Точный
Статус документа
Статус документа

ГОСТ Р 58545-2019 Менеджмент знаний. Руководящие указания по сбору, классификации, маркировке и обработке информации

     6.3 Разработка системы классификации

6.3.1 Критерии классификации

Организация должна задокументировать схему (систему) классификации, в которой необходимо подробно описать методы классификации и указать разработчика системы, а также тех сотрудников организации, которые обладают доступом к информации и знакомы с механизмами ее маркировки и обработки.

Информацию необходимо классифицировать в соответствии со следующими критериями:

а) оценка прямой и косвенной ценности информации для соответствующей организации (организаций);

б) риск нарушения конфиденциальности информации, ее повреждения, потери или утраты доступа к информационным активам, а также возможность организации принять такой риск (риски);

в) связанные с классификацией затраты организации на выявление риска (критических событий) и оценка его негативных последствий, например нанесения вреда обществу, ущерба репутации организации, затраты на исправление и смягчение последствий этих событий и т.п.

г) ожидания заинтересованных сторон, которые могут не быть непосредственно связанны с информационными активами, но тем не менее имеют право предъявлять, например, требования юридического и нормативно-правового характера;

д) необходимость контроля уровня доступа к информационным активам на протяжении их жизненного цикла;

е) возможность обеспечения согласованности и сопоставимости уровней классификации и рисков, которые учитываются организацией при менеджменте рисков;

ж) объем оцениваемых усилий по защите информационных активов;

и) ожидания других организаций, с которыми ведется обмен информационными активами;

к) ожидания других заинтересованных сторон, например, представителей общественности и журналистов и т.п., даже в тех случаях, когда обмена информацией не происходит;

Организация должна определять и документировать перечень действий, которые должны выполнять ее сотрудники в тех случаях, когда они:

- не могут проводить оценку классификации или

- посчитают, что классификация, присвоенная информационному активу и промаркированная в нем, неверна.

Организация должна определить и задокументировать свое решение относительно влияния изменений классификации на достоверность и/или целостность информации.

Организация должна определить и задокументировать:

- процедуры, призванные снижать влияние изменений классификации на достоверность и/или целостность информации, и

- допустимые объем и степень изменения классификации, которые могут выполнять сотрудники организации для каждого класса информационных активов на протяжении всего их жизненного цикла.

Обоснования схемы классификации необходимо регистрировать и непрерывно контролировать.

Примечание - В приложении A приведен пример классификации, маркировки и обработки информации, а в приложении B - примеры и подробные рекомендации по применению ICMH-системы к информационным активам, представляемым в различных форматах и/или на различных носителях.

6.3.2 Иерархия информации

Информация должна классифицироваться в соответствии с установленной иерархией. При этом количество уровней иерархии должна определять сама организация.

Примечания

1 Как правило, иерархия ограничений доступа варьируется от ограниченного доступа к неограниченному. Краткий пример иерархии приведен в таблице 1; более подробный пример приведен в приложении А.

2 Организация должна принимать во внимание удобство пользования выбранной иерархией. В общем случае небольшое количество классов будет упрощать использование иерархии и обеспечивать ее надлежащее использование.

Наименования классов в той или иной иерархии должна задавать организация.

Примечания