Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Контроль классификации информации

Классификация информации представляет трудность в первую очередь спецификой работы самого предприятия. Поэтому, если классификация информации на предприятии присутствует, необходимо проверить порядок проведения процесса такой классификации. Если классификация производилась на основании умозаключений только представителей службы безопасности, то она может не отражать реальной потребности в защите информационных объектов. То, что кажется маловажным для аналитиков службы безопасности, может показаться критически важным работникам бизнес-подразделений, разработчикам стратегий развития предприятия и другим службам.

Если формальная (задокументированная) классификация отсутствует, то скорее всего присутствует некая сложившаяся неформальная классификация и с ней необходимо ознакомиться. В этом случае не следует принимать во внимание разговоры о том, что все информационные объекты защищаются одинаково хорошо. Такое еще возможно в некой одноранговой сети, где каждый пользователь решает, какую информацию предоставить кому из коллег.

При совместной же работе двух и более пользователей с одним объектом рано или поздно появляется проблема отделения одной части информации от другой и разграничения доступа к этим частям. А значит, возникают и разные уровни чувствительности информации хотя бы по параметру конфиденциальность.

Контроль классификации средств работы с информацией

Что касается классификации средств работы с информацией, то необходимо различать классификацию, проведенную силами самого предприятия (его службой информационной безопасности) и классификацию, произведенную третьей стороной (например, производителем системы). При этом вовсе не обязательно, что первый вариант хуже второго. Широко известные, сертифицированные на определенную категорию, системы обычно (и это указывается в сертификационном документе) категоризируются в определенной конфигурации, на определенном оборудовании, в определенной среде и при других определенных условиях. А это значит, что система, сертифицированная по пресловутому классу С2, вовсе не соответствует данной категории на конкретном предприятии по различным причинам (другое оборудование, особенности или ошибки конфигурации и пр.). В этом случае, с одной стороны, собственная категоризация (или перекатегоризация), возможно, окажется более точной. С другой стороны, собственная категоризация может не быть такой подробной.

В любом случае необходимо убедиться в том, как оценивались надежность механизмов безопасности (аутентификация, криптография и др.)

Возможность управления этими механизмами, защита данных и разграничение доступа к ним, устойчивость системы к сбоям, качество документации к системе, возможные уязвимости системы и остальные параметры, которые подлежат оценке.

Проверка соответствия информации средствам работы с ней

Когда получены категории информации и средств работы с ней или аналоги этих категорий, необходимо убедиться, что работа с информацией данного уровня чувствительности действительно производится на данном средстве с возможностью поддержания заданного уровня. Такая проверка производится обычно одним из следующих способов:

• изучением описания работы системы;
• опросом администраторов и пользователей системы;
• тестовой работой проверяющего в системе, чаще всего в сопровождении администратора системы.

Если подтверждение соответствия уровней информация/средство работы получено, можно утверждать, что классификация произведена правильно и работа производится в соответствии с классификацией. Если же обнаружены расхождения, необходима дополнительная проверка (в основном опросы уполномоченных сотрудников) для определения причин расхождений и способов их устранений, вплоть до полной переклассификации всех систем.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна