Требования по работе с конфиденциальной информацией

При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований :

  • осведомление сотрудников о закрытости данной информации,
  • общее ознакомление сотрудников с основными возможными методами атак на информацию
  • ограничение физического доступа
  • полный набор документации по правилам выполнения операций с данной информацией

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие :

  • расчет рисков атак на информацию
  • поддержания списка лиц, имеющих доступ к данной информации
  • по возможности выдача подобной информации по расписку (в т.ч. электронную)
  • автоматическая система проверки цлостности системы и ее средств безопасности
  • надежные схемы физической ранспортировки
  • обязательное шифрование при передаче по линиям связи
  • схема бесперебойного питания ЭВМ

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие :

  • детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв)
  • защита ЭВМ либо носителей информации от повреждения водой и высокой температурой
  • криптографическая проверка целостности информации

Политика ролей

Функции каждого человека, так или иначе связанного с конфиденциальной информацией на предприятии, можно классифицировать и в некотором приближении формализовать. Подобное общее описание функций оператора носит название роли. В зависимости от размеров предприятия некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, отвественен за поиск самой свежей информации об обнаруженных уязвимостях в используемом в фирме программном обеспечении и в целом в стандартных алгоритмах.

Владелец информации – лицо, непосредственно работающее с данной информацией, (не нужно путать с оператором). Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных). Владелец информации не должен участвовать в аудите системы безопасности.

Поставщик аппаратного и программного обеспечения. Обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктов.

Разработчик системы и/или программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.

Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за ее их выполнением на рабочих местах. Линейные менеджеры должны быть осведомлены о всей политике безопасности предприятия, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.

Операторы – лица, отвественные только за свои поступки. Они не принимают никаких решений и ни за кем не наблюдают. Они должны быть осведомлены о классе конфиденциальности информации, с которой они работают, и о том, какой ущерб будет нанесен фирмы при ее раскрытии.

Аудиторы – внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности.