Сьогодні, як ніколи раніше, справедливо вислів: «Хто володіє інформацією, той володіє світом». І все ж володіти інформацією - це тільки півсправи. Її ще потрібно вміти грамотно захищати.
Сьогодні, як ніколи раніше, справедливо вислів: «Хто володіє інформацією, той володіє світом». І все ж володіти інформацією - це тільки півсправи. Її ще потрібно вміти грамотно захищати. Однак важко побудувати оборону, не визначивши стандарт класифікації корпоративної інформації за ступенем її конфіденційності.
Щоб побудувати ефективну систему захисту інформаційних активів, будь-якої компанії необхідно визначити ступінь цінності різних типів даних, знати, де вони знаходяться, яким чином і ким обробляються і як знищуються в кінці життєвого циклу. Без цього буде складно запобігти витоку конфіденційних даних і обґрунтувати фінансові витрати на захист інформації.
Великі вітчизняні компанії зазвичай мають внутрішній наказ або розпорядження, в яких визначено, які типи інформації відносяться до конфіденційних даних або комерційним відомостями. Однак ці визначення найчастіше досить туманні (наприклад, «і інші відомості, що становлять комерційну таємницю»), крім того, в них відсутні правила віднесення інформації до тій чи іншій мірі конфіденційності, а також правила поводження з тими чи іншими даними. Документ такої якості непридатний для використання на практиці, особливо для захисту інформації в електронній формі.
У великих західних компаніях добре опрацьовані корпоративні стандарти класифікації інформації, в яких перераховані недоліки відсутні. Цьому значною мірою сприяє більш розвинене законодавство в галузі захисту інформації і залучення сторонніх консультантів, що мають практичний досвід у розробці документів з інформаційної безпеки.
потрібен документ
Як же правильно сформулювати стандарт класифікації корпоративної інформації за ступенем конфіденційності? На тему захисту інформації, і зокрема її класифікації, видано значну кількість книг і публікацій, але, на жаль, російськомовна література з даної тематики, як правило, носить теоретичний характер, а зарубіжна містить явний ухил в бік забезпечення безпеки урядових або військових інформаційних систем і базується на відповідній законодавчій базі.
Безумовно, теорія важлива. Однак як застосувати її на практиці підприємству, що діє в умовах недостатньо розвинутої законодавчої бази в цій сфері? Як визначити, яка інформація використовується в компанії, яку вибрати шкалу класифікації і як правильно визначити заходи щодо захисту даних?
Перед тим як приймати будь-які організаційні і тим більше технічні заходи в області інформаційної безпеки, необхідно розробити придатний для практичного використання документ, який визначає загальні правила, але не технічні деталі в області класифікації корпоративної інформації за ступенем конфіденційності. На жаль, усталеного назви для цього документа в російській мові ще немає, в англійському ж він називається так: Data Classification Standard.
Цей документ повинен бути формально затверджений вищим керівництвом компанії, наприклад радою директорів або генеральним директором, в іншому випадку ваші подальші зусилля приречені на невдачу. Це не таке просте завдання, як здається на перший погляд. У великих компаніях (особливо холдингах) велика ступінь бюрократизації, що ускладнює прийняття подібного корпоративного стандарту. У такому випадку потрібно ряд підготовчих дій, що сприяють утвердженню даного документа.
Ключові пункти стандарту
Правильно складений корпоративний стандарт класифікації інформації повинен включати в себе наступні розділи:
Заява керівництва компанії про важливість захисту інформаційних активів. У цьому пункті повинна бути відображена позиція вищого керівництва компанії щодо захисту інформаційних активів. Даною заявою керівництво висловлює свою підтримку заходам.
Маркування та методи зберігання класифікованої інформації. Правила маркування повинні бути вказані для кожного типу класифікованої інформації і для всіх використовуваних в компанії способів зберігання, включаючи зберігання на серверах, робочих станціях, ноутбуках, змінних носіях (дискети, флеш-карти і т. П.).
Порядок знищення носіїв з класифікованими даними. Повинен передбачати правила знищення кожного типу інформації на всіх типах використовуваних носіїв, включаючи жорсткі диски, змінні носії (дискети, стрічки, флеш-карти і т. Д.), Електронну пошту, паперові копії.
Правила поводження з класифікованої інформацією. У цьому розділі визначаються вимоги щодо маркування, зберігання, передачі та знищення для кожного типу класифікованих даних.
