Что такое категорирование информации и зачем оно нужно?
Категорирование информации – это установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям.
Оно нужно для того, чтобы:
1) Определить, какую информацию защищать и в какой степени. Это первый шаг к построению системы информационной безопасности организации.
2) Преодолеть ошибочный исторический подход, при котором учитывалась только конфиденциальность (секретность). Для открытой информации важнейшими могут быть доступность и целостность.
3) Сопоставить уровень защищенности информационной системы с ценностью обрабатываемой в ней информации и потенциальным ущербом от ее нарушения.

По каким 3 параметрам оценивается информация?
Информация оценивается отдельно по трем основным аспектам (свойствам) информационной безопасности:
1) Доступность – свойство, обеспечивающее возможность получения информации и связанных с ней активов авторизованными пользователями в нужное для них время.
2) Конфиденциальность – свойство, обеспечивающее доступ к информации только для авторизованных пользователей.
3) Целостность – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество (остаются неизменными).

Как определить, к какой категории отнести информацию?
Категория информации определяется на основе оценки потенциального ущерба для организации в случае нарушения ее свойств (доступности, конфиденциальности, целостности). Размер ущерба оценивается по трехуровневой шкале:
1) Высокая категория (например, целостности) присваивается, если нарушение может привести к высокому (тяжелому или катастрофическому) ущербу.
Пример: Компания теряет способность выполнять свои основные функции; причиняется крупный ущерб активам.
2) Низкая категория присваивается, если нарушение может привести к умеренному или незначительному ущербу.
Пример: Эффективность основных функций существенно или заметно снижается, но компания продолжает работать.
3) Категория "Нет требований" присваивается, если нарушение не наносит существенного ущерба или ущерб отсутствует.
Пример: Кэшированные данные веб-страниц.
Для информационной системы: ее итоговая категория определяется по максимуму категорий всей хранимой, обрабатываемой и передаваемой в ней информации, а также с учетом ценности активов самой системы.

Что такое регуляторы безопасности и как они связаны с категориями?
Регуляторы безопасности – это соответствующие меры и средства защиты (административные, процедурные и программно-технические), выбор и реализация которых являются необходимым условием выполнения требований безопасности.
1) Связь между регуляторами и категориями прямо пропорциональная:
Выбор регуляторов безопасности осуществляется на основе результатов категорирования. Сначала определяется категория информации и системы, а затем подбираются адекватные ей меры защиты.
2) Для каждого уровня категории (минимальный, умеренный, высокий) существует свой предопределенный базовый набор регуляторов.
Минимальный уровень: Базовые требования для всех систем (политика безопасности, оценка рисков, управление доступом).
Умеренный уровень: Усиленные регуляторы (сканирование уязвимостей, мониторинг физического доступа в реальном времени).
Высокий уровень: Максимальные меры защиты (автоматические системы реакции на вторжения, полностью готовые запасные площадки).