Классификация и обработка информации в лаборатории - Школа метрологии

Классификация и обработка информации в лаборатории


EUROLAB “Cook Book” – Doc No. 21

Translated into Russian by LLC “Profilab” (with the permission of EUROLAB)

“Поваренная книга” EUROLAB – Документ No. 21

Переведено на русский язык ООО “Профилаб” (с разрешения EUROLAB)


ВВЕДЕНИЕ

Лаборатория обрабатывает много видов информации. Существуют некоторые требования к обработке информации лабораторией. Требования могут быть законодательными, устанавливаться стандартами, заказчиками и аккредитацией. Чтобы иметь возможность отвечать этим требованиям, лаборатория должна иметь систему управления информацией. Однако намного более эффективной обработку информации сделает также модель классификации.

ТРЕБОВАНИЯ

Настоящая кулинарная книга и модель классификации информации основаны на модели MSB:s (Агентство по чрезвычайным ситуациям Швеции) [1], RISE (Исследовательские институты Швеции) разработали модель MSB [2], которая основана на серии стандартов ISO/IEC 27000 [3-5]. В ISO/IEC 17025:2017 [6] установлены некоторые требования, касающиеся обработки информации, например, пп. 4.2.1, 7.11.1 и 7.11.2. В дополнение, особенно п. 7.11.3, установлены требования к самой системе управления информацией с точки зрения защиты данных и условий окружающей среды для работы, а также техническому обслуживанию для обеспечения целостности данных и обработки информации. Классификация может помочь выполнить эти требования.

Также существуют специальные стандарты по информационной безопасности, например, серия стандартов ISO/IEC 27000 [3-5].

ЖИЗНЕННЫЙ ЦИКЛ ИНФОРМАЦИИ

Информация имеет жизненный цикл (см. ниже). Изначально классификацию информации следует выполнять в связи с созданием. Однако в течение «жизни» информации классификация может измениться из-за обработки и модификации информации или просто из-за того, что прошло время.

Рисунок 1. Жизненный цикл информации

МОДЕЛЬ ДЛЯ КЛАССИФИКАЦИИ ИНФОРМАЦИИ

Классификация информации может помочь обеспечить правильный уровень защиты информации. Ее классификация зависит от ее назначения и важности для организации. Модель классификации информации/вида информации основана на последствиях, которые могут вызвать нежелательные влияния на качество информации. Последствия оцениваются с точки зрения влияния на организацию.

Аспекты безопасности

В модели используются следующие аспекты безопасности:

  • Конфиденциальность: насколько открыта (прим. пер. – для доступа) информация? Открыта для всех? или держится в секрете?
  • Точность: информация должна быть надежной, корректной и полной и не должна быть изменена или искажена ни в результате неправильного понимания, ни в результате функциональной ошибке, ни в результате несанкционированного обращения (прим. пер. – с информацией).
  • Доступность: информация должна быть предоставлена организацией соответствующему персоналу с надлежащим доступом в течение согласованного периода.
  • Прослеживаемость: любая деятельность, выполняемая с информацией, должна быть прослеживаема, и должно быть ясно, кто такую деятельность выполнил.

Уровни последствий

Последствия потери конфиденциальности, точности, доступности и прослеживаемости (прим. пер. – информации) для организации, других организаций или отдельных лиц можно классифицировать как:

  • отсутствие ущерба или незначительный ущерб;
  • умеренный ущерб;
  • существенный ущерб;
  • опасный ущерб;
  • катастрофический ущерб.

Уровни аспектов безопасности

На основании вышеизложенного рассмотрения каждый из аспектов безопасности можно классифицировать по различным уровням последствий: например, от 0 (требуется низкий уровень безопасности) до 4 (требуется высокий уровень безопасности).

Например, когда речь идет о конфиденциальности (см. также пример ниже), ее можно классифицировать как:

  • открытая информация (уровень 0);
  • внутренняя (внутри организации) информация (уровень 1);
  • ограниченная внутренняя информация (уровень 2);
  • секретная информация (уровень 3);
  • секретная информация, касающаяся компетентности (уровень 4).

Классификация и обработка

Для вычисления окончательной классификации можно использовать различные инструменты. Первый и самый очевидный инструмент – это электронная таблица, например, Excel. Можно использовать алгоритмы, чтобы свести различные аспекты безопасности и уровни последствий в одну цифру.

Поскольку довольно сложно учесть все аспекты безопасности, можно сосредоточиться на одном или двух аспектах, обычно конфиденциальность является одним из них, и провести классификацию информации.

Также необходимо провести классификацию систем, в которых обрабатывается классифицированная информация, например, различные IT-системы, архивы, помещения и т. д. Это выполняется почти таким же способом, как и классификация информации. После проведения классификации информации/вида информации, организация может принять решение об уровне необходимой защиты: кто, как и где будет обрабатывать определенный вид информации (например, не разрешается обрабатывать информацию, которая была классифицирована как секретная в открытой IT-системе).

Уровень необходимой защиты

Общая оценка аспектов безопасности и последствий приводит к установлению требований к уровню защиты информации и к системам (IT или другим), которые используются для ее обработки и архивирования. Это включает требования к:

  • сроку хранения;
  • носителю для архивирования;
  • локализации архива;
  • поддержке и уровню обслуживания.

Ссылки

[1] Modell för klassificering av information, Version 1.0, 2009-05-25, Publikationsnummer: MSB 0040-09
(Модель для классификации информации)
[2] M. Antonsson, Riktlinjer för informationsklassning, 2018-11-09, RISE 19366 Version 1.0
(Рекомендации по классификации информации)
[3] ISO/IEC 27000:2018 – Information technology – Security techniques – Information security management systems – Overview and vocabulary
(ISO/IEC 27000:2018 Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Общий обзор и словарь)
[4] ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements
(ISO/IEC 27001:2013 Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования)
Примечание: Заменен на ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements (Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы менеджмента информационной безопасности – Требования)
[5] ISO/IEC 27002:2013 – Information technology – Security techniques – Code of practice for information security controls
(ISO/IEC 27002:2013 Информационные технологии – Методы обеспечения безопасности – Кодекс практики для средств управления информационной безопасностью)
Примечание: Заменен на ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls (Информационная безопасность, кибербезопасность и защита конфиденциальности – Управление информационной безопасностью)
[6] ISO/IEC 17025:2017 General requirements for the competence of testing and calibration laboratories
(ISO/IEC 17025:2017 Общие требования к компетентности испытательных и калибровочных лабораторий)

Пример

Пример классификации аспекта безопасности «конфиденциальность». Это следует делать для каждого вида информации (или системы информации):

  • оцените аспект безопасности, следуя схеме на рисунке 2, для каждого шага в его жизненном цикле;
  • заполните таблицу 1.

Выполните такую же оценку для других аспектов безопасности: точности, доступности и прослеживаемости. Основываясь на полученных оценках решите, к какому уровню безопасности будет отнесена эта информация. Обратите внимание, что уровень безопасности может меняться на протяжении жизненного цикла. В этом случае обычно выбирается самый высокий уровень в качестве конечного уровня.

Основываясь на конечном уровне и типе информации, вы можете принять решение об уровне необходимой защиты, как упомянуто выше.

Рисунок 2.

Аспект безопасностиЖизненный циклУровни последствийМотивацияКомментарии
КонфиденциальностьСоздание1  
КонфиденциальностьИспользование и обработка2  
КонфиденциальностьХранение3  
КонфиденциальностьОтмена выбора3  
КонфиденциальностьУничтожение0  
КонфиденциальностьОбщий вывод   

Таблица 1. Таблица для классификации информации