Information classification

Классификация
информации
Анонс нового исследования
Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 1/37

Классификация 1.0 А зачем нам классификация?

Классификация 2.0 А у меня есть перечень КИ!

Классификация 3.0 Давайте классифицировать!

© Cisco, 2010. Все права защищены. 237

1. Определение важных данных Для защиты от потерь и краж
 Базы данных, системы хранения, каналы связи, конфиденциальных данных
оконечные устройства необходима многоуровневая
платформа
2. Установка политики защиты данных безопасности
 Укрепление политики безопасности данных для
предотвращения случайной и намеренной
утечки данных

3. Безопасное подключение
 Устранение точек несанкционированного
доступа, шифрование удаленных подключений, Контроль
контроль беспроводного доступа утечек
(DLP)
4. Управление доступом
 Ограничение доступа к важным сетям, базам Управление
данных и файлам доступом
5. Контроль утечек (DLP) Безопасные
 Контроль важных данных в местах повышенного подключения
риска, проверка содержимого на основе
политик, допустимое использование,
шифрование
Самозащищающаяся сеть


• В абсолютном большинстве организаций существуют перечни
сведений конфиденциального характера
Которые определяют только направление, но не содержание защищаемой

• Информация о клиенте
Номер счета – это информация о клиенте, но надо ли ее защищать в
отрыве от ФИО клиента?
Иванов И.И. – это ФИО клиента, но надо ли ее защищать, если «цена»
этого клиента для банка равна нулю, а договор с ним прекратил свое
действие?

• Врачебная тайна
Диагнозы многих болезней безопасник не только не знает, но и
выговорить не может ;-)


• Классификация информации – разделение существующих
информационных активов организации по типам,
выполняемое в соответствии со степенью тяжести
последствий от потери их значимых свойств ИБ
СТО БР ИББС-1.0-2008

• Классификацию информации следует проводить в
соответствии со степенью тяжести последствий потери ее
свойств ИБ, в частности, свойств доступности, целостности и
конфиденциальности
СТО БР ИББС-1.0-2008


• Классификация – это схема, разделяющая информацию на
категории, такие как: возможность мошенничества,
конфиденциальность или критичность информации, с целью
возможности применения соответствующих защитных мер
ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по
информационной безопасности

• Классификация объектов защиты выполняется с целью
обеспечения дифференцированного подхода к организации
их защиты с учетом уровня критичности, характеризующего
влияние на деятельность и репутацию организации, ее
деловых партнеров, клиентов и работников
Классификация позволяет определить приоритетность и экономическую
целесообразность проведения дальнейших мероприятий по обеспечению
информационной безопасности объекта защиты
Р Газпром 4.2.3-001. Методика классификации объектов защиты

• ФЗ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»
• ФЗ от 27 июля 2006 г. 149-ФЗ «Об информации,
информационных технологиях и защите информации»
• Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008
года №55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных
данных»
• СТО БР ИББС-1.0 «Обеспечение информационной
безопасности организаций банковской системы РФ. Общие
положения»
• Методические организации для организации защиты
информации при обработке персональных данных в
учреждениях здравоохранения, социальной сферы, труда и
занятости

• Р Газпром 4.2-3-001-20ХХ. Методика проведения
классификации информационных систем персональных
данных ОАО «Газпром», его дочерних обществ и организаций
• СТО Газпром 4.2-3-004-2009. Система обеспечения
информационной безопасности ОАО «Газпром».
Классификация объектов защиты
• ISO/IEC 27002:2005 Информационные технологии – Свод
правил по управлению защитой информации
• ISO/IEC 20000-2 Информационные технологии – Управление
услугами. Свод практик
• ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации
по информационной безопасности


• BSI Standard 100-1 Information Security Management Systems
(ISMS)
• BSI-Standard 100-2: IT-Grundschutz Methodology
• The Standard of Good Practice for Information Security (от ISF)
• OWASP Mobile Security Project
Классификация для мобильных устройств

• И т.д.


Новые
Деклассификацированные Стоимость Цена
Год действия по
документы классификации деклассификации
классификации

2001 $8 650 735 $10 0104 990 4,5 млрд.$ 232 млн.$
2002 $11 271 618 $44 365 711 5,5 млрд.$ 113 млн.$
2003 $14 228 020 $4 3093 233 6,4 млрд.$ 54 млн.$
2004 $15 645 237 $2 8413 690 7,1 млрд.$ 48 млн.$
2005 $14 206 773 $2 9540 603 7,7 млрд.$ 57 млн.$
2006 $20 556 445 $3 7647 993 Нет данных Нет данных


• Что такое классификация?

