Классы информационных кластеров предприятия
| Класс | Содержание |
| 5-й: открытая информация | Общие сведения о предприятии и характере его деятельности, необходимые для составления публикуемых годовых отчетов, пресс-релизов, публикаций о предприятии в СМИ, рекламной и агитационной продукции |
| 4-й: служебная информация | Применяемые в повседневной работе предприятия сведения, широкое опубликование или нарушение целостности которых причинило бы предприятию беспокойство, не нанеся при этом значимых материальных потерь или серьезного ущерба его имиджу. Примерами подобной информации могут быть служебные записки, расписание встреч, текущие данные, правила внутреннего распорядка и т.п. |
| 3-й: конфиденциальная информация | Сведения о контрагентах предприятия и условиях работы с ними, о процедурах, разработанных или освоенных на предприятии методике и формах управления им, находящиеся на начальной стадии бизнес-проекты, а также документы, определяющие общие планы и перспективы развития предприятия, потенциально способные обеспечить конкурентное преимущество хозяйствующего субъекта в будущем |
| 2-й: строго конфиденциальная информация | Сведения, содержащие аналитическую обработку результатов бухгалтерского учета, производственной, маркетинговой, управленческой деятельности предприятия, деловые планы и бизнес-проекты, предопределяющие конкретные направления развития предприятия и сферы приложения его усилий с целью укрепления и развития собственного конкурентного преимущества, собственные перспективные дизайнерские разработки, описание информационной политики предприятия, структура и методы работы системы его экономической безопасности, в том числе, и по информационной составляющей, информация о конкурентах, собранная методами бизнес-разведки |
| 1-й: абсолютно конфиденциальная информация | Важные внутренние документы, в том числе инвестиционные, маркетинговые, производственные и управленческие стратегии и стратегические приоритеты предприятия, программы поглощения и слияния компаний и другая информация, разглашение или разрушение которой способно нанести фатальный ущерб |
Так, информационные кластеры, относящиеся к категории открытой информации, не содержат сведений конфиденциального характера, но в то же время общедоступны, что делает наиболее уязвимой их целостность. Служебная информация обычно содержит элементы секретности, но считается, что оперативность ее использования полностью компенсирует потенциальный ущерб, который может возникнуть в результате нарушения ее конфиденциальности. Поэтому задача обеспечения безопасности данного класса информации – защита целостности и доступности сведений. Конфиденциальная информация чаще всего используется на тактическом и оперативном уровнях, что предъявляет авторизованным пользователям равные требования к обеспечению конфиденциальности, целостности и доступности сведений данного класса. При анализе массива строго конфиденциальной информации становится очевидным, что ключевыми свойствами ее являются конфиденциальность и целостность. Значение доступности снижается в связи с резким сокращением круга авторизованных пользователей. Контрагенты и конкуренты обычно проявляют максимальный интерес именно к конфиденциальности данной информации, поскольку затраты на приобретение таких сведений окупаются при их использовании. Абсолютно конфиденциальная информация предназначена только для высшего менеджмента предприятия, поскольку содержит в себе сведения, риск нарушения конфиденциальности которых неприемлемо высок при расширении круга пользователей. Основным свойством данной информации, способным обеспечить конкурентное преимущество предприятия, является конфиденциальность. В большинстве случаев именно нарушение конфиденциальности подобной информации приводит к возникновению значительного материального и морального ущерба.
Степень защиты информационных кластеров и достигнутый уровень информационной безопасности можно оценить, анализируя политику безопасности предприятия – набор законов, правил и норм, определяющих, как оно обрабатывает, защищает и распространяет информацию. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Также выделяют гарантированность функционирования системы, которая показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты информации.
Основные элементы политики информационной безопасности следующие:
- произвольное управление доступом к информационным кластером;
- безопасность повторного использования информационных кластеров;
- метки безопасности информационных кластеров;
- принудительное управление доступом к информационным кластерам. В зависимости от проработанности вышеперечисленных элементов политики безопасности можно ранжировать информационные системы по степени их надежности. Определяется четыре уровня безопасности (надежности) – D, C, B и A. Уровень D вводится для систем, признанных неудовлетворительными. По мере перехода от уровня C к уровню A к надежности систем предъявляются все более жесткие требования. Таким образом, можно предложить следующие уровни информационной безопасности: D – неудовлетворительная безопасность; С – произвольное управление доступом; В – принудительное управление доступом; А – верифицированная защита. Чтобы система могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять огромному количеству требований, которые серьезно усложняются при переходе к последующему уровню.
Распределение требований по уровням вызывает ряд конкретных возражений. Неоправданно далеко отодвинуты такие очевидные требования, как извещение о нарушении защиты, конфигурационное управление, безопасный запуск и восстановление после сбоев. Возможно, это оправданно в физически защищенной военной среде, но никак не в коммерческой, когда постоянное слежение за перемещениями сотрудников может быть очень дорогим удовольствием. Требования полностью игнорируют коммуникационный аспект, присущий современным системам.
В разрабатываемой в нашей стране концепции информационной безопасности предусматривается подразделение информационных систем на классы их защищенности. Классы защищенности подразделяются на четыре группы, отличающиеся качественным уровнем защиты: первая группа содержит только один седьмой класс; вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; четвертая группа характеризуется верифицированной защитой и содержит только первый класс. Приведем сводную таблицу распределения показателей защищенности по классам (табл. V.2).
Соответствие системы информационной безопасности изложенным в этой таблице критериям позволяет определить ее класс защищенности. По существу, это минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.
Т а б л и ц а V.2
Дата добавления: 2021-01-26; просмотров: 217;
Поиск по сайту
Узнать еще
- CASE-технология создания информационных систем
- III. Разработка базовых конкурентных стратегий и стратегий роста предприятия.
- PEST-анализ состоит в выявлении и оценке влияния факторов макросреды на результаты текущей и будущей деятельности предприятия.
- Аварии на химических предприятиях подразделяются на две категории.
- Автоматизированный документооборот на крупных предприятиях.
- Автоматизированных информационных систем бухгалтерского учета
- Активов предприятия
- Активы предприятия и их классификационные признаки
Публикации по технике и механике
Публикации по биологии
Публикации по информатике
Публикации по строительству
Публикации по физике
Публикации по химии
Публикации по электронике
Публикации по искусству
Публикации по истории
