Днес, повече от всякога, поговорка важи: "Кой е собственик на информацията, е собственик на света." И все пак, има информация - това е само половината от битката. Той все още трябва да бъде в състояние да компетентно защити.
Днес, повече от всякога, поговорка важи: "Кой е собственик на информацията, е собственик на света." И все пак, има информация - това е само половината от битката. Той все още трябва да бъде в състояние да компетентно защити. Въпреки това е трудно да се изгради защита, не се определя от стандартната класификация на корпоративна информация за степента на поверителност.
За да се изгради ефективна система за защита на информационните активи, всяка компания трябва да се определи степента на стойността на различните видове данни, да се знае къде са те, как и от кого се обработват и как се унищожават в края на жизнения цикъл. Без него ще бъде трудно да се предотврати изтичане на поверителни данни и да обоснове финансовите разходи за защита на данните.
Големи местни компании обикновено имат вътрешна заповед или заповед, в която се определя какви видове информация, свързана с поверителни данни или бизнес данни. Въпреки това, тези определения често са много неясни (например, "както и друга информация, търговски тайни"), в допълнение, те не разполагат с правила, отнасящи се на информация в една или друга степен на поверителност, както и правила за безопасна работа с тези или други данни. Документ с такова качество не е подходяща за използване в практиката, особено за защита на информацията в електронна форма.
Най-големите западни компании са добре установени корпоративни стандарти за класификация на данните, в които тези недостатъци липсват. Това значително допринася за по-напреднали законодателство в областта на информацията и участието на външни консултанти с практически опит в разработването на документи по сигурността на информацията.
е необходим документ
Как правилно да се формулира стандартна класификация на корпоративна информация за степента на поверителност? На темата за информационната сигурност, и по-специално нейната класификация, издаден значителен брой книги и публикации, но за съжаление на руски език литература по този въпрос, като правило, е теоретична и чуждестранни съдържа очевидна пристрастност към безопасността на държавни или военни информационни системи и тя се основава на подходящо правно основание.
Разбира се, теорията е важно. Въпреки това, как да го приложат на практика предприятието на условията на недостатъчно развита правна рамка в тази област? Как да се определи каква информация се използва във фирмата, как да изберете скалата за класификация, както и как да се определи мерките за защита на данните?
Преди да предприеме всички организационни и технически мерки, особено в областта на информационната сигурност, е необходимо да се разработят подходящи за практическото използване на документ, който определя общите правила, но не и техническите подробности в областта на класификация на информацията в зависимост от степента на поверителност. За съжаление, и име на документа на руски език не е английски, той е наречен така: Данните стандартна класификация.
Този документ трябва да бъде официално одобрено от висшето ръководство, като на борда на директорите или генерален мениджър, в противен случай по-нататъшни усилия са обречени на провал. Това не е лесна задача, колкото изглежда на пръв поглед. В големите компании (особено холдинг) висока степен на бюрокрация, която пречи на приемането на такъв корпоративен стандарт. В този случай, трябва да имате редица подготвителни действия за насърчаване на приемането на този документ.
Ключови моменти на стандарта
А законен корпоративен стандарт за класификация на данните трябва да включва следните раздели:
Отчет за управлението на дружеството за значението на защитата на информационните активи. В този момент, това трябва да се отрази по-високо управление на позицията на компанията за защита на информационните активи. Според изявлението на ръководството изразява подкрепата си за предприетите мерки.
Етикетирането и методи за съхранение на класифицирана информация. Правилата за етикетиране следва да бъдат определени за всеки вид на класифицирана информация и всичко, използвани в методите за съхранение на компанията, включително и съхранение на сървъри, работни станции, лаптопи, сменяеми (дискета, флаш карти с памет, и така нататък. Н.).
Процедурата за унищожаване на медиите с класифицирани данни. Трябва да включва правила за унищожаване на всеки вид информация за всички видове медии, използвани, включително твърди дискове, сменяеми носители (дискети, ленти, карти с флаш памет, и така нататък. Г.), електронна поща, на хартиен носител.
Правила за работа с класифицирана информация. Този раздел определя изискванията за маркировка, съхранение, превозване и при унищожаване на всеки вид класифицирани данни.
