Цель: Обеспечить уверенность в защищенности информации на надлежащем уровне. Информацию следует классифицировать, чтобы определить необходимость, приоритеты и предполагаемую степень защиты при обработке информации. Информация имеет различные степени чувствительности и критичности. Некоторые элементы могут потребовать дополнительного уровня защиты или специальной обработки. Схема классификации информации должна использоваться, чтобы определить соответствующее множество уровней защиты и установить связь с необходимостью принятия специальных мер обработки. |
7.2.1 Рекомендации по классификации
Мера и средство контроля и управления
Информацию следует классифицировать, исходя из ее ценности, законодательных требований, чувствительности и критичности для организации.
Рекомендация по реализации
При классификации информации и связанных с ней защитных мер и средств контроля и управления следует учитывать требования бизнеса в отношении использования или ограничения доступа к информации и последствия для бизнеса, связанные с такими требованиями.
Рекомендации по классификации должны включать руководящие указания по начальной классификации и последующей классификации по истечении времени в соответствии с некоей предопределенной политикой управления доступом (см. 11.1.1).
В обязанности владельца актива (см. 7.1.2) входит классификация актива, ее периодический пересмотр и обеспечение уверенности в том, что она поддерживается на актуальном и соответствующем уровне. В отношении классификации следует учитывать эффект накопления, указанный в пункте 10.7.2 ИСО/МЭК 27002.
Предметом рассмотрения должно стать количество классификационных категорий и преимущества, получаемые от их использования. Чрезмерно сложные схемы могут стать обременительными и неоправданно дорогими для применения, или могут оказаться неосуществимыми. Следует проявлять осторожность в интерпретации классификационных меток на документах из других организаций, так как одни и те же метки могут иметь различный смысл.
Рекомендация по реализации, характерная для телекоммуникаций
При классификации информации, в дополнение к общим требованиям в отношении чувствительной и критичной информации организации, телекоммуникационные организации должны также учитывать следующее:
a) возможную потребность раздельной классификации информации, связанной с неразглашением информации о соединениях с точки зрения наличия, содержания, источника, адреса назначения, даты и времени переданной информации (см. А.15.1.7);
b) различие между важнейшими коммуникациями, требующими приоритетной обработки в случае чрезвычайной ситуации или риска чрезвычайной ситуации, и второстепенными коммуникациями (см. А.15.1.8).
Дополнительная информация