Информация является одним из основных производственных активов, который оказывает большое влияние на эффективную работу компании. Любое предприятие обладает собственными информационными активами и заинтересовано в их безопасности.
Информационные активы представляют собой сведения с реквизитами. Ими распоряжается компания, для которой они имеют большую ценность.
Информационные активы могут находиться на материальных носителях любого типа, которые можно использовать как для их хранения и обработки, так и для передачи. На предприятии предусмотрена классификация информационных активов. Это деление их на виды, каждый из которых соответствует важности содержащейся информации и уроню ущерба в связи с их потерей.
Содержание статьи:
Общие сведения
Важность информации складывается не только из конкретных цифр и пояснений к ним, но и из возможного факта их применения и обеспечения безопасности в плане доступа к ним. Когда информационные активы на предприятии уже созданы, появляется необходимость грамотно определить к какому виду они относятся (учитывая ценность информации, возможность влияния на деятельность компании), чтобы правильно организовать их хранение и защиту. Помимо этого, существует перечень нормативных стандартов, применяемых при осуществлении инвентаризации информационных активов компании. Однако, надо сказать, что установленной процедуры для этого не предусмотрено.
Ценность данных находится в прямой зависимости от того какую деятельность ведет предприятие. При проведении классификации необходимо определить в какой мере сформированные данные могут повлиять на работу компании, деловую репутации не только ее сотрудников, но также партнеров по бизнесу и клиентов.
Подробности
Виды информации
Согласно действующему российскому законодательству информацию разделяют на:
— открытую (доступную),
— персональную,
— содержащую данные, имеющие отношение к банковской тайне,
— относящуюся к секретам коммерческого характера.
Для осуществления классификации применяют специальные модели. Наиболее распространены два вида классификации:
— Однофакторная — которая основывается на уровне ущерба. К примеру, активы делят на четыре категории (минимальная, средняя, высокая, критическая) в зависимости от уровня возможного получения ущерба в случае утечки информации. Например, информация о плане приема руководителем посетителей в течение рабочего дня относится к минимальному уровню, так как уровень возможного ущерба низок. А вот, в случае утечки информации о планируемой даче взятки должностному лицу уровень будет критический, так как могут быть последствия привлечения к уголовной ответственности.
— Многофакторная — которая основывается на трех классических факторах. Любая информация интересна с позиции конфиденциальности, открытости и полноты. Требования (высокие, средние либо низкие) применяются к каждой отдельной позиции. Соответственно, оценка определяется по базовой важности либо критической.
Для того, чтобы наглядно показать ценность сведений и степень требований к ним, представим деление информационных активов на отдельные классы:
— открытый, означающий отсутствие финансовых потерь от известности определенных данных;
— ДСП (для служебного пользования), применяемый внутри компании. Финансовых потерь не предусматривается, однако, другого рода ущерб для сотрудников компании либо всех структуры возможен;
— конфиденциальный, используемый внутри компании, а также при взаимодействии с партнерами и клиентами. Доступность информации может привести к финансовым потерям.
Группировка
Информацию подобного рода можно условно разграничить на несколько групп. Первые две находят применение в коммерческих структурах, а две другие используются в масштабах государства:
- Информация с ограниченным доступом. Используется ограниченным кругом сотрудников компании, возможность финансовых потерь может составлять до миллиона рублей.
- Секретная информация. Используется конкретными руководящими сотрудниками, возможность финансовых потерь может составлять от миллиона рублей и выше.
- Совершенно секретная. Это информация, имеющая отношение к сферам деятельности: военной, научно-технической, экономической, разведывательной, оперативно-розыскной. Доступность таких данных может нанести ущерб конкретной отрасли и министерству в любой обозначенной области, а может быть и в нескольких одновременно.
- Особой важности. Данная информация касается всех вышеперечисленных сфер деятельности, возможность ее разглашения может принести ущерб каждой области отдельно и в совокупности, а также государству в целом.
Рассмотрим варианты обработки информационных активов:
— исследуются информационные активы, выраженные в любом виде (на бумажных носителях, электронные, диски, флэшки и т.д.), осуществляющие взаимодействие между подразделениями в компании. Вся собранная информация анализируется, уточняется и создается схема, на которой все наглядно изображено;
— все вышесказанное применяется в каждом подразделении отдельно;
— информационные активы относятся к определенной инфраструктуре, где они сохраняются, отображаются посредством каких каналов, происходит передача, в каких системах находятся и т.д. Работа осуществляется с каждым отдельным активом информации. Весь процесс подробно и детально отражается, что обеспечивает оперативную возможность выявления угроз;
— осуществляется повторная классификация имеющихся информационных активов с использованием таких параметров как открытость, конфиденциальность и полнота.
Итоги
Безопасность информации чрезвычайно важна и нельзя недооценивать возможность ее утечки. При этом, нужно уделить особое внимание жизненному циклу, то есть совокупности определенных периодов времени, по истечении которых снижается важность и актуальность объекта.
Таких периодов может быть несколько, когда:
— информация актуальна для осуществления производственного этапа и постоянно востребована;
— информация находится на архивном хранении и периодически применяется для какого-либо рода деятельности (например, для анализа);
— информация находится на хранении в архиве.
Самое важное обеспечение конфиденциальности информационной базы, а также ее целостности и открытости.