Обязанности и ответственность субъектов



Категории информации

Важность объекта определим по следующим параметрам.

По наличию (доступность)

  • Критическая — без нее работа субъекта останавливается (Д0).
  • Очень важная — без нее можно работать, но очень короткое время (Д1).
  • Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
  • Полезная — без нее можно работать, но ее использование экономит ресурсы (Д3).
  • Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
  • Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

По несанкционированной модификации (целостность)

  • Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы (Ц0).
  • Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы (Ц1).
  • Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы (Ц2).
  • Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы (Ц3).
  • Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

(Аналогичным образом вместо «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя».)

По разглашению (конфиденциальность)

  • Критическая — ее разглашение приведет к краху работы субъекта или значительным его материальным потерям (К0).
  • Очень важная — ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
  • Важная — ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия (К2).
  • Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (К3).
  • Малозначимая — может принести моральный ущерб в очень редких случаях (К4).
  • Незначимая — не влияет на работу субъекта. (К5)

Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Субъекты информационного пространства

Определим следующие группы по способам работы с информацией.

А. Один субъект владеет информацией, самостоятельно обрабатывает ее без передачи другим субъектам. В этом случае он сам контролирует все способы работы и классификацию информации.

Б. Один субъект владеет информацией и передает ее для использования субъекту или группе субъектов. При этом он должен произвести классификацию информации, определить правила ее использования и ознакомить с ними пользователей либо уполномочить другого субъекта (или нескольких субъектов) на выполнение этих действий.

В. Группа субъектов использует один и тот же информационный объект (в целом или различные его части) или совокупность объектов без явно выраженного права владения, однако хотя бы по одному из параметров классификации объект превышает следующее Д3, Ц3 или К4. В этом случае необходимо произвести разделение субъектов на пользователей, администраторов и контролеров.

Г. Субъект или группа субъектов использует информацию, владелец которой находится вне самой организации. В этом случае субъекты следуют правилам использования информации, определенной владельцем в рамках законодательного пространства страны.

Д. Группа субъектов использует информационные объекты широкого или неопределенного доступа. В этом случае работа с объектами производится без ограничений, в рамках законодательного пространства страны.

Рассматриваемый нами Классификатор, как корпоративный нормативный документ, определяет виды и способы работы информационных объектов, относящихся к группе В.

Обязанности и ответственность субъектов

В соответствии с описанными группами субъектов будем различать следующие обязанности субъектов по жизненным стадиям информации.

  • Субъекты-администраторы (далее просто администраторы) должны обеспечить наличие условий для создания, использования, передачи и хранения объектов в соответствии с задачами, определяемыми уполномоченными субъектами-пользователями (далее пользователями), а также создать условия для осуществления контроля со стороны субъектов-контролеров (далее контролеров) за действиями как пользователей, так и администраторов.
  • Контролеры должны разработать (и при необходимости дорабатывать) правила, по которым пользователи будут работать с объектами. Кроме того, они должны произвести классификацию информационных объектов, обеспечить ознакомление пользователей с правилами и классификацией, а также контролировать соблюдение этих правил.
  • Пользователи должны работать с объектами в рамках разработанных правил.

Во врезках к статье приведены примеры классификации данных. Применительно к конкретным организациям некоторые требования могут быть завышенными, другие, наоборот, заниженными, третьи — могут и должны быть изменены.

Надеюсь, предлагаемая модель классификатора поможет соответствующим специалистам создать рабочий «боевой» документ.

Искандер Конеев — начальник отдела безопасности компьютерных систем Национального банка Узбекистана. С ним можно связаться по электронной почте ikoneev@central.nbu.com


Дата добавления: 2018-02-15; просмотров: 251;