компании. Решение о выведение информации за пределы компании принимается сотрудником, в чьем ведении она находится.
Примеры: официальный годовой отчет компании; прайс-лист выпускаемой продукции, утвержденный руководством; пресс-релизы для СМИ.
Отнесение определенного типа информационных активов к той или иной категории конфиденциальности находится в компетенции владельца или лица, который делает это по его поручению. Ситуация, когда у информационного актива оказывается несколько владельцев, должна быть разрешена так, чтобы он был приписан к одному единственному владельцу, который будет согласовывать предоставление прав доступа к информации с другими владельцами. Важно, чтобы ни один информационный актив не оказался «бесхозным».
Со временем или под влиянием других причин и обстоятельств информация может быть переведена из одной категории конфиденциальности в другую более низкую с точки зрения тяжести негативных последствий для бизнеса (но никогда наоборот!). Изменения в структуре компании, уточнение и корректировка бизнес целей и задач, приобретение или продажа производственных активов, появление новых правовых документов, регулирующих информационные отношения - вот далеко не полный перечень причин, 'требующих частичного или полного пересмотра утвержденной категоризации информационных активов, Инициатива процесса пересмотра действующих категорий конфиденциальности целиком и полностью находится в компетенции владельца информационного актива и/или высшего руководителя компании.
2.4 Организация и требования к составу Рабочей группы
Для решения вопросов классификации информационных активов (данных) по степени конфиденциальности в компании следует создать утвержденную приказом или другим распорядительным документом Рабочую труппу по классификации (РГК).
Состав РГК должен включать:
• специалистов функциональных подразделений компании;
• специалистов, обеспечивающих юридическое сопровождение деятельности компании;
• специалистов ИТ и ИБ подразделений;
• внешних консультантов.
Специалисты функциональных подразделений должны иметь высокую квалификацию, хорошо знать содержание бизнес-процессов своего подразделения и информационных процессов, обеспечивающих его деятельность. Они должны также иметь достаточно хорошее представление о бизнес-процессах тех подразделений, с которыми осуществляется непосредственное информационное взаимодействие. Одним из условий должно быть также знание ими целей и задач, стоящих перед компанией и представление о возможном ущербе, который может быть нанесен компании в случае нарушения конфиденциальности информации.
Специалисты юридической службы соответствующей квалификации привлекаются в РГК в связи с тем, что нельзя допустить нарушения правовых положений, регулирующих отнесение тех или иных сведений к конфиденциальным. В их ответственности будет находиться также подготовка итоговых распорядительных документов по классификации (приказ, распоряжение), представляемых на утверждение руководства.
Специалисты ИТ и ИБ подразделений участвуют в РГК, во-первых, потому, что в их подразделениях есть немало конфиденциальной информации. Во-вторых, их профессиональный опыт может предостеречь от необоснованного завышения категории конфиденциальности. Они могут указать на возможность использования не требующие особых затрат и усилий мер и средств снижения возможного ущерб от нарушения конфиденциальности некоторых типов информации. Например, отнесение такого актива как «Телефонный справочник» к категории «конфиденциально» не представляется обоснованным, поскольку в течение короткого времени может быть сменен номерной план, что практически сведет на нет возможные негативные последствия утечки такой информации.
Внешние консультанты привлекаются для участия в деятельности РГК при условии, что они владеют методологией классификации данных, имеют опыт (желательно международного уровня) выполнения подобных проектов в компаниях, действующих в том же секторе рынка, располагают статистикой по отнесению тех или иных типов данных к соответствующей категории конфиденциальности. Кроме того, консультанты должны иметь достаточную квалификацию и опыт в сфере ИБ и особенно в вопросах анализа информационных рисков. Возможные опасения, что консультанты могут оказаться источником утечки конфиденциальной информации, не состоятельны, т.к. они оперируют с типами данных (информации), но не со смысловым их содержанием.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.