Сколько уровней конфиденциальности в банке
Перейти к содержимому

Сколько уровней конфиденциальности в банке

  • автор:

Классы информационной безопасности в международных стандартах

Разграничение классов информационной безопасности позволяет отличать друг от друга системы, обеспечивающие разную степень защищенности информации и информационной инфраструктуры, лучше знать возможности классифицируемых систем и выполняемые ими требования. Это гарантирует более обоснованный выбор и более качественное управление системой информационной безопасности.

Классы информационной безопасности определены в нескольких общеизвестных стандартах. Наиболее известна классификация, данная в стандарте министерства обороны США «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC). Стандарт TCSEC также именуется «Оранжевой книгой». В «Оранжевой книге» определены четыре уровня безопасности – D, C, B и A. Уровень D признан неудовлетворительным. Уровни С и В подразделяются на классы (C1, С2, B1, В2 и ВЗ). Таким образом, всего в стандарте определено шесть классов информационной безопасности – C1, C2, B1, B2, B3 и A1.

По мере перехода от D к А растет уровень информационной безопасности, а к информационной системе предъявляются все более жесткие требования.

В таблице, приведенной ниже, отражены основные требования «Оранжевой книги», предъявляемые к уровням и классам информационной безопасности.

Уровень C — Произвольное управление доступом

Класс C1 обеспечивает базовый уровень безопасности, разделяя пользователей и данные. Информационные системы, принадлежащие к данному классу, должны отвечать следующим основным требованиям:

доверенная база управляет доступом именованных пользователей к именованным объектам;

пользователи четко идентифицируют себя;

аутентификационная информация пользователей защищена от несанкционированного доступа;

доверенная вычислительная база имеет изолированную область для собственного выполнения, защищенную от внешних воздействий;

есть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

защитные механизмы протестированы на отсутствие способов обхода или разрушения средств защиты доверенной вычислительной базы;

описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.

Класс C2 (в дополнение к требованиям к C1) гарантирует ответственность пользователей за свои действия:

права доступа гранулируются с точностью до пользователя, а доступ к любому объекту контролируется;

при выделении объекта из пула ресурсов доверенной вычислительной базы, устраняются следы его использования;

каждый пользователь системы уникальным образом идентифицируется, а каждое регистрируемое действие ассоциируется с конкретным пользователем;

доверенная вычислительная база позволяет создавать, поддерживать и защищать журнал регистрационной информации, касающейся доступа к объектам, которые контролируются базой;

тестирование подтверждает отсутствие видимых недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Уровень B — Принудительное управление доступом

Класс B1 (в дополнение к требованиям к C2):

доверенная вычислительная база управляет метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

доверенная вычислительная база обеспечивает реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

доверенная вычислительная база обеспечивает взаимную изоляцию процессов путем разделения их адресных пространств;

специалисты тщательно анализируют и тестируют архитектуру и исходный код системы;

существует неформальная или формальная модель политики безопасности, поддерживаемая доверенной вычислительной базой.

Класс B2 (в дополнение к требованиям к B1):

все ресурсы системы, прямо или косвенно доступные субъектам, снабжаются метками секретности;

в доверенной вычислительной базе поддерживается доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

доверенная вычислительная база внутренне структурирована на хорошо определенные, относительно независимые модули;

системный архитектор тщательно анализирует возможность организации тайных каналов обмена с памятью и оценивает максимальную пропускную способность каждого выявленного канала;

продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

модель политики безопасности является формальной; для доверенной вычислительной базы существуют описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс;

в процессе разработки и сопровождения доверенной вычислительной базы используется система управления конфигурациями, обеспечивающая контроль изменений в спецификациях верхнего уровня, архитектурных данных, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

тесты подтверждают действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к требованиям к B2):

для произвольного управления доступом используются списки управления доступом с указанием разрешенных режимов;

предусмотрена возможность регистрации появления и накопления событий, несущих угрозу нарушения политики безопасности системы. Администратор безопасности немедленно получает сообщения о попытках нарушения политики безопасности; система, в случае продолжения таких попыток сразу их пресекает;

