Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Классификация информации. Начало.

Аватар пользователя ryndin
Автор: Рындин Владимир,
(6)
()
Опубликовано в:
Тема классификации обсуждалась уже не раз. Кстати, термины: классификация информации или ее категоризация? На самом деле, разница, мне кажется, не велика. Классы и подклассы или категории и подкатегории, не важно. Суть в том, что ранее находящаяся в беспорядочном состоянии информация должна принять предопределенную структуру.
Итак, согласно законодательству РФ  схема классификации имеет следующий вид (так называемая классификация по видам доступа):
1. 149-ФЗ "Об информации, информационных технологиях и о защите информации" выделяет общедоступную информация и информацию ограниченного доступа (или информацию, доступ к которой ограничен федеральными законами).
2.1. Общедоступная информация, в свою очередь, делится на информацию, доступ к которой не может быть ограничен и общеизвестные сведения и иную информацию, доступ к которой не ограничен.
2.2. Информация ограниченного доступа имеет общеизвестную классификацию по видам тайн: государственная тайна, коммерческая тайна, персональные данные, служебная тайна и т.д. Вообще, Алексей Лукацкий выделяет 65 видов тайн, Андрей Прозоров 17, Игорь Агурьянов 23, Николай Федотов 16.
 
Таким образом можно достаточно точно понимать, что относится к конфиденциальной информации в организации и к какому типу. Будь то персональные данные, сведения об изобретениях, ценах поставщиков, договорах и прочем. Однако классифицируется только конфиденциальная информация. Общедоступная информация не имеет подобной системы. 
 
Согласно же NIST SP 800-60 "Guide for Mapping Types of Information and Information Systems to Security Categories", сначала происходит классификация информации по типам, а лишь после этого принимается решение о конфиденциальности информации, относящейся к тому или иному типу. При чем у применения данного метода классификации есть ряд плюсов. Вот некоторые из них:
 
  1. Масштабируемость схемы.
  2. Стандарт может быть использован как для классификации информации, так и для классификации информационных систем.
  3. Выделяет два основных типа информации в организации: Mission–based Information и Management and Support Information. Т.е. информация, касающаяся целей организации (миссии, предназначения, кому как нравится)  и информация касательно процессов, поддерживающих ее жизнедеятельность.
  4. Схожесть подходов ФСТЭК в приказах 17/21/31 и NIST SP 800-53 позволяет рассматривать NIST SP 800-60 как дополнение к приказам.
 
Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Классификация подразумевает наличие классификационных признаков. Для перечисленных видов информации ограничнного доступа есть только условия ее отнесения к той или иной категории. Что касается служебной тайны, то никто не знает, что это такое: в законодательстве нет такого понятия.

up
30 users have voted.
Аватар пользователя ryndin

Как это нет понятия?
Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера": Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Другое дело, что понятие размытое. 

up
28 users have voted.
Аватар пользователя Александр Германович

А в 149-ФЗ определено, что ограничение доступа к информации устанавливается федеральными законами, а вовсе не указами Президента. Можете назвать признаки, по которым информация должна считаться служебной тайной?

up
41 user has voted.
Аватар пользователя ryndin

Так Указ и не ограничивает, он определяет сведения и говорит, каким образом к ним должен ограничиваться доступ (ГК РФ и ФЗ).
По поводу того, что относить к служебной тайне говорить однозначно не возьмусь, однако нашел следующее определение: Служебная тайна - сведения о сферах деятельности государственных органов, доступ к которым ограничивается служебной необходимостью и разглашение или утрата которых может нанести ущерб государственным органам или государству (Служебная тайна - сведения о сферах деятельности государственных органов, доступ к которым ограничивается служебной необходимостью и разглашение или утрата которых может нанести ущерб государственным органам или государству)
Отсюда можно провести аналогию, с СТ и КТ в том плане, что КТ - для коммерческий огрганизаций, а СТ - для госорганов.

up
65 users have voted.
Аватар пользователя root

Если собираетесь писать цикл статей, то следует лучше ознакомиться с материалом. Большинство тех, кто касается этой темы цитирую законы, нисты и т.п., что мало кому интересно, все и так знают, что там. Интерснее было бы услышать практические подходы и рекомендации.
На мой взгляд, эта тема хорошо раскрыта в статьях Атаманова Г.А. http://gatamanov.blogspot.ru/2014/03/blog-post_13.html и другие. Если будете продолжать, то рекомендую ознакомиться.
 

up
38 users have voted.
Аватар пользователя ryndin

Сергей, благодарю за материал и учту, однако простого цитирования и не собирался делать. 

up
23 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.