Прикладні аспекти розробки політики категорування інформації з обмеженим доступом
Наукові видання Харківського національного університету Повітряних Сил
Переглянути архів Інформація| Поле | Співвідношення | |
| Title |
Прикладні аспекти розробки політики категорування інформації з обмеженим доступом
Прикладные аспекты разработки политики категорирования информации с ограниченным доступом Policy aspects in crypto protection of confidential information |
|
| Creator |
Ю.В. Борсуковський
В.Ю. Борсуковська В.Л. Бурячок П.М. Складанний Ю.В. Борсуковский В.Ю. Борсуковская В.Л. Бурячок П.М. Складанный Y. Borsukovskii V. Borsukovska V. Buriachok P. Skladannyi |
|
| Subject |
Захист інформації та кібернетична безпека
УДК 004.056 категорування, класифікація, доступ, політика, кібербезпека категорирование, классификация, доступ, политика, кибербезопасность categorization, classification, access, politics, cyber security |
|
| Description |
В статті проведено детальний аналіз прикладних аспектів розробки політики інформаційної безпеки щодо категорування інформації з обмеженим доступом для корпоративних користувачів, які починають впроваджувати автоматизовані DLP та DAG системи. З урахуванням того, що у вітчизняному законодавстві чітке розуміння поняття «комерційна таємниця» відсутнє, а кожен власник підприємства може самостійно визначати перелік інформації, яка для нього та підприємства в цілому є конфіденційною, а також самостійно визначати порядок роботи з такою інформацією, в статті, по-перше, сформульовано базові вимоги та рекомендації щодо структури та змісту типової політики категорування інформації з обмеженим доступом для підприємств різних форм власності й, по-друге, введено низку нових понять, які дозволять уникнути конфлікту при впровадженні DLP та DAG систем з певними їх трактуваннями, визначеними на законодавчому рівні. Як результат, це сприятиме суттєвому зменшенню ризиків, пов’язаних з несанкціонованим доступом до конфіденційної інформації, знищенням інформаційних ресурсів, компрометації інформаційних ресурсів підприємства. Разом з тим, у статті розглянуто приклад категорування інформації з обмеженим доступом; визначено вимоги щодо формування реєстру інформаційних активів та сформовано практичні рекомендації щодо категорування інформації із врахуванням досвіду впровадження систем управління доступом до неструктурованих даних та систем запобігання витокам інформації.
В статье проведен детальный анализ прикладных аспектов разработки политики информационной безопасности по категорированию информации с ограниченным доступом для корпоративных пользователей, которые начинают внедрять автоматизированные DLP и DAG системы. С учетом того, что в отечественном законодательстве четкое понимание понятия «коммерческая тайна» отсутствует, а каждый владелец предприятия может самостоятельно определять перечень информации, которая для него и предприятия в целом является конфиденциальной, а также самостоятельно определять порядок работы с такой информацией, в статье, во-первых, сформулированы базовые требования и рекомендации по структуре и содержанию типичной политики категорирования информации с ограниченным доступом для предприятий различных форм собственности, и, во-вторых, введен ряд новых понятий, которые позволят избежать конфликта при внедрении DLP и DAG систем с определенными их трактовками, определенными на законодательном уровне. Как результат, это приведет к существенному уменьшению рисков, связанных с несанкционированным доступом к конфиденциальной информации, уничтожением информационных ресурсов, компрометацией информационных ресурсов предприятия. Вместе с тем, в статье рассмотрен пример категорирования информации с ограниченным доступом; определены требования по формированию реестра информационных активов и сформированы рекомендации по категорированию информации с учетом опыта внедрения систем управления доступом к неструктурированным данным и систем предотвращения утечек информации. The article provides the detailed analysis for Information Security Poicies elaboration, considering categorization of restricted access information for corporate clients, which starts to implement automated DLP and DAG systems. However, the local legislation has no clear definition of “commercial secrecy”, and each owner to the company may independently categorize the information which, in general, might be defined as confidential; as well define the procedure for operation with such type of information. Thus, the article covers: 1. Basic requirements for the structure and scope of model policy for restricted access information categories related to any type of legal entity. 2. Introduce the new definitions which ensure to avoid any conflicts in DLP and DAG systems implementation, considering its initial definition in legislation. In result, it will promote the essential decrease in risks related to illegal access to confidential information, damage of informational sources, and discredit of informational sources of the company. At that, the article provides the example of categorization in restricted access information; enlist the requirements for composition of information assets register and collects the practical recommendations for categorization of information considering the experience in implementation of access management systems to unstructured data and data security systems. |
|
| Publisher |
Харківський національний університет Повітряних Сил ім. І. Кожедуба
Харьковский национальный университет Воздушных Сил им. И. Кожедуба Kharkiv national Air Force University named after I. Kozhedub |
|
| Date |
2018
|
|
| Type |
info:eu-repo/semantics/article
info:eu-repo/semantics/publishedVersion Рецензована стаття |
|
| Format |
application/pdf
|
|
| Identifier |
http://www.hups.mil.gov.ua/periodic-app/article/18787
|
|
| Source |
Системи обробки інформації. — 2018. — № 2(153). 117-126
Системы обработки информации. — 2018. — № 2(153). 117-126 Information Processing Systems. — 2018. — № 2(153). 117-126 1681-7710 |
|
| Language |
ukr
|
|
| Relation |
http://www.hups.mil.gov.ua/periodic-app/article/18787/soi_2018_2_17.pdf
|
|