Первым шагом в понимании того, какие ресурсы содержат и обрабатывают персональные данные, является классификация информации.
Данные являются материальным бизнес-активом и именно в ходе классификации будет определен необходимый уровень их защиты. Применять единственный класс защиты (например, конфиденциально все) ввиду явной невозможности это обеспечить рассматривать не стоит. В организации необходимо применять различные уровни безопасности в соответствии с данными им определениями.
Для классификации данных можно использовать следующие атрибуты:
1. Ценность. Если ваша информация является ценной для организации или ваших конкурентов, ее необходимо защищать.
2. Срок жизни. По мере устаревания информации данные могут рассекречиваться.
3. Данные, подлежащие защите согласно требований государственного законодательства.
Существует несколько этапов в разработке системы классификации. Приведу рекомендуемые этапы в порядке приоритета:
1. Определите ответственное лицо.
2. Определите, как именно будет классифицироваться и маркироваться информация.
3. Данные должен классифицировать их владелец, и эта классификация должна проверяться и анализироваться его руководителем.
4. Создайте политику классификации и укажите возможные варианты исключений из нее.
5. Создайте правила рассекречивания.
6. Создайте и доведите до персонала в части его касающейся программу осведомленности о средствах управления классификацией
Безусловно, различные организации будут осуществлять этот процесс по-своему, однако первым шагом к защите информации должна стать ее классификация.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.