Классификация информации и ИТ активов

Все ИТ активы и информация должны быть классифицированы с точки зрения безопасности по уровню конфиденциальности.

Обязательные требования для обеспечения конфиденциальности:

•Классификация данных.

•Наличие политики определяющий уровни доступа.

•Наличие процедур по работе с данными каждого класса.

Классификации данных может быть построена на основе следующих условий:

•Требования устанавливаются регулирующими органами.

•Требования определяются внутри компании.

•Классификация данных установленных регулирующими органами не может быть понижена

•Доступ к данным предоставляется по принципу «минимальных привилегий»

Кроме этого классификацию данных необходимо проводить с представителями бизнеса и функциональных департаментов компании. Для определения информационных потоков и уровня интеграции данных необходимо провести классификацию данных информации по ряду атрибутов:

Зона покрытия — Данные локального значения и представляющие ценность для одной компании. Как пример; заказ столиков, обслуживание официантом в разрезе столиков/клиентов. Данная информация может быть интересна для одной компании (отеля) и не представляют ценность для других компаний компании, наиболее востребованные комнаты, меню и т п может быть интересна для портфеля и т п

Зона видимости- Кому предназначены данные. Например, финансовые данные портфелей и компаний могут видеть только представители финансового департамента компании и правление, но представитель портфелей не видят информацию другого портфеля.

Тип данных – Бизнес информация или же техническая.

Владелец данных – подразделение или лицо, отвечающее за работу с информацией (целостность и доступность). Необходимое контактное лицо для получения дополнительной информации и данных по процессу и т п

Классификация данных по ИБ – (коммерческая тайна, внутреннего пользования и т п). Данные по клиентам, которые могут быть переданы компаниям компании или нет. (контактные данные клиентов отелей могут быть интегрированы в единую систему управления клиентами (CRM) и в дальнейшем использоваться в маркетинговых целях для поиска потенциальных клиентов и т п)

Происхождение данных – Данные являются первичными, извлечены из бизнеса системы или же являются производными после проведения аналитических вычислений. Как пример имена, и контактная информация клиентов (Hospitality) может рассматриваться как первичные данные, а список потенциальных клиентов для Retail Group проанализированный в системе (Hospitality) по ряду показателей (платежеспособность, количество потраченных средств, поведения клиента и т п) может рассматриваться как производные данные.

Источник данных – Веденный вручную оператором и наименование системы.

Уровень достоверности данных – данные внесены из установленных источников или являются предположениями и умозаключениями.