Защита информационных интересов в области коммерческой тайны

С помощью данной модели построил бизнес-процесс «Производство продукции»

 

2.3.1 Назначение

Настоящее положение  о бизнес-процессе в компании ООО  «Сибагро К» регламентирует распределение  ответственности и внутренние взаимодействия структурных подразделений и должностных лиц в процессе «Производство продукции».

2.3.2 Область применения

Настоящее положение должны знать  и использовать в своей работе ответственные должностные лица и участники бизнес-процесса "Производство продукции" производственного цеха ООО «Сибагро К».

 

2.3.3 Бизнес-процесс производственного цеха ООО «Сибагро К»

 

Для данного проекта  воспользуюсь конкретными функциями  программы Бизнес-инженера, а именно: мастером построения диаграмм и табличным методом моделирования.

В рамках этапа "Описание организационной структуры" разработал несколько моделей организационной структуры, основной является модель, построенная по принципу подчиненности и принципу входимости (Рисунок 2.1).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

На базе организационной структуры выявил подразделения и должности, существующие в компании, а также их роли на производстве

(Таблица 2.1).

 

 

 

 

 

Таблица 2.1 -Организационная структура и бизнес - роли

№	Должность	Бизнес-роли
P.	Начальник цеха	Планирование производства и контроль за выделением рецептур
P1.	Кладовщик	Прием ингредиентов, их выдача на производство, прием конечной продукции
P2.	Оператор 1С	внесение  материалов использованных для производства пищевых добавок  в компьютерную базу.
P3.	Заместитель начальника цеха	Контроль всего технологического процесса
P3.1.	Мастер	Производство и контроль продукции
P3.2.	Рабочий	Участвует в производстве продукции
P3.3.	Специалист по качеству	Контроль качества продукции
P4.	Руководитель лаборатории	Разработка рецептур  и модернизация  состава уже созданных.

 

        

 

 

 

      

 

 

 

 

 

 

 

 

 

На основании бизнес – ролей, следующим  этапом разработки процесса моделирования является создание Дерева бизнес-процесса "Производство продукции" (Рисунок 2.2).

 

 

 

На основании полученных схем и таблиц, и  программы Бизнес- инженер, для каждого этапа производства смоделируем распределение ответственности за коммерчески значимую информацию( Таблица 3.2 ).

 

 

 

 

    

 

 

Таблица 2.2 - Распределение ответственности и участия структурных единиц верхнего уровня  в бизнес-процессах (N-номер уровня конфиденциальной информации)

№	Должность	Роль в процессе	№	Название процесса
P1.	Начальник цеха	¦ Выдает рецептуры для производства	B1.2.	Планирование производства
		¦ выдает рецептуры	B1.2.1.	разработка рецептур
P2.	Кладовщик	¦ Ответственный за процесс	B1.1.	Прием, складирование сырья и  материалов и их выдача на производство
		¦ Ответственный за процесс	B1.6.	Складирование готовой продукции
P2.	Оператор 1С	¦ Вводит информацию о количестве израсходованной продукции и т.п.	. B1.4.	Изготовление продукции
P2.	Заместитель начальника цеха	¦ Контролирует в процессе	B1.4.	Изготовление продукции
		¦  Получает от нач. цеха рецептуры и следит за их использованием	B1.3.	Подготовка производства
P2.	Руководитель лаборатории	| Исполнитель процесса	B1.2.1	Разработка рецептур

 

Руководствуясь полученными данными, следует идентифицировать информационные потоки, участвующие в описываемых бизнес-процессах, представляющие из себя информацию, размещенную на бумажных носителях, устную информацию и информацию в электронном виде.

Проанализировав таблицу 3.2,  и на основании анализа общей характеристики объекта, я пришел к выводу, что  доступ  к коммерчески значимой информации, в основном, циркулирует на первом и вторых уровнях, а именно на этапе разработке и последующем использовании рецептуры.