доверенная вычислительная база спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

анализируется и выявляется возможность временных тайных каналов;

существует роль администратора безопасности, получить которую можно только после выполнения явных, протоколируемых действий;

имеются процедуры и/или механизмы, позволяющие без ослабления защиты произвести восстановление после сбоя;

продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Уровень A — Верифицируемая безопасность

Класс A1 (в дополнение к требованиям к B3):

тестирование продемонстрировало то, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;

представлены формальные спецификации верхнего уровня; используются современные методы формальной спецификации и верификации систем;

механизм управления конфигурациями распространяется на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Таб. Классы информационной безопасности, определённые в «Оранжевой книге»

Еще один стандарт, описывающий классы информационной безопасности, – «Европейские критерии» (Information Technology Security Evaluation Criteria, ITSEC), выдвинутые рядом западноевропейских государств. Данный стандарт, вышедший в 1991 году, содержит согласованные критерии оценки безопасности информационных технологий, выработанные в ходе общеевропейской интеграции. «Европейские критерии» описывают классы функциональности систем информационной безопасности, характерных для правительственных и коммерческих структур. Некоторые из этих классов соответствуют классам информационной безопасности «Оранжевой книги».

По аналогии с «Оранжевой книгой» были построены вышедшие чуть позже «Руководящие документы» Гостехкомиссии при президенте России. «Документы» устанавливают семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. В некоторых вопросах «Руководящие документы» отклоняются от американского стандарта – например, они отдельно определяют классы межсетевых экранов.

Стандарты информационной безопасности Банка России

В сфере финансово-кредитных отношений вопросам информационной безопасности уделяется пристальное внимание. Иначе и быть не может: вспомните, как часто в последние годы мы слышим об очередных хакерских атаках на банковские дата-центры, краже баз с персональными данными сотен тысяч пользователей и так далее.

Банки и иные финансовые организации не могут нормально функционировать, не имея разработанной системы информационной защиты, основанной на стандартизированных требованиях, принятых отраслью. Совокупность требований к информационной безопасности, которые ведомственные регуляторы предъявляют участникам рынка, представлена рекомендациями и национальными (государственными) стандартами.

Стандарт СТО БР ИББС-1.0-2014

Единым регулирующим органом финансово-кредитных организаций, зарегистрированных и действующих на территории Российской Федерации, является Банк России. Начиная с 2004 года, ЦБ РФ регулярно разрабатывает и обновляет отраслевые стандарты, предоставляющие банкам унифицированные подходы по обеспечению информационной безопасности.

Комплекс стандартов Банка России под общим названием «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» представлен рядом документов, описывающих различные аспекты ИБ-систем (защита персональных данных, оценка рисков ИБ, рекомендации по документации в части создания ИБ-систем и проч.)

Общие положения комплекса описывает национальный стандарт СТО БР ИББС-1.0-2014 (введен с 2004 года, сейчас действует его пятая редакция), который сыграл немалую роль в развитии информационной безопасности финансовой отрасли РФ. Впрочем, документы комплекса носят рекомендательный характер, что потребовало дополнительного контроля со стороны Банка России над соблюдением финансовыми организациями адекватных действий по защите информации.

Национальный стандарт по защите информации

8 августа 2017 года Федеральное агентство по техническому регулированию и метрологии утвердило первый оригинальный Национальный стандарт по защите информации в организациях кредитно-финансовой сферы. Положения стандарта распространяются на банки, страховые и микрофинансовые организации, а также на субъекты национальной платежной системы.

Важнейшим изменением в стратегии Банка России, отраженным в стандарте, является введение трех уровней защиты информации, каждый из которых предлагает свой набор мер по обеспечению ИБ:

– при этом то, какие именно меры использовать для своих задач финансовые организации могут определить самостоятельно. Стандарт предполагает, что в финансовых организациях формируются контуры безопасности, уровни защиты информации для которых устанавливаются нормативными актами Банка России.

