Результаты классификации информационных систем

В результате произведенной классификации информационной системы в службе безопасности предприятия должен появиться документ “Классификатор информационной безопасности”, содержащий следующие разделы:
□ классификатор объектов;
□ классификатор средств; П  классификатор субъектов;
П матрица разрешений, производящая сопоставление классов объектов с классами средств их обработки и классами субъектов, выполняющих эту обработку. (далее…)

Сопоставление ролей классам обрабатываемой информации

С тем чтобы как специалисту, выполняющему классификацию системы, так и проверяющему лицу было проще понять, как выглядит распределение ролей и ответственности в привязке к классификации объектов, рассмотрим пример такой классификации. При этом необходимо будет вспомнить принятые в главе 6 сокращения по категориям информационных объектов. (далее…)

Полная модель классификации субъектов

Рассмотрим более сложную западную модель, предложенную в книге “Handbook of Information Security Management” (“Руководство по управлению информационной безопасности”).
Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:
□ устанавливать первичную классификацию информации и периодически проверять, что эта классификация отвечает производственным задачам; (далее…)

Упрощенная модель классификации субъектов

Рассмотрим упрощенную, или обобщенную, модель классификации субъектов. В информационном пространстве предприятия существуют следующие субъекты:
□ создающие объекты;
□ использующие объекты;
□ администрирующие объекты (то есть обеспечивающие среду работы с объектами других субъектов);
□ контролирующие использование объектов субъектами. (далее…)

Принципы распределения прав и ответственности

Прежде чем перейти к конкретным вопросам, заострим внимание на двух фундаментальных принципах, на которых строится распределение ролей и ответственности.
1. Распределение ответственности (англ. separation of duties). Этот принцип означает, что в системе (пространстве) не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. (далее…)

Субъекты информационного пространства

Под субъектом информационного пространства будем понимать людей, процессы или средства работы с информацией, выполняющие в информационном пространстве некие активные действия в отношении информационной системы. Процессы и средства как безличные сущности могут выполнять свои действия:
□ либо от имени пользователей, управляющих ими в данный момент времени, — в этом случае они будут рассматриваться неотделимо от человека и его профиля прав и ответственности; (далее…)