КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Категорирование объектов информационных систем
|
|
|
|
Категорирование субъектов и объектов информационной системы (ИС), а также средств работы с информацией — один из важнейших этапов построения комплексной системы безопасности. От корректности и тщательности ее проведения зависит то, насколько адекватно меры безопасности будут отражать специфику бизнес-процессов, и то, насколько удачно будут распределены материальные вложения в систему защиты информации.
Процедура категорирования сводится к категорированию:
· объектов — по степени их конфиденциальности и важности для предприятия;
· средств работы с информацией — по степени их способности поддерживать определенный уровень информационной безопасности;
· субъектов — по степени их допуска к работе с тем или иным объектом (или на том или ином средстве работы с информацией).
В идеальном варианте, когда категорирование полностью проведено, остается только привести в соответствие три составляющих — объект данной категории важности обрабатывается только средством соответствующей категории надежности субъектом соответствующей категории доступа.
Теперь рассмотрим категорирование объектов, в данном случае информации. Широко используемое во времена бумажных документов категорирование — секретная, для служебного пользования (ДСП) и открытая — перекочевало и в век электронной информации. Однако данное категорирование не является исчерпывающим и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности
А для успешной работы необходимо как минимум охватить также понятия целостности и доступности информации. На категорирование информации не существует известных устоявшихся моделей. Причина этого может скрываться в том, что процесс такого категорирования довольно специфичен для каждого предприятия.
|
|
|
В работе [9] предлагается следующую модель для категорирования информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера "Д" означает "доступность", "Ц" — "целостность", "К"— "конфиденциальность", цифры возрастают с убыванием значимости критерия).
По наличию (доступность):
· Критическая — без нее работа субъекта останавливается (Д0).
· Очень важная — без нее можно работать, но очень короткое время (Д1).
· Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
· Полезная — без нее можно работать, но ее использование экономит ресурсы (ДЗ).
· Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
· Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)
По несанкционированной модификации (целостность):
· Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО).
· Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).
· Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).
· Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).
|
|
|
· Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).
Аналогичным образом вместо понятия "несанкционированного изменения" можно рассмотреть понятие "санкционированное изменение, которое не было произведено вовремя".
По разглашению (конфиденциальность):
· Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).
· Очень важная — разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
· Важная — разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).
· Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).
· Малозначимая — может принести моральный ущерб в очень редких случаях (К4).
· Незначимая — не влияет на работу субъекта (К5).
|
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 1931; Нарушение авторских прав?; Мы поможем в написании вашей работы!