Перейти к содержанию

защита информации от кражи персоналом


Рекомендуемые сообщения

2. Контрпример. Вы опять берете некий отдельный пример не в общем контексте решения задачи. Здесь опять же есть различные решения (разработка этих решений есть разработка политики безопасности).

8857[/snapback]

У меня есть модели нарушителей, есть соответствующие списки угроз. Я сопоставляю эти угрозы с алгоритмами работы СЗИ. Политика безопасности, с моей точки зрения, описывает общие концепции. А я привел частный случай обработать который и должна конкретная подсистема системы безопасности.

 

 

То что Вы описали проше сделать с использованием ручки и листа бумаги, для этого незачем открывать два окна (на бумаге получится быстрее и вынести проще).

8857[/snapback]

С теоритической точки зрения - может быть. А на практике сотрудник осознает, что его действия есть кража информации, то что он списывает данные на бумагу обязательно увидят коллеги - все это заставляет нервничать. Кроме того, у нас например, для черновиков используется прошитые блокноты, так что на бумаге вынести не получится. Вернее можно, но очень рисковано.

 

 

Если он может выбирать сесиию, то он введет этот документ туда, куда захочет, вне зависимости от гифа документа.

8857[/snapback]

Вы имеете в виду, что для назначения грифа вновь созданного вручную документа пользователь должен создавать его в определенной сессии ?

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 135
  • Создана
  • Последний ответ

Зашедшему.

Вопрос. Вы действительно серьезно относитесь к таким формализациям, как модели нарушителей и угроз? Если эта информация не конфиденциальная, хотелось бы взглянуть, если возможно, перешлите на мой адрес info@npp-itb.spb.ru. Меня всегда интересовали такие вещи, как можно прописать в списке угроз, например, ошибку в приложении и т.д.

На Ваш вопрос. Мы уже обсуждаем его несколько раз и что-то не понимаем друг друга. Суть в следующем. Если полльзователь размечен как конфиденциальный и имеет право на запись только в конфиденциальный каталог (нет понятия сессии), то любой вновь создаваемый им документ может быть сохранен только в конфиденциальном каталоге (этот как работа с документами в первом отделе). Речь идет не о том, что он какой-то документ прочтет, модифицирует и сохранит, а введет текст заново - создаст новый документ. При различных сессиях, он сможет сохранить вновь созданный документ, как в конфиденциальном, так и в открытом каталоге.

Ссылка на комментарий
Поделиться на другие сайты

Любая система безопасности это система правил и ограничений. Причем правил и ограничений предназначеннйх, в первую очередь, для своих сотрудников.

 

А на счет моделей - они нужны для того что бы понять что закрывать в первую очередь и что делать в первую очередь при возникновении проблемы.

Ссылка на комментарий
Поделиться на другие сайты

Вопрос не в том, что существуют попытки подобной формализации (то, что Вы называете моделями), для меня новость. Просто я этих моделей насмотрелся и могу утверждать, чтоб чтобы "породить" хороший подобный документ, необходимо очень хорошее знание системных средств, средств телекоммуникаций и т.д. Далеко не всегда подобное происходит, в результате чего, подобные модели превращаются в "фарс". Вот очем речь.

Одни пишут, другие читают, а документ не о чем (то же имеет место с концепциями, политиками безопасности и т.д.).

Ссылка на комментарий
Поделиться на другие сайты

Вопрос не в том, что существуют попытки подобной формализации (то, что Вы называете моделями), для меня новость. Просто я этих моделей насмотрелся и могу утверждать, чтоб чтобы "породить" хороший подобный документ, необходимо очень хорошее знание системных средств, средств телекоммуникаций и т.д. Далеко не всегда подобное происходит, в результате чего, подобные модели превращаются в "фарс". Вот очем речь.

Одни пишут, другие читают, а документ не о чем (то же имеет место с концепциями, политиками безопасности и т.д.).

8976[/snapback]

Одними системными средствами и телекомом сыт не будешь...

Если не ошибаюсь, наиболее опасными (по совокупной стоимости рисков) для штатов остаются потери и кражи ноутбуков =)

А формализация и модель должны быть. И именно грамотно построенные. Иначе куча сил и денег уйдет на поддержание систем, ЭЦП и проч., а утечка будет проходить по другим каналам. Причем очень простым.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...