-
Классификация/категорирование информации
Уважаемые коллеги! Хотелось бы поднять тему классификаций/категорирования информации. Наверняка эта тема уже не раз обсуждалась, да и в публикациях хорошо описана сама методика. Однако, на деле классифицируя информацию сталкиваешься с множеством нюансов. Если у вас есть опыт классификации информации или соображения по этому поводу, прошу присоединиться к теме. В частности хотелось бы услышать ваши мнения по следующему алгоритму: 1. Вся информация, обрабрабатываемая в организации группируется по определенным признакам. 2. Группе присваивается категория конфиденциальности («высокая», «низкая», «нет требований»). 3. Группе присваивается категория целостности («высокая», «низкая», «нет требований»). 4. Группе присваивается обобщенная категория (соотношение целостности и конфиденциальности) На выходе получаем «Критически важная», «Очень важная», «Важная», «Не важная» информация. 5. Определяется степень доступности функциональной задачи, решаемой с помощью рассматриваемой группы информации. Категории могут быть «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ», «ВЫСОКАЯ ДОСТУПНОСТЬ», «СРЕДНЯЯ ДОСТУПНОСТЬ», «НИЗКАЯ ДОСТУПНОСТЬ». 6. Определяется категория функциональной задачи. Категорий может быть четыре. 7. В соответствии с категориями функциональных задач, выполняемых на конкретном рабочем месте определяется категория этого самого рабочего места по максимальной категории задачи. 8. Исходя из категории рабочего места определяются требования к защищенности. Выходные документы: Перечень защищаемых сведений - отсюда же вытечет перечень конфиденциальной информации Формуляры задач - подробно описанные задачи, решаемые конкретными сотрудинками, с помощью конкретной информации Формуляр рабочего места - здесь указываются характеристики рабочего места, переферийные устройства к нему подключенные, и т.д. Ваше мнение...
-
Контроль выноса документов за пределы контролируемой зоны.
Как мне видится, контроль должен осуществляться через ответственных сотрудников на местах, несущих ответственность за ИБ на местах. Это касается копиров, работы со съемными носителями и т.п. В идеале они ведут журнал обращений. Согласен, что везде индивидуальная реализация, но подход общий.
-
Контроль выноса документов за пределы контролируемой зоны.
Может быть вы что-нибудь, ув.Loo? Буду рад услышать ваши рекомендации в этой непростой ситуации. Как уже написал, наиболее эффективными на первом этапе считаю организационные меры, а именно: по каналам: Материально-вещественный канал (съемные электронные носители, ноутбуки, бумажные носители, списываемая техника, мусор, фото, видеосъемка) Из документов можно разработать: 1. Перечень сотрудников, допущенных к работе с КИ. 2. Перечень КИ. 3. Положение о контрольно-пропускном и внутриобъектовом режиме. отразить - порядок входа/выхода сотрудников (выборочный досмотр ручной клади, запрет выноса КИ); - порядок въезда/выезда транспортных средств (выборочный досмотр, выход на стоянку через КПП); 4. Соглашение о неразглашении КТ. - запрет на вынос КИ; - контроль трафика, чтение почтовых сообщений службой безопасности. 5. Дополнение в трудовой договор. - ознакомление с документами, регламентирующими использование ресурсов организации; - ответственность за сохранность сведений, составляющих КТ; - руководство вправе принимать решение об отстранении от выполнения должностных обязанностей в случае нарушения требований документов по безопасности; 6. Памятка сотруднику о сохранении конфиденциальности. - тезисное перечисление основных требований документов по безопасности и ответственности; - инструкция по противодействию социальному инжинирингу. 7. Положение по работе со съемными носителями. - использование; - криптозащита съемных носителей на случай потери, хищения; - учет съемных носителей, контроль работы 8. Дополнение в контракт директора (ответственность). - Руководитель Общества несет персональную ответственность за создание необходимых условий для обеспечения сохранности сведений, составляющих коммерческую тайну; - Нарушение руководителем установленного порядка защиты сведений, составляющих коммерческую тайну Общества, может повлечь уголовную, административную, гражданско-правовую или иную ответственность. 9. Положение по утилизации носителей конфиденциальной информации. Можно принять меры: 1. Централизованное хранение конфиденциальной документации. Поэкземплярный учет. Периодический контроль. 2. Видеонаблюдение на входе/въезде/внутри здания, где происходит утечка документов. Электронный канал.(Интернет, электронная почта) Из документов можно разработать: 1. Положение по работе с интернет и электронной почтой. - запрет передачи КИ через интернет и электронную почту. 2. Инструкция по работе со съемными носителями. Меры можно принять: 1. Анализ информации, передаваемой на съемные носители. (Device Lock или подобные) 2. Анализ интернет трафика, запрет протоколов ftp, smtp, pop3. Оптический канал. (Фото, видеосъемка документов) 1. Видеонаблюдение внутри здания, на территории. Перечислил каналы, которые хоть как-то можно контролировать. + отразить в положениях, что ВЕДЕТСЯ ПОСТОЯННЫЙ КОНТРОЛЬ, хотя по факту его может и не быть. Есть вопросы об эффективности досмотра транспортных средств и ручной клади. Буду очень рад развитию темы.
-
Контроль выноса документов за пределы контролируемой зоны.
Коллеги, подскажите, есть ли книга в электронном виде?
-
Контроль выноса документов за пределы контролируемой зоны.
Здраствуйте, коллеги. Существует проблема выноса документов за пределы КЗ. Режим КТ не внедрен. Каналы утечки на мой взгляд: 1.Технические а. Веб сообщения б. Интернет-пейджеры в. Почтовые сообщения 2. Физические а. Съемные носители б. Бумажные носители Прошу посоветовать организационно-распорядительные документы, необходимые в этом случае и программные продукты. Из организационно-распорядительных разрабатываю: - Обязательство о неразглашении конфиденциальной информации; - Памятка сотуднику о сохранении конфиденциальности; - Положение по работе со сменными носителями, тут же инструкция по работе; - Положение по работе с интернет и электронной почтой. И самое главное, какие организационные меры уместно применить в этом случае. Видеонаблюдение? Централизованное хранилище документов и поэкземплярный учет?
TuMeP
Members
-
Зарегистрирован
-
Посещение