20 октября, суббота 17:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Статья: "Классификация информации: что, зачем и с помощью чего?" // Алексей Лукацкий

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Статья: "Классификация информации: что, зачем и с помощью чего?" // Алексей Лукацкий

    Вышла очередная статья от Алексей Лукацкий !
    Статья большая (18 страниц), поэтому будет публиковаться в двух частях.

    Ознакомится с первой частью можно здесь: http://bankir.ru/analytics/infosec/480/133332
    Ознакомится со второй частью можно здесь: http://bankir.ru/analytics/infosec/480/134753
    Последний раз редактировалось box_roller; 10.06.2008, 17:13.

  • #2
    В российских компаниях очень часто принимается «Перечень конфиденциальной информации» или «Перечень сведений, составляющих коммерческую тайну», но зачастую они очень неконкретны и туманны.
    Они по определению неконкретны и туманны, ибо перечень сведений (знаний) и не есть перечень документов и файлов. В примере той же платежной квитанции объектом защиты конфиденциальности может являться знание "платеж ушел", а не документ или какая-либо часть его контента, могущие быть ценными с позиций доступности и целостности. И проблема, конечно, в существовании носителей, информации и информации с носителями, т.к. маркируется одно, а классифицируется то второе, то третье

    Комментарий


    • #3
      Ригель Они по определению неконкретны и туманны, ибо перечень сведений (знаний) и не есть перечень документов и файлов.

      Не настолько туманны. Когда в таком списке пишут "и другая информация", это ставит крест на такой бумажке ;-(

      Комментарий


      • #4
        А, ну да - некоторые пункты пишутся для облегчения вздрючивания

        Комментарий


        • #5
          а когда будет продолжение? Все таки интересно
          кстати использование программных средств для классификации информации на мой взгляд обречено на неудачу по следующим причинам:
          1. Документ распечатывается и метки которые были на этих документах необходимо переносить на титульный лист т.е. все равно должна быть работа сотрудников.
          2. Программно (имеется ввиду без участия человека) никак не определить круг сотрудников для которых предназначен документ.
          3. Человеческий фактор, если на отсутствие меток на титульном листе обратят внимание все, то отсутствие того же в свойствах файла не заметит никто.
          4. Ну и наконец зависимость от некоего программного комплекса, а их и так не мало..представьте что нужно изменить систему документооборота в крупной организации в связи со сменой ПО (хотя возможно кого то это не смутит). Кстати я в курсе, что есть системы документооборота например на базе Лотуса и т.п. но не у всех есть деньги для того чтобы развернуть ее на машинках всех сотрудников
          Еще я думаю, что не следует вводить слишком много классификаторов информации 3-4 максимум, мое мнение, что для сотрудника важно определить ЧТО В ДОКУМЕНТЕ и ДЛЯ КОГО он предназначен. А вот остальное уже его волновать не должно т.е я имею ввиду целостность и доступность эта забота должна быть возложена на ИТ и ИБ. Еще раз повторюсь, что это мое личное мнение основаное не на столь уж и большом опыте. Однако буду благодарен если меня в чем то поправят так как сейчас есть задача классификаци и т.п.

          Комментарий


          • #6
            Snip Документ распечатывается и метки которые были на этих документах необходимо переносить на титульный лист т.е. все равно должна быть работа сотрудников.

            Тот же Secret Net мог раньше (не знаю как сейчас) переносить на каждую печатаемую страницу гриф документа.
            А Cisco Security Agent вас спросит, уверены ли вы, что хотите печатать конфиденциальный документ? И ваш ответ попадет в базу для последующих разборок.

            Программно (имеется ввиду без участия человека) никак не определить круг сотрудников для которых предназначен документ.

            Мандатное разграничение решает эту проблему.

            А вот остальное уже его волновать не должно т.е я имею ввиду целостность и доступность

            А как ИБ определит целостность документа, о ценности которого она ничего не знает?

            Комментарий


            • #7
              Так.. предлагаю разобраться:
              1. Цель статьи? Вы хотите показать, как надо делать или как должно быть? т.е. для меня это различные понятия, при выборе цели, "как надо делать" описываем реальную систему (желательно с учетом соотношения цена/качество). При выборе цели "как должно быть" у нас получается теоретический труд, что то вроде учебника Ландау-Лившица..вроде много, интересно, но плохо понятно, как применить в жизни.
              2. Предлагаю определить используемые в статье понятия. Вполне допускаю мысль, что в понимание ИБ вы обогнали многих на этом сайте в частности и в России вообще, поэтому крайне интересно, что понимаете вы. Так например для меня Целостность информации - существование информации в неиска­женном виде (неизменном по отношению к некоторому фиксированно­му ее состоянию) (Определение нашел в интернете, но я с ним полностью согласен).
              Поэтому фразу А как ИБ определит целостность документа, о ценности которого она ничего не знает? я просто не понял, а если бы ИБ знало ценность, как бы она определила целостность? И ИБ на мой взгляд не определяет, а обеспечивает (в данном контексте)..
              Еще в описанном мною случае ИБ если и не знает точно о ценности документа то по крайней мере подозревает т.е. создателем/владельцем документа определен гриф коммерческая тайна, банковская, ДСП и круг лиц для которых документ предназначен (подход новизной не отличается)

