2 года

28

Рекламная политика компании.

2 года

Торговля

29

Сведения о методике расчетов конкурентных цен по экспорту или импорту, а также при оценке стоимости работ и услуг.

3 года

30

Расчетные цены.

2 года

31

Структура цены.

2 года

32

Структура продажной калькуляции.

2 года

33

Данные для калькуляции цены.

2 года

34

Затраты.

2 года

35

Сведения о себестоимости и контрактных ценах товаров и услуг.

2 года

36

Места закупки товаров.

3 года

37

Сведения о поставщиках.

3 года

Производство

38

Сведения о структуре и масштабах производства.

2 года

39

Данные о поставщиках.

2 года

40

Сведения о технологических возможностях компании и технических характеристиках оборудования.

2 года

41

Сведения о запасе материалов, комплектующих, резервах сырья.

2 года

42

Калькуляция издержек производства.

2 года

43

Сведения о количестве на складах готовой продукции.

2 года

44

Сведения о свертывании производства различных типов работ и их технико-экономическое обоснование.

2 года

45

Технологические достижения, обеспечивающие преимущества в конкурентной борьбе.

2 года

46

Изобретения, новые идеи, ноу-хау.

3 года

Договоры

47

Сведения, условия конфиденциальности, которые установлены в договорах и контрактах и т.п.

2 года

48

Условия по сделкам и соглашениям.

2 года

49

Условия договоров, включая цены.

2 года

50

Особые условия договоров (скидки, приплаты, рассрочки платежей, опционы и т.п.).

2 года

51

Условия платежей по договорам.

2 года

52

Сведения об исполнении договоров.

2 года

Партнеры

53

Списки клиентов, компаньонов, посредников компании.

3 года

54

Коммерческие связи компании.

3 года

55

Сведения о поставщиках и клиентах компании.

3 года

56

Сведения о подрядчиках.

3 года

57

Сведения о финансовом состоянии, репутации или другие данные, характеризующие степень надежности иностранной фирмы или ее представителей как торгового партнера, а так же и о их конкурентах.

3 года

58

Сведения, составляющие коммерческую тайну предприятий-партнеров и переданные сотруднику предприятия на доверительной основе.

2 года

59

Оценка качества деловых отношений с конкурирующими предприятиями в различных сферах деловой активности.

2 года

60

Сведения о фактах проведения, целях, предмете и результатах отдельных переговоров с деловыми партнерами компании.

2 года

Информационные технологии

61

Состояние парка ПЭВМ и программного обеспечения.

3 года

62

Используемые в корпоративной сети средства защиты информации.

3 года

63

Используемые в корпоративной сети средства аутентификации пользователей.

3 года

64

Структура корпоративной сети.

3 года

65

Ключевая и парольная информация.

3 года

Безопасность

66

Сведения о порядке защиты коммерческой тайны компании.

3 года

67

Сведения о порядке и состоянии охраны, пропускном режиме, системах охранной сигнализации и системах видеонаблюдения на объектах компании.

3 года

68

Сведения о перевозимых ценностях (дата, место, время).

3 года

69

Сведения о методах защиты от подделки товарных и фирменных знаков.

3 года

Приложение Б

Обязательство о неразглашении коммерческой тайны организации

Я, ____________________________________________________,

(фамилия, имя, отчество)

В качестве работника (служащего) _____________________________________ (наименование организации)

в период трудовых (служебных) отношений с организацией (его правопреемником) и в течение _______________ после их окончания обязуюсь:

(срок)

1)не разглашать сведения, составляющие коммерческую тайну организации, которые мне будут доверены или станут известны по работе (службе);

2)не передавать третьим лицам и не раскрывать публично сведения, составляющие коммерческую тайну организации, без согласия организации;

)выполнять относящиеся ко мне требования приказов, инструкций и положений, по обеспечению сохранности коммерческой тайны организации;

)в случае попытки посторонних лиц получить от меня сведения о коммерческой тайне организации немедленно сообщить __________________

(должностное лицо или подразделение предприятия)

5)сохранять коммерческую тайну тех организаций, с которыми имеются деловые отношения организация;

6)не использовать знание коммерческой тайны организации для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;

)в случае моего увольнения все носители коммерческой тайны организации (рукописи, черновики, чертежи, магнитные носители, диски, цифровые носители, распечатки на принтерах, кино-, фото-негативы и позитивы, модели, материалы, изделия и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в организации, передать __________________________;

(должностное лицо или подразделение предприятия)

8)об утрате или недостаче носителей коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны организации, а так же о причинах и условиях возможной утечки сведений, немедленно сообщать ______________________________________________________________.

(должностное лицо или подразделение предприятия)

Я предупрежден, что, в случае, невыполнения любого из пунктов 1, 2, 3, 4, 5, 6, 8 настоящего обязательства, могу быть уволен из организации. До моего сведения так же доведены с разъяснениями соответствующие положения по обеспечению сохранности коммерческой тайны организации, и я получил один экземпляр этих положений.

Мне известно, что нарушения этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ, и в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба организации (убытков, упущенной выгоды и морального ущерба) и других наказаний.

Администрация организации подтверждает, что данные Вами обязательства не ограничивают Ваших прав на интеллектуальную собственность. Об окончании срока действия обязательства администрация организации уведомит Вас заблаговременно в письменной форме.

_______________ ___________________________ _________________

(должность) (подпись) (Ф.И.О.)

