Классификация информационных активов: взгляд со стороны ИБ

Классификация информационных активов (ИА)  это  важнейший процесс не только для обеспечения ИБ, но так же и построения управляемой ИТ-инфраструктуры всей компании. Классификация позволяет получить ключевые метрики для используемой информации - ценность, степень влияния на бизнес-процессы, требования к обеспечению т.д.  От качества выполненной классификации во многом зависит то как будет защищаться и обрабатываться информация. Более того, многие нормативные стандарты требует проведения обязательной инвентаризации и классификации ИА. Однако, какой либо единой процедуры на этот счет не существует. В сегодняшнем материалы мы попытаемся систематизировать имеющийся опыт по методике классификации ИА, а так же рассмотрим общие подходы существующие на сегодняшний день

Если, вспомнить определения, приведенные в отраслевом стандарте Банка России СТО БР ИББС-1.0-2014, то там четко прописаны определения:

• Информационный актив - Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

• Классификация информационных активов - Разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.

Так же термин классификация упоминается в ряде отечественных и международных стандартах, например:

ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по информационной безопасности 

Классификация – это схема, разделяющая информацию на категории, такие как: возможность мошенничества, конфиденциальность или критичность информации, с целью возможности применения соответствующих защитных мер 

Р Газпром 4.2.3-001. Методика классификации объектов защиты

Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников 

Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты 

Другие документы в которых так же есть отсылка к классификации ИА:

• ISO/IEC 27002:2005 Информационные технологии – Свод правил по управлению защитой информации 

• ISO/IEC 20000-2 Информационные технологии – Управление услугами. Свод практик

Более того в Российской Федерации для обеспечения защиты конфиденциальной информации в режиме коммерческой тайны (КТ) согласно ФЗ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне», собственнику просто необходимо произвести классификацию имеющихся у него ИА.

Для проведения классификации ИА в соответствии с нормами действующего законодательства РФ определены следующие типы информации:

• открытая (общедоступная) информация;

• персональные данные (ПДн) ;

• информация, содержащая сведения, составляющие банковскую тайну (БТ), согласно федеральному закону , в том числе неплатежная информация;

• информация, содержащая сведения, составляющие коммерческую тайну (КТ)

Классификацию ИА можно выполнять основываясь по одной из следующих моделей:

1. Однофакторная классификация основанная на степени ущерба.

По сути здесь все просто, классифицируем информацию, к примеру на четыре блока по степени нанесения ущерба в случае ее утечки  - минимальный, средний, высокий и критический. Так, например, если неопределенному кругу лиц станет известно о том, кого сегодня директор принимает в своем кабинете это один вид ущерба (минимальный), другое дело если  утекут условия и детали сделки по какому-либо крупному проекту (высокий или критический)

2. Многофакторная модель классификации по трем классическим параметрам

Здесь вся информация рассматривается с точки зрения обеспечения ее конфиденциальности, целостности и доступности. И так для каждого отдельного ИА проставляется требования отдельно по трем описанным позициям - высокий, средний, низкий. По совокупности так можно будет качественно оценить ИА, к примеру, критичной важности или базовой важности.

Для перехода к количественной оценке информационных активов необходимо ввести классы, отражающие как ценность ИА, так и уровень требований к защите ИА.

Каждому ИА в таком случае будет присвоен соответствующий класс:

• Открытый (О) – ограничения на распространение и использование не накладываются, финансовый ущерб отсутствует;

• Для служебного использования (ДСП) – для использования внутри организации, финансовый ущерб отсутствует, возможно возникновения иных видов ущерба для организации или работников организации;

• Конфиденциальная (КТ) – для использования как внутри организации так и при обмене с клиентами и контрагентами, финансовый ущерб реален

В свою очередь Конфиденциальную информацию (КТ) можно условно разделить на несколько подкатегорий для градации по степени ценности:

• С ограниченным доступом (Д) – для использования определенным кругом работников организации, финансовый ущерб, к примеру до 1 млн. рублей;

• Секретный (С) – для использования только определенными членами руководящего состава организации, финансовый ущерб, к примеру, более 1 млн. рублей.

В итоге мы можем получить следующую .таблицу

Независимо от характера самих информационных ресурсов, они обязательно обладают одной или несколькими из следующих характеристик:

•   Они признаются ценными для организации. 

•  Их невозможно заменить без затрат средств, времени, иных ресурсов или их сочетания. 

•  Они существенно влияют на деятельность организации, без этих ре- сурсов возникает угроза для основной деятельности организации.

В целом схема выполенеия классифиакции ИА может быть следующей:

Этап 1. Построение перечня ИА и схемы ИА

На данном этапе необходимо выявить ИА в любом виде (электронные документы, бумажные документы, флешки, информационный потоки и т.п.) циркулирующие между подразделениями в вашей организации, не углубляясь в документооборот внутри подразделений.

Для этого в подразделения рассылается анкета с полями вида:

Какую информацию, в каком виде и от каких подразделений вы получаете?

Какую информацию, в каком виде и в какие подразделения вы передаете?

После этого собираете данные от подразделений, уточняете её и на основе этого строите большую схему, показывающую циркуляцию информации. 

В итоге на выходе получаются следующие документы:

1. Перечень ИА 

2. Схема ИА

Этап 2. Построение перечня ИА и схемы ИА на уровне подразделений, 

Работа та же самая, что и на 1м этапе, но уже рассматриваем каждое подразделение отдельно.

Этап 3. Начинаем привязывать ИА к инфраструктуре, где хранятся, по каким каналам передаются, в каких информационных системах содержатся и тд.

Тут уже берем один ИА и рисуем всю его среду обитания (чем подробнее, тем лучше, тк. потом будет проще выявлять угрозы. Т.е. пишем порты передачи, по каким каналам итд, думаю вам, как ИТшнику это будет проще всего).

Этап 4. Берем все, что наработали и повторно классифицируем (для окончательной ясности) ИА по характеристикам (К,Ц,Д).

Примерная модель классификации (буквено-цифровое кодирование)

Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера "Д" означает "доступность", "Ц" — "целостность"* "К" — "конфиденциальность", цифры возрастают с убыванием значимости критерия).

По наличию (доступность)

• Критическая — без нее работа субъекта останавливается (ДО).

• Очень важная — без нее можно работать, но очень короткое время (Д1).

• Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2)

• Полезная — без нее можно работать, но ее использование экономит ресурсы (ДЗ).

• Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).

• Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

По несанкционированной модификации (целостность)

• Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО)

• Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).

• Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).

• Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).

• Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

По разглашению (конфиденциальность)

• Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).

• Очень важная — разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).

• Важная — разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).

• Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).

• Малозначимая — может принести моральный ущерб в очень редких случаях (К4).

• Незначимая — не влияет на работу субъекта (К5).

Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Жизненный цикл обычно можно обозначить следующими стадиями.

• Информация используется в операционном режиме, т. е. принимает участие в производственном цикле и бывает востребована практически постоянно.

• Информация используется в архивном режиме, т. е. не принимает непосредственного участия в производственном цикле, но периодически требуется для аналитической или другой деятельности.

• Информация хранится в архивном режиме для обеспечения соответствия требованиям сохранения (например, вышестоящей организации), практически не нужна самому предприятию.