Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Вопросы построения полной и функциональной схемы информационных потоков

При построении схемы информационных потоков следует задуматься о возможности миграции информации по категориям классификации в зависимости от того, на какой стадии информационного потока она находится.

Наиболее простой пример таков. Ряд пользователей или систем, каждый сам по себе, обладает частью информации, не представляющей особой важности и находящейся в низкой категории классификации. Та же информация, собранная в одной системе вместе, составляет критически важные данные, подлежащие особой защите, требующие размещения в верхней части таблицы классификации. Обратный пример - часть критически важной по конфиденциальности информации, может быть разглашена на определенном этапе, без ущерба для общего набора информации.

Таким образом, необходимо проводить оценку безопасности информации с точки зрения ее жизненных циклов и других условий. При построении информационного потока следует учитывать возможные ответвления от него, не являющиеся очевидными на первый взгляд.

Приведем два примера.

• Информация следует от системы А через Б к В, на первый взгляд вся цепочка надежно защищена. Однако выясняется, что в системе Б пользователь распечатывает часть данных и передает другому пользователю для анализа. Поскольку данное ответвление находится вне электронного взаимодействия, оно может быть упущено, между тем если информация критична по конфиденциальности, необходимо применение соответствующих дополнительных мер.
• Информация также следует от системы А через Б к В. На этапе Б, перед тем как перейти к В, информация может быть изменена пользователем на основе других данных (например, на основе информации, поступившей от системы Б2). Как информационный поток защищен от ошибок в системе Б2, если система Б2 - это производственное совещание?

Возможно, примеры несколько надуманы, но наша цель - показать возможность участия неучтенных внешних факторов в потоке.

Средства создания схем информационных потоков

Теперь несколько слов собственно о создании схем информационных потоков. Здесь затруднительно предложить общую методику по причине специфики информационных систем и в значительной степени бизнес-процессов (и бизнес-потоков) в конкретном предприятии.

Вполне возможно использование уже имеющегося механизма составления таких схем - универсального языка моделирования UML (Unified Modeling Language). Это достаточно сложный инструмент, для серьезной работы с ним может потребоваться квалифицированный специалист. Однако для профессионалов, знакомых с объектно-ориентированной концепцией, не составит труда использовать элементы UML при составлении схем.

При использовании UML или любого другого инструмента построения моделей следует помнить, что результирующая, рабочая схема должна описывать не абстрактную "безопасность", а конкретные ее категории. Соответственно, оперируя параметрами и функциями объектов схемы, необходимо разделять их на отвечающие за конфиденциальность, целостность и т.д. Если вспомнить о необходимости многоуровневого анализа построения защиты, то становится ясно, что построение качественной схемы - задача отнюдь не тривиальная.

Контроль построения модели информационных потоков

Убедиться, что всё информационные потоки определены правильно и информация во время всего следования защищена надежно - задача, сравнимая по сложности с самим построением схемы информационных потоков. Если все информационные системы обладают возможностью защиты передаваемых данных, то убедиться в правильности построения схемы защиты для неспециалиста будет затруднительно: для этого необходимо анализировать техническую документацию к системам и конфигурацию работающих систем.

Однако, если одна из систем была спроектирована до 1990 года или в начале 90-х годов, и после этого модификаций ядра или модели безопасности не проводилось - высока вероятность того, что система может воспринимать и выдавать только простые текстовые файлы. В этом случае необходимо дополнительно выяснить, как производится защита этого файла в промежуток времени после выгрузки из одной системы до загрузки в другую.

Если никаких дополнительных мероприятий не предусмотрено, то следует задать следующие вопросы.

• Как защищен этот файл от постороннего прочтения?
• Как производится проверка того, что данные не были изменены непосредственно перед загрузкой в систему?
• Что происходит, если выгруженный файл был испорчен или удален?

В зависимости от ответов на них, можно представить картину мероприятий по организации защиты данных при перемещении от одной системы к другой.

В качестве тестового испытания полноты созданной модели, наиболее простого для выполнения со стороны менеджера проекта или руководителя отдела, можно порекомендовать следующую "проверку". Соберите все штатные (не тестовые) распечатки обрабатываемой системой информации, которые случайно найдутся у вас на столе или в сейфе. Затем исследуйте модель потоков, созданную специалистами по информационной безопасности, и проверьте, все ли виды распечаток, имеющиеся у вас, отражены в ней как ответвления информационных потоков.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна