Notre vie est constamment compliquée dans tous les domaines. Des approches, des technologies et des actifs nouveaux et sans précédent émergent. Pour les grandes entreprises modernes, les actifs informationnels jouent un rôle important. Qu'est-ce qu'ils sont
Informations générales
Avant d’aborder le sujet principal, abordons le minimum théorique nécessaire. À savoir, parlons d'information. C’est l’un des actifs de production les plus importants dont dépendent en grande partie l’efficacité et la viabilité de l’entreprise. Cela peut être soit le secret de la création d'un certain produit, soit des données financières internes. Toute organisation de taille plus ou moins grande dispose de ses propres actifs d’information, de sorte qu’il est très peu souhaitable qu’ils tombent dans des tiers. Par conséquent, les problèmes de stockage et de sécurité sont graves.
A propos des concepts généraux
Pour traiter avec succès toutes les données présentées, vous devez connaître quelques points:
- Actif informationnel. Ce sont les données avec les détails qui permettent l'identification. Ils sont précieux pour une organisation particulière et sont à sa disposition. Présentée sur tout support matériel sous une forme permettant son traitement, son stockage ou son transfert.
- Classification des actifs informationnels. Il s’agit d’une division des données existantes de l’organisation en types correspondant à la gravité des conséquences résultant de la perte de leurs propriétés importantes.
Comme vous pouvez le comprendre, non seulement les numéros individuels et leurs explications sont importants, mais également la capacité de les utiliser rapidement, la protection contre les accès non autorisés et un certain nombre d’autres points. Lorsque les actifs informationnels de l'entreprise sont alloués et formés, la question de leur classement correct avec sécurité ultérieure se pose. Pourquoi Le fait est qu’avec l’aide de la classification, il est possible d’établir des indicateurs clés pour l’information utilisée - valeur, pouvoir d’influence sur l’entreprise, exigences en matière de provision / maintenance / protection, etc. Cela dépend en grande partie de la manière dont les données seront traitées et protégées. En outre, un certain nombre de normes réglementaires imposent un inventaire obligatoire des actifs informationnels de l'organisation. Bien qu'il n'y ait pas de procédure unique pour cela.
Un peu sur la classification pour les entreprises
L’approche par les données dépend des conditions et de ce que nous traitons. Considérez les actifs informationnels comme un exemple d'entreprise privée. La classification est effectuée dans le but de fournir une approche différenciée des données, en tenant compte du niveau de leur criticité, qui affecte les activités, la réputation, les partenaires commerciaux, les employés et les clients. Cela vous permet de déterminer la faisabilité économique et la priorité de diverses mesures pour la formation de la sécurité de l'information de l'entreprise. Conformément à la législation de la Fédération de Russie, il existe:
- Informations publiques (ouvertes).
- Données personnelles
- Informations contenant des informations constituant le secret bancaire.
- Données relatives aux secrets commerciaux.
Comment évaluer leur importance? Pour cela, des modèles spéciaux sont utilisés. Regardons-les de plus près.
Modèles de classification
Le plus souvent, on en trouve deux:
- Classification à un facteur. Basé sur le degré de dommage. C'est facile ici. Prenons un petit exemple. Les actifs du système d’information sont répartis en quatre blocs en fonction du degré de dommage probable causé par une fuite de données.À titre d'exemple - minimal, puis - moyen, élevé et enfin - critique. Si un cercle incertain de personnes sait qui le directeur accepte aujourd'hui dans son bureau, cela peut être considéré comme un type de dommage minime. Mais si des informations sur la corruption d’un fonctionnaire de l’État ont été divulguées au bureau du procureur, il s’agit d’une situation critique.
- Modèle de classification multivariée. Basé sur trois paramètres classiques. Dans ce cas, toutes les informations présentent un intérêt en termes de confidentialité, d'accessibilité et d'intégrité. Pour chaque article, les exigences sont apposées séparément - haut, moyen, bas. Ensemble, ils sont évalués, par exemple, en tant qu'importance critique ou fondamentale.
