Pages - Menu

Страницы

18.8.11

О классификации информационных активов

3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном - хорошая политика классификация должна:
  • быть краткой
  • содержать не более 3-4 классификаций
  • быть гибкой
  • разрешать исключения
  • находить баланс между требованиями бизнеса и безопасностью
  • позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов.
  • не должна быть привязана к конкретным технологиям или подразделениям
  • содержать не больше 3-4 уровней классификации.
Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации.

А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.

7 комментариев:

  1. > хотя все говорят, что ее надо делать,
    > мало кто пишет, как это делать

    Потому что это зависит. От того, для чего это, в чем оно дальше использовано будет. Заметил, что цели классификации ты обошел?

    > как с принципом "стоимость защиты
    > не должна быть больше стоимости защищаемой
    > информации". Звучит красиво, но практически
    > никто реально не считает стоимость
    > защищаемой информации

    Потому что ущерб не равен стоимости информации. Ну и зачем же тогда ее считать?

    ОтветитьУдалить
  2. поправочка: потому что ущерб в 99 случаях из 100 не совпадает со стоимостью...

    ОтветитьУдалить
  3. в трёхлетней статье ссылка на публикацию с банкир.ру, которой уже нет. Где то можно ознакомиться?торой уже нет. Где то можно ознакомиться?

    ОтветитьУдалить
  4. Мерси, конечно - сам недавно пытался классифицировать требования по ЗИ и тоже пришел к таким выводам... Однако..
    - что ты пишешь п. 5,6 ??? непонятно
    - последний пункт как вывод из 1,2 ?

    Конечно классификация - это скорее один из шагов на пути достижения целей бизнеса(тут конечно связь нужна и это самый важный момент.)
    Потому как классификация ради целей и классификация ради классификации - очень разные поговорки...

    ОтветитьУдалить
  5. Ригелю: Стоимость информации = размер ущерба - это worst case. Идеально, конечно, учитывать реальный ущерб. А еще лучше риски, но без стоимости информации все равно никуда...

    ОтветитьУдалить
  6. Вообще информационные активы классифицировать несложно... Если в организации есть четкий процессный подход - а вот это уже чаще всего фантастика...
    На эту тему есть интересная серия статей: http://www.archer.com/blog/blogs/archer/archive/2011/02/11/asset-acuity-let-s-talk-about-dimensions.aspx

    Так что в сферической организации в вакууме, где внедрена интегрированная система менеджмента, классифицировать активы можно было бы легко и просто :)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.