Основные понятия и определения информации

Составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. При  этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь  одно и то же название. Одновременно с этим ведется учет программных  средств (общих, специальных), используемых при решении функциональных задач  подразделения.

При обследовании подсистем  и анализе задач выявляются все  виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажения, фальсификации) или доступности (уничтожения, блокирования) может нанести ощутимый ущерб организации.

При выявлении всех видов  информации, циркулирующей и обрабатываемой в подсистемах желательно проводить  оценку серьезности последствий, к  которым могут привести нарушения  ее свойств (конфиденциальности, целостности). Для получения

первоначальных оценок серьезности  таких последствий целесообразно  проводить опрос (например, в форме  анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут  на нее воздействовать или незаконно  использовать, к каким последствиям это может привести. В случае невозможности  количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень  высокая).

При составлении перечня  и формуляров функциональных задач, решаемых в организации необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

Все, выявленные в ходе обследования, различные виды информации заносятся  в «Перечень информационных ресурсов, подлежащих защите».

Определяется (и затем  указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).

Первоначальные предложения  по оценке категорий обеспечения  конфиденциальности и целостности  конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся  в «Перечень информационных ресурсов, подлежащих защите».

Затем Перечень согласовывается  с руководителями отделов подразделений  автоматизации и ОИБ (компьютерной безопасности) и выдвигается на рассмотрение руководства организации. .

На следующем этапе  происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений  организации и согласованных  с Управлением автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС. Информация о  категориях специальных задач заносится  в формуляры задачи. Категорирование  общих (системных) задач и программных  средств вне привязки к конкретным компьютерам и прикладным задачам  не производится.

В дальнейшем, с участием специалистов Управления автоматизации  и подразделения ОИБ необходимо уточнить состав информационных и программных  ресурсов каждой задачи и внести в  ее формуляр сведения по группам пользователей  задачи и указания по настройке применяемых  при ее решении средств защиты (полномочия доступа групп пользователей  к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств  защиты соответствующих компьютеров, на которых будет решаться данная задача, и для контроля правильности их установки.

На последнем этапе  происходит категорирование компьютеров. Категория компьютера устанавливается, исходя из максимальной категории специальных  задач, решаемых на нем, и максимальных категорий конфиденциальности и  целостности информации, используемой при решении этих задач. Информация о категории компьютера (триада) заносится в его формуляр.