Комплексная система безопасности
5.1. Классификация информационных объектов
Обрабатываемые данные могут классифицироваться согласно различным категориям информационной безопасности : требованиям к их доступности (безотказности служб), целостности, конфиденциальности.
5.1.1. Классификация по требуемой степени безотказности
От различных типов данных требуется различная степень безотказности доступа. Тратить большие деньги на системы безотказности для не очень важной информации невыгодно и даже убыточно, но нельзя и неправильно оценивать действительно постоянно требуемую информацию – ее отсутствие в неподходящий момент также может принести значительные убытки.
Безотказность, или надежность доступа к информации, является одной из категорий информационной безопасности. Предлагается следующая схема классификации информации на 4 уровня безотказности.
Параметр | класс 0 | класс 1 | класс 2 | класс 3 |
Максимально возможное непрерывное время отказа | 1 неделя | 1 сутки | 1 час | 1 час |
В какое время время отказа не может превышать указанное выше ? | в рабочее | в рабочее | в рабочее | 24 часа в сутки |
Средняя вероятность доступности данных в произвольный момент времени | 80% | 95% | 99.5% | 99.9% |
Среднее максимальное время отказа | 1 день в неделю | 2 часа в неделю | 20 минут в неделю | 12 минут в месяц |
5.1.2. Классификация по уровню конфиденциальности
Классификация по степени конфиденциальности – одна из основных и наиболее старых классификаций данных. Она применялась еще задолго до появления вычислительной техники и с тех пор изменилась незначительно.
Уровень конфиденциальности информации является одной из самых важных категорий, принимаемых в рассмотрение при создании определенной политики безопасности учреждения. Предлагается следующая схема классификации информации на 4 класса по уровню ее конфиденциальности.
Класс | Тип информации | Описание | Примеры |
открытая информация | общедоступная информация | информационные брошюры, сведения публикававшиеся в СМИ | |
внутренняя информация | информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии | финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы | |
конфиденциальная информация | раскрытие информации ведет к значительным потерям на рынке | реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм | |
секретная информация | раскрытие информации приведет к финансовой гибели компании | (зависит от ситуации) |
5.1.3. Требования по работе с конфиденциальной информацией
Различные классы конфиденциальной информации необходимо снабжать различными по уровню безопасности системами технических и административных мер.
При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований :
- осведомление сотрудников о закрытости данной информации,
- общее ознакомление сотрудников с основными возможными методами атак на информацию
- ограничение физического доступа
- полный набор документации по правилам выполнения операций с данной информацией
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие :
- расчет рисков атак на информацию
- поддержания списка лиц, имеющих доступ к данной информации
- по возможности выдача подобной информации по расписку (в т.ч. электронную)
- автоматическая система проверки цлостности системы и ее средств безопасности
- надежные схемы физической ранспортировки
- обязательное шифрование при передаче по линиям связи
- схема бесперебойного питания ЭВМ
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие :
- детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв)
- защита ЭВМ либо носителей информации от повреждения водой и высокой температурой
- криптографическая проверка целостности информации
5.2. Политика ролей
Ролями называются характерные наборы функций и степени отвественности, свойственные теми или иными группами лиц. Четкое определение ролей, классификация их уровней доступа и ответственности, составление списка соответствия персонала тем или иным ролям делает политику безопасности в отношении рабочих и служащих предприятия четкой, ясной и легкой для исполнения и проверки.
5.3. Создание политики информационной безопасности
Методика создания политики безопасности предприятия состоит из учета основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и генеральной стоимости проекта.
5.4. Методы обеспечения безотказности
Безотказность сервисов и служб хранения данных достигается с помощью систем самотестирования и внесения избыточности на различных уровнях : аппаратном, программном, информационном.