Практикум по информационной безопасности: Учебно-методическое пособие, страница 13


•  выявление      всех      типов     информации      (данных)      и      присвоение     им соответствующей степени конфиденциальности на основе оценки влияния на бизнес деятельность;

•  определение и фиксация владельца категорируемого актива;

•  определение  мест хранения классифицируемых данных в корпоративной сети (дисковая   память   персонального   компьютера,   файловый   сервер,   почтовый ящик, сейф для хранения бумажных документов);

•  фиксация видов обработки, передачи и уничтожения данных;

•  используемые меры и средства защиты конфиденциальных данных. Классификации по   степени   конфиденциальности   подлежат   данные   вне

зависимости от  формы  их существования  в компании электронная  или  па твердом носителе (бумажный носитель, магнитная лента и пр.).

2.3   Категории конфиденциальности

На основании рекомендаций международных стандартов в области информационной безопасное (BS 7799-2:2002, ISO/IEC 17799:2005, ISO/IEC 27001:2005), отечественной практики защиты конфиденциальной информации для коммерческой компании достаточно установить следующие категории (степени) конфиденциальности.

•  Строго конфиденциальная информация (СК)

•  Конфиденциальная информация (К)

•  Информация для внутреннего использования (ДВИ)

•  Общедоступная информация (ОИ)

Основная проблема заключается в формулировании набора признаков, позволяющих различить категории конфиденциальности в терминах максимально прозрачных для бизнеса. Возможный вариант 'трактовки категорий конфиденциальности рассмотрен ниже.

Строго конфиденциальная информация - информация, обеспечивающая компании значительные конкурентные преимущества. В случае ее разглашения финансовые потери могут достигнуть катастрофического уровня, компания серьезно компрометируется в глазах общественности, конкурентные преимущества резко снижаются. К такой информации имеют доступ обычно несколько человек, как правило,  занимающих  в  компании руководящие  роли.  За  пределы  компании  СК


информация не может быть передана без разрешения высшего руководителя. Каждый случай доступа к информации должен быть зафиксирован.

Примеры: тактические планы слияний и поглощений; ключи шифрования информации; компенсации и вознаграждения руководителей компании.

Конфиденциальная информация- информация, разглашение которой ухудшает конкурентоспособность, приносит серьезный финансовый ущерб, заметно понижает общественный престиж, приносит вред клиентам и партнерам, приводит к возникновению претензий третьих лиц, нарушению законодательства. Круг лиц имеющих доступ к конфиденциальной информации ограничен, доступ к ней разрешается только при производственной необходимости, которая должна быть мотивирована, тиражирование копий информации ограничено и контролируется. Конфиденциальная информация не может быть передана за пределы компании без разрешения ее владельца или высшего руководителя компании.

Примеры: финансовые и иные условия контрактов на поставки оборудования и услуг: отчеты аудиторов до их утверждения руководством компании; материалы по финансовому планированию.

Информация для внутреннего использования - информация, предназначенная в основном для использования внутри компании. Разглашение оказывает незначительное или локальное отрицательное влияние па финансовое положение, успешность деятельности или имидж компании. Доступ к информации осуществляется для выполнения сотрудниками своих производственных обязанностей. Разрешение на предоставление прав доступа согласуется с владельцем информационных активов. Он же решает вопрос о передаче информации за пределы компании, если в этом есть необходимость.

Примеры: отчеты консультантов и аудиторов после опубликования; маркетинговые исследования до опубликования; сведения об организационной структуре: регламенты подготовки и согласования документов для представления руководству.

Общедоступная информация- информация, распространяемая внутри компании и позволяющая сотрудникам выполнять свои производственные обязанности. Она может передаваться за пределы компании, включая средства массовой информации. Такая информация, став достоянием гласности, не может вызвать нежелательных последствий для компании, не нарушает требований законодательства и имеющихся договорных обязательств. Общедоступная информация не требует специальных мер защиты, но компания должна контролировать   пути   ее   распространения.   К   ней   имеют  доступ   все   сотрудники