• Зачем нужна классификация информации?

• Схемы классификации
Иерархическая
Фасетная
Дескрипторная

• Свойства или признаки информации

• Существующие подходы к классификации

• Классификация для безопасника или для бизнеса


Ущерб
Класс конфиденциальности
Отсутствует Публичный
Финансовый – отсутствует; возможен Для внутреннего использования
иной ущерб для компании или ее
сотрудников, который не сказывается
на финансовых показателях.
До 10 миллиона рублей Конфиденциально
Свыше 10 миллиона рублей Секретно

Однофакторная классификация, привязанная к
ущербу


Конфиденциаль Целостность Доступность Класс
ность
Высокая Высокая, средняя Высокая, средняя Restricted
или низкая или низкая
Средняя или Высокая Высокая, средняя Sensitive
низкая или низкая
Средняя или Средняя или Высокая Sensitive
низкая низкая
Средняя Средняя Средняя Sensitive
Низкая Средняя Средняя Operational
Низкая Низкая Низкая Unrestricted
Многофакторная классификация с единым классом


Информационный Доступность Целостность Конфиденциально
актив сть

Актив №1 низкая средняя высокая
Актив №2 низкая высокая низкая
… … … …
Актив №n высокая низкая Средняя

Многофакторная независимая классификация


• Методика определения актуальных угроз безопасности
информации в ключевых системах информационных
инфраструктурах
Утверждены 18 мая 2007 года

• Дана методика оценки важности (ценности) информации
5 степеней важности по конфиденциальности
3 степени важности по целостности
3 степени важности по доступности


Снижает неопределенность
при принятии решений

Влияет на поведение людей,
Имеет ценность для вас приводящее к экономическим
последствиям

Нематериальный актив
(собственная стоимость)
Она имеет ценность

Если ей воспользуются
другие, то вы понесете
убытки или проиграете в
Она не имеет ценности, но ее
принято защищать конкурентной борьбе
Не имеет ценности для вас,
но имеет для кого-то еще

Ее защита требуется
государством / регулятором


Рейтинг Описание Репутация Операции Безопасность Правовой Финансы Стратегия

3 Незначитель «Стандартные Временное Утечка Поправимая ~$5000 Политики или
ный » язвительные невыполне- незначитель- возможность стандарты не
высказывания ние ного несоответствия поддерживают
в обслужива- количества требованиям ся
Низкий

национальной ния (около 1 информации регуляторов
прессе или часа)
размещенные
в Интернет о
банке

9 Катастрофа Широкое Полное Мошенничест- Систематичес- ~$1 000 Будущее
освещение невыполне- во крупного кое и 000 000 банка под
прессой и ние масштаба умышленное сомнение
телевидением обслужива- (оценка несоблюдение
Высокий

ния в масштаба законодатель-
течение отсутствует) ства топ-
нескольких менеджментом
недель


• Проблемы классификации
Классификацией занимаются службы ИБ
Нежелание классифицировать информацию
Многокритериальная классификация
Передача классифицированной информации за пределы организации
Классификация компилированных материалов
Разные классы информации в одном файле/документе
Пересмотр класса информации
Маркировка носителей информации
Классификация динамически создаваемой информации
Маркировка бумажных документов
Непонимание жизненного цикла информации


• 4 факта с низким классом
Совет директоров московского банка принял решение о приобретении
регионального банка (без имен и регионов)
Группа высокопоставленных сотрудников банка осуществила поездку в
Екатеринбург
Число поездок группы высокопоставленных сотрудников банка превысило
10 за последний квартал
Длительность телефонных разговоров с екатеринбургским банком Х
ежедневно составляет около часа

• Скомпилированная информация – максимальный класс
До момента поглощения


• Жизненный цикл информации

• Политики классификации

• А все-таки как правильно или есть ли универсальный метод
классификации?!