              ну и по ответам:
              Тот же Secret Net мог раньше (не знаю как сейчас) переносить на каждую печатаемую страницу гриф документа.
              А Cisco Security Agent вас спросит, уверены ли вы, что хотите печатать конфиденциальный документ? И ваш ответ попадет в базу для последующих разборок.

              По Secret Net возникает вопрос не проще ли поставить всем Lotus и реализовать документооборот в нем?
              По Cisco Security Agent хорошо, что спросит и попадет, особенно учитывая, что в банке почти все в той или иной степень конфиденциально...в статье предполагается наличие как минимум 1 специалиста по ИБ на 50 человек?

              Комментарий


              • #8
                Snip Цель статьи?

                Дать почву для размышлений и, возможно, натолкнуть на мысль о классифиации.

                а если бы ИБ знало ценность, как бы она определила целостность?

                Чем ценнее, тем целостнее...

                По Secret Net возникает вопрос не проще ли поставить всем Lotus и реализовать документооборот в нем?

                Не проще для большинства ситуаций. Да и не сертифицирован он.

                в статье предполагается наличие как минимум 1 специалиста по ИБ на 50 человек?

                С чего вдруг? Может и на 500 человек; и на 50000 ;-)

                Комментарий


                • #9
                  Для меня "как надо" и "как должно быть" - это одно и тоже. Иначе мы будем жить так, как живем.

                  Комментарий


                  • #10
                    Честно говоря, я тоже не понимаю цель статьи.
                    Зачем приводить рассуждения по каким принципам происходит классификация информации?
                    Мне кажется, это и так понятно.
                    А то так можно вообще каждое слово разжевывать.

                    Совершенно не понимаю зачем приводить многочисленный зарубежный опыт, у нас все равно так быть не может по многим причинам.
                    Можно написать отдельную статью на тему "как это делают у них", но пытаться это слепо применять у нас бесполезно.

                    Всю статью можно свести к одному тезису: "ценность и классификацию информации нужно определять совместно с ее владельцем". Все.

                    Комментарий


                    • #11
                      Можно конечно. Вообще все можно свести к тезису: "надо жить правильно".

                      Комментарий


                      • #12
                        Сообщение от Berrimor Посмотреть сообщение
                        Совершенно не понимаю зачем приводить многочисленный зарубежный опыт, у нас все равно так быть не может по многим причинам.
                        А вот с этого момента, если можно, поподробнее. Я пока ни одной причины не вижу (зашоренность отдельных бывших сотрудников "органов" не в счет).
                        Последний раз редактировалось malotavr; 06.06.2008, 19:31.

                        Комментарий


                        • #13
                          Алексей,
                          на мой взгляд, из сложной и интересной проблемы классификации активов вы рассмотрели два второстепенных момента:
                          - как построить отображение многомерного пространства факторов в одномерное пространство меток
                          - как метить файлы/документы

                          За бортом остались действительно актуальные вопросы, например:
                          - зачем вообще нужна агрегированная классификация?
                          - из каких соображений оценивать базовые факторы (например, конфиденциальность)?
                          - как метить недокументарную информацию?

                          Ответ на второй вопрос (именно ваш ответ) был бы очень интересен. Я могу для отдельно взятой организации построить модель оценки любого из факторов, но она будет основана на анализе рисков (со всеми его недостатками). Но если мы отвергаем анализ рисков, как оценивать?

                          Комментарий


                          • #14
                            malotavr Но если мы отвергаем анализ рисков, как оценивать?

                            А кто отвергает? Я отвергаю идею использования количественного анализа рисков. А качественная оценка остается. Что касается оценки базовых факторов, то на МОЙ взгляд тут все просто. Всякие анализы риска (даже качественны) только усложняют процедуру. Тем более, что мы исходим из того, что класс присваивает владелец, а он не будет заниматься сложной оценкой. Как я оценил бы свою информацию (по любому свойству). Если от нарушения свойства документа/информации ничего ДЛЯ МЕНЯ не произойдет, то класс "низкий" (0). Если будет очень плохо, то класс "высокий" (1). И промежуточный вариант - ни то, ни се (0,5). И все ;-) Просто и понятно.

