О классификации информационных активов

3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном - хорошая политика классификация должна: быть краткойсодержать не более 3-4 классификацийбыть гибкойразрешать исключениянаходить баланс между требованиями бизнеса и безопасностьюпозволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов.не должна быть привязана к конкретным технологиям или подразделениямсодержать не больше 3-4 уровней классификации.Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации. А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.