Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Читать онлайн книгу.

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников


Скачать книгу
времени. Уровень защиты в схеме должен быть установлен путем анализа конфиденциальности, целостности и доступности и других требований к информации. Схема должна соответствовать правилам разграничения доступа.

      Информация может перестать быть конфиденциальной по истечении некоторого периода времени и становится общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации избыточных мер защиты и, как следствие, дополнительным расходам.

      Каждый уровень должен иметь название в контексте применения схемы классификации.

      Схема должна способствовать во всей организации тому, чтобы каждый мог классифицировать информацию и связанные с ней активы, иметь общее понимание требований защиты и применять надлежащую защиту.

      Классификация должна быть включена в процессы организации и быть согласованной по всей организации. Результаты классификации должны показывать ценность активов в зависимости от их чувствительности и критичности для организации, например, конфиденциальности, целостности и доступности. Результаты классификации должны обновляться в соответствии с изменениями ценности, чувствительности и критичности активов на протяжении всего их жизненного цикла.

      Классификацию проводят люди, работающие с информацией и четко осознающие, как ее обрабатывать и защищать. Создание информационных групп со схожей защитой требует и определяет процедуры ИБ, применимые для всей информации в каждой группе. Такой подход снижает необходимость оценки риска и поиска мер защиты в каждом конкретном случае.

      Информация может перестать быть чувствительной или критичной после определенного периода времени, например, когда станет публичной. Такие аспекты надо принимать во внимание, поскольку избыточная классификация может приводить к внедрению ненужных мер защиты и дополнительным расходам, а недостаточная – подвергать опасности достижение бизнес-целей.

      Схема классификации конфиденциальности информации может содержать, например, четыре следующих уровня:

      – разглашение не приносит вреда;

      – разглашение вызывает небольшое затруднение и оперативное неудобство;

      – разглашение имеет серьезное короткое влияние на операции или тактические цели;

      – разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.

      Маркировка информации

      Меры и средства

      Соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.

      Рекомендации по реализации

      Процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.

      Процедуры должны


Скачать книгу