Данный этап нигде не документируется, вследствие чего, будет сложно определить, на каком из этапов производства информация была утеряна и кто будет ответственен за это.

Поэтому, в целях контроля за КЗИ  необходимо разработать порядок  выдачи конфиденциальной информации на бумажных носителях (журнал выдачи рецептур изготовления пищевых добавок).

В разработанном журнале будут  вести учетную запись о выдаче и возврате рецептур, а именно необходимо будет указывать имя, фамилию сотрудника,  и  дату получения (соответственно возврата тоже).

Данное мероприятие поможет  исключить вероятность небрежного использования КЗИ на производстве.

 

2.4 Модель нарушителя

 

Возможность осуществления вредительских  схем воздействия в большой степени  зависят от статуса нарушителя по отношению к информации.

Нарушителем может быть:

• сотрудник из числа обслуживающего персонала;
• пользователь;
• системный администратор;
• постороннее лицо.

На практике опасность нарушителя зависит от финансовых, материальных возможностей и квалификации нарушителя.

В качестве возможного нарушителя в  данном проекте рассматривается  субъект, имеющий доступ в служебные помещения предприятия ООО «Сибагро К», а так же имеющий доступ к работе с программными и техническими средствами [10].

Нарушитель классифицируется по уровню возможностей, предоставляемых всеми доступными средствами (Таблица 2.3).

 

Таблица 2.3 – Модель нарушителя

Уро-вень	Возможности нарушителя по технологическому процессу	Потенциальная группа нарушителей	Возможный результат  НСД
1	Нет	Служащие, не имеющие  доступа к информации, но имеющие  доступ в помещения  (обслуживающий  персонал, посетители)	Просмотр на экране монитора и хищение бумажных и машинных носителей.
2	Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации	Большинство пользователей  АС, имеющих непосредственный доступ в помещения, к АРМ, с полномочиями, ограниченными на уровне системы защиты информации (СЗИ)	Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через  сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей.

 

 

 

 

 

Продолжение таблицы 2.3

3	Управление функционированием  АС, т.е. воздействие на базовое программное  обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями.	Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами	Доступ администратора АС к информации других пользователей  и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований)
4	Весь объем возможностей лиц, осуществляющих ремонт технических средств АС.	Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС	Доступ обслуживающего персонала АС к МН с информацией  других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС)

 

2.5. Перечень сведений конфиденциального характера

 

 Перечень сведений конфиденциального характера разрабатываются на основании Положения «О защите коммерческой тайны» ООО «Сибагро К» и в соответствии  с Федеральным законом РФ от 29.07.2004г. № 98-ФЗ «О коммерческой тайне», Федеральным законом РФ №149-ФЗ «Об информации, информационных технологиях и о защите информации», Гражданским кодексом РФ, Трудовым кодексом РФ, иными действующими нормативными правовыми актами РФ [9,10,12].

 Составленный перечень сведений разработан с целью защиты информации, а именно:

• обеспечение эффективного управления информацией и ее использования;
• предотвращение утечки, утраты, хищения и подделки информации;
• обеспечение конфиденциальности информации;
• разграничение доступа к информации;
• обеспечение правового режима использования информации, как объекта собственности.

Право на определение перечня и состава информации, составляющей коммерческую тайну и информации конфиденциального характера принадлежит генеральному директору ООО «Сибагро К» и закрепляется в соответствующем приказе.

К перечню  сведений, составляющих коммерческую тайну и сведений конфиденциального характера производственного цеха пищевых добавок ООО «Сибагро К» относятся:

• технологическая и техническая документация;
• состав поставщиков и потребителей продукции, товаров, услуг и сырья, иных контрагентов;
• содержание конкретных предпринимательских договоров;
• структура цены и условия конкретных сделок;
• сведения о предполагаемом спросе и предложении на товары и услуги Общества;
• текущие данные о размерах имущества Общества и его денежных средствах, сведения о запасах на складе сырья, материалов;
• нормативы, используемые в составление бухгалтерских отчетов;
• содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности;
• рабочие документы органов управления производственного цеха пищевых добавок;
• материалы анализа финансово - хозяйственной деятельности производственного цеха пищевых добавок;
• сведения о режиме работы производства, производственных мощностях, типе и размещении оборудования;
• сведения о применяемых методах управления производственного цеха пищевых добавок;
• сведения о подготовке, принятия и использования отдельных решений руководства ООО «Сибагро К» по научно-техническим, коммерческим, организационным вопросам;
• сведения о планах расширения или прекращения различных видов деятельности производственного цеха и их обоснование;
• сведения о планах закупок и продаж;
• сведения о направлениях маркетинговых исследований, результатах изучения рынка, содержащих оценки состояния и перспективы развития рыночной коньюктуры;
• сведения о заинтересованности в приобретении товара;
• сведения о методах расчета цен на продукцию и размерах скидок;
• сведения о целях, задачах, программах перспективных научных исследований;
• сведения о методах защиты от всевозможных подделок;
• сведения об особенностях используемых и разрабатываемых технологий и специфике их применения;
• сведения о порядке и состоянии организации защиты коммерческой тайны Общества;
• сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации Общества;
• сведения о репутации персонала производственного цеха пищевых добавок;
• любые специальные знания, включая практический опыт специалистов, применяемые не только в производстве, но и в других областях предпринимательской деятельности.
• сведения о фактах, событиях и обстоятельствах частной жизни учредителей и работников производственного цеха, позволяющие идентифицировать их личность, за исключением сведений, разрешенных законами РФ на распространение;
• тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;
• служебные сведения, доступ к которым ограничен.

 

 

2.6. Вывод

В второй главе проведены исследования объекта защиты (цеха пищевых добавок ООО «Сибагро К»). Разработан список конфиденциальной информации подлежащей защите, а также разработан порядок регистрации передачи конфиденциальной информации сотрудникам цеха в связи с необходимостью производства продукции.

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Этапы разработки комплексной системы  по защиты информации в производственном цехе пищевых добавок ООО «Сибагро К»

 

3.1.Постановка  задачи

Обеспечить цех пищевых добавок  ООО «Сибагро К» дополнительными техническими и программно-аппаратными средствами защиты информации.

 

3.2 Система контроля доступа

 

3.2.1 Общие положения

Контроль доступа – это система, контролирующая доступ к двери/дверям, и отвечающая за их открытие/закрытие. Самый распространенный пример системы  контроля (СКД) – система электронных замков. Есть множество уровней и типов электронных систем контроля- доступа. Все они в зависимости от функциональности и размеров, могут отличаться по стоимости, но их общая цель – ограничение доступа закрытым дверям и охраняемым территориям. Ограничение доступа достигается с помощью таких устройств, как считыватель проксимити-карт, биометрический контроль кейпады и т.д. После установки этих систем их можно настроить или запрограммировать как через модем обычного компьютера, так и с помощью прямого соединения, LAN или WAN.

Систему контроля и управления доступом можно разделить на 2 группы:

1. автономные;
2. сетевые.

Главная черта автономных систем КД, то, что она строится на основе одного или нескольких автономных контроллеров без участия управляющего компьютера [7,5].

В системах СКУД все контроллеры доступа связаны  между собой и представляют единую сеть, управляемую с одного или  нескольких компьютеров. Вся цепь точек  прохода работает с одной базой данных.

Поэтому не приходится тратить время на перепрограммирование или изменение информации для каждого контроллера в отдельности. С помощью специального ПО сотрудники отдела безопасности могут получать разноплановые отчеты о событиях, вносить в базу данных новых пользователей или удалять идентификаторы. Причем все это можно делать в считанные секунды – управление системой происходит в режиме реального времени.

Возникает вопрос: какое устройство в системе играет роль стражника, ответственного за  пропуск пользователей?