1. Концепция

Все основные информационные ресурсы должны иметь владельца.

• Владелец должен определить уровень секретности информации (из списка ниже) в зависимости от требований законодательства, затрат, корпоративной политики и бизнес-требований. Он является ответственным за сохранность этой информации.
• Владелец должен определить круг лиц, имеющих доступ к информации.
• Владелец является ответственным за эти данные и должен обеспечить их защиту в соответствие с определённым уровнем секретности.

2.Классификация информации

Предлагаемая система классификации делит информацию на четыре класса. Самый низкий, первый, наименее секретный, а наивысший, четвёртый, предназначен для самых важных данных и процессов. Каждый класс включает в себя требования предыдущего. Например, если система соответствует третьему классу, то она должна следовать требованиям первого, второго и третьего классов. Если в системе есть данные по более чем одному классу, то вся система классифицируется по наивысшему классу содержащейся информации.

Класс 1: Публичная/несекретная информация

Описание: Данные в этих системах могут быть доступны широкому кругу лиц без ущерба для компании (т. е. данные не конфиденциальны). Целостность данных не является жизненно важной. Прекращение обслуживания из-за атаки - приемлемый риск. Примеры: тестовые сервисы без секретной информации, некоторые справочные службы.

Требования к хранению: отсутствуют.

Требования к передаче: отсутствуют.

Требования к уничтожению: отсутствуют.

Класс 2. Внутренняя информация

Описание: Доступ извне к этим данным должен быть ограничен, но последствия в случае их разглашения некритичны (т. е. компания может оказаться в неловком положении). Доступ внутри компании регламентирован. Целостность данных важна, но не жизненно. Примеры таких данных можно встретить у разработчиков (отсутствие реальных данных), в некоторых общественных сервисах, клиентских данных, "обычных" рабочих документах, протоколах собраний и внутренних телефонных книгах.

Требования к хранению:

• 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
• 2. ИТ системы, восприимчивые к вирусным атакам, должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться.

Требования к передаче:

• 1. Для проектов с привлечением внешних партнёров нужно указать в проектной документации какая информация может быть передана за пределы компании.
• 2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована.
• 3. Внутренняя информация не должна передаваться за пределы компании за исключением ситуаций из пунктов 1 и 2.

Требования к уничтожению: отсутствуют.

Класс 3. Конфиденциальная информация

Описание: Данные этого класса конфиденциальны внутри компании и защищены от доступа извне. В случае доступа к этим данным посторонних возникает риск воздействия на эффективность компании, привести к ощутимым финансовым потерям, дать преимущество конкурентам или раскрыть данные о клиентах. Целостность данных жизненно важна. Примеры: размер заработной платы, персональные данные, бухгалтерская информация, секретные данные о клиентах, проектах и контрактах. Центры обработки данных обычно поддерживают этот уровень безопасности.

Требования к хранению:

• 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
• 2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ.
• 3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).

Требования к передаче:

• 1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).
• 2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована. Алгоритмы шифрования должны быть стойкими^[1].

Требования к уничтожению:

• 1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).

Класс 4: Секретная информация

Описание: Неавторизованный доступ к этим данным извне или изнутри является критичным для компании. Целостность данных жизненно важна. Число лиц, имеющих доступ к этим данным должно быть минимальным. Следует придерживаться очень строгих правил при использовании этих данных. Примеры: военная тайна, информация о планируемых крупных контрактах/реорганизации/финансовых операциях.

Требования к хранению:

• 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
• 2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ и должна ежегодно подвергаться аудиту.
• 3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).
• 4. Информация должна храниться в зашифрованном виде или на съёмных носителях, физический доступ к которым ограничен.

Требования к передаче:

• 1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).
• 2. Эта информация должна шифроваться во время передачи за пределы защищённых зон. Алгоритмы шифрования должны быть стойкими^[2].

Требования к уничтожению:

• 1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).

Соблюдение законодательства и корпоративной политики

Местные, национальные и международные правовые нормы (например, неприкосновенность данных, запрет на распространение порнографии) должны одинаково соблюдаться.

Интернет-порнография: интернет в настоящее время рассматривается как основной носитель незаконных материалов, от мягкой порнографии до педофилии и пропаганды нацизма.

• Если подобный материал проходит через шлюз компании, он должен быть блокирован.
• Персоналу не разрешается использовать компьютеры и другое оборудование компании для доступа к подобным материалам. Пользователи могут быть подвержены взысканию, если это распоряжение будет нарушено.

Законы о неприкосновенности личной жизни: персональные данные должны защищаться в соответствие с законами неприкосновенности личной жизни той страны где они хранятся или обрабатываются.

Примечания

1. Перейти↑ Например, RCA 1024-bit, IDEA, 3DES и т. д., недопустимо использовать простые алгоритмы как XOR. Обратите внимание, что обычный DES не является достаточно стойким.
2. Перейти↑ Например, RCA 1024-bit, IDEA, 3DES и т. д., недопустимо использовать простые алгоритмы как XOR. Обратите внимание, что обычный DES не является достаточно стойким.