Приложение А (справочное). Примеры схем классификации, маркировки и обработки информации. Национальный стандарт РФ ГОСТ Р 58545-2019 "Менеджмент знаний. Руководящие указания по сбору, классификации, маркировке и обработке информации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.09.2019 N 733-ст)

Приложение А
(справочное)

Примеры
схем классификации, маркировки и обработки информации

Схемы, рассмотренные в таблицах А.1 и А.2, приведены в настоящем стандарте исключительно в качестве примеров применения положений настоящего стандарта, и не рекомендуются для непосредственного применения на практике, хотя они могут стать основой и внести полезный вклад в решение рассматриваемой задачи по разработке и внедрению ICMH-системы.

Следует отметить, что несмотря на использование в данном примере пяти уровней классификации, это число ни в коей мере не является обязательным и в ряде случае может оказаться избыточным.

В нижеприведенном примере рассматривается организация, которая уделяет повышенное внимание конфиденциальности, доступности и целостности информации. Если бы другие аспекты, связанные с информацией, обладали более высокими приоритетами, ICMH-схемы, безусловно, выглядели бы иначе.

Таблица А.1 использовалась организацией в качестве "памятки на рабочем месте" (в виде коврика для мыши или плаката).

В таблице А.2 представлена подробная схема обработки информации в организации, которая расширяет схему в таблице А.1, одновременно иллюстрируя все положения настоящего стандарта и его взаимосвязь c TLP-протоколом (Traffic Light Protocol).

Подход, принятый при составлении таблицы А.2, заключается в акцентировании внимания исключительно на существующих требованиях. Например, информация, классифицированная, маркированная и обрабатываемая как "общедоступная", может физически уничтожаться и удаляться любым удобным способом, т.е. не устанавливаются обязательные требования, касающиеся измельчения документов, разрезки или немеханического уничтожения документов. Оба эти способа считаются экономически неоправданными из-за высокой стоимости оборудования и большого числа необходимых устройств уничтожения информации.

Таблица А.1 - Пример схемы классификации и маркировки информации

Классификация	Соответствующий уровень риска	Соответствующая маркировка	Описание воздействия	Примеры	Сущность правил по совместному использованию и обработке информации
Высококонфиденциальная информация	Очень высокий	Высококонфиденциальная	Сильное влияние на финансовый сектор и/или на экономику или на ее политический курс. Многомиллионный ущерб и серьезные затруднения, которые вызывают отрицательную реакцию общества. Жизнеспособность организации и ее партнеров ставится под угрозу.	Стратегические планы. Пароли. Конфигурация системы безопасности и другие конфигурации. Кредитные ограничения. Данные о мошенничестве в бизнес-сфере. Коммерческая информация. Документы, связанные с корпоративной политикой.	Регистрация всех изменений, внесенных в информационный контент, классификацию, маркировку и обработку информации. Не для совместного использования информации, если она перед выпуском не была отредактирована по типу "вниз". Информация обычно не отправляется по электронной почте, но может безопасно загружаться на все носители информации, кроме мобильных. Информация хранится в зашифрованном виде. Безопасная печать документов, которая может изыматься только пользователем. Предполагается, что информация требует архивирования/длительного хранения.
Конфиденциальная информация	Высокий	Конфиденциальная	Умеренное влияние на финансовый сектор и затруднения для партнеров. Официальные проверки и меры принудительного характера со стороны контрольно-надзорных органов	Правила обработки информации Документирование процессов Подробные проектные решения Интеллектуальная собственность Отчеты и анализ	Крайне ограниченный доступ к информации минимального числа выделенных сотрудников организации, с передачей этой информации по безопасным каналам для ее ограниченного пользования. Перечни для рассылки всех помеченных страниц. Применяется для всей информации о персонале организации. Дескрипторы, используемые для маркировки основного назначения цели, например, "альфа-проект". Безопасное удаление информации и очистка от нее мобильных носителей
Ограниченная информация	Средний	Ограниченная	Вред и ущерб организации. Воздействие может сказываться на обществе. Продолжительность любого нарушения, которое может быть ограничено по времени и влиянию, зависит только от самой организации	Регистр рисков и планы. Структурная схема организации. Персональная идентификационная информация. Протоколы совещаний. Проекты общедоступных материалов	Обмен информацией между группами по определенным критериям, с подтверждением типа "необходимо знать". Всю информацию, поступающую от партнеров организации, необходимо классифицировать на данном или на более высоком уровне. Документы, помеченные на главной странице. Договорное или выполняемое соглашение для всех сотрудников группы. Безопасное физическое хранение информации. Контролируемое уничтожение документации
Внутренняя информация организации	Низкий	Отсутствие маркировки	Незначительный вред и ущерб для организации, если они выявлены, без какого-либо значимого дискомфорта и при незначительных затратах на восстановление	Справочники, информационные бюллетени. Методики и стандарты. Каталоги. Повестки совещаний	Информация предназначена для общего пользования в организации - отправителе информации. Всю немаркированную и не общедоступную информацию необходимо классифицировать и обрабатывать на данном уровне. Использование информации только на контролируемых рабочих местах. Информация не предназначена для хранения на индивидуальных накопителях. Установка сложных паролей на индивидуальных накопителях
Общедоступная информация	Отсутствует	Отсутствие маркировки	Отсутствие вреда	Маркетинговые материалы. Рекламные объявления. Публичные заявления. Веб-сайты. Публикации	Отсутствие ограничений на совместное использование информации, но может быть или не предназначаться для определенной цели. Информация все еще должна храниться в корпоративных системах и иметь резервные копии. Отсутствие ограничений на передачу информации или других особых требований

