Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

ООП в ИБ

Государственная тайна Управление безопасностью Персональные данные
ООП в ИБ
ООП принято расшифровывать как объектно-ориентированное программирование. В данном случае под ООП понимается объектно-ориентированный подход. Этот подход характеризуют:
  • Абстрагирование объектов реальной действительности и установка им в соответствие "виртуальных" объектов
  • Объекты описываются с помощью некоторых свойств (атрибутов), которые необходимы в рамках решаемой задачи
  • Сходные по функционалу объекты формируют классы и подклассы, образую тем самым дерево иерархии классов
  • Наличие связей между объектами различных классов
name='more'>
Объектно-ориентированный подход в информационной безопасности прочно утвердился в нашей стране с введением в 1992 году ряда руководящих документов Гостехкомиссии РФ. На примере РД ГТК  «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» можно выделить следующие классы:
Класс признаков АС:
  • Объект - уровни конфиденциальности (атрибут - один или много); 
  • Объект - уровни полномочий субъектов доступа АС на доступ к конфиденциальной информации (атрибут - все пользователи имеют доступ к конфиденциальной информации или нет)
  • Объект - режим обработки данных в АС (атрибут - одно- или многопользовательский)
Комбинация этих объектов с определенными атрибутами формирует объект из класса АС (1Г, 3Б и т.п.), которым сопоставляется ряд объектов с определенными атрибутами из класса требований по безопасности. Кроме того объекты класса АС сопоставляются с объектами класса категорий обрабатываемой в них информации.

Подобный подход описан в Common Criteria (и, как следствие, ГОСТ 15408), только они обладают большей гибкостью в силу того, что профили защиты (наборы объектов из класса требований по безопасности), создаются на основе объектов из класса угроз, а не категорий информации. В РД ГТК, вероятно, предполагалось, что определенной категории информации в соответствие ставится определенный набор угроз, сами же угрозы не описывались. Вернее, не описывались в открытых источниках... РД изначально были написаны для формирования требований безопасности к системам обрабатывающим сведения составляющие государственную тайну, поэтому угрозы для этих систем были от всеобщего обозрения закрыты в таких документах, как "Модель иностранной технической разведки", например.

В законодательстве по персональным данным мы вновь видим этот подход. Из класса угроз выбираются актуальные, по соответствующим методикам. На основе ряда признаков выбирается объект из классов ИСПДн (или защищенности). И полученному объекту сопоставляются определенные объекты из класса требований.

Также, можно говорить о классе средств защиты информации, которые "закрывают" определенные требования. 
Государственная тайна Управление безопасностью Персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
23
Апреля
11:00 MSK
Москва
Компания «МКО Системы» приглашает на CIRF!
CIRF'26 — ежегодное мероприятие, традиционно посвященное корпоративной информационной безопасности. Только свободное, искреннее общение, доклады от технических экспертов и специалистов на стыке IT, ИБ, СБ и бизнеса.
Регистрация →
Реклама. 18+ ООО «МКО Системы»
ИНН 7709458650

article-title

Игорь Агурьянов

FREE
100%
Кибербезопасность · Обучение
УЧИСЬ!
ИЛИ
ВЗЛОМАЮТ
Лучшие ИБ-мероприятия
и вебинары — в одном месте
ПОДПИШИСЬ
T.ME/SECWEBINARS