пятница, 12 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 10

В этой части рассмотрены следующие вопросы:
  • Классификация информации
  • Управление классифицированными данными


Обновлено: 01.03.2010

Ранее мы уже касались вопроса о важности понимания ключевого значения информации для бизнеса компании. Однако не вся информация имеет одинаковую ценность для компании и было бы неэффективным расходовать одинаковые ресурсы на защиты различных типов информации, имеющих различный уровень ценности. Поэтому, после идентификации всей важной информации, она должна быть правильно классифицирована в соответствии с уровнем ущерба в случае ее разглашения или недоступности.

Результаты классификации информации позволят компании определить, какие средства и меры защиты должны применяться для каждого класса, решить какие задачи защиты информации являются наиболее приоритетными. Первичная цель классификации информации – показать необходимый для каждого типа информации уровень защиты конфиденциальности, целостности и доступности. Кроме того, классификация позволяет обеспечить защиту информации наиболее эффективным (экономически) способом. Защита и содержание информации стоит денег, желательно расходовать эти деньги именно на ту информацию, для которой это действительно необходимо.

Для каждого класса должны быть определены отдельные требования и процедуры по использованию, контролю доступа и уничтожению. Например, компания может установить следующие процедуры:
  • Конфиденциальная информация. Доступ к конфиденциальной информации имеет только высшее руководство и еще несколько ответственных (назначенных) сотрудников компании. Для получения доступа два ответственных сотрудника (руководителя) должны одновременно ввести коды доступа. Все факты доступа должны регистрироваться и ежедневно контролироваться. Все бумажные копии конфиденциальных документов должны храниться в хранилище. При удалении конфиденциальных данных с электронных носителей информации должны использоваться устройства размагничивания, либо специализированные программные средства, затирающие информацию без возможности восстановления.
  • Критичная информация. Доступна гораздо большему количеству сотрудников. Для доступа к этой информации достаточно только ввести пароль. Журналы регистрации событий доступа должны просматриваться еженедельно. Бумажные копии должны храниться в запираемых шкафах в офисных помещениях. С электронных носителей данные должны удаляться с помощью штатных средств операционной системы.
  • Открытая информация. Остальную информацию компания классифицирует как открытую и не устанавливает ограничений по ее использованию, контролю доступа и порядку уничтожения.
Модели безопасности в различных видах организаций могут существенно различаться. Например, военные организации больше внимания уделяют вопросам конфиденциальности информации, а для частного бизнеса более важны целостность и доступность. Это существенно влияет на классификацию данных. Для начала нужно решить, какую схему классификации будет использовать компания. Некоторые компании используют только два класса информации, другие – больше.

Коммерческие организации часто используют следующие уровни критичности: конфиденциально (confidential), для внутреннего использования (private), критичная информация (sensitive), открытая информация (public). А военные организации используют другие уровни критичности: совершенно секретно (top secret), секретно (secret), конфиденциально (confidential), критичная неклассифицированная информация (sensitive but unclassified), неклассифицированная информация (unclassified).

Классификация, обычно применяемая в коммерческом секторе, описана ниже:
  • Информация для служебного пользования – критичная финансовая информация компании
  • Коммерческая тайна – информация, обеспечивающая конкурентное преимущество компании
  • Конфиденциальная информация – информация, защита которой требуется в соответствии с бизнес-стандартами и законодательством
  • Персональные данные – информация, содержащая записи о людях
После того, как схема классификации определена, компания должна разработать критерии для отнесения информации (данных) к тому или иному классу. Следующий список содержит некоторые критерии, которые можно использовать для определения критичности данных:
  • Полезность данных
  • Ценность данных
  • Новизна данных
  • Уровень ущерба в случае разглашения данных
  • Уровень ущерба в случае модификации или повреждения данных
  • Обязанности по защите данных в соответствии с законодательством, требованиями регуляторов, договорами с контрагентами
  • Влияние данных на национальную безопасность
  • Кто должен иметь доступ к данным
  • Кто должен поддерживать данные
  • Где данные должны храниться
  • Кто должен иметь возможность воспроизводить (reproduce) данные
  • Какие отметки или специальную маркировку требуют данные
  • Требуется ли шифрование данных
  • Требуется ли разделение обязанностей (separation of duties)
  • Величина упущенной выгоды, вызванной недоступностью или повреждением данных
Информация – это не единственная вещь, которая требует классификации. Приложения, а в некоторых случаях и целые системы, также должны быть классифицированы. Приложение, которое хранит или обрабатывает классифицированные данные, должно быть оценено по уровню безопасности, которое оно предоставляет. Классификацию приложений следует основывать на уверенности (уровне доверия) компании в этом программном обеспечении и на типе информации, которая хранится и обрабатывается в нем.
ПРИМЕЧАНИЕ. Также, не следует забывать про резервные копии классифицированных данных – к ним должны иметь доступ только те, кто имеет соответствующий уровень допуска. Большой риск для компании представляет технический персонал, который, не обладая никакими допусками, работает с классифицированными данными при выполнении своих обязанностей. Компания должна удостовериться, что каждый, кто имеет доступ к данным и их резервным копиям, ясно понимает уровень их важности, знает свои обязанности по отношению к ним.

ПРЕДУПРЕЖДЕНИЕ. Правила классификации должны применяться к данным независимо от формы, в которой они представлены: электронная информация, бумага, видео, аудио, факс и т.д.
После выбора порядка оценки критичности данных, необходимо определить для каждого класса требования по контролю доступа, идентификации, маркировке (на всех этапах хранения данных), поддержке, передаче, уничтожению. Также нужно учесть вопросы аудита, мониторинга, контроля соответствия. Каждый класс данных требует различного уровня безопасности, поэтому для каждого класса определяются свои требования по защите и управлению.
Процедуры классификации данных. Следующие шаги необходимы для качественной программы классификации:
  1. Определить уровни классификации
  2. Установить критерии определяющие порядок классификации данных
  3. Назначить владельцев данных, которые укажут, к какому классу следует отнести данные в зоне их ответственности
  4. Определить ответственных за хранение (custodian) данных, в обязанности которых входит поддержка данных и обеспечение необходимого уровня их безопасности
  5. Указать средства управления, защитные меры и механизмы, необходимые для каждого уровня классификации
  6. Документировать все исключения из предыдущих пунктов
  7. Определить процедуры переноса ответственности за данные от одного владельца другому
  8. Организовать периодический пересмотр классификации и распределения данных по владельцам (о любых изменениях необходимо уведомлять ответственных за хранение данных)
  9. Определить процедуры рассекречивания данных по истечении определенного срока
  10. Организовать обучение по этим вопросам всех сотрудников, чтобы они понимали, как нужно работать с данными различного уровня классификации
При разработке набора уровней классификации информации, учитывайте следующее:
  • Слишком большое количество уровней классификации непрактично и увеличивает путаницу. 
  • Слишком малое количество уровней классификации говорит о том, что данному процессу не уделено должного внимания. 
  • Не должно быть никаких совпадений в критериях, определяющих различные уровни классификации
  • Уровни классификации должны быть разработаны как для данных, так и для программного обеспечения.
Ниже представлены некоторые универсальные рекомендации, относящиеся к критичным данным и приложениям, применимые для большинства компаний:
  • Жесткий и детальный контроль доступа
  • Шифрование данных при их хранении и передаче
  • Аудит и мониторинг (нужно определить необходимый уровень аудита, время хранения лог-файлов)
  • Разделение обязанностей (нужно определить двух или более людей, одновременное присутствие которых необходимо для получения доступа к информации)
  • Периодический пересмотр уровня классификации
  • Документированные процедуры резервного копирования и восстановления
  • Документированные процедуры управления изменениями
  • Документированные процедуры физической безопасности
  • Управление информационными потоками
  • Пересмотр словаря данных
  • Документированные процедуры надлежащего уничтожения информации (применение шредеров, размагничивание и т.п.)
  • Документированное разграничение доступа на уровне файлов и файловых систем
  • Пометка и маркирование
  • Маркирование обложек и внутренних документов
  • Все носители информации должны помечаться и маркироваться (магнитные, оптические носители информации и т.п.)
Ссылки по теме:

1 комментарий:

eagle комментирует...

В этой части есть ряд дополнений, в т.ч. существенных:
- Добавлена типовая классификация информации для коммерческих организаций.
- Расширен список критериев определения критичности данных.
- Существенно расширен список рекомендаций по управлению классифицированными данными.
- "Чувствительная" информация заменена на "критичную" - хотя в английском оригинале употребляется слово "sensitive", в русской литературе по ИБ более распространен термин "критичная информация".