Используя стандарт, финансовые организации могут трансформировать эти контуры согласно используемым ими технологиям хранения и обмена данными, моделями нарушителей информационной безопасности и функциональных параметров объектов информатизации.

Национальный стандарт по защите информации объединяет в себе практики предыдущих лет по разработке отраслевых регулирующих нормативов и является прологом к последующим инициативам Банка России по развитию отечественного финтеха.

Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2020

Важным шагом на пути создания конкурентного современного банкинга стало развитие концепции открытых программных интерфейсов (Открытые API) — прочитать подробнее о том, как именно открытые банковские API помогают развитию рынка можно в другой нашей статье. Ключевая идея концепции подразумевает, что клиенты финансовых учреждений смогут одновременно пользоваться большим количеством сервисов и приложений, предоставляя доступ к своим данным в банках.

Организация доверенной среды Открытых API требует не только наличия защищенной и отлаженной инфраструктуры, но и стандартизации всех операций в рамках единого пространства обмена финансовыми сообщениями.

С 2020 года Банк России опубликовал несколько отраслевых стандартов, посвященных Открытым API. Основополагающим для безопасности банковских операций считается Стандарт Банка России СТО БП ФАПИ.СЕК-1.6-2020 «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID».

Данный стандарт был разработан Ассоциацией ФинТех и ОАО «ИнфоТеКС» при поддержке Банка России в октябре 2020 года. Он основан на спецификациях организации OpenID Foundation (OIDF), которая продвигает и поддерживает сообщество и технологии OpenID (OpenID Connect Core (OIDC), OpenID Connect Discovery (OIDD) и другие) и определяет порядок использования модели прикладных программных интерфейсов (API) со структурированными данными и модель токена для повышения безопасности финансовых технологий.

Стандарт СТО БП ФАПИ.СЕК-1.6-2020 описывает рекомендации для участников отрасли при создании и оценке программных средств, предназначенных для защищенного обмена финансовыми сообщениями в рамках доверенной среды. Область применения стандарта распространяется на сообщения, связанные:

  • С получением информации о банковских счетах;
  • С переводом денежных средств в национальной валюте РФ.

Стандарт предназначен для банков, их клиентов и сторонних поставщиков финансовых услуг, претендующих на организованное взаимодействие в рамках доверенной среды Открытых API. Несмотря на то, что положения стандарта носят рекомендательный характер, некоторые из них становятся обязательными, если компания хочет подключиться к среде Открытых банковских API Банка России.

Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021

Полное название стандарта — СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования».

Стандарт характеризует требования, предъявляемые к аутентификации в условиях рисков использования данных клиента. Стандарт предназначен для:

  • Участников обмена информацией о банковском счете (банки и их клиенты, а также сторонние поставщики платежных услуг);
  • Участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики);
  • Разработчики программного обеспечения и информационных систем.

Стандарт СТО БР ФАПИ.ПАОК-1.0-2021 позволяет стороне, занимающейся проверкой финансового сообщения и имеющей актуальный идентификатор конечного пользователя, использовать протокол OpenID Connect для инициирования потока аутентификации конечного пользователя без отправки данных через браузер. То есть аутентификация выполняется по выделенному каналу напрямую от клиента к серверу авторизации.

Ключевая задача Стандарта СТО БР ФАПИ.ПАОК-1.0-2021 связана с усовершенствованием механизма безопасности и сохранения данных при проведении финансовых операций. Благодаря ему, поставщики финансовых приложений (ставшие участниками доверенной среды Открытых API) смогут применять определенные механизмы для более надежной аутентификации клиентов по альтернативным каналам.

Как и СТО БП ФАПИ.СЕК-1.6-2020, описанный стандарт также носит рекомендательный характер, однако не исключено, что в связи с дальнейшим развитием Открытых API и вхождению в доверенную среду новых игроков финансового рынка, стандарты получат статус обязательных.

Уровни защищенности персональных данных

Уровни защищенности персональных данных

Увеличение количества угроз и объемов обрабатываемой информации привело к формированию нормативно-правовой базы, устанавливающей требования к операторам персональных данных. Поскольку информационные системы между собой существенно отличаются, государственные органы предусмотрели отдельные правила по обеспечению безопасности для ИС с разным уровнем защищенности ПДн. Данный показатель позволяет определить, насколько эффективно организация справляется с угрозами. Рассчитывают его с учетом нескольких параметров, о которых вы узнаете, прочитав данный обзор. Сразу отметим, что для правильного определения требуется доскональное знание законодательной базы, опыт и навыки работы в сфере ИБ.

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Длительный период времени классификация ИСПДн осуществлялась не по уровню защищенности персональных данных, а по классам. Современная терминология и разделения закреплены в правительственном Постановлении № 1119, утверждённом 1 ноября 2012 года. В документе представлена таблица ПД, описаны критерии определения уровней (всего их предусмотрено 4), а также прописаны конкретные меры профилактики несанкционированного доступа к конфиденциальным сведениям

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Постановление Правительства № 1119 от 1 ноября 2012

Определение уровня защищенности персональных данных

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

Таблица уровней защищенности персональных данных

Уровни защищенности персональных данных

Классификация персональных данных в контексте установления уровня защищенности ИСПДн

Одной из задач, которую предстоит выполнить аутсорсинговым (предпочтительнее) или штатным специалистам перед определением способа нейтрализации угрозы, является установление категории ПДн (раньше присваивались классы), подразделяемые на группы:

  1. Первая категория включает специальные ПДн. Сюда относятся, прежде всего, данные о сексуальной ориентации и партнерах, состоянии здоровья, принадлежности к определенной расе или вероисповеданию, а также философские и политические взгляды.
  2. Ко второй категории относятся биометрические персональные данные, позволяющие идентифицировать человека по особенностям его физиологии, например, отпечатку пальцев, рисунку сетчатки глаза, фотографии и т.д. Чтобы пользоваться такими ПДн легально, необходимо предварительно получить письменное согласие субъекта (кроме ситуаций, когда дело касается вопросов национальной безопасности, судебного производства или расследования преступлений).
  3. Третья категория представлена общедоступной информацией о гражданине, которую он сам предоставляет для обработки. Речь идет о дате рождения, Ф.И.О., адресе, телефоне, образовании, профессии и других сведениях, опубликованных на страничках социальных сетей, в справочниках и т.д.
  4. В четвертую категорию входят те личные сведения, которые нельзя включить ни в оду из других групп.

Определение типа ПДн осуществляется отдельно для каждой ИСПДн организации с учетом ее характеристик.

Как происходит определение уровня защищенности персональных данных?

На показатель, кроме категории обрабатываемых личных сведений граждан, влияют и другие параметры:

  1. Форма взаимоотношений между оператором и владельцами ПДн. Информационная система может предполагать обработку данных персонала организации или ИП (имеются ввиду как штатные, так и внештатные сотрудники, с которыми подписаны контракты) либо использовать сведения субъектов, не связанных с организацией трудовым договором.
  2. Типы актуальных УБ. В расчет берутся не все существующие угрозы, а только те, которые можно реализовать в рамках конкретной ИС. Выделяют угрозы 1, 2 и 3 типа. Первый связан с НДВ в системном программном обеспечении, второй — с недекларируемыми возможностями прикладного софта, а третий — вообще не имеет отношения к НДВ используемого ПО.
  3. Количество субъектов, личные данные которых копируются, обновляются, распространяются, блокируются и удаляются. Действующее законодательство предусматривает разделение на ИСПДн, обрабатывающие информацию менее 100 тысяч или более 100 тысяч граждан.

Уровни обозначаются УЗ1, УЗ2, УЗ3 и УЗ4, при этом самым высоким (то есть требующим наиболее серьезной защиты) является первый, а самым низким — четвертый.