                            Комментарий


                            • #15
                              Сформулирую по-другому.

                              Я понимаю все недостатки анализа рисков. "... на МОЙ взгляд ..." - это на взгляд владельца или эксперта. Оба взгляда субъективны. Вам встречались модели, в которых ущерб рассчитывался бы на основании менее субъективных оценок? Мне - нет, но мало ли....

                              Комментарий


                              • #16
                                malotavr Вам встречались модели, в которых ущерб рассчитывался бы на основании менее субъективных оценок?

                                Только при условии умения оценивать стоимость информации и вообще активов.

                                Комментарий


                                • #17
                                  Сообщение от malotavr Посмотреть сообщение
                                  А вот с этого момента, если можно, поподробнее. Я пока ни одной причины не вижу (зашоренность отдельных бывших сотрудников "органов" не в счет).
                                  Дело в том, что у нас разный менталитет, отсюда разные модели нарушителей и разные риски.
                                  Слепо копировать зарубежный опыт совершенно бессмысленно.

                                  Комментарий


                                  • #18
                                    Сообщение от Berrimor Посмотреть сообщение
                                    Дело в том, что у нас разный менталитет, отсюда разные модели нарушителей и разные риски.
                                    Слепо копировать зарубежный опыт совершенно бессмысленно.
                                    Не согласен.

                                    Во-первых, сколько сталкивался с руководителями подразделений по ИБ в госорганах, столько раз убеждался: даже в госорганах решения принимаются из соображения "что мне за это будет?". Я не про откаты, хотя и это имеет место. По опыту работы в министерстве: внедряем IDS, потому что после следующего DDoS снимут начальника сетевиков. Канал связи Москва-Питер резервируем, потому что после следующего срыва видеоконференции с министром снимут начальника ВЦ. И т.п. Так что менталитет в смысли классификации ресурсов у нас одинаковый, просто приоритеты разные.

                                    Во-вторых, угрозы зависят от объективных особенностей наших систем и возможностей нарушителя. Возможности нарушителя определяются его квалдификацией, мотивацией и т.п. Как видите, от нашего с вами менталитета угрозы никак не зависят.

                                    Естественно, слепо копировать опыт глупо, его нужно адаптировать к конкретной организации. Но квасной патриотизм тут, на мой взгляд, не уместен

                                    Комментарий


                                    • #19
                                      Опубликовали вторую часть статьи.
                                      Здесь: http://bankir.ru/analytics/infosec/480/134753

                                      Комментарий


                                      • #20
                                        Алексей, а я пропустил Ваш способ ответа на присутствующий в названии вопрос "зачем"?

                                        Комментарий


                                        • #21
                                          Ригель Алексей, а я пропустил Ваш способ ответа на присутствующий в названии вопрос "зачем"?

                                          В начале статьи:

                                          Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите - очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или затраты на защиту станут непомерными из необоснованного повышения категории защищаемой информации.

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий
                                            Классификация как элемент инвентаризации активов, подлежащих защите
                                            Вот именно, что инвентаризации. Фишка-то в том, что рисканализисный подход делает классификацию как таковую ненужной: отделение объектов заботы от не объектов заботы нужно, но раскладывание объектов на сортовые кучки уже идет лесом, т.к. защита все равно будет строиться на индивидуальной основе, а не классовой. Выходит, что остается работать только маркировка (информирование незлоумышленного большинства о принадлежности сведения к тем, об ограничении распространения которых ранеее уславливались), но и опять это идентификация, а не классификация.

                                            Комментарий


                                            • #23
                                              А многие ли перешли на "рискованный" подход?

                                              Комментарий


                                              • #24
                                                "Пересмотр класса информации
                                                Эта процедура должна быть формализована и описана в соответствующем документе, который должен анализироваться и пересматриваться не реже, чем раз в год.
                                                "
                                                Разве это процедура не является естественной и неотъемлемой частью процесса "управления информационными рисками"? К чему заострять на ней внимание.

                                                По ходу изложения матерьяла в статье, мы постоянно упираемся в ограничения/проблемы, накладываемые существующими (или отсутствующими) в организации системами документооборота. Может тогда от них и стоит "плясать". Не придумывать как будет хорошо и безопасно, а потом безрезультатно пытаться это применить в деле. А посмотреть, что можно реально сделать при существующем документообороте в организации, и сделать это, смирившись с возможными недостатками решения.
                                                А если существующая система документооборота принципиально не подходит под требования ИБ, то возможно стоит сначала заняться системой документооборота, а не ИБ

