среда, 1 октября 2014 г.

Классификация информации. Начало.

Тема классификации обсуждалась уже не раз. Кстати, термины: классификация информации или ее категоризация? На самом деле, разница, мне кажется, не велика. Классы и подклассы или категории и подкатегории, не важно. Суть в том, что ранее находящаяся в беспорядочном состоянии информация должна принять предопределенную структуру.
Итак, согласно законодательству РФ  схема классификации имеет следующий вид (так называемая классификация по видам доступа):
1. 149-ФЗ "Об информации, информационных технологиях и о защите информации" выделяет общедоступную информация и информацию ограниченного доступа (или информацию, доступ к которой ограничен федеральными законами).
2.1. Общедоступная информация, в свою очередь, делится на информацию, доступ к которой не может быть ограничен и общеизвестные сведения и иную информацию, доступ к которой не ограничен.
2.2. Информация ограниченного доступа имеет общеизвестную классификацию по видам тайн: государственная тайна, коммерческая тайна, персональные данные, служебная тайна и т.д. Вообще, Алексей Лукацкий выделяет 65 видов тайн, Андрей Прозоров 17, Игорь Агурьянов 23, Николай Федотов 16.

Таким образом можно достаточно точно понимать, что относится к конфиденциальной информации в организации и к какому типу. Будь то персональные данные, сведения об изобретениях, ценах поставщиков, договорах и прочем. Однако классифицируется только конфиденциальная информация. Общедоступная информация не имеет подобной системы. 

Согласно же NIST SP 800-60 "Guide for Mapping Types of Information and Information Systems to Security Categories", сначала происходит классификация информации по типам, а лишь после этого принимается решение о конфиденциальности информации, относящейся к тому или иному типу. При чем у применения данного метода классификации есть ряд плюсов. Вот некоторые из них:
  1. Масштабируемость схемы.
  2. Стандарт может быть использован как для классификации информации, так и для классификации информационных систем.
  3. Выделяет два основных типа информации в организации: Mission–based Information и Management and Support Information. Т.е. информация, касающаяся целей организации (миссии, предназначения, кому как нравится)  и информация касательно процессов, поддерживающих ее жизнедеятельность.
  4. Схожесть подходов ФСТЭК в приказах 17/21/31 и NIST SP 800-53 позволяет рассматривать NIST SP 800-60 как дополнение к приказам.