A propos des cours
Afin d’évaluer le plus efficacement possible les actifs d’information et de passer de la quantité à la qualité, il est possible d’introduire des classes reflétant la valeur des données et leur niveau de besoins. Dans de tels cas, distingue habituellement:
- Classe ouverte. Dans ce cas, il n'y a aucune restriction sur la distribution et l'utilisation, il n'y a aucun dommage financier dû à la renommée.
- Pour usage officiel. Pour usage interne. Aucun dommage financier. Mais d'autres types de pertes peuvent survenir pour les employés de l'organisation ou pour l'ensemble de la structure.
- Confidentiel. L'utilisation prévue est fournie lorsque vous travaillez avec des clients et des contreparties. La divulgation entraînera des dommages financiers.
À propos des données confidentielles
Ces informations peuvent être conditionnellement divisées en plusieurs catégories. Les deux premiers sont utilisés dans les structures commerciales, le reste, en règle générale, exclusivement par l'État:
- Avec un accès restreint. Intention d'utilisation par un certain cercle d'employés de l'organisation. Les dommages financiers sont généralement évalués à un million de roubles.
- Secret Prévoit l’utilisation exclusive de certains membres de la direction de l’organisation. Les dommages financiers commencent généralement à un million de roubles.
- Top Secret. Ces données proviennent des domaines militaire, économique, de la politique étrangère, du renseignement, scientifique et technique, ainsi que des activités opérationnelles et d’enquête, dont la divulgation pourrait nuire au ministère ou à l’industrie dans l’un ou plusieurs de ces domaines.
- D'une importance particulière. Ces données proviennent des domaines militaire, économique, de la politique étrangère, du renseignement, scientifique et technique, ainsi que des activités d’enquête opérationnelle dont la divulgation peut causer des dommages importants à la Fédération de Russie dans un ou plusieurs de ces domaines.
Comment sont gérés les actifs d'information?
Regardons l'un des algorithmes possibles:
- Les actifs d’information identifiés qui existent sous n’importe quelle forme (documents électroniques et papier, flux de données, clés USB, etc.) qui circulent entre les services de l’organisation. Tout cela est collecté, spécifié, et un grand schéma est construit sur lequel tout est affiché.
- Nous faisons la même chose, mais pour chaque unité.
- Les actifs d’information sont liés à l’infrastructure dans laquelle ils sont stockés. Il est indiqué par quels canaux sont transmis, où et dans quels systèmes ils sont contenus, etc. Il y a un point important ici! Cet élément permet de travailler avec chaque actif d’information individuel. Pour lui, tout l'environnement est dessiné (le plus détaillé, mieux ce sera, car il sera plus facile d'identifier les menaces). Vous devez afficher les ports de transmission, les canaux, etc.
- Nous prenons toutes les meilleures pratiques et les reclassons en utilisant des caractéristiques telles que la confidentialité, l'accessibilité et l'intégrité.
Cycle de vie
C’est ainsi que va cet atout précieux avant son classement. Croyez-moi, la sécurité de l'information joue un rôle important et ne doit pas être négligée. Dans le même temps, une attention considérable doit être accordée au cycle de vie.C'est quoi Le cycle de vie est un ensemble de certaines périodes après lesquelles l'importance de l'objet, en général, diminue. Classiquement, on peut distinguer les étapes suivantes:
- Les informations sont utilisées en mode opérationnel. Cela signifie qu'elle participe au cycle de production et est constamment sollicitée.
- Les informations sont utilisées en mode archive. Cela signifie qu'il ne participe pas directement au cycle de production, bien qu'il soit périodiquement requis pour des activités analytiques ou autres.
- Les informations sont stockées en mode archive.
C’est probablement tout. Quelles données sont stockées - une base d'informations d'actif ou autre - n'a pas d'importance. L'essentiel est d'assurer la confidentialité, l'accessibilité et l'intégrité. Ensuite, vous n’aurez plus à vous soucier de votre réputation et à supporter les pertes.