вторник, 19 августа 2014 г.

КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ АКТИВОВ


В данном посте я постараюсь описать подход к классификации информационных активов (ИА), который я применял на практике в ходе проектов по идентификации ИА в банках.

Вспомним определения, приведенные в СТО БР ИББС-1.0-2014.
Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
Классификация информационных активов: Разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.
Для проведения классификации ИА в соответствии с нормами действующего законодательства РФ определены следующие типы информации:
-открытая (общедоступная) информация (ОД) согласно федеральному закону [4];
-персональные данные (ПДн) [2];
-информация, содержащая сведения, составляющие банковскую тайну (БТ), согласно федеральному закону [4], в том числе неплатежная информация;
-информация, содержащая сведения, составляющие коммерческую тайну (КТ), согласно федеральному закону [5] и перечню КТ, принятому в организации (может быть определена как БТ).
СТО БР ИББС-1.0-2014
7.9. Общие требования по обеспечению информационной безопасности
банковских информационных технологических процессов
7.9.2. В организации БС РФ следует провести классификацию неплатежной информации
и определить перечень ее типов.
Классификацию неплатежной информации следует проводить в соответствии со степенью тяжести последствий потери свойств ИБ, в частности, свойств доступности, целостности
и конфиденциальности.
7.9.3. Для каждого из типов неплатежной информации, полученных в результате классификации, должен быть документально определен набор требований по ее защите.

Учитывая тот факт, что документы ЦБ РФ по персональным данным были выведены из применения, будем руководствоваться  документом «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные постановлением Правительства РФ от 1 ноября 2012 г. №1119.
Для перехода к количественной оценке информационных активов необходимо ввести классы, отражающие как ценность ИА, так и уровень требований к защите ИА.
 Каждому ИА  будет присвоен соответствующий класс:
-Открытый (О) – ограничения на распространение и использование не накладываются, финансовый ущерб отсутствует;
- Для внутреннего использования (ВИ) – для использования внутри организации, финансовый ущерб отсутствует, возможно возникновения иных видов ущерба для организации или работников организации;
-С ограниченным доступом (Д) – для использования определенным кругом работников организации, финансовый ущерб до 10 млн. рублей;
-Секретный (С) – для использования только определенными членами руководящего состава организации, финансовый ущерб больше 10 млн. рублей.
Соответствие типов ИА, определенных согласно нормам действующего законодательства РФ, и установленными классами ИА приведено в таблице ниже (см. Таблица 1).

Таблица 1 – Соответствие типов и классов ИА
Тип ИА в соответствии с
законодательством РФ
Класс ИА

1.             
ОД
О
2.             
БТ
Д
3.             
КТ (если определена)
Д
4.             
ПДн–С (специальные)
С
5.             
ПДн–Б (биометрические)
Д
6.             
ПДн–И (иные)
Д
7.             
ПДн–Д (общедоступные)
О
8.             
ПДн–Р (работников)
Д

После проведения инвентаризации ИА, получаем следующую таблицу.


Надеюсь, что приведенная информация пригодится вам в работе. Спасибо за внимание.

Перечень используемых нормативно-методических документов

1.  Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014), принятый и введенный в действие распоряжением Банка России от 17 мая 2014 года № Р-399.
2.  Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 1 ноября 2012 г. №1119.
3.  Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4.  Федеральный закон Российской Федерации от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности».
5.  Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

2 комментария:

  1. Мне кажется, категорирование информационных активов - это не одно и то же, что категорирование информации: я делаю так, прошу оценить и высказать замечания:
    1. Автоматизированные банковские системы:
    1.1. программное обеспечение:
    1.1.1. операционные системы;
    1.1.2. прикладное ПО
    1.1.3. СЗИ
    1.1.4. СУБД
    1.2. СКЗИ:
    1.2.1. ПО
    1.2.2. ПАК (токены, аккорд)
    1.3. средства вычислительной техники:
    1.3.1. ПК, включая прошивки компонент ПК
    1.3.2. Тонкие клиенты
    1.3.3. Серверное оборудование
    1.3.4. носители информации:
    1.3.4.1. Отчуждаемые
    1.3.4.2. Неотчуждаемые
    1.3.4.3. бумажные
    1.4. телекоммуникационное оборудование:
    1.4.1. коммутаторы
    1.4.2. маршрутизаторы
    1.4.3. модемы
    1.4.4. СКС
    2. информация
    2.1. информация ограниченного доступа:
    2.1.1. ПДн,
    2.1.2. БТ,
    2.1.3. КТ,
    2.1.4. ИИ,
    2.1.5. СИ
    2.2. общедоступная информация (целостность, доступность)
    2.2.1. отчетность
    2.2.2. информация в сми, социальных сми, репутация банка, отзывы клиентов и сотрудников о работе банка, информация об участии работников в схемах сомнительного характера
    2.2.3. информация на сайте и в помещениях
    3. работники и лица, оказывающие услуги
    3.1. допуск к информации, разглашение 3м лицам
    3.2. лояльность банку
    4. бизнес-процессы:
    4.1. платежный технологический:
    4.1.1. ДБО
    4.1.2. Пластик
    4.1.3. Переводы
    4.1.4. Кор отношения
    4.1.5. Биржи
    4.1.6. РКО клиентов
    4.1.7. Внутренние перемещения между счетами, в т.ч. при кредитовании
    4.2. неплатежный технологический
    4.2.1. отчетность
    4.2.2. внутренние процессы
    4.3. иные (менеждмент и проч)

    ОтветитьУдалить
    Ответы
    1. Доброго времени суток) Ответил вам в отдельном посте, так тема больная для всех и есть о чем порассуждать)

      Удалить