# Категорирование информационных ресурсов
## П1.3.100 Категорирование информационных ресурсов

### Введение
> *Информационная безопасность* – это состояние защищенности информационной среды. Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Однако, прежде чем защищать информацию, необходимо определить, какую именно информацию следует защищать и в какой степени. Для этого применяется категорирование (классификация) информации, т. е. установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям. Таким образом, категорирование информации можно назвать первым шагом на пути к обеспечению информационной безопасности организации.

Исторически сложилось, что при классификации информации ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом требования по обеспечению доступности и целостности часто не учитываются. Это неверный подход. Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации важнейшими свойствами являются доступность и целостность. Исходя из необходимости обеспечения различных уровней защиты информации можно ввести различные категории конфиденциальности, целостности и доступности.

### 1. Категории целостности информации**
Существуют три основных аспекта ИБ: **доступность, конфиденциальность и целостность**. Нарушения ИБ могут затрагивать лишь часть этих аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности. Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий.

> *Целостность информации* – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество. Вводятся следующие категории целостности информации: Высокая – к данной категории относится информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба деятельности организации. Пример: Бухгалтерская отчетность, исходный код программного обеспечения банковской системы.

**Низкая** – к данной категории относится информация, несанкционированная модификация которой может привести к нанесению умеренного или незначительного ущерба деятельности организации. 
Пример: Внутренняя база знаний технической поддержки. 
**Нет требований** – к данной категории относится информация, к обеспечению целостности которой требований не предъявляется. 
Пример: Кэшированные данные веб-страниц.

![](1.gif)
Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как:

**Низкий**, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие. 
Пример: Организация остается способной выполнять свою миссию, но эффективность основных функций оказывается заметно сниженной.

**Умеренный**, если потеря оказывает серьезное вредоносное воздействие. 
Пример: Компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной; организации причиняется значительный ущерб.

**Высокий**, если потеря оказывает тяжелое или катастрофически вредоносное воздействие. 
Пример: Компания теряет способность выполнять все или некоторые из своих основных функций; активам организации причиняется крупный ущерб.

Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов.

### 2. Минимальные (базовые) требования безопасности
> **Минимальные (базовые)** требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы.

![](2.gif)
Рисунок 2. Уровни информационной безопасности

Минимальные требования безопасности охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

![](3.gif)
Рисунок 3. Базовые требования безопасности к информации и ИС.

Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.

Примеры минимальных требований:

Оценка рисков: В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. 
Планирование безопасности: Необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС. 
Кадровая безопасность: Обеспечить надежность должностных лиц, занимающих ответственные посты; обеспечить защиту информации при увольнении или перемещении сотрудников. 
Управление доступом: Обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям. Протоколирование и аудит: Создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной активности. Физическая защита: Предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу.

### 3. Выбор базового набора регуляторов безопасности с целью выполнения требований безопасности
Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности. Регуляторы безопасности подразделяются на: административные, процедурные и программно-технические.

Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.

Регуляторы безопасности для минимального уровня ИБ (примеры):

![](4.gif)
Рисунок 4. Регуляторы безопасности по уровням ИБ

Оценка рисков: Разработка официальной документированной политики оценки рисков. Категорирование данных и информационной системы, документирование результатов.
Планирование безопасности: Разработка и реализация для информационной системы плана безопасности. Установление и доведение до сведения пользователей ИС набора правил поведения. Закупка систем и сервисов: Определение и выделение ресурсов, необходимых для адекватной защиты информационной системы. Включение в контракты на закупку требований безопасности.

![](5.gif)
Рисунок 5. Поддержание необходимого уровня безопасности

### 4. Дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ
> Для **умеренного** уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.

Примеры регуляторов для умеренного уровня:

Оценка рисков: сканирование уязвимостей. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе. Закупка систем и сервисов: принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности.
Физическая защита: мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. Планирование бесперебойной работы: тестирование плана. С заданной частотой тестируется план обеспечения бесперебойной работы информационной системы.

### 5. Дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ
На **высоком** уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.

Примеры регуляторов для высокого уровня:

Оценка рисков: сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы.
Физическая защита: мониторинг физического доступа. Применяются автоматические механизмы, чтобы обеспечить выявление потенциальных вторжений и инициирование реакции на них. 
Планирование бесперебойной работы: запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых эксплуатационных возможностей и готовности к использованию в качестве производственной площадки.
Управление конфигурацией: Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы.

### 6. Минимальные требования доверия для регуляторов безопасности
Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Эти процессы и действия выполняются для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты.

> На **минимальном** уровне необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям. 
> На** умеренном** уровне дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. 
> На **высоком** уровне необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.

![](6.gif)
Рисунок 6. Обеспечение информационной безопасности. Процессный подход.

*Заключение:* Категорирование информационных ресурсов является отправной точкой для построения целостной и эффективной системы информационной безопасности, позволяя сопоставить уровень защищенности информационной системы с ценностью обрабатываемой в ней информации и потенциальным ущербом от нарушения ее безопасности.