Методологията на класификацията на информацията
Предложената методология се основава на BS 7799 и ISO 17799 препоръките на международните стандарти за информационна сигурност.
Процесът на разработване на корпоративен стандарт за класификация на информацията се състои от следните основни стъпки:
- работна група;
- интервюта с поделенията на компанията;
- консолидирането на събраната информация;
- съгласувано с бизнес звената консолидирана информация и одобрение на стандарта.
Създаване на работна група
На колко работната група, образувана правилно, за успеха на събитието. Работната група трябва да включва представители на отговорните отдели и специалисти с най-малко следните качества:
Работната група трябва да включва представители на всички заинтересовани ведомства, като например разделяне служби за сигурност.
Провеждане на интервюта с поделенията на компанията
Как да се определи до каква степен поверителността се отнася до определен тип информация? Този въпрос трябва да се отговори на информацията за собственик. Въпреки привидната простота, да събира тази информация, не е толкова лесно. В края на краищата, те са ценни само ако натрупаната в достатъчни количества.
За да разберете какви типове информация, се обработват в определени части на компанията, трябва да има поредица от интервюта с лицата, отговорни за тези единици.
Но първо трябва да се подготви предварителен списък на типове данни, характерни за фирмите в бранша. Наличието на такъв списък, ще намали времето, прекарано на интервюиране, и ще помогне да се избегне пропуски.
Всички отговорни лица трябва да бъдат предварително запознати с принципите на класификация на информацията и предварителен списък от типове данни. За да направите това, трябва да се проведе встъпителна презентация за представители на отдели в което да обясни целите и задачите на проекта, кажи ми кой е (основен клиент) проект спонсор определи поредица от стъпки, обясни как представителите на необходимите за участие отдели и какво крайния резултат на проекта. Презентацията ще намали значително времето на интервюта, като служителите ще бъдат подготвени за тях.
Обсъждане на бизнес процеси, които включват разделение трябва да се направи списък на информацията, използвана в възел и всеки от тях е достатъчно да се създаде един дълъг списък от въпроси. Ето някои от тях.
Често има моменти, когато поделенията на дружеството са презастрахован от завишаване на степента на поверителност на определени данни. В този случай, да зададете подвеждащи въпроси като този: "Колкото по-висока степен на поверителност, по-строгите правила за справяне с него. готови да подпишат дневник всеки път, когато получите тези документи и всеки ден, за да ги вземе на ръка ли сте? "
Консолидиране на информацията, събрана
Интервю с поделенията на компанията, можете да преминете към консолидирането на събраната информация. Консолидацията е да се възложи на нивото на конфиденциалност на видове налична информация. Мненията елементи с тези правомощия могат да се отклоняват, в този случай, разчитат на професионалната преценка на работната група. Понякога е необходимо да се провеждат допълнителни интервюта. Списъкът на търговско дружество на поверителна и строго поверителна информация, която не трябва да получат повече. Дълъг списък от доказателства за грешките, направени по време на интервютата.
съгласуване на данните и одобряване на стандарт
Консолидираният списък на типове данни и тяхната степен на поверителност трябва да се съгласува с подразделения на компанията и одобрена от висшето ръководство като част от документа "класификация на степен на поверителност на информацията." Най-често срещаната пречка на този етап възниква от службите за сигурност, тъй като на недоверие от нейна страна на получените резултати. За да се избегне тази ситуация, в процеса на проекта и работната група трябва да включва представители на службите за сигурност.
Каква е следващата стъпка?
"Класификация на информация" определя изискванията за обработка на данни, но не и техническите подробности. Тя служи като рамка за "ниско" ниво на документ, например на потребителите на документи и администраторите конфигурационни стандарти работни станции и сървъри.
Алекс Pastoev - мениджър "Kerberus», [email protected]
Примери на фрагменти на стандартна класификация на данни
Правилата за определяне на поверителна информация
С надпис "поверително" трябва да се зададе само до тази информация, която е в случая с разкриването й се влоши конкурентната позиция на компанията, да доведе до сериозни финансови щети ще доведе до неспазване на регулаторни задължения, по-нисък социален престиж, или по друг начин да причини сериозни вреди на дружеството, неговите клиенти или партньори.
Сподели снимки с приятели и колеги