В результате произведенной классификации информационной системы в службе безопасности предприятия должен появиться документ “Классификатор информационной безопасности”, содержащий следующие разделы:
□ классификатор объектов;
□ классификатор средств; П  классификатор субъектов;
П матрица разрешений, производящая сопоставление классов объектов с классами средств их обработки и классами субъектов, выполняющих эту обработку. (далее…)

С тем чтобы как специалисту, выполняющему классификацию системы, так и проверяющему лицу было проще понять, как выглядит распределение ролей и ответственности в привязке к классификации объектов, рассмотрим пример такой классификации. При этом необходимо будет вспомнить принятые в главе 6 сокращения по категориям информационных объектов. (далее…)

Рассмотрим более сложную западную модель, предложенную в книге “Handbook of Information Security Management” (“Руководство по управлению информационной безопасности”).
Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:
□ устанавливать первичную классификацию информации и периодически проверять, что эта классификация отвечает производственным задачам; (далее…)

Рассмотрим упрощенную, или обобщенную, модель классификации субъектов. В информационном пространстве предприятия существуют следующие субъекты:
□ создающие объекты;
□ использующие объекты;
□ администрирующие объекты (то есть обеспечивающие среду работы с объектами других субъектов);
□ контролирующие использование объектов субъектами. (далее…)

Прежде чем перейти к конкретным вопросам, заострим внимание на двух фундаментальных принципах, на которых строится распределение ролей и ответственности.
1. Распределение ответственности (англ. separation of duties). Этот принцип означает, что в системе (пространстве) не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. (далее…)

Под субъектом информационного пространства будем понимать людей, процессы или средства работы с информацией, выполняющие в информационном пространстве некие активные действия в отношении информационной системы. Процессы и средства как безличные сущности могут выполнять свои действия:
□ либо от имени пользователей, управляющих ими в данный момент времени, — в этом случае они будут рассматриваться неотделимо от человека и его профиля прав и ответственности; (далее…)

Когда получены категории информации и средств работы с ней или аналоги этих категорий, необходимо убедиться, что работа с информацией данного уровня чувствительности действительно производится на данном средстве с возможностью поддержания заданного уровня. Такая проверка производится обычно одним из следующих способов:
□ изучением описания работы системы;
□ опросом администраторов и пользователей системы; (далее…)

Что касается классификации средств работы с информацией, то необходимо различать классификацию, проведенную силами самого предприятия (его службой информационной безопасности) и классификацию, произведенную третьей стороной (например, производителем системы). При этом вовсе не обязательно, что первый вариант хуже второго. Широко известные, сертифицированные на определенную категорию, системы обычно (и это указывается в сертификационном документе) категоризируются в определенной конфигурации, на определенном оборудовании, в определенной среде и при других определенных условиях. (далее…)

Классификация информации представляет трудность в первую очередь спецификой работы самого предприятия. Поэтому, если классификация информации на предприятии присутствует, необходимо проверить порядок проведения процесса такой классификации. Если классификация производилась на основании умозаключений только представителей службы безопасности, то она может не отражать реальной потребности в защите информационных объектов. (далее…)

Режим функционирования семейства
Типовые криптографические операции включают шифрование и/или дешифрование данных, генерацию и/или верификацию цифровых подписей, генерацию и/или верификацию контрольных сумм для обеспечения целостности, хэш-функции, шифрование и/или дешифрование криптографических ключей, согласование ключей. (далее…)