Один экземпляр обязательств получил

«__» ________ 201_ г. __________________

(подпись)

Приложение В

В данном приложении находятся списки и таблицы, которые представляют собой сжатую памятку методов и целей, используемых социальными инженерами, а также помогут ответить на просьбы или действия, которые могут являться атакой социального инженера.

Таблица В.1 Определение атаки

Действие	Описание
Исследование	Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с веб-сайта. А также выброшенное в урну.
Создание взаимопонимания и доверия	Использование внутренней информации, выдача себя за другую личность, называние имен, знакомых жертве, просьба о помощи
Эксплуатация доверия	Просьба об информации или совершении действия. В обратном социальном инжиниринге, жертва просит атакующего помочь.
Применение информации	Если полученная информация - лишь шаг к цели, то атакующий возвращается к более ранним этапам, пока цель не будет достигнута.

Типичные методы действий социальных инженеров:

1. Представляется другом-сотрудником; сотрудником поставщика, партнерской организации; представителем закона; кем-либо из руководства; новым сотрудником, просящим о помощи; поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление.

2. Предлагает помощь в случае возникновения проблемы, потом создает эту проблему, принуждая сотрудника просить помощи.

3. Отправляет бесплатное ПО для установки; вирус или троянского коня в качестве приложения к письму.

4. Использует фальшивые всплывающие окна, для аутентификации.

5. Записывает вводимые сотрудником клавиши компьютера или программы.

6. Оставляет носитель с вредоносным ПО в организации.

7. Использует внутренний сленг и терминологию для возникновения доверия.

8. Предлагает приз за регистрацию на сайте.

9. Подбрасывает документ или папку в почтовый отдел организации для внутренней доставки.

10. Просит секретаршу принять, а потом отослать факс.

11. Просит отослать документ в место, которое кажется локальным.

12. Притворяется, что он из удаленного офиса и просит локального доступа к почте.

Предупреждающие знаки атаки:

1. Отказ назвать номер.

2. Необычная просьба.

3. Утверждение, что звонящий - руководитель.

4. Срочность.

5. Угроза негативными последствиями в случае невыполнения.

6. Испытывает дискомфорт при опросе.

7. Называет знакомые имена.

Таблица В.2 Типичные цели социальных инженеров

Тип жертвы	Примеры
Незнающая о ценности информации	Секретари, телефонистки, помощники администрации, охрана
Имеющая особые привилегии	Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем
Поставщик/ Изготовитель	Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты
Особый отдел	Бухгалтерия, отдел кадров

Факторы, делающие компанию более уязвимой к атакам:

1. Большое количество сотрудников.

2. Большое количество филиалов.

3. Информация о местонахождении сотрудников.

4. Информация о внутренних телефонах общедоступна.

5. Поверхностное обучение правилам безопасности.

6. Отсутствие системы классификации информации.

7. Отсутствие системы сообщения об инцидентах.

Таблица В.3 Подтверждение личности

Действие	Описание
Идентификационный номер звонящего	Убедитесь, что звонок - внутренний, и название отдела соответствует личности звонящего
Перезвонить	Найдите просящего в списках организации и перезвоните в указанный отдел
Подтвердить	Попросите доверенного сотрудника подтвердить личность просящего
Общий секрет	Спросите известный только в организации секрет, к примеру, пароль или ежедневный код
Руководитель	Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность просящего
Безопасная почта	Попросите отправить сообщение с цифровой подписью
Узнавание голоса	Если звонящий знаком, убедитесь, что это его голос
Меняющиеся пароли	Спросите динамический пароль или другое аутентификационное средство
Лично	Попросите звонящего прийти с удостоверением личности

Таблица В.4 Проверка, работает ли еще сотрудник

Действие	Описание
Проверка в списке сотрудников	Проверьте, что сотрудник находится в списке
Руководитель просителя	Позвоните руководителю просителя, используя телефон, указанный в базе данных организации
Отдел или группа просителя	Позвонить в отдел просителя и узнать, работает ли он еще там

Таблица В.5 Процедура, позволяющая узнать, может ли проситель получить информацию

Действие	Описание
Смотреть список отделов/ должностей/обязанностей	Проверьте списки, где сказано, каким сотрудникам разрешено получать подобную информацию
Получать разрешение от начальства	Свяжитесь со своим начальством или начальством звонящего для получения разрешения выполнить просьбу
Получить разрешение от владельца информации или разработчика	Спросите владельца информации, надо ли звонящему это знать
Получать разрешение от автоматического устройства	Проверьте базу данных уполномоченных сотрудников



Таблица В.6 Критерии подтверждения личности людей, не являющихся сотрудниками

Критерий	Действие
Связь	Убедитесь, что у организации просителя есть поставщики, партнеры или другие соответствующие связи
Личность	Проверьте личность и статус занятости звонящего в его организации
Неразглашение	Убедитесь, что проситель подписал договор о неразглашении
Доступ	Передайте просьбу руководству, если информация классифицирована секретней, чем «Внутренняя».

Таблица В.7 Классификация информации

Классификация	Описание	Процедура
Общедоступная	Может быть свободно доступна для общественного пользования	Не требует подтверждения личности
Внутренняя	Для использования внутри организации	Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками
Личная	Информация личного характера, предназначенная для использования только внутри организации	Проверьте, является ли просящий сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям не являющихся сотрудниками
Конфиденциальная	Известна только людям, которым необходимо это знать внутри организации	Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением сотрудника, владельца или создателя. Убедитесь, что проситель подписал договор о неразглашении тайн



Рисунок В.1 Ответ на просьбу дать информацию

Размещено на Allbest.ru

...