- быть краткой
- содержать не более 3-4 классификаций
- быть гибкой
- разрешать исключения
- находить баланс между требованиями бизнеса и безопасностью
- позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример — западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон «О коммерческой тайне», который подразумевает иные требования к «грифованию» документов.
- не должна быть привязана к конкретным технологиям или подразделениям
- содержать не больше 3-4 уровней классификации.
Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации.
А вообще классификация — штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом «стоимость защиты не должна быть больше стоимости защищаемой информации». Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются — ведь в них нужна классификация не на словах, а реальная.
> хотя все говорят, что ее надо делать,
> мало кто пишет, как это делать
Потому что это зависит. От того, для чего это, в чем оно дальше использовано будет. Заметил, что цели классификации ты обошел?
> как с принципом "стоимость защиты
> не должна быть больше стоимости защищаемой
> информации". Звучит красиво, но практически
> никто реально не считает стоимость
> защищаемой информации
Потому что ущерб не равен стоимости информации. Ну и зачем же тогда ее считать?
поправочка: потому что ущерб в 99 случаях из 100 не совпадает со стоимостью…
в трёхлетней статье ссылка на публикацию с банкир.ру, которой уже нет. Где то можно ознакомиться?торой уже нет. Где то можно ознакомиться?
Мерси, конечно — сам недавно пытался классифицировать требования по ЗИ и тоже пришел к таким выводам… Однако..
— что ты пишешь п. 5,6 ??? непонятно
— последний пункт как вывод из 1,2 ?
Конечно классификация — это скорее один из шагов на пути достижения целей бизнеса(тут конечно связь нужна и это самый важный момент.)
Потому как классификация ради целей и классификация ради классификации — очень разные поговорки…
Статья тут — http://bankir.ru/avtori/1661938
Ригелю: Стоимость информации = размер ущерба — это worst case. Идеально, конечно, учитывать реальный ущерб. А еще лучше риски, но без стоимости информации все равно никуда…
Вообще информационные активы классифицировать несложно… Если в организации есть четкий процессный подход — а вот это уже чаще всего фантастика…
На эту тему есть интересная серия статей: http://www.archer.com/blog/blogs/archer/archive/2011/02/11/asset-acuity-let-s-talk-about-dimensions.aspx
Так что в сферической организации в вакууме, где внедрена интегрированная система менеджмента, классифицировать активы можно было бы легко и просто 🙂