Трохи про класифікації для підприємств
Підхід до даних залежить від того, в яких умовах і з чим ми маємо справу. Розглянемо інформаційні активи на прикладі приватного підприємства. Класифікація проводиться з метою забезпечити диференційований підхід до даних з урахуванням рівня їх критичності, що впливають на діяльність, репутацію, ділових партнерів, працівників та клієнтів. Це дозволяє визначити економічну доцільність та пріоритетність різних заходів по формуванню інформаційної безпеки підприємства. Відповідно до законодавством Російської Федерації виділяють:
Загальнодоступну (відкриту) інформацію.
Персональні дані.
Інформацію, яка містить відомості, що становлять банківську таємницю.
Дані, що відносяться до комерційних секретів.
Як оцінити їх важливість? Для цього використовують спеціальні моделі. Давайте розглянемо їх більш уважно.
Класифікаційні моделі
Найчастіше зустрічаються дві з них:
Однофакторная класифікація. Базується на ступені шкоди. Тут просто. Розглянемо невеликий приклад. Активи інформаційної системи розподіляються на чотири блоки в залежності від ступеня ймовірного заподіяння шкоди при витоку даних. Як приклад – мінімальний, потім – середній, високий і наостанок – критичний. Якщо невизначеному колу осіб буде відомо, кого директор приймає сьогодні у своєму кабінеті, то це можна класифікувати як мінімальний вид шкоди. Але от якщо інформація про підкуп державного чиновника витече в прокуратуру, це критичне становище.
Багатофакторна модель класифікації. Базується на трьох класичних параметрах. У даному випадку вся інформація представляє інтерес з точки зору конфіденційності, доступності та цілісності. По кожній позиції вимоги наводяться окремо – високі, середні, низькі. По сукупності вони оцінюються, наприклад, як критичної або базової важливості.
