12. Модель классификации по целостности.

Классификация по целостности и модификации («Ц»):

Ц0 – критически важная информация для работы (несанкционированная модификация приведет к необратимым нарушениям)

Ц1 –очень важная информация (изменение приведут к необратимым последствиям через какое-то время, если не будут приняты меры)

Ц2 – важная информация (модификация приведет к нарушению бизнес-процесса через некоторое время, но обратимым)

Ц3- значимая информация (её изменение приведут к серьёзным сбоям, через некоторое время возникнет необходимость восстановления информации)

Ц4 – незначимая информация (изменение не приведут ни к каким последствиям)

12. Модель классификации по конфиденциальности.

Классификация по конфиденциальности («К»):

К0 – критическая информация (разглашение приведет к остановке, либо к значительным материальным потерям)

К1 – очень важная информация (разглашение приведет к потерям через некоторое время, если не принять меры)

К2 – важная информация (разглашение приведет к незначительным материальным и значительным «имиджевым» потерям)

К3 – значимая информация (разглашение приведет только к «имиджевому» ущербу)

К4 – малозначимая информация (разглашение приведет к незначительному моральному ущербу)

К5 – незначительная информация (м/б разглашение не приведет ни к каким последствиям)

25. Модель классификации информационных субъектов.

Упрощенная модель классификации субъектов:

1. Создающие объекты

2. Использующие

3. Администрирующие

4. Контролирующие использование

Эти типы делятся на группы:

1. Один субъект создает, владеет и обрабатывает информацию без передачи другим субъектам.

2. Один субъект создает и передает информацию для обработки другим субъектам.

3. Группа субъектов полностью обрабатывает объект, нет явно выраженного разделения обязанностей.

4. Субъект или группа субъектов использует информацию из внешних источников.

5. Группа субъектов использует информацию открытого (общего) доступа.

25. Сопоставление ролей субъектов их функциональным обязанностям.

1. Владелец информации (несет полную ответственность за информационные массивы):

- произвести первичную классификацию информационных массивов

- определять работу механизмов безопасности

- определять права доступа

- санкционировать любые действия других субъектов к своим объектам

2. Хранитель информации:

- организация резервного копирования и архивирование в соответствие с регламентом

- восстановление данных из резервных копий в случае инцидентов

- организация учета информационных активов, находящихся в резервных копиях

3. Владелец приложений (отвечает за работу какого-то ПО)

- определение критериев доступа субъектов к объектам в соответствии с должностными обязанностями

- контроль использования механизмов безопасности для данного приложения

- администрирование встроенных систем безопасности

- своевременное обновление приложений

4. Администратор пользователей (отвечает за все информационные ресурсы подчиненных ему сотрудников):

- формирование заявок на создание и блокирование учетных записей

- формирование заявок на изменение форм и прав доступа подчиненных

- контроль актуальности информации

- обучение пользователей по вопросам процедур безопасности

5. Администраторы безопасности (устанавливает механизмы безопасности, администрирует учетные записи, устанавливает права доступа):

- администрирование прав доступа субъектов к объектам в соответствие с критериями

- создание и блокирование (+ удаление) учетных записей

- проведение расследований в случае нарушения ИБ

6. Поставщик решений:

-доработка, совершенствование, адаптация решений и запуск их в эксплуатацию

7. Конечный пользователь:

- сохранение в тайне учетных данных

- использование информационных ресурсов только для целей, определенных должностными обязанностями

- предоставление отчетов по всем событиям связанными с ИБ