Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Сопоставление ролей классам обрабатываемой информации

С тем чтобы как специалисту, выполняющему классификацию системы, так и проверяющему лицу было проще понять, как выглядит распределение ролей и ответственности в привязке к классификации объектов, рассмотрим пример такой классификации. При этом будем использовать принятые сокращения по категориям информационных объектов.

Для объектов уровня ДО

Администраторы. Обязательное географически распределенное хранение объекта (кластеризация, зеркалирование и т.п.), а также ежедневное резервное копирование на внешний носитель. Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом следует обеспечить возможность аварийного администрирования объекта в случае отсутствия администраторов. Администраторы должны иметь широко известные средства коммуникационного контакта и возможность оперативного оповещения в случае сбоя в работе объекта. Доступ к внешнему носителю с резервной копии должен быть физически ограничен. Число субъектов, имеющих право доступа, не может превышать пяти. Факты использования резервной копии подлежат регистрации, так же как и все действия по управлению объектом.

Контролеры. Необходимо определить строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в работе объекта. Контроль действий должен производиться не реже одного раза в рабочий день. Предусматривается создание аварийных планов на случай временной или полной недоступности объекта.

Пользователи. Должны строго придерживаться правил работы с объектом, не пытаясь получать доступ к другим объектам, кроме предназначенного для них в соответствии с их функциональными обязанностями. При невозможности получения доступа к объекту им следует немедленно обратиться к администратору.

Для объектов уровня Д1

Администраторы. Обязательное резервное копирование объекта на жесткий диск не реже трех раз в день и ежедневное копирование его на внешний носитель. Наличие холодного резервирования средств хранения и обработки информации. Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом должна быть обеспечена возможность аварийного администрирования объекта в случае отсутствия администраторов. Администраторам надлежит иметь широко известные средства коммуникационного контакта, а пользователям - возможность оперативного оповещения их в случае сбоя в работе объекта. Доступ к внешнему носителю с резервной копией должен быть физически контролируем, случаи использования резервной копии следует регистрировать. Все действия по управлению объектом также должны регистрироваться.

Контролеры. Необходимо разработать строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в действиях объекта. Контроль действий производится не реже одного раза в рабочий день. Должны быть разработаны аварийные планы на случай временной или полной недоступности объекта.

Пользователи. Обязаны строго придерживаться правил работы с объектом, не пытаясь получать доступ к объектам помимо прав, определенных для них в соответствии с функциональными обязанностями. При невозможности получения доступа к объекту немедленно обратиться к администратору.

Для объектов уровня Д2

Администраторы. Обязательное ежедневное резервное копирование на внешний носитель. Санкционированную возможность управления доступом к объекту должны иметь не более трех пользователей. Необходимо определить одного администратора. Следует обеспечить возможность аварийного администрирования. Доступ к внешнему носителю с резервной копией должен контролироваться. Действия по изменению размещения объекта или правил доступа к объекту подлежат регистрации. Контролеры. Предусмотрены процедуры для осуществления контроля. Контроль действий должен производиться не реже одного раза в неделю.

Пользователи. Должны придерживаться правил работы с объектом, не пытаясь получать доступ к другому объекту, помимо определенного для них в соответствии с их функциональными обязанностями. При невозможности получения доступа к объекту следует обратиться к администратору или пользователям, управляющим доступом.

Для объектов уровня ДЗ

Работа с полезной информацией оставляется на усмотрение пользователей информации.

Для объектов уровня Д4

Работа с несущественной информацией не регламентируется.

Для объектов уровня Д5

Администраторы. Необходимо обеспечить доступными средствами ограничение попадания информации данного класса пользователям. Контролеры. Необходимо наличие регламента использования такой информации и процедур контроля за расходом пользователями ресурсов на информацию данного класса.

Пользователи. При обнаружении подобной информации пользователь должен принять меры к ее уничтожению и сообщить об этом администратору или контролеру.

Для объектов уровня ЦО и Ц1

Администраторы. Необходимо обеспечить право на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля. Предусматривается разделение прав на модификацию данных (внесение изменения/авторизация изменения) и ведение регистрационного журнала изменений. Для хранения и обработки объектов класса ЦО предпочтительно использовать средства хранения, не включенные в общую компьютерную сеть.

Контролеры. Следует разработать строгие и однозначные правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта. Проверка регистрационного журнала изменений должна осуществляться не реже одного раза в рабочий день.

Пользователи. Обязаны, с одной стороны, придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, они должны осуществлять санкционированные модификации в соответствии с временным графиком и в рамках своих полномочий. На каждую модификацию информации данной категории должен быть документ в виде твердой копии соответствующей формы. При обнаружении модификации объекта, подозрительно похожей на несанкционированную, обязаны немедленно сообщить контролеру.

Для объектов уровня Ц2

Администраторы. Должны обеспечить права на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля. Заполнять регистрационный журнал изменений.

Контролеры. Следует разработать правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта. Проверка регистрационного журнала изменений должна осуществляться не реже двух раз в неделю.

Пользователи. Должны, с одной стороны, строго придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, пользователи должны осуществлять санкционированные модификации строго в соответствии с временным графиком и в рамках своих полномочий. При обнаружении модификации объекта, подозрительно похожей на несанкционированную, немедленно сообщить контролеру.

Для объектов уровня ЦЗ

Определение способов работы с объектами данного класса оставлено на усмотрение пользователей объекта.

Для объектов уровня Ц4

Определение способов работы с объектами данного класса не регламентируется.

Для объектов уровня КО

Запрещено хранение объектов данного типа в электронном виде. Необходимо обеспечить подписание пользователями объекта обязательства о неразглашении информации.

Для объектов уровня К1

Работа с объектами данного типа возможна только на отдельно стоящих компьютерах или гарантированно защищенных от удаленного доступа. В этом случае пользователь информации является одновременно ее администратором и контролером, предоставляя ее для использования другим пользователям только в личном присутствии и под личным контролем. Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.

Для объектов уровня К2

Администраторы. Право на ознакомление с информацией предоставляется только авторизованным, идентифицируемым пользователям по предъявлению пароля и/или ключа на внешнем носителе. Необходимо заполнять регистрационный журнал доступа.

Контролеры. Следует разработать правила использования объекта, процедуры для осуществления контроля. Проверка регистрационного журнала изменений доступа должна осуществляться не реже одного раза в день. Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.

Пользователи. Должны строго придерживаться правил работы с объектом, не пытаясь использовать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на доступ и не пытаться получить доступ к чужим паролям.

Для объектов уровня КЗ

В зависимости от специфики конкретной информации используются те же требования, что и для объектов уровня К2 или К4.

Для объектов уровня К4

Определение способов работы с объектами данного класса возложено на пользователей объекта.

Для объектов уровня К5

Определение способов работы с объектами данного класса не регламентируется.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна