|
Общие подходы общеупотребительные, используются почти на каждом объекте, где циркулирует информация с ограниченным доступом, и подтвердили свою высокую действенность в течение длительного времени использования. Однако были обнаружены и существенные проблемы и недостатки.
Так, общие подходы базируются на четком определении атрибутов безопасности каждого из информационных объектов. То есть, вся система технической защиты информации построена на предположении, что атрибуты безопасности, которые ставятся на каждом информационном объекте (носители информации), выставленные верно. Однако это предположение, как показывает практика, не всегда соответствует действительности.
Фактически каждый человек, имеющий доступ к конфиденциальной информации, имеет возможность осуществить ее несанкционированное копирование для создания нового информационного объекта с неверным, не конфиденциальным, атрибутом безопасности. Такое положение связано с широким применением компаниями в своей деятельности интернет соединений, для поиска необходимых данных, обмена электронной почтой, организации информационного обмена между территориально разделенными филиалами и т.д. Однако, достаточно защищенное соединение с Интернетом может привести к появлению каналов утечки конфиденциальной информации путем их несанкционированного копирования. Проблема атрибутов безопасности, главным образом, обусловлена том, что атрибут безопасности до каждого информационного объекта определяется менеджером, то есть человеком. Фактически, вся система технической защиты информации построена на контроле за атрибутами, которые назначаются вне работы системы. Процесс назначения атрибутов безопасности к каждому информационного объекта является неконтролируемым. Сама процедура определения атрибутов безопасности к информационным объектов обусловливает ряд проблем.
Эти проблемы можно разделить на несколько классов:
- Проблема выставления и изменения атрибутов безопасности существующих информационных объектов;
- Проблема выставления атрибутов безопасности новых информационных объектов.
Рассмотрим каждый из этих классов проблем отдельно:
Проблема выставления и изменения атрибутов безопасности существующих информационных объектов.
Проблема заключается в применении двух главных постулатов, на которых, сегодня, базируется почти каждая политика безопасности:
1. использование атрибутов безопасности информационных объектов к каждому информационного объекта;
2. привлечение людей к процессу присвоения атрибутов безопасности к информационным объектам.
Человеческий фактор в процессе присвоения атрибутов безопасности информационным объектам может существенно обострить внутренние проблемы. Существует возможность того, что атрибут безопасности будет выставлен неверно потому, что работник, который устанавливает атрибуты безопасности, имеет не достаточный уровень знаний по предметной области, к которой относится информационный объект. За нехватки информации, работник, может неверно оценить важность документа и поставить неверный атрибут безопасности к информационному объекту.
Кроме того, информационному объекту может быть присвоен неверный атрибут безопасности. Например, два информационных объекты могут иметь абсолютно идентичное материальное воплощение (одинаковое название, форму и т.д.), но иметь совершенно разное содержание. Информационный объект может содержать части текста на иностранном языке, при неверном переводе, всему объекту может быть присвоен неверный атрибут безопасности.
Читайте еще
|