Методика проведення класифікації інформації
Запропонована методика заснована на рекомендаціях міжнародних стандартів інформаційної безпеки BS 7799 і ISO 17799.
Процес розробки корпоративного стандарту класифікації інформації складається з наступних основних етапів:
- створення робочої групи;
- проведення співбесід з підрозділами компанії;
- консолідація зібраних відомостей;
- узгодження з підрозділами компанії консолідованих даних та затвердження стандарту.
Створення робочої групи
Від того, наскільки правильно сформована робоча група, залежить успіх всього заходу. До робочої групи повинні входити відповідальні представники підрозділів компанії і фахівці, що мають як мінімум наступні якості:
До робочої групи слід включити представників всіх зацікавлених підрозділів, наприклад підрозділу служби безпеки.
Проведення співбесід з підрозділами компанії
Як визначити, до якої міри конфіденційності відноситься той чи інший тип інформації? На це питання має відповісти власник інформації. Незважаючи на гадану простоту, зібрати ці відомості не так легко. Адже вони будуть цінні тільки в тому випадку, якщо накопичені в достатньому обсязі.
Для з'ясування того, які види інформації обробляються в певних підрозділах компанії, слід провести серію співбесід з відповідальними особами цих підрозділів.
Але колись потрібно підготувати попередній список типів даних, властивих компаніям даної галузі. Наявність такого списку скоротить час, що витрачається на проведення співбесід, і допоможе уникнути упущень.
Всі відповідальні особи повинні бути заздалегідь ознайомлені з принципами класифікації інформації та попереднім списком типів даних. Для цього потрібно провести вступну презентацію для представників підрозділів, в ході якої роз'яснити цілі та завдання проекту, розповісти, хто є спонсором (головним замовником) проекту, викласти послідовність кроків, пояснити, яке від представників підрозділів вимагається участь і який кінцевий результат проекту. Презентація істотно скоротить час співбесід, так як співробітники будуть до них підготовлені.
Обговорюючи бізнес-процеси, в яких задіяно підрозділ, слід скласти список використовуваних в підрозділі типів інформації та по кожному з них поставити досить довгий список питань. Ось деякі з них.
Часто зустрічаються ситуації, коли підрозділи компанії перестраховуються, завищуючи ступінь конфіденційності тих чи інших даних. В такому випадку слід задати навідні запитання, наприклад такий: «Чим вище ступінь конфіденційності, тим суворіше правила роботи з нею. Чи готові ви розписуватися в журналі кожен раз при отриманні даних документів і кожен день здавати їх під розпис? »
Консолідація зібраних відомостей
Провівши співбесіди з підрозділами компанії, можна переходити до консолідації зібраних відомостей. Консолідація полягає в привласненні ступеня конфіденційності наявним типам інформації. Думки підрозділів про ці ступенях можуть розходитися, в цьому випадку слід спиратися на професійне судження робочої групи. Іноді потрібно провести додаткові співбесіди. У комерційній компанії список конфіденційною і суворо конфіденційної інформації не повинен вийти великим. Довгий список свідчить про помилки, допущені при проведенні співбесід.
Узгодження даних та затвердження стандарту
Консолідований список типів даних і їх ступеня конфіденційності повинен бути узгоджений з підрозділами компанії і затверджений вищим керівництвом компанії в складі документа «Класифікація інформації за ступенем конфіденційності». Найбільш часте перешкоду на цьому етапі виникає з боку служби безпеки через недовіру з її боку до отриманих результатів. Щоб уникнути такої ситуації, в процес проекту і в робочу групу слід залучати представників служби безпеки.
Що далі?
«Класифікація інформації» задає вимоги щодо поводження з даними, але не технічні деталі. Вона служить каркасом для документів більш «низького» рівня, наприклад інструкцій користувачів і адміністраторів, стандартів конфігурації робочих станцій і серверів.
Олексій Пастоев - менеджер компанії «Керберус», [email protected]
Приклади фрагментів стандарту класифікації даних
Правила визначення конфіденційної інформації
Гриф «конфіденційна» повинен присвоюватися тільки тієї інформації, яка в разі її розголошення погіршить конкурентне становище компанії, завдасть серйозних фінансових збитків, призведе до невиконання нормативних зобов'язань, знизить громадський престиж або іншим способом завдасть серйозної шкоди компанії, її клієнтам або партнерам.
Поділіться матеріалом з колегами і друзями