Защита конфиденциальной информации в Европе

28 ноября 2018

В последнее время много работаю с документами, которые создавались в ЕС и, соответственно, содержат европейские грифы конфиденциальности.

Немного разобрался с требованиями по обработке и защите таких документов, вот несколько наблюдений:

Обычно в ЕС используют 3 грифа конфиденциальности, которые принято проставлять на все создаваемые документы (и презентации): "Non-Public", "Restricted" и "Confidential". Ну, а для общедоступной информации используется, соответственно, "Public".
"Non-public" стараются ставить "по умолчанию" на все внутренние документы.
Общая идея такая:
- Non-public - это для внутренних документов, к которым могут иметь доступ все сотрудники компании. Например, приказы по компании, протоколы совещаний и пр.
- "Restricted" используется для конфиденциальных документов, которые могут быть доступны отдельным подразделениям компании. Так, например, документы, содержащие сведения про систему ИБ организации, обычно маркируют именно "Restricted".
- "Confidential" используется для документов, доступным только для конкретных сотрудников (дополнительная персональная ответственность).
Какие-то дополнительные грифы по видам тайн, типа ПДн, КТ и пр. обычно не проставляют, но про них могут упоминать во введении к документу.

Базовые требования по обработке и защите конфиденциальной информации в ЕС определены в документе "2013/488/EU: Council Decision of 23 September 2013 on the security rules for protecting EU classified information". Он применяется по всей Европе, и именно на него стоит ориентироваться при выстраивании системы защиты и определяя процедуры маркирования и обработки конфиденциальных документов. Ниже будет презентация - обзор этого полезного документа.
На самом деле, в ЕС определены правила для 4 уровней конфиденциальной информации, в том числе и секретной.

Обратите внимание, что гриф "Non-public" официально не определен, его используют исключительно для удобства, такая вот "лучшая практика".
Большой неожиданностью оказалось то, что к вроде как еще не секретному грифу "Confidential" предъявляются уже очень существенные требования по безопасности. Это и контроль ПЭМИН, и обработка в специальных помещениях, и усиленный скрининг персонала, и получение специальной формы допуска, и тому подобное. По сути, это очень похоже на правильные и честные (что редко) обработку и защиту документов с грифом "ДСП".
К "Restricted" предъявляются минимальные требования (большая часть требований Документа про "Confidential" и выше), из неожиданного только обязательная проверка персонала (скрининг) и одобрение СКЗИ локальным регулятором.

Источник:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Телеком	ТВ и медиа	Облака	ПО	Кадры
ИТ	Информационная безопасность	IP-сервисы	Аналитика	Регулирование
Интернет	ЦОД	Оборудование	Аутсорсинг	M&A
ИТ в образовании	ИТ в медицине	Big Data	E-commerce	Спутниковая связь
Блокчейн