В контексте электронной коммерции термин «активы» подразумевает нематериальные ценности, такие как данные о клиентах, оригинальные механизмы аутентификации, исходные тексты программного обеспечения и т. п. Ваша политика в первую очередь должна определить понятие «данных, требующих особого обращения». Вместе с тем формулируются и требования к работе с различными типами данных. Конечно, невозможно перечислить все типы данных, которые могут встретиться, например «номера кредитных карточек» или «номера телефонов»; попытки такой конкретизации неизбежно приведут к потере общности. Вместо этого нужно определить Категории Данных с общими характеристикам, чтобы позже разработчики и администраторы смогли сами классифицировать информацию, достаточно четко устанавливая различия между этими категориями.
Коммерческий сайт собирает и хранит разную по своей природе информацию: как конфиденциальную (например, номера карточек социального обеспечения), так и не требующую специальной защиты (например, время запроса клиентом определенной Web-страницы). Огласка частной информации прежде всего означает причинение ущерба, тем более если эта информация явно указывает на своего владельца. Следовательно, всегда можно отличить «обычные» данные, которые никак не могут быть связаны с их владельцем, от «конфиденциальной» информации. Медицинские карты, история покупок, финансовые транзакции — все это, несомненно, конфиденциальные данные, о чем необходимо упомянуть в соответствующих комментариях к постановлениям политики. Конфиденциальная информация — это то, что хранится от имени другого лица или что дает доступ к информации, хранящейся с разрешения другого лица. Обеспечение конфиденциальности влечет за собой моральное обязательство защищать информацию от кражи или уничтожения. Очень важно, чтобы персонал рассматривал конфиденциальную информацию предприятия как вверенное имущество или актив, принадлежащий компании. К обычным данным такое требование не предъявляется, и предъявляться не может. Теперь, когда мы определили понятие данных, требующих защиты, давайте обсудим ряд политик, которые помогут обеспечить должную защиту на практике.
