24 ივლისი, 2011

ინფორმაციის კლასიფიკაცია

  

შესავალი

ალბათ ყველას მოგვისმენია ფილმის ყურებისას ასეთი ფრაზა: „სამწუხაროდ ვერ გეტყვით, ეს საიდუმლო ინფორმაციაა“. ეს სტატია მიმოიხილავს, თუ როგორ შეიძლება დაგვეხმაროს ინფრომაციის კლასიფიკაცია ინფორმაციის ფასეულობისა და სენსიტიურობის გარკვევაში და როგორ უნდა მოხდეს ინფორმაციის მართვა და დაცვა.

თქვენს კომპანიაში არსებული ინფორმაცია განსხვავებულია როგორც სენსიტიურობის, ასევე ფასეულობის თვალსაზრისით. მაგალითად, ინფორმაცია პირდაპირ კონკურენტთან გაუმჟღავნებლობის შესახებ ბევრად უფრო სენსიტიური და ღირებულია, ვიდრე კომპანიის პრეს-რელიზები ახალი პროდუქტის შესახებ.

შედეგად, ინფორმაციის კლასიფიკაცია აადვილებს სენსიტიურობისა და ფასეულობის სხვადასხვა დონეების დადგენას. თითოეული კლასიფიკაციის დონე მიუთითებს ასევე, თუ როგორ უნდა იქნას დაცული და მართული შესაბამის დონეზე არსებული ინფორმაცია. ყველა ინფორმაცია დაცული უნდა იქნას მისი კლასიფიკაციის დონის შესაბამისად, იქნება ეს ინფორმაციის გადაცემის თუ შენახვის პროცესი.

ყველა ინფორმაციას ყავს თავისი მფლობელი და სწორედ იგი არის პასუხისმგებელი იმაზე, რომ გარანტირებული იყოს მის მფლობელობაში არსებული ინფორმაციის სწორი და შესაბამისი კლასიფიცირება.

ინფორმაციის კლასიფიკაციის საერთო დონეები

ქვემოთ მოცემულია ზოგადად გამოყენებული კლასიფიკაციის სტრუქტურის ოთხი სხვადასხვა დონე.

საიდუმლო ინფორმაცია

· არის უკიდურესად სენსიტიური და კომპანიისთვის ყველაზე მეტად ღირებულია

· არაავტორიზებული წვდომა ან გამჟღავნება კრიტიკულ ზიანს მოუტანს კომპანიას

· წვდომა უნდა იყოს შეზღუდული საკმაოდ მცირე რაოდენობის ავტორიზებული ინდივიდებისთვის მხოლოდ

· მაგალითად: პაროლები, სამედიცინო დოკუმენტაცია, დამცავი ბარიერების (Firewall) კონფიგურაციები და დეტალები მოსალოდნელი გაერთიანებისა ან შესყიდვების შესახებ.

კონფიდენციალური ინფორმაცია

· სენსიტიური და კონფიდენციალურია მხოლოდ კომპანიის ფარგლებში

· არაავტორიზებული წვდომა ან გამჟღავნება გავლენას მოახდენს კომპანიის მიმდინარე ოპერაციებზე

· წვდომა უნდა ქონდეთ მხოლოდ იმ პირებს, რომლებიც მოქმედებენ ბიზნეს საჭიროებიდან გამომდინარე

· მაგალითად: ხელფასები, კონტრაქტები, პერსონალის საიდენტიფიკაციო მონაცემები და მომხმარებლების ანგარიშის ნომრები.

შიდა ინფორმაცია

· არ არის სენსიტიური და გამოიყენება ყოველდღიური ოპერაციების შესასრულებლად კომპანიაში

· არაავტორიზებული წვდომა ან გამჟღავნება გამოიწვევს უხერხულობას, მაგრამ არ იქნება კრიტიკული ხასიათის

· წვდომა უნდა გააჩნდეთ მხოლოდ კომპანიის თანამშრომლებს

· მაგალითად: კომპანიის თანამშრომლების ცნობარი/კატალოგი, შიდა საკომუნიკაციო საშუალებები ან ელ-ფოსტები, პროექტის გეგმები ან შეხვედრების ოქმები.

საჯარო ინფორმაცია

· არ არის სენსიტიური და შეიძლება იყოს საჯაროდ ხელმისაწვდომი

· არაავტორიზებული წვდომა ან გამჟღავნება არ იქნება პრობლემის გამომწვევი

· წვდომის შეზღუდვის აუცილებლობა არ არის

· მაგალითად: პრეს-რელიზები, პროდუქტის შესახებ ბროშურები, წლიური ანგარიშები

ინფორმაციის მარკირება და მართვა

ინფორმაციის კლასიფიკაციის შემდეგ უნდა მოხდეს მისი შესაბამისი მარკირება და მართვა კლასიფიკაციის დონის თანახმად. არსებობს მინიმუმ ორი კონტროლი იმისა, თუ როგორ უნდა მოხდეს სენსიტიური ინფორმაციის (მაგალითად: საიდუმლო ან კონფიდენციალური) მარკირება, შენახვა, გადაცემა და განადგურება. შესაძლოა თქვენი კომპანია უფრო ზუსტ და დეტალურ კონტროლებს იყენებდეს.

მარკირება:

· სენსიტიური ელექტრონული ინფორმაცია კლასიფიკაციის დონეს შესაბამის დოკუმენტში ასახვით უნდა შეიცავდეს (მაგალითად: ე.წ. „Header“-ში, „Footer“-ში, თემის სათაურის სტრიქონში და ა.შ.)
· სენსიტიური ფიზიკური ინფორმაციის კლასიფიკაციის დონე შესაბამის დოკუმენტზე გასაგები მარკირებით უნდა გამოიხატებოდეს

შენახვა

· სენსიტიური ელექტრონული ინფორმაცია უნდა დაიშიფროს შენახვისას და დაცულად უნდა მოთავსდეს კონტროლირებად ფოლდერში ან კატალოგში.
· სენსიტიური ფიზიკური ინფორმაცია უნდა შეინახოს ჩაკეტილ უჯრაში, კაბინეტში ჩაკეტილ ოფისში.

გადაცემა

· სენსიტიური ელექტრონული ინფორმაცია უნდა დაიშიფროს როდესაც ხდება მისი ელ-ფოსტით გაგზავნა ან ელექტრონულად გადაცემა.
· სენსიტიური ფიზიკური ინფორმაციის გადაცემა უნდა მოხდეს დახურული, ბეჭდით დადასტურებული კონვერტით და აუცილებლად სანდო კურიერის მეშვეობით.

განადგურება

· სენსიტიური ელექტრონული ინფორმაციის განადგურება უნდა მოხდეს უსაფრთხოდ, როდესაც აღარ არის მისი არსებობის საჭიროება და რეკომენდირებულია ასევე, რომ მის ადგილას მოხდეს გადაწერა, რათა შეივსოს ფაილის მიერ გამოთავისუფლებული ადგილი.

· სენსიტიური ფიზიკური ინფორმაცია უნდა განადგურდეს ქაღალდის მჭრელი მანქანის გამოყენებით (რომელიც ძალიან წვრილად აქუცმაცებს ქაღალდს).