КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ АКТИВОВ
В данном посте я постараюсь
описать подход к классификации информационных активов (ИА), который я применял
на практике в ходе проектов по идентификации ИА в банках.
Вспомним определения, приведенные в СТО БР ИББС-1.0-2014.
Информационный актив:
Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность
для организации БС РФ; находящаяся в распоряжении организации БС РФ и
представленная на любом материальном носителе в пригодной для ее обработки,
хранения или передачи форме.
Классификация информационных
активов: Разделение существующих информационных активов организации БС РФ по
типам, выполняемое в соответствии со степенью тяжести последствий от потери их
значимых свойств ИБ.
Для
проведения классификации ИА в соответствии с нормами действующего
законодательства РФ определены
следующие типы информации:
-открытая (общедоступная) информация (ОД) согласно
федеральному закону [4];
-персональные данные (ПДн) [2];
-информация, содержащая сведения, составляющие
банковскую тайну (БТ), согласно федеральному закону [4], в том числе неплатежная
информация;
-информация, содержащая сведения, составляющие
коммерческую тайну (КТ), согласно федеральному закону [5] и перечню КТ,
принятому в организации (может быть определена как БТ).
СТО БР ИББС-1.0-2014
7.9. Общие требования по обеспечению информационной
безопасности
банковских информационных технологических процессов
7.9.2. В организации БС РФ следует провести
классификацию неплатежной информации
и определить перечень ее типов.
Классификацию неплатежной информации следует проводить
в соответствии со степенью тяжести последствий потери свойств ИБ, в
частности, свойств доступности, целостности
и конфиденциальности.
7.9.3. Для каждого из типов неплатежной информации, полученных
в результате классификации, должен быть документально определен набор
требований по ее защите.
|
Учитывая тот факт, что
документы ЦБ РФ по персональным данным были выведены из применения, будем
руководствоваться документом «Требования
к защите персональных данных при их обработке в информационных системах
персональных данных», утвержденные постановлением Правительства РФ от 1 ноября
2012 г. №1119.
Для перехода к количественной
оценке информационных активов необходимо ввести классы, отражающие как ценность
ИА, так и уровень требований к защите ИА.
Каждому ИА будет присвоен соответствующий класс:
-Открытый (О) – ограничения на распространение
и использование не накладываются, финансовый ущерб отсутствует;
- Для внутреннего использования (ВИ) – для
использования внутри организации, финансовый ущерб отсутствует, возможно
возникновения иных видов ущерба для организации или работников организации;
-С ограниченным доступом (Д) – для использования
определенным кругом работников организации, финансовый ущерб до 10 млн. рублей;
-Секретный (С) – для использования только
определенными членами руководящего состава организации, финансовый ущерб больше
10 млн. рублей.
Соответствие типов ИА, определенных
согласно нормам действующего законодательства РФ, и установленными классами ИА приведено
в таблице ниже (см. Таблица 1).
Таблица 1 – Соответствие типов и классов ИА
№
|
Тип
ИА в соответствии с
законодательством
РФ
|
Класс
ИА
|
1.
|
ОД
|
О
|
2.
|
БТ
|
Д
|
3.
|
КТ
(если определена)
|
Д
|
4.
|
ПДн–С
(специальные)
|
С
|
5.
|
ПДн–Б
(биометрические)
|
Д
|
6.
|
ПДн–И
(иные)
|
Д
|
7.
|
ПДн–Д
(общедоступные)
|
О
|
8.
|
ПДн–Р
(работников)
|
Д
|
После проведения
инвентаризации ИА, получаем следующую таблицу.
Надеюсь, что приведенная информация пригодится вам в работе. Спасибо за внимание.
Перечень используемых нормативно-методических документов
1. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014), принятый и введенный в действие распоряжением Банка России от 17 мая 2014 года № Р-399.
2. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 1 ноября 2012 г. №1119.
3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4. Федеральный закон Российской Федерации от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности».
5. Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
Мне кажется, категорирование информационных активов - это не одно и то же, что категорирование информации: я делаю так, прошу оценить и высказать замечания:
ОтветитьУдалить1. Автоматизированные банковские системы:
1.1. программное обеспечение:
1.1.1. операционные системы;
1.1.2. прикладное ПО
1.1.3. СЗИ
1.1.4. СУБД
1.2. СКЗИ:
1.2.1. ПО
1.2.2. ПАК (токены, аккорд)
1.3. средства вычислительной техники:
1.3.1. ПК, включая прошивки компонент ПК
1.3.2. Тонкие клиенты
1.3.3. Серверное оборудование
1.3.4. носители информации:
1.3.4.1. Отчуждаемые
1.3.4.2. Неотчуждаемые
1.3.4.3. бумажные
1.4. телекоммуникационное оборудование:
1.4.1. коммутаторы
1.4.2. маршрутизаторы
1.4.3. модемы
1.4.4. СКС
2. информация
2.1. информация ограниченного доступа:
2.1.1. ПДн,
2.1.2. БТ,
2.1.3. КТ,
2.1.4. ИИ,
2.1.5. СИ
2.2. общедоступная информация (целостность, доступность)
2.2.1. отчетность
2.2.2. информация в сми, социальных сми, репутация банка, отзывы клиентов и сотрудников о работе банка, информация об участии работников в схемах сомнительного характера
2.2.3. информация на сайте и в помещениях
3. работники и лица, оказывающие услуги
3.1. допуск к информации, разглашение 3м лицам
3.2. лояльность банку
4. бизнес-процессы:
4.1. платежный технологический:
4.1.1. ДБО
4.1.2. Пластик
4.1.3. Переводы
4.1.4. Кор отношения
4.1.5. Биржи
4.1.6. РКО клиентов
4.1.7. Внутренние перемещения между счетами, в т.ч. при кредитовании
4.2. неплатежный технологический
4.2.1. отчетность
4.2.2. внутренние процессы
4.3. иные (менеждмент и проч)
Доброго времени суток) Ответил вам в отдельном посте, так тема больная для всех и есть о чем порассуждать)
Удалить