                                                Комментарий


                                                • #25
                                                  box_roller
                                                  А если существующая система документооборота принципиально не подходит под требования ИБ, то возможно стоит сначала заняться системой документооборота, а не ИБ
                                                  Есть одно большое "НО":
                                                  если существующая система документооборота, пусть даже и не соответствующая требованиям ИБ, в текущий момент удовлетворяет требованиям, предъявляемым к ней бизнесом, то думается мне:
                                                  в 8 случаях из 10 бизнес предпочтёт либо пренебречь требованиями ИБ к этой системе, либо решить вопрос по армейскому принципу - "Делайте с ней (системой) что хотите, но чтоб безопасность её была обеспечена!"...
                                                  Всё в наших руках...(с)

                                                  Комментарий


                                                  • #26
                                                    box_roller Может тогда от них и стоит "плясать". Не придумывать как будет хорошо и безопасно, а потом безрезультатно пытаться это применить в деле. А посмотреть, что можно реально сделать при существующем документообороте в организации, и сделать это, смирившись с возможными недостатками решения.

                                                    Как правильно отметил Пух575 документооборот из-за несоответствия процедуре классификации менять никто не будет. Я бы даже поменял отношение на "в 10 случаях из 10" (если не пришло время менять систему).

                                                    По ходу изложения матерьяла в статье, мы постоянно упираемся в ограничения/проблемы, накладываемые существующими (или отсутствующими) в организации системами документооборота.

                                                    Именно так. А все потому, что при выборе системы документооборота не привлекалась служба ИБ. И теперь приходится латать дыры.

                                                    Разве это процедура не является естественной и неотъемлемой частью процесса "управления информационными рисками"? К чему заострять на ней внимание.

                                                    К тому, что нечасто я видел документы в которых был раздел про их пересмотр ;-( Такое впечатление, что документы разрабатываются "на века" или их авторы думают только о сегодняшнем дне, забывая про будущее.

                                                    Может тогда от них и стоит "плясать".

                                                    Их слишком много ;-( И дело не ограничивается Documentum'ом, Lotus'ом, Outlook'ом и т.п. Есть куча самопальных решений. Да и именитые не покрывают все типы документов. Тут скорее проблема культуры работы с документами, чем технологическая проблема.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от box-roller
                                                      существующими (или отсутствующими) в организации системами документооборота. Может тогда от них и стоит "плясать".
                                                      Даже если при этом опустить слово "системы", а "документооборот" заменить на более широкое "управлениe документами и записями", то за рамками проблемы останется, как минимум, весь цифровой и голосовой мессаджинг, а там львиная доля реальной коммуникации.

                                                      Комментарий


                                                      • #28
                                                        Я так понимаю, все же проще будет при проведении классификации, если оталкиваться от рисков.
                                                        Т.е. берем объект (не важно что это, либо информационный актив, либо актив програмного обеспечения, либо физический актив, либо услуга) и выделяем из него признаки и критерии классификации с точки зрения риска. Т.е. какие признаки и критерии нужно выделить у объекта классификации, при возникновении угроз, последствий этих угроз, уязвимость информации (о объекте) и средств обработки объекта, в разрезе свойст информации (конфедециальности, целостности и доступности).

                                                        Комментарий


                                                        • #29
                                                          Берем ноутбук зампреда Банка с информацией о стратегии развития банка, ключевых клиентах, схемах обналички и т.п. Он оставил его на переднем сиденье машины во время заправки на АЗС. Придя обратно, оказалось, что переднее стекло разбито и ноутбук украден. С точки зрения риска у вас может быть как риск нулевой, если ноутбук украден бомжом ради продажи "дорогой железки", так и максимальный риск, если ноутбук украден конкурентами. Как классифицировать?

                                                          Комментарий


                                                          • #30
                                                            Коллеги, смотрю РС БР ИББС-2.2-2009 Методика оценки рисков.

                                                            Там есть такой пункт

                                                            4.4. Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов. Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.
                                                            Подскажите, плиз, в каких нормативных актах надо искать противоречит ли мой перечень нормам законодательства или нет?

                                                            Даже конкретнее, если взять ЦБшный перечень

                                                            - информация ограниченного доступа:
                                                            - информация, содержащая сведения, составляющие банковскую тайну:
                                                            - платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций);
                                                            - информация, содержащая сведения, составляющие коммерческую тайну;
                                                            - персональные данные;
                                                            - управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);
                                                            - открытая (общедоступная) информация.
                                                            и сократить его вот так:
                                                            - информация в отношении которой установлены требования конфиденциальности (платежная информация, банковская тайна, персональные данные)
                                                            - информация, содержащая сведения, составляющие коммерческую тайну;
                                                            - открытая (общедоступная) информация;
                                                            - управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);

                                                            Чего я нарушаю?
                                                            Что бы вы добавили?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X