Astăzi, ca niciodată înainte, afirmația este adevărată: "Cine deține informațiile, el este cel care deține lumea". Și totuși deținerea informațiilor este doar jumătate din bătălie. Trebuie să fie capabil să apere în mod competent.
Astăzi, ca niciodată înainte, afirmația este adevărată: "Cine deține informațiile, el este cel care deține lumea". Și totuși deținerea informațiilor este doar jumătate din bătălie. Trebuie să fie capabil să apere în mod competent. Cu toate acestea, este dificil să se construiască o apărare fără a se defini standardul de clasificare a informațiilor corporative prin gradul de confidențialitate al acestora.
Pentru a construi un sistem eficient de protecție a activelor informaționale, orice companie are nevoie pentru a determina măsura valorii diferitelor tipuri de date, să știe unde se află, cât și de către cine sunt manipulate și modul în care sunt distruse la sfârșitul ciclului de viață. Fără aceasta, va fi dificil să se prevină scurgerea datelor confidențiale și să se justifice costurile financiare ale protecției informațiilor.
Întreprinderile mari mari au, de obicei, o comandă sau un ordin intern în care se determină ce tipuri de informații se referă la date confidențiale sau informații comerciale. Cu toate acestea, aceste definiții sunt adesea foarte vagi (de exemplu, „și alte informații, secrete comerciale“), în plus, acestea nu au reguli referitoare de informații către unul sau un alt grad de confidențialitate, precum și norme privind manipularea acestora sau a altor date. Un document de această calitate nu este potrivit pentru utilizare în practică, în special pentru protecția informațiilor în formă electronică.
În marile întreprinderi occidentale, standardele corporatiste pentru clasificarea informațiilor sunt bine dezvoltate, în care lipsurile menționate sunt absente. Acest lucru se datorează în mare parte legislației mai dezvoltate în domeniul securității informațiilor și implicării consultanților externi cu experiența practică în elaborarea documentelor privind securitatea informațiilor.
Aveți nevoie de un document
Cât de corect să formulăm standardul de clasificare a informațiilor corporative după gradul de confidențialitate? Pe tema de securitate a informațiilor, în special clasificarea ei, a emis un număr semnificativ de cărți și publicații, dar, din păcate, literatura de limbă rusă pe această temă, de regulă, este teoretică și străină conține o prejudecată evidentă față de siguranța sistemelor de informații militare guvernamentale sau și se bazează pe cadrul legislativ relevant.
Desigur, teoria este importantă. Cu toate acestea, cum se poate aplica în practică unei întreprinderi care funcționează în condițiile unei baze legislative insuficient dezvoltate în acest domeniu? Cum să determinați ce informații sunt utilizate în companie, ce să alegeți scara de clasificare și cum să determinați corect măsurile de protecție a datelor?
Înainte de a lua orice măsuri organizatorice și tehnice în special în domeniul securității informațiilor, este necesar să se dezvolte potrivit pentru utilizarea practică a unui document care definește regulile generale, dar nu și detaliile tehnice în domeniul clasificării informațiilor întreprinderii în funcție de gradul de confidențialitate. Din păcate, nu există încă niciun nume stabilit pentru acest document în limba rusă, în limba engleză se numește: Standard de clasificare a datelor.
Acest document ar trebui să fie aprobat oficial de conducerea superioară a companiei, de exemplu, consiliul de administrație sau directorul general, altfel eforturile viitoare sunt condamnate la eșec. Aceasta nu este o sarcină simplă, așa cum pare la prima vedere. În companiile mari (în special exploatațiile), gradul de birocratizare este mare, ceea ce face dificilă adoptarea unui astfel de standard corporativ. În acest caz, vor fi necesare mai multe acțiuni pregătitoare pentru a facilita aprobarea acestui document.
Punctele cheie ale standardului
Întocmirea corectă a standardelor corporative pentru clasificarea informațiilor ar trebui să includă următoarele secțiuni:
Declarația conducerii societății cu privire la importanța protejării bunurilor informatice. Acest paragraf ar trebui să reflecte poziția conducerii superioare a companiei cu privire la protecția bunurilor informatice. Prin această declarație, managementul își exprimă sprijinul față de măsurile luate.
Etichetarea și metodele de stocare a informațiilor clasificate. Normele de etichetare ar trebui să fie specificate pentru fiecare tip de informații clasificate și toate utilizate în metodele de stocare a companiei, inclusiv depozitarea pe servere, stații de lucru, laptop-uri, mass-media amovibil (dischetă, carduri de memorie flash, și așa mai departe. N.).
Ordinea de distrugere a transportatorilor cu date clasificate. Trebuie să includă reguli pentru distrugerea fiecărui tip de informații cu privire la toate tipurile de media utilizate, inclusiv hard disk-uri, mass-media amovibile (dischete, benzi, carduri de memorie flash, și așa mai departe. D.), e-mail, suport de hârtie.
Reguli pentru manipularea informațiilor clasificate. Această secțiune definește cerințele privind etichetarea, stocarea, transferul și distrugerea pentru fiecare tip de date clasificate.
