3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном - хорошая политика классификация должна:
А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.
- быть краткой
- содержать не более 3-4 классификаций
- быть гибкой
- разрешать исключения
- находить баланс между требованиями бизнеса и безопасностью
- позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов.
- не должна быть привязана к конкретным технологиям или подразделениям
- содержать не больше 3-4 уровней классификации.
А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.
> хотя все говорят, что ее надо делать,
ОтветитьУдалить> мало кто пишет, как это делать
Потому что это зависит. От того, для чего это, в чем оно дальше использовано будет. Заметил, что цели классификации ты обошел?
> как с принципом "стоимость защиты
> не должна быть больше стоимости защищаемой
> информации". Звучит красиво, но практически
> никто реально не считает стоимость
> защищаемой информации
Потому что ущерб не равен стоимости информации. Ну и зачем же тогда ее считать?
поправочка: потому что ущерб в 99 случаях из 100 не совпадает со стоимостью...
ОтветитьУдалитьв трёхлетней статье ссылка на публикацию с банкир.ру, которой уже нет. Где то можно ознакомиться?торой уже нет. Где то можно ознакомиться?
ОтветитьУдалитьМерси, конечно - сам недавно пытался классифицировать требования по ЗИ и тоже пришел к таким выводам... Однако..
ОтветитьУдалить- что ты пишешь п. 5,6 ??? непонятно
- последний пункт как вывод из 1,2 ?
Конечно классификация - это скорее один из шагов на пути достижения целей бизнеса(тут конечно связь нужна и это самый важный момент.)
Потому как классификация ради целей и классификация ради классификации - очень разные поговорки...
Статья тут - http://bankir.ru/avtori/1661938
ОтветитьУдалитьРигелю: Стоимость информации = размер ущерба - это worst case. Идеально, конечно, учитывать реальный ущерб. А еще лучше риски, но без стоимости информации все равно никуда...
ОтветитьУдалитьВообще информационные активы классифицировать несложно... Если в организации есть четкий процессный подход - а вот это уже чаще всего фантастика...
ОтветитьУдалитьНа эту тему есть интересная серия статей: http://www.archer.com/blog/blogs/archer/archive/2011/02/11/asset-acuity-let-s-talk-about-dimensions.aspx
Так что в сферической организации в вакууме, где внедрена интегрированная система менеджмента, классифицировать активы можно было бы легко и просто :)