Главная » Безопасность » Защита4 » Классификация информационных объектов

Классификация информационных объектов

В предыдущих разделах сайта, посвященных общим понятиям информационной безопасности, были рассмотрены основные факторы, на которых основывается информационная безопасность. Соответственно, ценность или важность любого информационного объекта необходимо рассматривать именно с такой точки зрения, так как градации «секретный — конфиденциальный — открытый» или «очень важный — важный — неважный» представляются достаточно бедными для точного определения значения объекта.

Для того чтобы до конца понять эти различия, приведем пример, как главный объект предприятия, который раньше можно было классифицировать как важный или секретный, теперь размещается в разных классификационных категориях.

Пример 1. Государственное учреждение закрытого типа, аналогичное министерству обороны или службе разведки. Для таких учреждений обычно на первом месте стоит понятие конфиденциальности, поэтому скорее будет допущена возможность повреждения или уничтожения информации, чем ее разглашение.

Пример 2. Банк. Если в качестве объекта выступает, например, значение суммы финансовых средств на счету клиента (остаток), то главная задача банка — обеспечить невозможность ее несанкционированного изменения (целостность). При этом в экстраординарных ситуациях можно пойти на временное отсутствие доступа к счету или разглашение данных.

Пример 3. Поставщик интернет-услуг (бесплатный почтовый сервер). Обычно для такого учреждения очень важно обеспечить возможность постоянного доступа пользователей к сервису (скорость интернета пользователей так же важна). Конфиденциальность и целостность остаются также важными, но не всегда первостепенными требованиями.

Примерная модель классификации

Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера «Д» означает «доступность», «Ц» — «целостность»* «К» — «конфиденциальность», цифры возрастают с убыванием значимости критерия).

По наличию (доступность)

• Критическая — без нее работа субъекта останавливается (ДО).
• Очень важная — без нее можно работать, но очень короткое время (Д1).
• Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
• Полезная — без нее можно работать, но ее использование экономит ресурсы (ДЗ).
• Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
• Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

По несанкционированной модификации (целостность)

• Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО).
• Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).
• Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).
• Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).
• Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

Аналогичным образом вместо понятия «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя».

По разглашению (конфиденциальность)

• Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).
• Очень важная — разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
• Важная — разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).
• Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).
• Малозначимая — может принести моральный ущерб в очень редких случаях (К4).
• Незначимая — не влияет на работу субъекта (К5).

Для более сложных способов работы с объектами можно дополнительно ввести понятие важности по неотрекаемости и понятие важности по учету.

Проанализировав общую схему классификации информационных объектов, несложно распространить ее и на другие понятия.

Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Жизненный цикл обычно можно обозначить следующими стадиями.

• Информация используется в операционном режиме, т.е. принимает участие в производственном цикле и бывает востребована практически постоянно.
• Информация используется в архивном режиме, т.е. не принимает непосредственного участия в производственном цикле, но периодически требуется для аналитической или другой деятельности.
• Информация хранится в архивном режиме для обеспечения соответствия требованиям сохранения (например, вышестоящей организации), практически не нужна самому предприятию.

Оставить комментарий