Рекомендации по категорированию информации в информационной системе предприятия

Вся информация на предприятии должна быть категорирована. Категории критичности и связанные с ними меры защиты для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для предприятия, связанный с несанкционированным доступом или повреждением информации.

Ответственность за присвоение категории критичности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории следует возложить на владельца информации.

Следует с осторожностью подходить к интерпретации категорий критичности на документах других предприятий, поскольку одинаковый или похожий уровень критичности может быть определен по-другому.

При присвоении категорий критичности следует учесть следующие моменты:

- Критичная информация и выходные данные систем, содержащие критичную информацию, должны иметь соответствующие категории критичности.

- Чрезмерное засекречивание информации может привести к неоправданным дополнительным затратам в компании.

- Выходным данным информационных систем, содержащим критичную информацию, должен быть присвоен соответствующий уровень критичности. Этот уровень критичности должен отражать категорию критичности наиболее уязвимой информации в выходных данных.

Например, на предприятии вводятся следующие уровни категорий критичности информации:

- общедоступно,

- конфиденциально,

- строго конфиденциально,

- секретно.

Сотрудникам предприятия строго запрещается разглашать кому-либо информацию выше уровня конфиденциально.

1) Общедоступной информацией является информация, уже опубликованная в средствах массовой информации.

Решение о придании статуса общедоступно принимает генеральный или технический директор.

1) Конфиденциальной информацией на предприятии является любая внутренняя информация предприятия.

2) Строго конфиденциальной информацией на предприятии является:

- коммерческая информация: тексты договоров и соглашений с партнерами и клиентами, разглашение которых было бы нежелательно для предприятия;

- техническая информация (тексты отчетов, ТЗ, значимые документы, продукты, ключи лицензирования и т.д.).

Решение о придании статуса строго конфиденциально коммерческой информации принимает генеральный директор.

Решение о придании статуса строго конфиденциально технической информации принимает технический директор.

1) Секретной информацией на предприятии является:

- финансовая информация о деятельности предприятия;

- особо важная техническая информация.

Решение о придании статуса секретно финансовой информации принимает генеральный директор.

Решение о придании статуса секретно технической информации принимает технический директор.

Рекомендации по категорированию пользователей информационной системы предприятия

Пользователи информационной системы предприятия должны быть категорированы с целью определения их уровня доступа к ресурсам.

Например, В информационной системе вводятся следующие категории пользователей:

- администраторы,

- топ-менеджеры,

- сотрудники,

- стажеры.

1) Группа администраторов – входят специалисты службы информационных технологий и информационной безопасности. Администраторы имеют доступ к ресурсам информационной системы с возможностью администрирования.

2) Группа топ-менеджеров – входят президент Компании, генеральный директор, технический директор.

3) Группа сотрудников – входят все сотрудники Компании.

4) Группа стажеров – входят сотрудники в период испытательного срока. Пользователи данной группы имеют минимальный уровень доступа к ресурсам информационной системы.

Инженерно-технические мероприятия

Инженерно-технические мероприятия — совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.

Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.

Рекомендуемые современные устройства поиска и защиты приведены в Приложении Б.

Рассмотрим некоторые технические средства, используемые в защищаемых АС.