• Быть краткой

• Содержать не более 3-4 классификаций

• Быть гибкой

• Разрешать исключения

• Находить баланс между требованиями бизнеса и безопасностью

• Позволять отдельным подразделениям создавать собственные
политики, базирующиеся на специфических требованиях
Яркий пример - западная компания, работающая в России. Она должна
соблюдать и западные правила классификации (например, метки Confidential,
Public и т.д.) и учитывать закон "О коммерческой тайне", который
подразумевает иные требования к "грифованию" документов

• Не должна быть привязана к конкретным технологиям или
подразделениям

Принятие решения на основе данных – идентификация,
классификация, проверка
• Идентификация владельца данных
• Классификация данных в соответствии с уровнем
конфиденциальности
• Проверка существования средств управления/защиты в
соответствии с результатами классификации

Носитель

Управление/защита


Категория Cisco Confidential Cisco Highly Cisco Restricted
Confidential
Примеры: Большая часть Сведения о Сведения о сделках,
документов компании безопасности, ПДн медицинские данные,
финансовые сведения
Контроль доступа и Доступны сотрудникам Доступны ограниченному Доступ ограничен явно
распространение: любой Cisco, кроме того, доступ кругу сотрудников Cisco, перечисленным кругом лиц;
носитель может предоставляться доступ может доступ предоставляет по
посторонним лицам, для предоставляться решению владельца данных
решения легитимной посторонним лицам, для
бизнес-задачи решения легитимной
бизнес-задачи; доступ
предоставляет по решению
владельца данных
Способ передачи: Шифрование Шифрование Шифрование обязательно
электронная почта рекомендуется при обязательно при при любой передаче
передаче документов и передаче документов и данных; средства: WinZip или
сообщений электронной сообщений электронной CRES
почты по открытым сетям почты по открытым сетям
общего пользования; общего пользования;
средства: WinZip или средства: WinZip или
CRES CRES
Хранение: носитель Нет требований Шифрование данных Шифрование данных
(DVD, USB-накопитель) рекомендуется обязательно


• Интернет-пейджеры
ICQ – это еще не все виды Интернет-
пейджеров (WebEx Connect, QIP и т.д.)

• Мобильные устройства
Смартфоны, iPhone, iPad…

• IP-телефония
Skype – это еще не вся IP-телефония
Умение захватывать голос на ПК – это
еще не DLP


• Lotus Notes или
Documentum
• Системы управления
базами данных (СУБД)
• Системы управления
предприятием (ERP),
цепочками поставок (SCM),
взаимоотношениями с
клиентами (CRM)
• PLM / САПР
• …а если данные
зашифрованы?


Средства совместной работы

Текст Голос и видео
Число участников общения

Социальные сети
Видео по
Много

запросу
Форумы Унифицированные
коммуникации
Wiki Блоги Контакт-
центр

Электронная Средства проведения
Один

почта IM конференций
TelePresence
Документы
Голосовая почта

“Следующей задачей по повышению производительности является
повышение эффективности работы сотрудников, работу которых
невозможно автоматизировать. Ставки в этой игре высоки.”
McKinsey & Company, отчет «Организация XXI века»

Устройства

Provisioning
Desktop Mobile In-Room

Federation
Conferencing Customer Care
Приложения Enterprise Social Software IP Communications
взаимодействия

Administration Maintenance
Encryption
Messaging Telepresence

Клиентские Client Services Medianet Services
Lightweight APIs
сервисы Framework Interface

AAA
COMMUNICATION
Real-time
Presence / Location Metadata Tagging
Messaging

Policy
Real-time
Сервисы Session Mgmt
Data Sharing
Social Graphing

Management Services Operations
взаимодействия Scheduling and
Calendaring
Authoring Semantic Processing

Identity
Workflow Recording/Playback Search
CONTENT

Сервисы Transcoding Transrating Transcribing

Security Services
медиасети Auto-Discovery Auto-Configuration Resource Control

Сетевые сервисы Transport Signaling QoS


• Сопоставление бизнес-стратегии и
стратегии обеспечения ИБ на
основании общего множества данных
• Переход от защиты сети
и хостов к защите данных при
использовании, передаче и хранении
• Оценка значимости данных,
последующее применение мер
обеспечения ИБ
в рамках их жизненного цикла
• Решения на основе данных
Владение
Управление/защита определяются
классом данных

Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco


Praemonitus praemunitus!

Спасибо
за внимание!

security-request@cisco.com

Information classification

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (20)

Similar to Information classification

Similar to Information classification (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

Information classification