Acest site este cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013 Investeşte în oameni!

Biroul Virtual de Consultanţă Antreprenorială

Clasificarea informației

Adăugat de Rodica Dimitriu la J, 09/06/2012 - 00:00

1. Definiții

Clasificarea reprezintă modalitatea prin care se asigură tratarea consecventă a informației de către toate persoanele care intră în contact cu aceasta.

Sistemele de clasificare a informației nu trebuie să fie complicate dar trebuie să existe și să fie tratate standard în sensul de consecvent. Pentru a ține informația sub control și pentru a diminua riscurile de manipulare a acesteia trebuie elaborat un model de clasificare.

2. Elaborarea unui model de clasificare a informației

Procesul de elaborare a unui model de clasificare a informațiilor presupune:

  • identificarea categoriilor de informații/ resurse de informație
  • analiza comportamentului informațiilor/resurselor de informație
  • definirea unui model de clasificare adecvat necesităților obiective ale organizației

În funcție de cât de critică este pentru organizație, fiecare categorie de informație trebuie să aibă asociat un nivel de risc de securitate și fiecare nivel de risc de securitate trebuie să aibă definite măsuri adecvate de control al riscului de securitate.

Este mai puțin important câte niveluri de risc de securitate sunt definite pentru informație, sau cum se numesc acestea. Este extrem de important însă ca modelul de clasificare adoptat să reflecte necesitățile obiective ale organizației.

Există multe modele de clasificare a informației. Sistemele de clasificare trebuie să țină cont de carcteristicile esențiale ale informației: confidențialitate, integritate, disponibilitate. Majoritatea modelelor utilizate au 4 niveluri de securitate:

  • Informații publice sau nerestricționate
  • Informații interne sau protejate
  • Informații confidențiale
  • Informații secrete sau restricționate.

Modelul de mai sus poate fi îmbunătățit potrivit necesităților obiective ale organizației. Dacă este necesar pot fi introduse mai multe niveluri de risc de securitate și poate fi introdusă o varietate largă de măsuri de control al riscului pentru fiecare categorie de clasificare a informației. Așa cum a fost precizat și mai sus acestea sunt detalii de mai mică importanță. Ce trebuie însă subliniat este faptul că, în cadrul unui model de clasificare stabilit, încadrarea unei informații într-o categorie de clasificare nu este definitivă și că ea poate suferi modificări conform politicilor stabilite de organizație. Atunci când o informație încetează să fie critică pentru organizație, după o perioadă de timp stabilită, ea poate fi încadrată într-o altă categorie, de exemplu, poate fi făcută publică. Operația poartă numele de declasificare.

O observație importantă este aceea că la elaborarea modelului de clasificare a informației trebuie analizat cu atenție în ce măsură natura informațiilor prelucrate și manipulate în cadrul organizației intră sub incidența reglementărilor legale privind clasificarea informației. La denumirea categoriilor de clasificare este bine să fie evitate denumirile din reglementările legale dacă informațiile din cadrul organizației nu fac obiectul acestor reglementări. Sunt evitate în felul acesta confuziile nedorite.

3. Recomandările standardului ISO/IEC 27002

Conform ISO/IEC 27001:2005 informațiile trebuie clasificate în funcție de valoare, cerințe legale, importanță și nivel critic pentru organizație. Recomandările standardului ISO/IEC 27002 pentru clasificarea informațiilor pot fi sintetizate în următoarele cerințe:

  • Clasificarea informației trebuie să țină cont de necesitățile obiective de protejare a informației rezultate din specificul organizației și de impactul pe care divulgarea, utilizarea neautorizată sau distrugerea unui tip de informație îl poate avea asupra sa.
  • Nivelul de protecție al informației trebuie analizat în contextul profilului CID (Confidențialitate, Integritate, Disponibilitate) asociat.
  • Regulile de manevrare și măsurile de control al securității informației trebuie stabilite pe baza clasificării informației.
  • Conducerea organizației trebuie să revizuiască periodic clasificarea informației în conformitate cu politicile de acces stabilite. Cu această ocazie conducerea organizației poate decide schimbarea încadrării într-o altă categorie a unei de informații care datorită trecerii timpului nu mai este critică.
  • Responsabilitatea pentru modul de încadrare a unei informații într-o anumită categorie, și pentru revizuirea periodică a modului de încadrare a unei informații într-o anumită categorie, se află în sarcina proprietarului desemnat al informației.
  • Clasificarea trebuie să țină cont de efectul de agregare, care face ca o cantitate mare de informații cu nivel de risc mic să producă prin agregare un risc de nivel superior.
  • Atunci când sunt partajate informații cu terțe organizații, trebuie stabilite măsuri de eliminare a unor posibile confuzii de manipulare datorate unor etichete cu denumire similară dar semnificație diferită în cadrul fiecăreia dintre organizații.
  • Proprietarii de informație vor urmări ca operarea informațiilor din fiecare categorie de clasificare, să fie făcute astfel încât să acopere, după caz, următoarele tipuri de prelucrări: creare/modificare, copiere, stocare, transmiterea prin poștă, fax și poștă electronică, transmiterea verbală, incluzând cea prin telefon mobil, mesagerie vocală, robot telephonic, declasificare, distrugere.
  • Încadrarea resurselor de informație cu cerințe de securitate similare în categoriile de clasificare este recomandabilă pentru ușurarea procesului de clasificare.

4. Concluzii

Pentru implementarea unui model de clasificare a informației, pentru fiecare categorie, este necesară stabilirea regulilor pentru etichetarea, salvarea, transmiterea, eliminarea, protejarea integrității informației precum și drepturile de acces și de divulgare a acesteia.

5. Referințe

[ 1 ] ***), Information Security Classification Framework, http://www.cio.gov.bc.ca/
[ 2 ] ***), Information Security Classification, https://www.rimp.gov.ab.ca/
[ 3 ] ***), Information classification policy, http://www.enisa.europa.eu/
[ 4 ] ***), ISO/CEI 27002, Information technology -- Security techniques -- Code of practice for information security management, http://www.praxiom.com/
[ 5 ] Thomas R. Peltier, Standardizing information classification, http://searchsecurity.techtarget.com/

Descărcaţi: 
© 2010 - 2011 Biroul virtual de asistenţă antreprenorială. Drupal theme by Kiwi Themes.
logo MNM Software logo CEED Romania

Pentru informaţii detaliate despre celelalte programe cofinanţate de Uniunea Europeană, vă invităm să vizitaţi www.fonduri-ue.ro .
Conţinutul acestui material nu reprezintă în mod obligatoriu poziţia oficială a Uniunii Europene sau a Guvernului României.