ISO/EIC 17799:2000
©
ISO/EIC 2000,
© Перевод компании Информзащита 2004
23
поможет создать необходимый перечень уровней защиты и пояснить пользователям
потребность в особом обращении.
5.2.1 Принципы классификации
При классификации и введении соответствующих мер защиты
информации необходимо
учитывать потребности организации в совместном использовании и ограничении доступа к
информации, а также возможный ущерб, связанный с
этими потребностями, например, в
результате несанкционированного доступа или повреждения информации.
Как правило,
классификация информации помогает быстро установить,
как следует обращаться с
определенной информацией и какие меры защиты необходимо к ней применять.
Информацию и результаты работы систем, работающих с конфиденциальными данными,
необходимо маркировать (указывать гриф) согласно ценности и важности для организации.
Кроме того, маркирование информации может потребоваться и для того, чтобы определить ее
важность
для организации; например, можно категорировать информацию в терминах ее
целостности и доступности.
Зачастую информация теряет
конфиденциальность или
критичность по истечении определенного периода времени – например, после ее открытой
публикации.
Эти аспекты следует учитывать, поскольку
присвоение слишком высоких
уровней конфиденциальности может стать причиной неоправданных дополнительных
расходов.
Принципы классификации должны отражать тот факт,
что категория любой
единицы информации не обязательно будет фиксированной в течение всего времени и может
изменяться согласно некоторой заранее определенной политике (см. раздел 9.1).
Необходимо определить требуемое количество категорий классификации и преимущества от
их использования.
Слишком высокая сложность схем может привести к тому, что
классификация станет неудобной и неэкономичной или окажется неприменимой на практике.
Будьте внимательны при интерпретации классификационных меток на документах,
поступающих из других организаций, поскольку в них категории с теми же названиями могут
иметь другое значение.
Ответственность за определение категории информации (например,
документа, записи базы
данных, файла или дискеты) и за периодическую проверку этой категории должна лежать на
создателе или назначенном владельце этой информации.
Достарыңызбен бөлісу: