АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Уровни конфиденциальности информации

Читайте также:
  1. III. ИЗМЕРЕНИЕ ИНФОРМАЦИИ
  2. АЛГОРИТМ СБОРА ИНФОРМАЦИИ
  3. Анализ отечественного рынка средств защиты информации
  4. Архивация информации
  5. Атрибуты невербальной информации
  6. Базы данных как важнейший источник социологической информации
  7. Библиографическое описание как форма свертывания информации
  8. Билет 12. Предмет социальной философии. Уровни анализа общественных отношений
  9. Билет № 1 Понятие мировоззрения, его основные сферы, уровни и типы.
  10. Блок приема, переработки и хранения информации
  11. Ввод и удаление информации из ячеек
  12. Ввод информации из файла
Класс Тип информации Описание Примеры
  Открытая информация Общедоступная информация Информационные бро­шюры, сведения, публи­ковавшиеся в СМИ
  Внутренняя информация Информация, недоступ­ная в открытом виде, но не несущая никакой опасности при ее раскрытии Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справоч­ник фирмы
  Конфиденциальная информация Раскрытие информации ведет к значительным потерям на рынке Реальные финансовые данные, планы, проек­ты, полный набор све­дений о клиентах, ин­формация о бывших и нынешних проектах с нарушениями этиче­ских норм
  Секретная информация Раскрытие информации приведет к финансовой гибели компании (зависит от ситуаций)

При работе с информацией 1-го класса конфиденциальности ре­комендуется выполнение следующих требований:

— осведомление сотрудников о закрытости данной информации;

— общее ознакомление сотрудников с основными возможными методами атак на информацию;

— ограничение физического доступа;

— полный набор документации по правилам выполнения опера­ций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

— расчет рисков атак на информацию;

— поддержание списка лиц, имеющих доступ к данной инфор­мации;

— по возможности выдача подобной информации под расписку (в том числе электронную);

— автоматическая система проверки целостности системы и ее средств безопасности;

— надежные схемы физической транспортировки;

— обязательное шифрование при передаче по линиям связи;

— схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

— детальный план спасения либо надежного уничтожения ин­формации в аварийных ситуациях (пожар, наводнение, взрыв);

— защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

— криптографическая проверка целостности информации.

Функции каждого человека, так или иначе связанного с конфи­денциальной информацией в организации, можно классифициро­вать и в некотором приближении формализовать. Подобное, общее описание функций носит название роли. В зависимости от разме­ров организации некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности пред­приятия. Он проводит расчет и перерасчет рисков, ответствен за поиск самой свежей информации об обнаруженных уязвимостях в используемом программном обеспечении и в целом в стандарт­ных алгоритмах.

Владелец информации — лицо, непосредственно работающее с данной информацией. Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных).

Поставщик аппаратного и программного обеспечения — обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в по­ставляемых им продуктах.

Разработчик системы и (или) программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодей­ствовать со специалистами по информационной безопасности.

Руководитель подразделения является промежуточным звеном между операторами и специалистами по информационной безо­пасности. Его задача — своевременно и качественно инструктиро­вать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Ру­ководители подразделений должны быть осведомлены обо всей поли­тике безопасности организации, но доводить до сведения подчинен­ных только те ее аспекты, которые непосредственно их касаются.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов в организации. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

— определение того, какие данные и насколько серьезно необ­ходимо защищать;

— определение того, кто и какой ущерб может нанести органи­зации в информационном аспекте;

— вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности в организации. Они получили об­разные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших ка­питальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы — злоумышленник. Ваши дей­ствия?» То есть служба информационной безопасности, основыва­ясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки инфор­мации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо за­щищать. Далее следует изучение текущего состояния системы ин­формационной безопасности с целью определения, что из класси­ческих методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится класси­фикация всех информационных объектов на классы в соответ­ствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение того, насколько серьезный ущерб мо­жет принести организации раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность та­кой атаки». Существует множество схем вычисления рисков, оста­новимся на одной из самых простых[4].

Ущерб от атаки может быть представлен неотрицательным числом:

  1. — раскрытие информации принесет ничтожный моральный и финансовый ущерб организации;
  2. — ущерб от атаки есть, но он незначителен, основные финансовые операции и положение организации на рынке не затронуты;
  3. — финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально;
  4. — значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов;
  5. — потери очень значительны, организация на период до года те­ряет положение на рынке. Для ввосстановления положения требуются крупные финансовые займы;
  6. — организация прекращает существование.

Вероятность атаки представляется неотрицательным числом:

  1. — данный вид атаки отсутствует;
  2. — реже, чем раз в год;
  3. — около 1 раза в год;
  4. — около 1 раза в месяц;
  5. — около 1 раза в неделю;
  6. — практически ежедневно.

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Затем составляется таблица рисков организации (табл. 8.3).


Таблица 8.3

Таблица рисков организации

Описание атаки Ущерб Вероятность Риск (= Ущерб * Вероятность)
Спам (переполнение почтового ящика)      
Копирование жесткого дис­ка из центрального офиса      
 
Итого  

 

На этапе анализа таблицы рисков задаются некоторым макси­мально допустимым риском, например значением 7. Сначала про­веряется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит, данная строка — это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7x2 = 14) с интегральным риском (ячейка «Ито­го»). Если интегральный риск превышает допустимое значение, значит, набирается множество мелких погрешностей в системе бе­зопасности, которые в сумме не дадут организации эффективно работать. В этом случае из строк выбираются те, которые дают са­мый значительный вклад в значение интегрального риска, и произ­водится попытка их уменьшить или устранить полностью.

На самом ответственном этапе производится собственно разра­ботка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объек­тивные проблемы, которые могут встать на пути реализации поли­тики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпора­ции, этические нормы общества.

После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае когда финансовые вло­жения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задава­лись максимально допустимым риском 7, и увеличение его на один или два пункта.

Завершается разработка политики безопасности ее утвержде­нием у руководства организации и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и как следствие модификация политики безопасности организации должны произ­водиться раз в два года.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)