Tipos de políticas de la seguridad

Share

|

Cada sitio tiene sus propios requisitos para los niveles del secreto, de la integridad, y de la disponibilidad, y la política del sitio indica estas necesidades de ese sitio particular.

Una política militar de la seguridad (también llamada una política gubernamental de la seguridad) es una política de la seguridad desarrollada sobre todo para proporcionar secreto.

El nombre viene de la necesidad de los militares de guardar la información, tal como la fecha que una nave de la tropa navegará, el secreto. Aunque la integridad y la disponibilidad son importantes, las organizaciones que usan esta clase de políticas pueden superar la pérdida de ejemplo del eitherfor, usando las órdenes no enviadas a través de una red de ordenadores. Pero el compromiso del secreto sería catastrófico, porque un opositor podría planear contramedidas (y la organización no puede saber del compromiso).

El secreto es uno de los factores de la aislamiento, una edición reconocida en los leyes de muchas entidades del gobierno (tales como el acto de la aislamiento de los Estados Unidos y legislación similar en Suecia). Aparte de obligar qué información puede obtener legalmente una entidad del gobierno de individuos, de tales apremios del lugar de los actos en el acceso y del uso de esa información. El acceso desautorizado puede dar lugar a las penas que incluyen la cárcel o multas; también, tal acceso mina la autoridad y el respecto que los individuos tienen para el gobierno y los inhibe de divulgar que el tipo de información a las agencias se comprometió tan.

Una política comercial de la seguridad es una política de la seguridad desarrollada sobre todo para proporcionar integridad.

El nombre viene de la necesidad de firmas comerciales de evitar el tratar de forzar con sus datos, porque no podrían sobrevivir tales compromisos. Por ejemplo, si el secreto de la computadora de un banco se compromete, un equilibrio de cuenta de cliente puede ser revelado. Esto desconcertaría ciertamente el banco y haría posiblemente a cliente tomar su negocio a otra parte. Pero la pérdida al fondo "" del banco sería de menor importancia. Sin embargo, si la integridad de la computadora que llevaba a cabo las cuentas fue comprometida, los equilibrios en las cuentas de clientes se podrían alterar, con efectos financieramente ruinosos.

Algunas políticas de la integridad utilizan la noción de una transacción; como especificaciones de la base de datos, requieren que las acciones ocurran de tal manera en cuanto a licencia la base de datos en un estado constante. Estas políticas, llamadas las políticas orientadas a transacciones de la seguridad de la integridad, son críticas a las organizaciones que requieren la consistencia de bases de datos

EJEMPLO: Cuando un cliente mueve el dinero a partir de una cuenta a otra, el banco utiliza una transacción bien formada. Esta transacción tiene dos porciones distintas: el dinero primero se carga a la cuenta original y en seguida se acredita a la segunda cuenta. A menos que ambas partes de la transacción se terminen, el cliente perderá el dinero. Con una transacción bien formada, si se interrumpe la transacción, el estado de la base de datos es consistenteither inmóvil como era antes de que la transacción comenzara o pues habría sido cuando la transacción terminó. Por lo tanto, la parte de la política de la seguridad del banco es que todas las transacciones deben ser bien formadas.

El papel de la confianza en estas políticas destaca su diferencia. Las políticas del secreto no ponen ninguna confianza en objetos; en cuanto se refiere la política, el objeto podría ser un informe efectivo correcto o un cuento tomado de los fables de Aesop. La declaración de política dicta si ese objeto puede ser divulgado. No dice nada alrededor si el objeto debe ser creído.

Las políticas de la integridad, por el contrario, indican cuánto puede ser confiado en el objeto. Dado que este nivel de la confianza está correcto, la política dicta lo que puede hacer un tema con ese objeto. Pero la pregunta crucial es cómo el nivel de la confianza se asigna. ¿Por ejemplo, si un sitio obtiene una nueva versión de un programa, debe ese programa tener alta integridad (es decir, el sitio confía en la nueva versión de ese programa) o integridad baja (es decir, el sitio todavía no confía en el nuevo programa), o debe el nivel de la confianza estar en alguna parte mientras tanto (porque el vendedor proveió el programa, solamente él no se ha probado en el sitio local tan a fondo como la vieja versión)? Esto hace políticas de la integridad considerablemente más nebulosas que políticas del secreto. La asignación de un nivel del secreto se basa en lo que quisiera el clasificador que otras supieran, pero la asignación de un nivel de la integridad se basa en lo que cree el clasificador subjetivo para ser verdad sobre el trustworthiness de la información.

Dos otros términos describen las políticas relacionadas con las necesidades de la seguridad; porque aparecen a otra parte, ahora los definimos.

Una política del secreto es una política de la seguridad que se ocupa solamente de secreto.

Una política de la integridad es una política de la seguridad que se ocupa solamente de integridad.

Las políticas del secreto y las políticas militares se ocupan de secreto; sin embargo, una política del secreto no se ocupa de integridad en todos, mientras que puede una política militar. Una distinción similar sostiene para las políticas de la integridad y las políticas comerciales.