Методологические подходы к защите информации
Любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.
К одному типу будем относить информационные пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).
Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.
Примерный порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:
1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.
|
|
На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.
2. Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):
• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;
• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.
При определении уровня наносимого ущерба необходимо учитывать:
• стоимость возможных потерь при получении информации конкурентом;
• стоимость восстановления информации при ее утрате;
• затраты на восстановление нормального процесса функционирования АС и т.д.
3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).
Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице.