Embed Size (px)
Citation preview
ПРАКТИКА
ЗАЩИТЫ
ИНФОРМАЦИИ
КТ4
КТ3
КТ2
КТ1
Сведения, распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов и привести к снижению рыночной капитализации (инсайдерская информация)
Сведения, распространение или предоставление которых может привести к нанесению прямого ущерба компании (хищение ресурсов, потери от простоя, недополученная прибыль и др.)
Сведения, разглашение которых может нанести косвенный ущерб (упущенная выгода из-за нарушения бизнес-процессов, имиджевые и репутационные риски и др.)
Разрозненная информация, подлежащая защите в связи с потенциальной опасностью формирования сведений высших категорий при анализе некоторой ее совокупности
КТ4
КТ3
КТ2
КТ1
Точная и конкретная информация, в связи с чем идентифицировать ее и определить область защищаемых ресурсов гораздо легче, чем в остальных категориях. К этой категории относится в основном информация о стратегических замыслах руководства, предстоящих инвестиционных проектах, будущих управленческих решениях и финансовой отчетности, до ее официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие, но четкие и конкретные, а потому эффективные.
Информация для этой категории определяется путем анализа ОСНОВНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, на предмет возможных рисков, связанных с утечкой информации. Защитные меры для КТ2 выбираются на основании качественной или количественной оценки потенциального ущерба активам в случае реализации этих рисков: чем больше ущерб – тем выше и дороже защита).
Информация для этой категории определяется путем анализа ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и информационных потоков, их сопровождающих, и определения степени влияния утечки информации на основные бизнес-процессы компании. Как правило, такую информацию тяжело идентифицировать и защитить, поэтому бОльшая ее часть защищается путем внедрения СУИБ и оргмерами.
Наименее контролируемая категория, а потому труднее всех защищаемая. КТ4 может быть везде – в переписке, в приказах, служебных записках и т.д. Опасна тем, что в руках аналитика, умеющего сопоставлять и анализировать разрозненную информацию, некоторая ее совокупность способна после анализа дать сведения из «высших» категорий. Из-за огромного объема защитить ее практически невозможно (потому что очень дорого) – только оргмеры и постоянное обучение пользователей этой информации.
№ п/п Наименование сведений Категория Срок действия
конфиденциальности
1.1 Прогноз финансово-экономических результатов КТ1 10 лет
1.2 Стратегический бизнес-план КТ1 5 лет
1.3
Тексты юридических документов о сотрудничестве и организации совместных предприятий, сведения о текущих и потенциальных партнерах и проектах, результаты рыночных и проектных исследований в рамках работы по развитию бизнеса во фронтирных регионах
КТ2 5 лет
1.4 Сведения о договорах с консалтинговыми компаниями КТ3 5 лет
1.5 Отчет о результатах деятельности внутреннего аудита и риск менеджмента
КТ2 1 год
1.6 Отчеты о результатах оценки рисков КТ2 1 год
1.7 Годовая инвестиционная программа развития КТ1 1 год
N.M …
КТ1 КТ2 КТ3 КТ4
Использование личных средств обработки информации
Использование учтенных и маркированных носителей информации
Шифрование содержимого жестких дисков
Шифрование электронной почты
Использование смартфонов и планшетов для обработки информации
Использование VPN для доступа к корпоративной сети передачи данных
Использование защищенных терминальных серверов для доступа к корпоративным ресурсам
Корпоративный ИТ-оператор
Действующая
СОБ
Производственные
системы
Весовое хозяйство,
Средства метрологии
… Системы видеонаблюдения
и технического контроля
Системы учета и
планирования Открытые источники
Источники событий и данных
Комплексная система
ИНТЕГРАЦИОННАЯ ШИНА
ЯДРО СИСТЕМЫ
- процессы - признаки - KPI
-правила -алгоритмы -реакция
СИСТЕМА РАЗГРАНИЧЕНИЯ ПОЛНОМОЧИЙ
Пользователи Владельцы бизнес-процессов
Владельцы рисков
Службы и
подразделения
контроля
Бизнес-система
• Сигналы тревог • Запросы • Отчеты • Рекомендации • Документы
СЭД «ЯДРО»
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Читают переписку Контролируют все действия в ИС
Прослушивают телефон Наблюдают в видеокамеры Реализуют все вышеперечисленное
