Рекомендации по категорированию информации в информационной системе предприятия
Вся информация на предприятии должна быть категорирована. Категории критичности и связанные с ними меры защиты для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для предприятия, связанный с несанкционированным доступом или повреждением информации. Ответственность за присвоение категории критичности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории следует возложить на владельца информации. Следует с осторожностью подходить к интерпретации категорий критичности на документах других предприятий, поскольку одинаковый или похожий уровень критичности может быть определен по-другому. При присвоении категорий критичности следует учесть следующие моменты: - Критичная информация и выходные данные систем, содержащие критичную информацию, должны иметь соответствующие категории критичности. - Чрезмерное засекречивание информации может привести к неоправданным дополнительным затратам в компании. - Выходным данным информационных систем, содержащим критичную информацию, должен быть присвоен соответствующий уровень критичности. Этот уровень критичности должен отражать категорию критичности наиболее уязвимой информации в выходных данных. Например, на предприятии вводятся следующие уровни категорий критичности информации: - общедоступно, - конфиденциально, - строго конфиденциально, - секретно. Сотрудникам предприятия строго запрещается разглашать кому-либо информацию выше уровня конфиденциально. 1) Общедоступной информацией является информация, уже опубликованная в средствах массовой информации. Решение о придании статуса общедоступно принимает генеральный или технический директор. 1) Конфиденциальной информацией на предприятии является любая внутренняя информация предприятия. 2) Строго конфиденциальной информацией на предприятии является: - коммерческая информация: тексты договоров и соглашений с партнерами и клиентами, разглашение которых было бы нежелательно для предприятия; - техническая информация (тексты отчетов, ТЗ, значимые документы, продукты, ключи лицензирования и т.д.). Решение о придании статуса строго конфиденциально коммерческой информации принимает генеральный директор. Решение о придании статуса строго конфиденциально технической информации принимает технический директор. 1) Секретной информацией на предприятии является: - финансовая информация о деятельности предприятия; - особо важная техническая информация. Решение о придании статуса секретно финансовой информации принимает генеральный директор. Решение о придании статуса секретно технической информации принимает технический директор.
Рекомендации по категорированию пользователей информационной системы предприятия Пользователи информационной системы предприятия должны быть категорированы с целью определения их уровня доступа к ресурсам. Например, В информационной системе вводятся следующие категории пользователей: - администраторы, - топ-менеджеры, - сотрудники, - стажеры. 1) Группа администраторов – входят специалисты службы информационных технологий и информационной безопасности. Администраторы имеют доступ к ресурсам информационной системы с возможностью администрирования. 2) Группа топ-менеджеров – входят президент Компании, генеральный директор, технический директор. 3) Группа сотрудников – входят все сотрудники Компании. 4) Группа стажеров – входят сотрудники в период испытательного срока. Пользователи данной группы имеют минимальный уровень доступа к ресурсам информационной системы.
Инженерно-технические мероприятия
Инженерно-технические мероприятия — совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить. Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа. В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом. Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации. Рекомендуемые современные устройства поиска и защиты приведены в Приложении Б. Рассмотрим некоторые технические средства, используемые в защищаемых АС.
Популярное: Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (332)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |