Системи обробки інформації (Jun 2018)
Прикладні аспекти розробки політики категорування інформації з обмеженим доступом
Abstract
В статті проведено детальний аналіз прикладних аспектів розробки політики інформаційної безпеки щодо категорування інформації з обмеженим доступом для корпоративних користувачів, які починають впроваджувати автоматизовані DLP та DAG системи. З урахуванням того, що у вітчизняному законодавстві чітке розуміння поняття «комерційна таємниця» відсутнє, а кожен власник підприємства може самостійно визначати перелік інформації, яка для нього та підприємства в цілому є конфіденційною, а також самостійно визначати порядок роботи з такою інформацією, в статті, по-перше, сформульовано базові вимоги та рекомендації щодо структури та змісту типової політики категорування інформації з обмеженим доступом для підприємств різних форм власності й, по-друге, введено низку нових понять, які дозволять уникнути конфлікту при впровадженні DLP та DAG систем з певними їх трактуваннями, визначеними на законодавчому рівні. Як результат, це сприятиме суттєвому зменшенню ризиків, пов’язаних з несанкціонованим доступом до конфіденційної інформації, знищенням інформаційних ресурсів, компрометації інформаційних ресурсів підприємства. Разом з тим, у статті розглянуто приклад категорування інформації з обмеженим доступом; визначено вимоги щодо формування реєстру інформаційних активів та сформовано практичні рекомендації щодо категорування інформації із врахуванням досвіду впровадження систем управління доступом до неструктурованих даних та систем запобігання витокам інформації.
Keywords
