Порядок категорирования защищаемой информации

АРМ	Автоматизированное рабочее место
Аутентифика́ция	— процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей
БД	База данных
Доступность информации	состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно
ИК-канал	Инфрокрасный канал
ИС	Информационная система
КСПД	корпоративная сеть передачи данных
ЛВС	Локальная вычислительная сеть
НСД	Несанкционированный доступ
ОС	Операционная система
ОП	Оперативная память компьютера
ПО	Программное обеспечение
ПЭМИН	побочные электромагнитные излучения и наводки электронных средств обработки информации
Целостность информации	обеспечение достоверности и полноты инфор мации и методов ее обработки.
УИТ	управление информационных технологий
VPN	VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
Web-сервер	Веб-сервер — сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, как правило, вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными.
HTTP	(англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов в формате HTML
HTML	(от англ. HyperText Markup Language — «язык гипертекстовой разметки») — стандартный язык разметки документов во Всемирной паутине. Большинство веб-страниц содержат описание разметки на языке HTML

 

Различаются следующие категории информационных ресурсов, подлежащих защите в предприятия:

• Информация, составляющая коммерческую тайну;
• Информация, составляющая служебную тайну;
• Персональные данные сотрудников;
• Конфиденциальная информация (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне;
• Данные, критичные для функционирования ИС и работы бизнес подразделений.

Первые четыре категории информации представляют собой сведения ограниченного распространения, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

К последней категории «критичных» данных, относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес подразделений.

В первую очередь к коммерческой информации относятся:

• Знания и опыт в области реализации продукции и услуг;
• Сведения о конъюнктуре рынка, маркетинговые исследования;
• Анализ конкурентоспособности продукции и услуг;
• Информация о потребителях, заказчиках и посредниках;
• Банковские отношения, кредиты, ссуды, долги;
• Знание наиболее выгодных форм использования денежных средств, ценных бумаг, акций, капиталовложений;
• Бухгалтерские и финансовые отчеты, сведения о зарплате;
• Предполагаемые объемы коммерческой деятельности, материалы договоров (условия, реализация, порядок передачи продукции);
• Списки клиентов и деловая переписка;
• Цены и расценки, формы и виды расчетов.

Правила отнесения информации к коммерческой тайне и порядок работы с документами, составляющими коммерческую тайну, определяются «Инструкцией по обеспечению режима конфиденциальности», «Положением о конфиденциальности», а также «Перечнем конфиденциальных сведений».

Подходы к решению проблемы защиты информации на предприятии сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования бизнес процессов предприятия. Для этого выполняются следующие мероприятия:

• Определяется порядок работы с документами, образцами, изделиями и др., содержащими конфиденциальные сведения;
• Разрабатываются правила категорирования информации, позволяющие относить ее к различным видам конфиденциальных сведений и определять степень ее критичности для предприятия;
• Устанавливается круг лиц и порядок доступа к подобной информации;
• Вырабатываются меры по контролю обращения документов, содержащих конфиденциальные сведения;
• В трудовые договоры с сотрудниками включаются обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение.

Форма подписки о неразглашении конфиденциальной информации содержится в трудовом договоре, который подписывается всеми сотрудниками при приеме на работу.

Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых Компанией с другими организациями.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

На предприятии должен быть документально оформлен «Перечень конфиденциальных сведений». Все работники должны быть ознакомлены с этим перечнем в части их касающейся.

Ответственность за составление «Перечня конфиденциальных сведений» несет руководитель УИТ.