18.8.11

О классификации информационных активов

3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном - хорошая политика классификация должна:
  • быть краткой
  • содержать не более 3-4 классификаций
  • быть гибкой
  • разрешать исключения
  • находить баланс между требованиями бизнеса и безопасностью
  • позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов.
  • не должна быть привязана к конкретным технологиям или подразделениям
  • содержать не больше 3-4 уровней классификации.
Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации.

А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.

7 коммент.:

Ригель комментирует...

> хотя все говорят, что ее надо делать,
> мало кто пишет, как это делать

Потому что это зависит. От того, для чего это, в чем оно дальше использовано будет. Заметил, что цели классификации ты обошел?

> как с принципом "стоимость защиты
> не должна быть больше стоимости защищаемой
> информации". Звучит красиво, но практически
> никто реально не считает стоимость
> защищаемой информации

Потому что ущерб не равен стоимости информации. Ну и зачем же тогда ее считать?

Ригель комментирует...

поправочка: потому что ущерб в 99 случаях из 100 не совпадает со стоимостью...

SitNoff комментирует...

в трёхлетней статье ссылка на публикацию с банкир.ру, которой уже нет. Где то можно ознакомиться?торой уже нет. Где то можно ознакомиться?

Анонимный комментирует...

Мерси, конечно - сам недавно пытался классифицировать требования по ЗИ и тоже пришел к таким выводам... Однако..
- что ты пишешь п. 5,6 ??? непонятно
- последний пункт как вывод из 1,2 ?

Конечно классификация - это скорее один из шагов на пути достижения целей бизнеса(тут конечно связь нужна и это самый важный момент.)
Потому как классификация ради целей и классификация ради классификации - очень разные поговорки...

Алексей Лукацкий комментирует...

Статья тут - http://bankir.ru/avtori/1661938

Алексей Лукацкий комментирует...

Ригелю: Стоимость информации = размер ущерба - это worst case. Идеально, конечно, учитывать реальный ущерб. А еще лучше риски, но без стоимости информации все равно никуда...

doom комментирует...

Вообще информационные активы классифицировать несложно... Если в организации есть четкий процессный подход - а вот это уже чаще всего фантастика...
На эту тему есть интересная серия статей: http://www.archer.com/blog/blogs/archer/archive/2011/02/11/asset-acuity-let-s-talk-about-dimensions.aspx

Так что в сферической организации в вакууме, где внедрена интегрированная система менеджмента, классифицировать активы можно было бы легко и просто :)