Metodologia de clasificare a informațiilor
Metodologia propusă se bazează pe recomandările standardelor internaționale de securitate a informațiilor BS 7799 și ISO 17799.
Procesul de elaborare a unui standard corporativ pentru clasificarea informațiilor constă în următoarele etape principale:
- crearea unui grup de lucru;
- efectuarea de interviuri cu departamentele companiei;
- Consolidarea informațiilor colectate;
- coordonarea cu subdiviziuni ale informațiilor consolidate ale companiei și aprobarea standardului.
Creați un grup de lucru
Succesul întregului eveniment depinde de cât de bine se formează grupul de lucru. Grupul de lucru trebuie să includă reprezentanți responsabili ai departamentelor și specialiștilor companiei care au cel puțin următoarele calități:
Grupul de lucru ar trebui să includă reprezentanți ai tuturor unităților interesate, de exemplu, unitatea de servicii de securitate.
Interviu cu diviziile companiei
Cum să determinăm gradul de confidențialitate al acestui tip de informații? Proprietarul informațiilor ar trebui să răspundă la această întrebare. În ciuda simplității aparente, nu este atât de ușor să colectăm aceste informații. La urma urmei, acestea vor fi valoroase numai dacă sunt acumulate în volum suficient.
Pentru a afla ce tipuri de informații sunt prelucrate în anumite departamente ale companiei, ar trebui să se efectueze o serie de interviuri cu persoanele responsabile ale acestor unități.
Dar mai întâi trebuie să pregătiți o listă preliminară de tipuri de date specifice companiilor din această industrie. Prezența unei astfel de liste va scurta timpul petrecut pentru efectuarea interviurilor și va ajuta la evitarea omisiunilor.
Toate persoanele responsabile trebuie să fie familiarizate în prealabil cu principiile de clasificare a informațiilor și o listă preliminară a tipurilor de date. Pentru a face acest lucru, trebuie să dețină o prezentare introductivă pentru reprezentanții departamentelor în care să explice scopurile și obiectivele proiectului, spune-mi cine este proiectul sponsorului (principal de client) a stabilit o succesiune de etape, a explicat modul în care reprezentanții departamentelor necesare pentru a participa și ceea ce rezultatul final al proiectului. Prezentarea va reduce în mod semnificativ timpul interviurilor, deoarece angajații vor fi pregătiți pentru ei.
Atunci când se discută procesele de afaceri în care este implicat departamentul, este necesar să se facă o listă a tipurilor de informații utilizate în diviziune și să se ceară o listă suficient de lungă de întrebări pentru fiecare dintre ele. Iată câteva dintre ele.
Există adesea situații în care unitățile companiei sunt reasigurate, supraestimând gradul de confidențialitate al anumitor date. În acest caz, ar trebui să adresați întrebări principale, de exemplu: "Cu cât este mai mare gradul de confidențialitate, cu atât sunt mai stricte regulile de lucru cu acesta. Sunteți gata să vă înscrieți în revista de fiecare dată când primiți aceste documente și să le luați în fiecare zi pentru a verifica? "
Consolidarea informațiilor colectate
După intervievarea departamentelor companiei, puteți continua să consolidați informațiile colectate. Consolidarea constă în atribuirea unui grad de confidențialitate tipurilor de informații existente. Opiniile diviziilor asupra acestor diplome se pot diferenția, caz în care trebuie să se bazeze pe judecata profesională a grupului de lucru. Uneori este necesar să se efectueze interviuri suplimentare. Într-o societate comercială, lista informațiilor confidențiale și strict confidențiale nu trebuie să se dovedească a fi mare. O listă lungă indică greșelile făcute în timpul interviurilor.
Armonizarea datelor și aprobarea standardului
Lista consolidată a tipurilor de date și gradul lor de confidențialitate trebuie să fie coordonate cu diviziile companiei și aprobate de către conducerea superioară a companiei ca parte a documentului "Clasificarea informațiilor privind gradul de confidențialitate". Cel mai frecvent obstacol din această etapă apare din partea serviciului de securitate din cauza lipsei de încredere în rezultatele obținute. Pentru a evita această situație, reprezentanții serviciului de securitate ar trebui să fie implicați în procesul de proiect și în grupul de lucru.
Ce urmează?
"Clasificarea informațiilor" stabilește cerințele pentru manipularea datelor, dar nu și detaliile tehnice. Acesta servește ca un cadru pentru documentele de nivel mai scăzut, cum ar fi instrucțiunile utilizatorilor și administratorilor, standardele de configurație a stațiilor de lucru și a serverului.
Alexey Pastoev - director al companiei "Kerberus", [email protected]
Exemple de fragmente ale standardului de clasificare a datelor
Reguli pentru stabilirea informațiilor confidențiale
Marcate „confidențial“, trebuie să se atribuie numai acele informații care este în cazul divulgării sale înrăutăți poziția competitivă a companiei, cauza daune financiare grave pentru a conduce la nerespectarea obligațiilor de reglementare, inferior prestigiu social, sau altfel cauza prejudicii grave societății, clienții sau partenerii săi.
Distribuiți materialul împreună cu colegii și prietenii
Trimiteți-le prietenilor: