Категории данных и определения
Вся информация должна быть разделена по категориям, в зависимости от значимости. Заметьте, что после принятия некоторой структуры классификатора, перестраивать ее крайне трудно и долго. В предлагаемом примере политики я выбрал четыре уровня классификации, которые подходят для большинства компаний среднего и крупного бизнеса. В зависимости от спектра используемых данных, эта классификация может быть расширена за счет добавления новых категорий более низкого уровня. Дополнительные уровни классификатора позволят эффективнее контролировать специфические данные. С другой стороны, в малом бизнесе достаточно трех категорий. Запомните – чем больше дифференциация классификатора, тем дороже и сложнее подготовить персонал и внедрить политику безопасности.
·
Конфиденциальная информация. Категория наиболее ценной информации. Конфиденциальные данные предназначены для использования внутри организации. Причем в большинстве случаев, к такой информации должен иметь доступ ограниченный круг лиц. Особенность конфиденциальной информации заключается в том, что ее раскрытие влечет за собой серьезные последствия как для самой фирмы, так и для ее деловых партнеров или клиентов. Конфиденциальные данные, в общем случае, подразделяются на типы:
o Информация, касающаяся коммерческих секретов, исходных текстов, технических спецификаций или описаний продуктов, в которых заключается преимущество перед конкурентами.
o Служебная маркетинговая и финансовая информация.
o Любая другая информация, особо важная для работы компании, например, планы стратегического развития.
· Частная информация. В эту категорию попадает частная информация, имеющая хождение внутри организации. Несанкционированное раскрытие частной информации может ударить как по отдельным служащим, так и по всей компании. Примерами частной информации могут служить: история болезни работника, данные о льготах, банковские вклады, история счета, или любая другая идентифицирующая информация, не предназначенная для публичного пользования.
· Внутренняя информация. К информации для внутреннего использования обычно имеют доступ все сотрудники организации. Несанкционированный доступ к такой информации чаще всего не влечет за собой серьезных последствий для фирмы, акционеров, партнеров или клиентов. Тем не менее, профессионалы от социоинженерии могут воспользоваться внутренней информацией для маскировки, представляясь в качестве авторизированного пользователя, поставщика или производителя. А это, в свою очередь, позволяет злоумышленнику получить доступ и к более ценной информации или проникнуть в компьютерную сеть организации.
Прежде чем предоставить доступ к внутренней информации для третьих лиц, каковыми являются агенты поставщиков, аутсорсеры или партнеры, необходимо заключить соглашение о неразглашении информации. Под определение внутренней информации обычно попадают любые данные каждодневной деятельности фирмы, которые должны скрываться от посторонних – схемы организационной структуры, внутренние телефоны и сетевая адресация, номера корпоративных серверов dial-up, конфигурации удаленного доступа и т.д.
· Общедоступная информация. Информация для публичного представления. Такая информация может свободно распространяться, в том числе в качестве пресс-релизов, номеров телефонов службы поддержки или рекламных брошюр. Заметьте, что любая информация, которая специально не помечена как общедоступная, должна восприниматься только как ценная.
