию, используемую организацией, используют совместно и другие компании, организация может также захотеть совместно использовать их информацию. Независимо от того, является ли это соглашением о партнерстве или каким-то иным видом деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве интеллектуальной собственности. В разрабатываемые правила информационной безопасности могут быть включены следующие пункты, касающиеся защиты рассредоточенной интеллектуальной собственности.

  • Использование информации компании в неделовых целях


  • Определение требований, касающихся использования интеллектуальной собственности


  • Передача информации третьей стороне


  • 1. Соглашения о конфиденциальности


  • 2. Полностью открытая информация


  • Защита открытой информации


  • Довольно сложно предугадать, как сложатся обстоятельства бизнеса, и что можно разглашать и на каких условиях, но в правилах должны быть учтены эти процессы. Один из способов выяснить их влияние на политику безопасности заключается в том, чтобы разобраться, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации адвокаты, работающие в комиссии, могли бы собрать все эти соглашения и замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя.

    Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то, что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики руководства должны определить, каким образом маркировать данные согласно их уровням защиты.Это оказывается необходимым во многих случаях. В частности, персонал, работающий с информацией здравоохранения, является кандидатом номер один для маркировки защиты.


    Содержание раздела