|
|
@@ -0,0 +1,31 @@
|
|
|
+Что такое категорирование информации и зачем оно нужно?
|
|
|
+Категорирование информации – это установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям.
|
|
|
+Оно нужно для того, чтобы:
|
|
|
+1) Определить, какую информацию защищать и в какой степени. Это первый шаг к построению системы информационной безопасности организации.
|
|
|
+2) Преодолеть ошибочный исторический подход, при котором учитывалась только конфиденциальность (секретность). Для открытой информации важнейшими могут быть доступность и целостность.
|
|
|
+3) Сопоставить уровень защищенности информационной системы с ценностью обрабатываемой в ней информации и потенциальным ущербом от ее нарушения.
|
|
|
+
|
|
|
+По каким 3 параметрам оценивается информация?
|
|
|
+Информация оценивается отдельно по трем основным аспектам (свойствам) информационной безопасности:
|
|
|
+1) Доступность – свойство, обеспечивающее возможность получения информации и связанных с ней активов авторизованными пользователями в нужное для них время.
|
|
|
+2) Конфиденциальность – свойство, обеспечивающее доступ к информации только для авторизованных пользователей.
|
|
|
+3) Целостность – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество (остаются неизменными).
|
|
|
+
|
|
|
+Как определить, к какой категории отнести информацию?
|
|
|
+Категория информации определяется на основе оценки потенциального ущерба для организации в случае нарушения ее свойств (доступности, конфиденциальности, целостности). Размер ущерба оценивается по трехуровневой шкале:
|
|
|
+1) Высокая категория (например, целостности) присваивается, если нарушение может привести к высокому (тяжелому или катастрофическому) ущербу.
|
|
|
+Пример: Компания теряет способность выполнять свои основные функции; причиняется крупный ущерб активам.
|
|
|
+2) Низкая категория присваивается, если нарушение может привести к умеренному или незначительному ущербу.
|
|
|
+Пример: Эффективность основных функций существенно или заметно снижается, но компания продолжает работать.
|
|
|
+3) Категория "Нет требований" присваивается, если нарушение не наносит существенного ущерба или ущерб отсутствует.
|
|
|
+Пример: Кэшированные данные веб-страниц.
|
|
|
+Для информационной системы: ее итоговая категория определяется по максимуму категорий всей хранимой, обрабатываемой и передаваемой в ней информации, а также с учетом ценности активов самой системы.
|
|
|
+
|
|
|
+Что такое регуляторы безопасности и как они связаны с категориями?
|
|
|
+Регуляторы безопасности – это соответствующие меры и средства защиты (административные, процедурные и программно-технические), выбор и реализация которых являются необходимым условием выполнения требований безопасности.
|
|
|
+1) Связь между регуляторами и категориями прямо пропорциональная:
|
|
|
+Выбор регуляторов безопасности осуществляется на основе результатов категорирования. Сначала определяется категория информации и системы, а затем подбираются адекватные ей меры защиты.
|
|
|
+2) Для каждого уровня категории (минимальный, умеренный, высокий) существует свой предопределенный базовый набор регуляторов.
|
|
|
+Минимальный уровень: Базовые требования для всех систем (политика безопасности, оценка рисков, управление доступом).
|
|
|
+Умеренный уровень: Усиленные регуляторы (сканирование уязвимостей, мониторинг физического доступа в реальном времени).
|
|
|
+Высокий уровень: Максимальные меры защиты (автоматические системы реакции на вторжения, полностью готовые запасные площадки).
|
