Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002

     7.2 Классификация информации

Цель: Обеспечить уверенность в защищенности информации на надлежащем уровне.

Информацию следует классифицировать, чтобы определить необходимость, приоритеты и предполагаемую степень защиты при обработке информации.

Информация имеет различные степени чувствительности и критичности. Некоторые элементы могут потребовать дополнительного уровня защиты или специальной обработки. Схема классификации информации должна использоваться, чтобы определить соответствующее множество уровней защиты и установить связь с необходимостью принятия специальных мер обработки.

7.2.1 Рекомендации по классификации

Мера и средство контроля и управления

Информацию следует классифицировать, исходя из ее ценности, законодательных требований, чувствительности и критичности для организации.

Рекомендация по реализации

При классификации информации и связанных с ней защитных мер и средств контроля и управления следует учитывать требования бизнеса в отношении использования или ограничения доступа к информации и последствия для бизнеса, связанные с такими требованиями.

Рекомендации по классификации должны включать руководящие указания по начальной классификации и последующей классификации по истечении времени в соответствии с некоей предопределенной политикой управления доступом (см. 11.1.1).

В обязанности владельца актива (см. 7.1.2) входит классификация актива, ее периодический пересмотр и обеспечение уверенности в том, что она поддерживается на актуальном и соответствующем уровне. В отношении классификации следует учитывать эффект накопления, указанный в пункте 10.7.2 ИСО/МЭК 27002.

Предметом рассмотрения должно стать количество классификационных категорий и преимущества, получаемые от их использования. Чрезмерно сложные схемы могут стать обременительными и неоправданно дорогими для применения, или могут оказаться неосуществимыми. Следует проявлять осторожность в интерпретации классификационных меток на документах из других организаций, так как одни и те же метки могут иметь различный смысл.

Рекомендация по реализации, характерная для телекоммуникаций

При классификации информации, в дополнение к общим требованиям в отношении чувствительной и критичной информации организации, телекоммуникационные организации должны также учитывать следующее:

a) возможную потребность раздельной классификации информации, связанной с неразглашением информации о соединениях с точки зрения наличия, содержания, источника, адреса назначения, даты и времени переданной информации (см. А.15.1.7);

b) различие между важнейшими коммуникациями, требующими приоритетной обработки в случае чрезвычайной ситуации или риска чрезвычайной ситуации, и второстепенными коммуникациями (см. А.15.1.8).

Дополнительная информация