Чтобы определить 1, 2, 3 или 4 уровень защищенности ИСПДн, можно воспользоваться таблицей либо специальным онлайн-калькулятором, который есть на сайте ФСТЭК. Вам потребуется указать тип актуальных угроз, категорию ПДн, количество субъектов и взаимоотношения с ними (являются они вашими сотрудниками или нет), после чего программа сама рассчитает показатель. Но есть важный нюанс. Если неверно установить какой-либо из исходных параметров, например, преуменьшить или преувеличить тип УБ, то класс будет установлен неправильно. Избежать этого возможно при помощи привлечения экспертов в области информационной безопасности, которые грамотно выполнят за вас данную работу. Наиболее актуален подход, при котором обязанности по определению угроз и интеграции средств защиты на возлагаются на профессионалов. Так удастся в короткие сроки привести систему в соответствие ФЗ-152, требованиям ФСТЭК и ФСБ (если нужно) и исключить штрафные санкции в будущем.

Важность правильного определения уровня защищенности ИСПДн

На основании проделанной работы по установлению степени защиты на каждую из ИС составляется акт классификации и формируется список требований, которые предстоит соблюдать при совершении различных операций с ПДн. Чем выше уровень, тем более продуманной и многоаспектной должна быть система защиты, а это напрямую влияет на сумму, которую придется потратить владельцам организации. Поэтому завышать УЗ нет никакого смысла, но и занижать тоже, иначе могут быть наложены санкции контролирующих органов.

Законодательные требования к ИСПДн с разным уровнем защищенности

Выбор, внедрение мер и средств нейтрализации угроз базируется на требованиях правительственного постановления 2012 года и Приказа ФСТЭК № 21 от 18 февраля 2013 года. Именно в последнем документе четко прописано, что нужно обеспечить для ИСПДн с 4, 3, 2 и 1 уровнем защищенности. Приведем пример того, что понадобится организациям с третьим классом ИС:

  • утверждение внутренним приказом перечня лиц, имеющих доступ к ПДн;
  • назначение сотрудника, который несет личную ответственность за соблюдением мер безопасности в отношении ИСПДн;
  • подбор и интеграция СЗИ;
  • применение сертифицированных средств защиты;
  • установка замков, сигнализации, охраны в помещении, где располагается ИСПДн;
  • разработка и утверждение правил доступа к данным при обычном режиме работы организации и во время внештатных ситуаций;
  • хранение материальных носителей в сейфах с обязательным учетом их количества, характеристик, перечня лиц, имеющих доступ;
  • обеспечение защиты средств виртуализации, ТС, систем связи и передачи ПДн;
  • контроль работоспособности системы, фиксация происшествий;
  • оценка эффективности и контроль выполнения нормативов ФСТЭК минимум раз в три года;
  • внедрение средств аутентификации и идентификации для контроля доступа.

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Что означают уровни секретности шредеров?

Любой шредер способен уничтожать бумажные документы, но все ли документы уничтожаются одинаково надежно? Стоит ли волноваться о том, смогут ли важные бумаги восстановить злоумышленники?

Уровень секретности шредера показывает, как и на какое количество фрагментов, шредер порежет лист бумаги. Чем выше уровень, тем надежнее будет уничтожение — документ будет разрезаться на большее количество фрагментов. Собрать такой пазл практически невозможно.

По новому стандарту DIN 66399 различают 7 уровней секретности. Предыдущий DIN 32757 насчитывал 5 уровней секретности и шестой дополнительный, неофициальный. Старый стандарт уже несколько лет как утратил свою силу, но многие еще обращают на него внимание.

Давайте рассмотрим уровни секретности по новому DIN 66399 и обозначим сферы их использования.


Уровни секретности P1 и P2 практически не отличаются друг от друга. В первом случае происходит резка документа на полосы с максимальной шириной 12 мм, а во втором — 6 мм. Длина полосы в этом случае будет равна длине документа. Начальные уровни секретности не обеспечивают надежную защиту от восстановления, так как каждый сможет за несколько часов восстановить документ, порезанный на 18–35 полос. Подобные шредеры можно рекомендовать для утилизации общих публичных документов или внутренних документов, не представляющих особой ценности.

У первых 2 уровней секретности есть серьезный недостаток — корзина с отходами очень быстро наполняется, так как полоски текста плотно не утрамбовываются под собственным весом. Чем выше уровень секретности — тем реже придется опорожнять корзину при одинаковом количестве документов.

Уровень секретности обеспечивает резку уже на отдельные фрагменты с максимальной площадью 320 мм² или на полосы с шириной менее 2 мм. Наиболее популярные шредеры с уровнем секретности режут листы на фрагменты с размером 4×50 мм. Документы, разрезаются примерно на 310 частей. Восстановить подобный документ вручную становится уже непосильной задачей. Шредеры с 3 уровнем секретности можно рекомендовать для уничтожения коммерческих предложений, презентаций, .

уровень секретности по праву считается одним из самых популярных и наиболее универсальных. Максимальная площадь фрагмента должна составлять не более 160 мм², а значит, размер фрагмента может быть максимум 4×40 мм или 390 фрагментов.

уровень секретности можно использовать для уничтожения большинства офисных документов. Это могут быть конфиденциальные документы, содержащие коммерческую тайну или персональную информацию, сведения о зарплате, бухгалтерская и налоговая отчетность, выписки из банков.

Восстановить документы после уровня секретности вручную практически невозможно. Но если за дело возьмутся профессионалы, то шансы на реставрацию резко повышаются. Для восстановления документа обычно фотографируют каждый фрагмент с 2 сторон и далее специальная программа пытается собрать сотни кусочков в единый лист. В России подобным методом пользуются спецслужбы, в коммерческих целях такие услуги практически не оказывают.

Следующий уровень секретности можно назвать оптимальным выбором, для уничтожения строго конфиденциальных документов, содержащие особо важные данные о компании: стратегические планы и исследования, документы первых лиц компании. уровень секретности обеспечивать резку на фрагменты площадью не более 30 мм² и шириной фрагмента не более 2 мм. Получается, что размер фрагмента может быть, например, 2×12 мм, а это значит, что лист разрезается как минимум на 2000 частей.

и уровни секретности обеспечивают максимальный уровень защиты документа. Площадь фрагмента должна быть не более 10 мм² и 5 мм² соответственно. При этом толщина фрагмента ограничена 1 мм. При уровне секретности лист формата разрезается на 12 400 фрагментов. Восстановить подобный документ будет практически невозможно, даже при использовании специальных средств и методов. Шредеры с высшим уровнем секретности применяются для уничтожения особо секретных документов государственной важности. Среди недостатков шредеров с 7 уровнем секретности можно отметить невысокую производительность, да и уничтожают они только бумажные документы.

Кроме уровней секретности для бумажных носителей стандарт описывает требования к шредерам для уничтожения кредитных карт, CD дисков и электронных носителей информации. Подобные носители надежно уничтожаются в шредерах даже с самыми низкими уровнями секретности.

И еще один маленький секрет — для достижения максимального уровня уничтожения — помещайте документы в шредер только по узкой стороне. Если документ повернуть боком и опустить в шредер по широкой стороне, то на фрагментах могут оставаться целые отрезки читаемого текста.

От уровня секретности шредера могут зависеть и человеческие жизни. Очень яркий пример произошел в Иране во время захвата посольства США. Сотрудники успели уничтожить большую часть секретных документов, но, как оказалось после, уровень секретности шредеров был очень низок. Иранцы привлекли к восстановлению документов сотни ткачей, которые кропотливо восстанавливали изрезанные бумаги. Несколько уничтоженных документов с персональными данными удалось восстановить, даже несмотря на то, что ткачи совершенно не знали английского языка и восстанавливали по наитию. Эта история легла в сюжет фильма «Операция Арго», который получил 3 статуэтки «Оскар».

Все уровни секретности в одной таблице для бумажных носителей:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *