Категорирование объектов информационных систем

Категорирование субъектов и объектов информационной системы (ИС), а также средств работы с информацией — один из важнейших этапов построения комплексной системы безопасности. От корректности и тщательности ее проведения зависит то, насколько адекватно меры безопасности будут отражать специфику бизнес-процессов, и то, насколько удачно будут распределены материальные вложения в систему защиты информации.

Процедура категорирования сводится к категорированию:

· объектов — по степени их конфиденциальности и важности для предприятия;

· средств работы с информацией — по степени их способности поддерживать определенный уровень информационной безопасности;

· субъектов — по степени их допуска к работе с тем или иным объектом (или на том или ином средстве работы с информацией).

В идеальном варианте, когда категорирование полностью проведено, остается только привести в соответствие три составляющих — объект данной категории важности обрабатывается только средством соответствующей категории надежности субъектом соответствующей категории доступа.

Теперь рассмотрим категорирование объектов, в данном случае информации. Широко используемое во времена бумажных документов категорирование — секретная, для служебного пользования (ДСП) и открытая — перекочевало и в век электронной информации. Однако данное категорирование не является исчерпывающим и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности

А для успешной работы необходимо как минимум охватить также понятия целостности и доступности информации. На категорирование информации не существует известных устоявшихся моделей. Причина этого может скрываться в том, что процесс такого категорирования довольно специфичен для каждого предприятия.

В работе [9] предлагается следующую модель для категорирования информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера "Д" означает "доступность", "Ц" — "целостность", "К"— "конфиденциальность", цифры возрастают с убыванием значимости критерия).

По наличию (доступность):

· Критическая — без нее работа субъекта останавливается (Д0).

· Очень важная — без нее можно работать, но очень короткое время (Д1).

· Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).

· Полезная — без нее можно работать, но ее использование экономит ресурсы (ДЗ).

· Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).

· Вредная— ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

По несанкционированной модификации (целостность):

· Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО).

· Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).

· Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).

· Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).

· Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

Аналогичным образом вместо понятия "несанкционированного изменения" можно рассмотреть понятие "санкционированное изменение, которое не было произведено вовремя".

По разглашению (конфиденциальность):

· Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).

· Очень важная — разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).

· Важная — разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).

· Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).

· Малозначимая — может принести моральный ущерб в очень редких случаях (К4).

· Незначимая — не влияет на работу субъекта (К5).