О классификации информационных активов

3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет — каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации — конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном — хорошая политика классификация должна:
  • быть краткой
  • содержать не более 3-4 классификаций
  • быть гибкой
  • разрешать исключения
  • находить баланс между требованиями бизнеса и безопасностью
  • позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример — западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон «О коммерческой тайне», который подразумевает иные требования к «грифованию» документов.
  • не должна быть привязана к конкретным технологиям или подразделениям
  • содержать не больше 3-4 уровней классификации.

Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации.

А вообще классификация — штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом «стоимость защиты не должна быть больше стоимости защищаемой информации». Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются — ведь в них нужна классификация не на словах, а реальная.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ригель

    > хотя все говорят, что ее надо делать,
    > мало кто пишет, как это делать

    Потому что это зависит. От того, для чего это, в чем оно дальше использовано будет. Заметил, что цели классификации ты обошел?

    > как с принципом "стоимость защиты
    > не должна быть больше стоимости защищаемой
    > информации". Звучит красиво, но практически
    > никто реально не считает стоимость
    > защищаемой информации

    Потому что ущерб не равен стоимости информации. Ну и зачем же тогда ее считать?

    Ответить
  2. Ригель

    поправочка: потому что ущерб в 99 случаях из 100 не совпадает со стоимостью…

    Ответить
  3. SitNoff

    в трёхлетней статье ссылка на публикацию с банкир.ру, которой уже нет. Где то можно ознакомиться?торой уже нет. Где то можно ознакомиться?

    Ответить
  4. Анонимный

    Мерси, конечно — сам недавно пытался классифицировать требования по ЗИ и тоже пришел к таким выводам… Однако..
    — что ты пишешь п. 5,6 ??? непонятно
    — последний пункт как вывод из 1,2 ?

    Конечно классификация — это скорее один из шагов на пути достижения целей бизнеса(тут конечно связь нужна и это самый важный момент.)
    Потому как классификация ради целей и классификация ради классификации — очень разные поговорки…

    Ответить
  5. Алексей Лукацкий

    Статья тут — http://bankir.ru/avtori/1661938

    Ответить
  6. Алексей Лукацкий

    Ригелю: Стоимость информации = размер ущерба — это worst case. Идеально, конечно, учитывать реальный ущерб. А еще лучше риски, но без стоимости информации все равно никуда…

    Ответить
  7. doom

    Вообще информационные активы классифицировать несложно… Если в организации есть четкий процессный подход — а вот это уже чаще всего фантастика…
    На эту тему есть интересная серия статей: http://www.archer.com/blog/blogs/archer/archive/2011/02/11/asset-acuity-let-s-talk-about-dimensions.aspx

    Так что в сферической организации в вакууме, где внедрена интегрированная система менеджмента, классифицировать активы можно было бы легко и просто 🙂

    Ответить