Введение категорий конфиденциальности информации необходимо для определения объема и содержания комплекса мер по ее защите.
Величина ущерба (негативных последствий), который может быть нанесен при разглашении конкретной информации | Уровень конфиденциальности информации | |
информация, не подлежащая передаче другим предприятиям (организациям) | информация, предназначенная для передачи другим предприятиям (организациям) или полученная от них | |
Утечка информации может привести к потере экономической или финансовой самостоятельности предприятия или потери ее репутации | 1.1 | 1.2 |
Утечка информации может привести к существенному экономическому ущербу или снижению репутации предприятия | 2.1 | 2.2 |
Утечка информации может нанести экономический ущерб предприятию | 3.1 | 3.2 |
При установлении режима доступа к конфиденциальной информации необходимо руководствоваться принципом - чем больше ущерб от разглашения информации, тем меньше круг лиц, которые к ней допущены.
Режимы доступа к конфиденциальной информации должны быть увязаны с должностными обязанностями сотрудников.
|
|
В целях ограничения круга лиц, допущенных к сведениям, составляющим коммерческую тайну, целесообразно введение следующих режимов доступа к ней:
режим 1 - обеспечивает доступ ко всему перечню сведений конфиденциального характера. Устанавливается руководящему составу предприятия;
режим 2 - обеспечивает доступ к сведениям при выполнении конкретных видов деятельности (финансовая, производственная, кадры, безопасность и т.п.). Устанавливается для руководящего состава отделов и служб;
режим 3 - обеспечивает доступ к определенному перечню сведений при выполнении конкретных видов деятельности. Устанавливается для сотрудников - специалистов конкретного отдела (службы) в соответствии с должностными обязанностями.
Таким образом, после составления перечня сведений конфиденциального характера необходимо установить уровень их конфиденциальности, а также режим доступа к ним сотрудников.
Разграничение доступа сотрудников предприятия (фирмы) к сведениям конфиденциального характера целесообразно осуществлять или по уровням (кольцам) конфиденциальности в соответствии с режимами доступа, или по так называемым матрицам полномочий (номенклатуры должностей), в строках которых перечислены должности сотрудников предприятия (фирмы), а столбцах - сведения, включенные в перечень сведений, составляющих коммерческую тайну. Элементы матрицы содержат информацию об уровне полномочий соответствующих должностных лиц (например, "+" доступ к сведениям разрешен, "-" доступ к сведениям запрещен).
|
|
Далее определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя), которая включает определение уровня оснащения противника, заинтересованного в получении информации, и его возможностей по использованию тех или иных технических средств разведки для перехвата информации.
В зависимости от финансового обеспечения, а также возможностей доступа к тем или иным средствам разведки, противник имеет различные возможности по перехвату информации. Например, средства разведки побочных электромагнитных излучений и наводок, электронные устройства перехвата информации, внедряемые в технические средства, лазерные акустические системы разведки могут использовать, как правило, разведывательные и специальные службы государст