Вика Рябова 26.04.17
Национальная ассоциация государственных IT-директоров США (National Association of State Chief Information Officers, NASCIO) опубликовала план действий по разумным инвестициям в кибербезопасность под названием «Повышение безопасности данных с помощью классификации» (Better Data Security Through Classification: A Game Plan for Smart Cybersecurity Investments). В основе рекомендаций — классификация данных по тяжести последствий несанкционированного доступа к ним.
Документ поясняет, почему подход к кибербезопасности, ориентированный на оценку рисков, является наилучшим вариантом для защиты данных государственных организаций. При использовании такого подхода повышается эффективность оперативного управления, оценка ценности информационных активов становится точнее, сокращаются возможности хакеров атаковать эти активы, улучшается процесс принятия решений.
Если госорганы принимают такой подход к делу (а он давно присущ корпорациям), это обеспечивает объединение ранее разрозненных служб безопасности и IT, позволяет управлять и наблюдать за сохранностью данных и одновременно управлять ими на основе регулярных процедур.
Сохранность данных всегда критична для госструктур, поэтому государственные IT-директора определили управление данными и аналитику данных (включая архитектуру данных, большие данные, прогнозную аналитику и пр.) в качестве приоритета на 2017 год. Классификация же данных является важнейшим шагом для осознания того, насколько важную информацию охраняет государство.
Лишь после классификации имеющихся у госорганов данных могут предприниматься следующие шаги в работе с информацией, в том числе их защита и извлечение пользы из накопленных данных.
В документе классификация определяется как «процесс идентификации информации, которую необходимо защищать от неавторизованного доступа и нецелевого использования». Каждое федеральное агентство должно выступать полномочным классификационным органом для данных и информации, которые оно собирает или использует для исполнения своих задач.
Авторы предлагают следующую классификацию:
Критические данные – данные, настолько важные, что без них невозможно осуществление важнейших государственных функций; таковы, например, кадастровые записи или реестр избирателей.
Чувствительная информация – информация, которая будучи раскрыта или похищена, может причинить ущерб гражданину; таковы, например, данные о налогах или выписка из банковского счета.
Медицинские данные – они включают значительный объём личной информации о здоровье, которая может быть использована для дискриминации гражданина, если попадёт в открытый доступ или в руки злоумышленника.
Информация, позволяющая идентифицировать человека (Personally Identifiable Information, PII) – в основном это данные, собираемые финансовыми и подобными им институтами. Компрометация PII может привести к краже личности с разнообразными последствиями, среди которых прежде всего – хищение денег со счетов гражданина.
В документе отмечается, что в распоряжении госорганов может находится и другая важная информация, не вписывающаяся в эти категории, однако также требующая защиты. Задача агентств – точно классифицировать данные по степени важности и чувствительности и установить правильный уровень защиты для них.
Все данные нуждаются в хранилище, которое стоит денег. Поэтому необходимо описать жизненный цикл для разных типов данных – и определить, когда их необходимо удалять. Это тоже зависит от принятой классификации данных.
Отдельно в документе обращается внимание на данные на мобильных устройствах. Госорганы должны выработать политику в отношении того, кто может хранить чувствительные данные на мобильных устройствах, установить степень надёжности паролей на смартфонах, решить, должно ли применяться шифрование, понять, возможно ли удаленно удалять данные и т.д.
Руководство также дает советы, какие инструменты и чей опыт можно использовать, и напоминает, что информация – это «постоянно изменяющаяся сущность» — и процесс её классификации и защиты не может быть закончен раз и навсегда, он продолжается постоянно и непрерывно.
http://d-russia.ru/ponimaj-klassifitsiruya-rekomendatsii-nascio-po-protivodejstviyu-kiberugrozam.htm
http://creativecommons.org/licenses/by/3.0/legalcode