Таблица А.2 - Пример схемы обработки информации

Уровень	Высококонфиденциальный	Конфиденциальный	Ограниченный	Внутренний	Общедоступный
Маркировка пресс-релиза для общественности в процессе проектирования					Да
Маркировка при распространении информации				Да
Маркировка на главной странице			Да
Маркировка на всех страницах	Да	Да
Нумерация страниц			Да	Да	Да
Указание текущей страницы из N-страниц	Да	Да
Нумерация копий и указание их числа	Да	Да
Официальная регистрация информации	Да
Степень согласования информации с авторами и пользователями	Высокая	Средняя	Средняя	Низкая	Отсутствует
Разрешение на простое редактирование информации		Да	Да	Да
Разрешение на редактирование информации только специалистами	Да
Получение разрешения от первого автора на повторное использование информации	Да	Да
Маркировка оборудования, используемого для обработки и отображения информации	Да	Да
Использование сложных паролей	Да	Да	Да	Да
Использование двухуровневой авторизации для удаленного доступа		Да	Да	Да
Использование двухуровневой авторизации для полного доступа	Да
Использование персональных устройств			Да	Да	Да
Использование только корпоративных устройств	Да	Да
Шифрование данных в состоянии покоя	Да
Определение местоположения данных с контролем доступа к рабочей площадке и зданию			Да	Да
Определение местоположения данных с контролем доступа к помещению	Да	Да
Доступ к данным из заранее согласованных мест	Да	Да
Безопасное предоставление и хранение данных	Да	Да
Отсутствие возможности использования мобильного устройства хранения данных/их носителя	Да
Определение кодекса взаимоотношений между взаимодействующими сторонами	Да	Да	Да
Служебная необходимость доступа к информации			Да	Да
Формальное определение совместного использования информации (кто использует ее и почему)	Да	Да
Определение уровня протокола совместного использования информации	Нет	Красный	Зеленый	Зеленый	Белый
Распространение информации только по внутренней электронной почте	Да	Да
Распространение информации по внешней электронной почте			Да	Да	Да
Распространение информации по электронной почте (без возможности ее пересылки)			Да
Распространение информации с помощью средств оперативной пересылки сообщений и социальных сетевых сервисов					Да
Загрузка информации только из пунктов обмена и др.	Да	Да
Регистрация цепочки обеспечения сохранности информации	Да
Использование для обмена информацией предварительно согласованных платформ		Да
Использование общедоступных платформ для обмена информацией (например, платформы DropBox)			Да	Да	Да
Отсутствие обмена информации в стандартном режиме	Да
Шифрование информации в процессе ее пересылки	Да
Использование информационной технологии, непосредственно принадлежащей ее владельцу (или специально выделенной технологии)	Да	Да	Да	Да
Распечатка информации с выемкой или под контролем оператора	Да	Да
Информация, распространяемая по факсу и предназначенная для гибкого производственного модуля, который работает по безлюдной технологии					Да
Информация (с известным числом страниц), распространяемая по факсу и предназначенная для оборудования, которое работает под управлением оператора		Да	Да	Да
Информация, не распространяемая по факсу	Да
Информация, распространяемая в виде почтовых сообщений			Да	Да	Да
Информация, распространяемая надежным курьером	Да	Да
Удаление информации, предварительно согласованной с ее владельцем	Да	Да
Проверка информации для ее архивирования и хранения	Да
Простое, но контролируемое измельчение документации			Да	Да
Разрезка/немеханическое измельчение документации	Да	Да
Периодическая проверка и очистка хранилища информации		Да	Да	Да	Да
Регулярная очистка IT-хранилища	Да
Стирание информации с ее носителей				Да	Да
Стирание/размагничивание конфиденциальной информации, хранящейся на носителях		Да	Да
Механическое уничтожение носителей информации	Да