Information classification

1/37 © Cisco, 2010. Все права защищены.

Классификация информации Анонс нового исследования

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 237

А зачем нам классификация? Классификация 1.0

Давайте классифицировать! Классификация 3.0

А у меня есть перечень КИ! Классификация 2.0

3 © Cisco, 2010. Все права защищены.


1. Определение важных данных

Базы данных, системы хранения, каналы связи, оконечные устройства

2. Установка политики защиты данных

Укрепление политики безопасности данных для предотвращения случайной и намеренной утечки данных

3. Безопасное подключение

Устранение точек несанкционированного доступа, шифрование удаленных подключений, контроль беспроводного доступа

4. Управление доступом

Ограничение доступа к важным сетям, базам данных и файлам

5. Контроль утечек (DLP)

Контроль важных данных в местах повышенного риска, проверка содержимого на основе политик, допустимое использование, шифрование

Для защиты от потерь и краж конфиденциальных данных необходима многоуровневая

платформа безопасности

Контроль

утечек

(DLP)

Управление

доступом

Безопасные

подключения

Самозащищающаяся сеть


• В абсолютном большинстве организаций существуют перечни сведений конфиденциального характера

Которые определяют только направление, но не содержание защищаемой информации

• Информация о клиенте

Номер счета – это информация о клиенте, но надо ли ее защищать в отрыве от ФИО клиента?

Иванов И.И. – это ФИО клиента, но надо ли ее защищать, если «цена» этого клиента для банка равна нулю, а договор с ним прекратил свое действие?

• Врачебная тайна

Диагнозы многих болезней безопасник не только не знает, но и выговорить не может ;-)



• Классификация информации – разделение существующих информационных активов организации по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ

СТО БР ИББС-1.0-2008

• Классификацию информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности

СТО БР ИББС-1.0-2008


• Классификация – это схема, разделяющая информацию на категории, такие как: возможность мошенничества, конфиденциальность или критичность информации, с целью возможности применения соответствующих защитных мер

ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по информационной безопасности

• Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников

Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты

Р Газпром 4.2.3-001. Методика классификации объектов защиты



• ФЗ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»

• ФЗ от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и защите информации»

• Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 года №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

• СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения»

• Методические организации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости


• Р Газпром 4.2-3-001-20ХХ. Методика проведения классификации информационных систем персональных данных ОАО «Газпром», его дочерних обществ и организаций

• СТО Газпром 4.2-3-004-2009. Система обеспечения информационной безопасности ОАО «Газпром». Классификация объектов защиты

• ISO/IEC 27002:2005 Информационные технологии – Свод правил по управлению защитой информации

• ISO/IEC 20000-2 Информационные технологии – Управление услугами. Свод практик

• ISO/IEC TR 13569:2005 Финансовые услуги – Рекомендации по информационной безопасности


• BSI Standard 100-1 Information Security Management Systems (ISMS)

• BSI-Standard 100-2: IT-Grundschutz Methodology

• The Standard of Good Practice for Information Security (от ISF)

• OWASP Mobile Security Project Классификация для мобильных устройств

• И т.д.



Год

Новые

действия по

классификации

Деклассификацированные

документы

Стоимость

классификации

Цена

деклассификации

2001 $8 650 735 $10 0104 990 4,5 млрд.$ 232 млн.$

2002 $11 271 618 $44 365 711 5,5 млрд.$ 113 млн.$

2003 $14 228 020 $4 3093 233 6,4 млрд.$ 54 млн.$

2004 $15 645 237 $2 8413 690 7,1 млрд.$ 48 млн.$

2005 $14 206 773 $2 9540 603 7,7 млрд.$ 57 млн.$

2006 $20 556 445 $3 7647 993 Нет данных Нет данных


• Что такое классификация?

• Зачем нужна классификация информации?

• Схемы классификации

Иерархическая

Фасетная

Дескрипторная

• Свойства или признаки информации

• Существующие подходы к классификации

• Классификация для безопасника или для бизнеса


Ущерб Класс конфиденциальности

Отсутствует Публичный

Финансовый – отсутствует; возможен

иной ущерб для компании или ее

сотрудников, который не сказывается

на финансовых показателях.

Для внутреннего использования

До 10 миллиона рублей Конфиденциально

Свыше 10 миллиона рублей Секретно

Однофакторная классификация, привязанная к

ущербу


Конфиденциаль

ность

Целостность Доступность Класс

Высокая Высокая, средняя

или низкая

Высокая, средняя

или низкая

Restricted

Средняя или

низкая

Высокая Высокая, средняя

или низкая

Sensitive


низкая


низкая

Высокая Sensitive

Средняя Средняя Средняя Sensitive

Низкая Средняя Средняя Operational

Низкая Низкая Низкая Unrestricted

Многофакторная классификация с единым классом

информации


Многофакторная независимая классификация

Информационный

актив

Доступность Целостность Конфиденциально

сть

Актив №1 низкая средняя высокая

Актив №2 низкая высокая низкая

… … … …

Актив №n высокая низкая Средняя


• Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года

• Дана методика оценки важности (ценности) информации 5 степеней важности по конфиденциальности

3 степени важности по целостности

3 степени важности по доступности


Она имеет ценность

Имеет ценность для вас

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать


Рейтинг Описание Репутация Операции Безопасность Правовой Финансы Стратегия

Ни

зки

й

3 Незначитель

ный

«Стандартные

» язвительные

высказывания

в

национальной

прессе или

размещенные

в Интернет о

банке

Временное

невыполне-

ние

обслужива-

ния (около 1

часа)

Утечка

незначитель-

ного

количества

информации

Поправимая

возможность

несоответствия

требованиям

регуляторов

~$5000 Политики или

стандарты не

поддерживают

ся

Вы

со

кий

9 Катастрофа Широкое

освещение

прессой и

телевидением

Полное

невыполне-

ние

обслужива-

ния в

течение

нескольких

недель

Мошенничест-

во крупного

масштаба

(оценка

масштаба

отсутствует)

Систематичес-

кое и

умышленное

несоблюдение

законодатель-

ства топ-

менеджментом

~$1 000

000 000

Будущее

банка под

сомнение


• Проблемы классификации

Классификацией занимаются службы ИБ

Нежелание классифицировать информацию

Многокритериальная классификация

Передача классифицированной информации за пределы организации

Классификация компилированных материалов

Разные классы информации в одном файле/документе

Пересмотр класса информации

Маркировка носителей информации

Классификация динамически создаваемой информации

Маркировка бумажных документов

Непонимание жизненного цикла информации


• 4 факта с низким классом

Совет директоров московского банка принял решение о приобретении регионального банка (без имен и регионов)

Группа высокопоставленных сотрудников банка осуществила поездку в Екатеринбург

Число поездок группы высокопоставленных сотрудников банка превысило 10 за последний квартал

Длительность телефонных разговоров с екатеринбургским банком Х ежедневно составляет около часа

• Скомпилированная информация – максимальный класс

До момента поглощения


• Жизненный цикл информации

• Политики классификации

• А все-таки как правильно или есть ли универсальный метод классификации?!




• Быть краткой

• Содержать не более 3-4 классификаций

• Быть гибкой

• Разрешать исключения

• Находить баланс между требованиями бизнеса и безопасностью

• Позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях

Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов

• Не должна быть привязана к конкретным технологиям или подразделениям



Принятие решения на основе данных – идентификация, классификация, проверка

• Идентификация владельца данных

• Классификация данных в соответствии с уровнем конфиденциальности

• Проверка существования средств управления/защиты в соответствии с результатами классификации

Классификация

Управление/защита

Носитель


Категория Cisco Confidential Cisco Highly

Confidential

Cisco Restricted

Примеры: Большая часть

документов компании

Сведения о

безопасности, ПДн

Сведения о сделках,

медицинские данные,

финансовые сведения

Контроль доступа и

распространение: любой

носитель

Доступны сотрудникам

Cisco, кроме того, доступ

может предоставляться

посторонним лицам, для

решения легитимной

бизнес-задачи

Доступны ограниченному

кругу сотрудников Cisco,

доступ может

предоставляться

посторонним лицам, для

решения легитимной

бизнес-задачи; доступ

предоставляет по решению

владельца данных

Доступ ограничен явно

перечисленным кругом лиц;

доступ предоставляет по

решению владельца данных

Способ передачи:

электронная почта

Шифрование

рекомендуется при

передаче документов и

сообщений электронной

почты по открытым сетям

общего пользования;

средства: WinZip или

CRES

Шифрование

обязательно при

передаче документов и

сообщений электронной

почты по открытым сетям

общего пользования;

средства: WinZip или

CRES

Шифрование обязательно

при любой передаче

данных; средства: WinZip или

CRES

Хранение: носитель

(DVD, USB-накопитель)

Нет требований Шифрование данных

рекомендуется

Шифрование данных

обязательно


• Интернет-пейджеры

ICQ – это еще не все виды Интернет-пейджеров (WebEx Connect, QIP и т.д.)

• Мобильные устройства

Смартфоны, iPhone, iPad…

• IP-телефония

Skype – это еще не вся IP-телефония

Умение захватывать голос на ПК – это еще не DLP


• Lotus Notes или Documentum

• Системы управления базами данных (СУБД)

• Системы управления предприятием (ERP), цепочками поставок (SCM), взаимоотношениями с клиентами (CRM)

• PLM / САПР

• …а если данные зашифрованы?


“Следующей задачей по повышению производительности является повышение эффективности работы сотрудников, работу которых невозможно автоматизировать. Ставки в этой игре высоки.”

McKinsey & Company, отчет «Организация XXI века»

Текст Голос и видео

Чи

сл

о у

частн

ико

в о

бщ

ени

я

Средства совместной работы

Документы

Од

ин

Мно

го

Электронная

почта IM TelePresence

Унифицированные

коммуникации

Голосовая почта

Форумы

Видео по

запросу

Wiki Блоги Контакт-

центр

Средства проведения

конференций

Социальные сети


Сетевые сервисы

Сервисы медиасети

Сервисы взаимодействия

Клиентские сервисы

Приложения взаимодействия

Устройства

Transport Signaling QoS

Auto-Discovery

Transcoding

Auto-Configuration

Transrating

Resource Control

Transcribing

Workflow

Scheduling and Calendaring

Session Mgmt

Presence / Location

Recording/Playback

Authoring

Real-time Data Sharing

Real-time Messaging

Search

Semantic Processing

Social Graphing

Metadata Tagging

COMMUNICATION

CONTENT

Client Services Framework

Medianet Services Interface

Lightweight APIs

Messaging

Enterprise Social Software

Conferencing

Telepresence

IP Communications

Customer Care

Desktop Mobile In-Room

Secu

rity

Serv

ices

Id

entity

P

olic

y

AA

A

Encry

ption

Federa

tion

Pro

vis

ionin

g

Main

tenance

Adm

inis

tration

Opera

tions

Man

ag

em

en

t S

erv

ices


Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.

• Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных

• Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении

• Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла

• Решения на основе данных

Владение

Классификация

Управление/защита определяются классом данных


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

Self Improvement

Information classification