В предыдущих разделах сайта, посвященных общим понятиям информационной безопасности, были рассмотрены основные факторы, на которых основывается информационная безопасность. Соответственно, ценность или важность любого информационного объекта необходимо рассматривать именно с такой точки зрения, так как градации «секретный — конфиденциальный — открытый» или «очень важный — важный — неважный» представляются достаточно бедными для точного определения значения объекта.
Для того чтобы до конца понять эти различия, приведем пример, как главный объект предприятия, который раньше можно было классифицировать как важный или секретный, теперь размещается в разных классификационных категориях. Пример 1. Государственное учреждение закрытого типа, аналогичное министерству обороны или службе разведки. Для таких учреждений обычно на первом месте стоит понятие конфиденциальности, поэтому скорее будет допущена возможность повреждения или уничтожения информации, чем ее разглашение. Пример 2. Банк. Если в качестве объекта выступает, например, значение суммы финансовых средств на счету клиента (остаток), то главная задача банка — обеспечить невозможность ее несанкционированного изменения (целостность). При этом в экстраординарных ситуациях можно пойти на временное отсутствие доступа к счету или разглашение данных. Пример 3. Поставщик интернет-услуг (бесплатный почтовый сервер). Обычно для такого учреждения очень важно обеспечить возможность постоянного доступа пользователей к сервису (скорость интернета пользователей так же важна). Конфиденциальность и целостность остаются также важными, но не всегда первостепенными требованиями. Примерная модель классификации Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера «Д» означает «доступность», «Ц» — «целостность»* «К» — «конфиденциальность», цифры возрастают с убыванием значимости критерия). По наличию (доступность) • Критическая — без нее работа субъекта останавливается (ДО). По несанкционированной модификации (целостность) • Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО). Аналогичным образом вместо понятия «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя». По разглашению (конфиденциальность) • Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО). Для более сложных способов работы с объектами можно дополнительно ввести понятие важности по неотрекаемости и понятие важности по учету. Проанализировав общую схему классификации информационных объектов, несложно распространить ее и на другие понятия. Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается. Жизненный цикл обычно можно обозначить следующими стадиями. • Информация используется в операционном режиме, т.е. принимает участие в производственном цикле и бывает востребована практически постоянно. |