Защита конфиденциальной информации в Европе

Защита конфиденциальной информации в Европе
В последнее время много работаю с документами, которые создавались в ЕС и, соответственно, содержат европейские грифы конфиденциальности. Немного разобрался с требованиями по обработке и защите таких документов, вот несколько наблюдений:
  • Обычно в ЕС используют 3 грифа конфиденциальности, которые принято проставлять на все создаваемые документы (и презентации): "Non-Public", "Restricted" и "Confidential". Ну, а для общедоступной информации используется, соответственно, "Public".
  • "Non-public" стараются ставить "по умолчанию" на все внутренние документы.
  • Общая идея такая:
    • Non-public - это для внутренних документов, к которым могут иметь доступ все сотрудники компании. Например, приказы по компании, протоколы совещаний и пр.
    • "Restricted" используется для конфиденциальных документов, которые могут быть доступны отдельным подразделениям компании. Так, например, документы, содержащие сведения про систему ИБ организации, обычно маркируют именно "Restricted".
    • "Confidential" используется для документов, доступным только для конкретных сотрудников (дополнительная персональная ответственность).
  • Какие-то дополнительные грифы по видам тайн, типа ПДн, КТ и пр. обычно не проставляют, но про них могут упоминать во введении к документу.
  • Базовые требования по обработке и защите конфиденциальной информации в ЕС определены в документе " 2013/488/EU: Council Decision of 23 September 2013 on the security rules for protecting EU classified information ".  Он применяется по всей Европе, и именно на него стоит ориентироваться при выстраивании системы защиты и определяя процедуры маркирования и обработки конфиденциальных документов. Ниже будет презентация - обзор этого полезного документа.
  • На самом деле, в ЕС определены правила для 4 уровней конфиденциальной информации, в том числе и секретной. 
  • Обратите внимание, что гриф "Non-public" официально не определен, его используют исключительно для удобства, такая вот "лучшая практика".
  • Большой неожиданностью оказалось то, что к вроде как еще не секретному грифу "Confidential" предъявляются уже очень существенные требования по безопасности. Это и контроль ПЭМИН, и обработка в специальных помещениях, и усиленный скрининг персонала, и получение специальной формы допуска, и тому подобное. По сути, это очень похоже на правильные и честные (что редко) обработку и защиту документов с грифом "ДСП".
  • К "Restricted" предъявляются минимальные требования (большая часть требований Документа про "Confidential" и выше), из неожиданного только обязательная проверка персонала (скрининг) и одобрение СКЗИ локальным регулятором.

Мне Документ показался довольно интересным, сделал его обзор в виде небольшой презентации (на английском языке). Если Slideshare у вас не открывается, то посмотреть и скачать ее вы можете в группе в ВК -  https://vk.com/isms8020


Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире