Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

     7.2 Классификация информации

Цель: Обеспечить уверенность в защищенности информации на надлежащем уровне.

Информацию следует классифицировать, чтобы определить необходимость, приоритеты и предполагаемую степень защиты при обработке информации.

Информация имеет различные степени чувствительности и критичности. Некоторые элементы могут потребовать дополнительного уровня защиты или специальной обработки. Схему классификации информации следует использовать для определения соответствующего множества уровней защиты и установления потребности в принятии специальных мер обработки.

7.2.1 Рекомендации по классификации

Мера и средство контроля и управления

Информацию следует классифицировать, исходя из ее ценности, законодательных требований, чувствительности и критичности для организации.

Рекомендация по реализации

При классификации информации и связанных с ней защитных мер и средств контроля и управления необходимо учитывать требования бизнеса в отношении совместного использования или ограничения доступа к информации и последствия для бизнеса, связанные с такими требованиями.

Рекомендации по классификации должны включать руководящие указания по начальной классификации и последующей классификации по истечении времени в соответствии с некой предопределенной политикой управления доступом (см. 11.1.1).

В обязанности владельца актива (см. 7.1.2) входит классификация актива, ее периодический пересмотр и обеспечение уверенности в том, что она поддерживается на актуальном и соответствующем уровне. В отношении классификации следует учитывать эффект накопления, указанный в 10.7.2.

Предметом рассмотрения должно стать количество классификационных категорий и преимущества, получаемые от их использования. Чрезмерно сложные схемы могут стать обременительными и неоправданно дорогими для применения, или могут оказаться неосуществимыми. Следует проявлять осторожность в интерпретации классификационных меток на документах из других организаций, так как одни и те же метки могут иметь различный смысл.

Дополнительная информация

Уровень защиты может оцениваться с помощью анализа конфиденциальности, целостности и доступности, а также каких-либо других требований в отношении рассматриваемой информации.

Информация часто перестает быть чувствительной или критической по истечении некоторого периода времени, например когда она делается общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации ненужных мер и средств контроля и управления и, как следствие, к дополнительным расходам.

При назначении классификационных уровней, совместное рассмотрение документов с аналогичными требованиями безопасности может упростить задачу по классификации.

В общем, классификация информации - кратчайший путь для определения способа ее обработки и защиты.

7.2.2 Маркировка и обработка информации

Мера и средство контроля и управления

Соответствующий набор процедур маркировки и обработки информации следует разрабатывать и реализовывать в соответствии с системой классификации, принятой организацией.

Рекомендация по реализации

Необходимо, чтобы процедуры маркировки информации охватывали информационные активы, представленные как в физической, так и в электронной форме.

Выводимые из систем документы, содержащие информацию, которая классифицирована как чувствительная или критическая, должны содержать соответствующий маркировочный знак. Маркировка должна отражать классификацию согласно правилам, установленным в 7.2.1. Маркированными могут быть напечатанные отчеты, экранные отображения, носители информации (например ленты, диски, компакт-диски), электронные сообщения и пересылаемые файлы.

Для каждого уровня классификации должны быть определены процедуры обработки, включающие безопасную обработку, хранение, передачу, снятие грифа секретности и уничтожение. Сюда следует также отнести процедуры по обеспечению сохранности и регистрации любого события, имеющего значение для безопасности.

Договоры с другими организациями, включающие требования о совместном использовании информации, должны содержать процедуры определения классификации этой информации и интерпретации классификационных меток других организаций.

Дополнительная информация

Маркировка и безопасная обработка классифицированной информации является ключевым требованием для соглашений о совместном использовании информации. Физические метки являются наиболее распространенной формой маркировки. Однако некоторые информационные активы, например документы в электронной форме, не могут быть маркированы физически, и поэтому необходимо использовать электронные аналоги маркировки. Например на экране или дисплее может появиться уведомляющая метка. Там, где маркировка неосуществима, применяют другие средства обозначения классификации информации, например с помощью процедур или метаданных.