Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу

Конкретные, а не абстрактные информационные угрозы

Итак, изучив предыдущие разделы и вебстраницы сайта, теперь мы представляем, что такое информационная безопасность, пришли к единому языку и терминологии, создали команду, с которой будем работать. Прежде чем начинать строить защиту информационного пространства, необходимо перейти от абстрактных понятий "объект/субъект" к конкретным информационным системам или, проще говоря, ответить на вопрос: а что конкретно мы будем защищать?

Общий характер инвентаризации информационных систем

Если вы специалист по информационной безопасности, который серьезно берется за проведение инвентаризации информационных активов предприятия, то и подготовка к данному мероприятию должна быть соответственно серьезной. При чересчур сильной ориентации только на себя и свое подразделение специалист по безопасности рискует получить качественный и легко используемый в работе отчет, который тем не менее может не содержать очевидных для пользователей систем уязвимостей и угроз и быть, таким образом, неполным.

Нормативные документы и круг респондентов
Принципы и направления
Примерный объем собираемой информации

Необходимо убедиться, что работа по инвентаризации информационных систем была произведена качественно.

Контроль инвентаризации

Для того чтобы поддерживать данные по инвентаризации в актуальном состоянии, необходимо выполнение ряда требований.

• служба информационной безопасности в обязательном порядке должна быть вовлечена в процесс проектирования или приобретения новых систем, реконфигурации существующих, перемещений систем в информационном пространстве, как физически, так и логически, и во все другие процессы, которые производят изменения в существующем информационном пространстве, причем на самой ранней стадии;
• сведения о приеме на работу новых сотрудников, перемещении по службе существующих, а также об отпусках, командировках, болезнях и увольнения сотрудников предприятия должны регулярно поступать в службу информационной безопасности.

Классификация информационных систем
Основные регламенты классификации
Классификация информационных объектов
Классификация средств обработки информации
Требования к функциональности безопасности - общие понятия
Перечень классов
Требования к достоверности безопасности
Классы оценок
Технологические классы

Надеемся, у Вас сложилось представление о процессе классификации информационных систем и объеме требуемых действий. По крайней мере можно представить себе, по каким параметрам производится оценка систем, и, соответственно, на что следует обращать внимание при их проектировании, использовании или модернизации.

Режим функционирования семейства

Типовые криптографические операции включают шифрование и/или дешифрование данных, генерацию и/или верификацию цифровых подписей, генерацию и/или верификацию контрольных сумм для обеспечения целостности, хэш-функции, шифрование и/или дешифрование криптографических ключей, согласование ключей.

Типовые криптографические операции

Еще раз повторим, что необходимо различать понятия классификации самой информации и классификации средств работы с информацией.

Контроль классификации информации
Субъекты информационного пространства

Если конкретная операция в системе построена таким образом, что она не может быть разделена между двумя пользователями, значит, при ее критической важности, она должна быть выполнена одним пользователем только в присутствии другого. Это может быть достигнуто, например, разделением пароля на аутентификацию пользователя, от имени которого запускается функция, на две (или более) части. Иногда можно встретить другое определение такого принципа - "в четыре глаза" (англ. four eyes). Если же объективно ряд значимых операций должен выполняться только одним человеком, то результаты его действий должны регистрироваться в журналах, к которым он не имеет доступа на корректировку.

Минимизация привилегий означает, что пользователю предоставляется ровно столько прав, сколько ему необходимо для выполнения работы.

Принципы распределения прав и ответственности
Упрощенная модель классификации субъектов
Полная модель классификации субъектов
Сопоставление ролей функциональным обязанностям
Сопоставление ролей классам обрабатываемой информации

В результате произведенной классификации информационной системы в службе безопасности предприятия должен появиться документ "Классификатор информационной безопасности". Весьма желательным дополнением к классификатору является наличие полного и актуального списка кадрового состава предприятия, к каждой строке которого добавлено поле "класс субъекта".

Результаты классификации информационных систем

В ряде случаев, анализируя вопросы защищенности систем, упускаются из виду проблемы обмена данными между системами.

Направления защиты процессов обмена информацией
Защита сетевых процессов обмена данными

При построении схемы информационных потоков следует задуматься о возможности миграции информации по категориям классификации в зависимости от того, на какой стадии информационного потока она находится. А убедиться, что всё информационные потоки определены правильно и информация во время всего следования защищена надежно - задача, сравнимая по сложности с самим построением схемы информационных потоков.

Вопросы построения полной и функциональной схемы информационных потоков


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна