Ценность информации является главным критерием при принятии решений о ее защите. Известно следующее разделение информации по уровню важности:
- жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
- важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
- полезная информация - информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
- несущественная информация - информация, которая больше не нужна организации.
На практике отнесение информации к одной из этих категорий может представлять собой очень трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности.
Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.
|
|
Существуют определения групп лиц, связанных с обработкой информации:
- держатель – организация или лицо – обладатель информации;
- источник – организация или лицо, поставляющие информацию;
- нарушитель – отдельное лицо или организация, стремящиеся получить информацию.
Отношение этих групп к значимости одной и той же информации может быть различно: для одной – важная, для другой – нет:
- важная оперативная информация, такая, например, как список заказов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка;
- персональная информация, например медицинская, имеет большую ценность для источника (лица, к которому относится информация), чем для держателя ее или нарушителя;
- информация, используемая руководством для выработки решений, например, о перспективах развития рынка, может быть значительно более ценной для нарушителя, чем для источника или ее держателя, который уже завершил анализ этих данных.
Приведенные категории важности заслуживают внимания и могут быть применены к любой информации. Это также согласуется с существующим принципом деления информации по уровням секретности.
Уровень секретности это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.
|
|
Практика показала, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести к утечке или потере связанной с ней секретной информации, а также к невыполнению автоматизированной системой заданных функций по причине получения ложных данных, которые могут быть не обнаружены пользователем системы.
Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Аналогично сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности. Для защиты от подобных ситуаций широко применяется разграничение доступа к информации по функциональному признаку. При одинаковой степени важности информации, обрабатываемой в системе обработки данных, информация делится в соответствии с функциональными обязанностями и полномочиями пользователей, устанавливаемыми администрацией организации-владельца Системы.
В соответствии с описанными принципами деления по категориям важности и секретности информацию можно представить в виде пирамиды, состоящей из нескольких слоев по вертикали. Вершиной пирамиды является наиболее важная (секретная) информация, а фундаментом - несекретная (открытая) информация. Каждый слой данной пирамиды, поделенной на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей.
Попробуем построить такую пирамиду для информации абстрактной компании, являющейся объектом нашей защиты:
1 – публикуемая информация;
2 – открытая непубликуемая информация;
3 – информация, хранящаяся внутри подразделения, но не интересная 3-м лицам;
4 – информация, официально признанная закрытой, но не представляющая интерес 3-м лицам;
5 – закрытая информация, представляющая интерес третьим лицам;
6 – строго конфиденциальная информация, крайне интересная третьим лицам.