Классификация данных
Политика классификации данных определяет весь процесс защиты и, кроме того, устанавливает категории, необходимые для процедур контролирования ценной информации. Эта политика предоставляет все необходимое для того, чтобы каждый сотрудник мог обратиться к ней за получением объективной оценки значимости используемой в работе информации.
На сегодняшний день во многих компаниях внутренняя деятельность не опирается на классификацию информации. Решение о принадлежности документа к той или иной категории остается за конкретным служащим. В действительности, решение служащего основывается на субъективном суждении, а не на реальной стоимости или служебной ценности информации. Информация попадает в чужие руки еще и потому, что сотрудник, отвечая на вопрос, даже не задумывается о том, что в данный момент может вести диалог со злоумышленником.
Правила классификации данных устанавливают директивы, согласно которым информация может быть разделена по своей значимости. Когда все документы классифицированы, сотрудник получает возможность следовать процедурам, определенным для конкретного типа информации. Благодаря процедурам, о которых пойдет речь ниже, исчезает возможность непреднамеренного разглашения служебной информации несанкционированным лицам.
Все служащие компании без исключения, даже те, кто непосредственно не связан с работой на компьютере и не является пользователем корпоративных систем, должны знать принятую на фирме классификационную политику. Каждый может стать целью социоинженера, ведь доступ к служебной информации имеют буквально все – охранники, сотрудники, проходящие испытательный срок, консультанты, обслуживающий персонал и т.п.
Руководство должно ввести должность хранителя информации (information owner) – ответственного за всю информацию, которая так или иначе используется в компании. Помимо прочего, хранитель информации ответственен за безопасность информационных активов. Обычно, хранитель принимает решения, связанные с классификацией данных – устанавливает новые уровни классификации, если того требует бизнес, периодически пересматривает адекватность этих уровней текущей обстановке, и вносит изменения в политику классификации данных.