информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetЗа кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Системы разграничения прав доступа работают по другому, отсюда и заблуждение. :) 09.07.08 13:52  Число просмотров: 6249
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 09.07.08 13:58  Количество правок: 1
<"чистая" ссылка>
> Информация, необходимая топу, далеко не обязательно нужна
> директору филиала и т.д.
> И, соответственно, можно организовать
> хранение\обработку\распределение информации так, чтобы
> минимизировать возможность её несанкционированного
> применения. На нижнем уровне всё может быть рОвно, а
> уровнем выше можно найти много чего интересного.
> И головная боль безопасности - не стирание всей информации
> внизу (может каким-то образом её, возможно даже большАя
> часть, сойдёт за обсуждаемый фейк), а централизация
> критичной информации верхнего уровня и разработка мер по
> предотвращению утечки (в широком смысле)

Ограничивается перетекание информации с более высоким уровнем доступа в более низкий. В системах реализованный противоречивый с точки зрения комп админов принцип. Можно читать из более низкого уровня, а копировать в более низкий уровень нельзя, можно в более высокий. Хотя читать в более высоком нельзя :) У админов как раз наоборот. Даются права изменения над более низким уровнем.

Сама управленческая информация (не путать с приказно распорядительной) генерируется именно в нижних слоях (ведь именно там происходитят производственные и функциональные процессы) и передается в верхние (а тут происходит только управление, а не выполнение работ). На основе этой инфе принимаются управленческие решения, которые не факт, что все попадают вниз.
Поэтому для проверяющих зачастую интересен именно информация из нижних слоев, что бы уже прижать верхние. Например топер не скажет о сомнительной сделке, если не будет фин аналитики, а эту аналитику получат от исполнителей.
Сама информация высокого уровня не носит большой ценности для проверяющих - это статистические данные, для управленческих решений. Она зачастую не носит подробностей операций. Ее ценность больше для коммерческих структур как рыночная аналитика.
Сравни - реестр счетов, накладных (это бух первичка, это нижний уровень) и аналитика по продажам по рыночным сегментам (это управленческая аналитика). Готовиться в финотделе, а ценность для проверяющих очень разная :)
Конечно есть более интересные отчеты по взаиморасчетом с контрагентами, но этот отчет строиться на основе первички. И при доступе к первичке - построение (и сверка) отчета - это только вопрос времени (зачастую не большого).

И необходимо говорить не о несанкционированном применении, а о доступе. Не важно, будет ли она использована или нет. При несанкционированном доступе информация компрометируется и необходимо применить ряд мер, недопускающих ее дальнейшее распостранение.
<law> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach