2.1. Категоріювання об’єктів
До об’єктів, які підлягають безпосередньому захисту відносяться наступні:
- інформаційні ресурси, що відомості, віднесені до комерційної таємниці банку та інформації для службового користування;
- засоби і системи інформатизації (засоби обчислювальної техніки, інформаційно – обчислювальні комплекси, мережі і системи ) ;
- програмні засоби (операційні системи, системи керування базами даних клієнтів прикладне і програмне забезпечення);
- системи зв’язку і передачі даних;
- технічні засоби і системи, що не відносяться до систем і інформатизації, але розміщенні у приміщеннях, де обробляється інформація для службового користання банку;
- допоміжні технічні засоби і системи (сюди належать системи пожежної і охоронної сигналізації, радіотрансляції, а також самі приміщення, призначені для обробки інформації обмеженого поширення).
Серед усіх цих об’єктів виділемо чотири основні класи
Персонал
Матеріальні (фінансові) ресурси
Інформаційні ресурси
Технічні засоби обробки та захисту
інформації
Після визначення об’єктів захисту проведемо категоріювання виділених приміщень.
Категоріювання приміщень здійснюється у відповідності з "Тимчасовим положенням про категоріювання об'єктів (ТПКО - 95)", затверджене наказом Державної служби України з питань технічного захисту інформації від 10.07.95 № 35. Згідно з цим положенням атестації (категоріюванню) підлягають об'єкти, в яких обговорюється, формується, пересилається, приймається, перетворюється, нагромаджується, обробляється, відображається і зберігається інформація з обмеженим доступом (ІзОД), тобто:
- інформаційні системи (ІС) та засоби обчислювальною техніки (ЗОТ), що діють й проектуються;
- технічні засоби, яки призначені для роботи з ІзОД та не відносяться до ІС, за винятком тих, що засновані на криптографічних методах захисту;
- приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;
- приміщення, в яких розміщені ІС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, у тому числи й основані на криптографічних методах захисту.
Категоріювання проводиться з метою вживання обґрунтованих заходів щодо технічного захисту ІзОД, яка циркулює на об'єктах, від витоку каналами побічних електромагнітних випромінювань і наводок, а також акустичних (віброакустичних) сигналів.
Встановлено чотири категорії об'єктів залежно від правового режиму доступу до інформації, що циркулює в них:
- до першої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "особливої важливості";
- до другої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "цілком таємно";
- до третьої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретності "таємно", а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі;
- до четвертої категорії відносяться об'єкти, в яких циркулює конфіденційна інформація.
Для проведення робіт з категоріювання об'єктів наказом керівника призначається комісія. У наказі відбивається мета створення комісії, її склад, об'єкти, що підлягають категоріюванню, строки подання результатів.
У нашому приміщенні існують об`єкти, віднесені до четвертої групи, тобто у яких циркулює конфіденційна інформація, яка є інформацією для службового користування та комерційною таємницею банку. Цими приміщеннями є архів та серверна, тобто приміщення, в яких зберігається інформація з обмеженим доступом.
За результатами роботи комісії складаються акти, що затверджуються керівником організації. Акти категоріювання об'єктів є підставою для планування і проведення заходів щодо технічного захисту ІзОД та є наведеними у додатках №5 та 6.