Куб Маккамера - McCumber cube
В 1991 году Джон МакКамбер создал модельную основу для установления и оценки информационной безопасности (обеспечение информации ) программы, теперь известные как Куб Маккамера.Эта модель безопасности изображена как трехмерный кубик Рубика -подобная сетка.
Концепция этой модели заключается в том, что при разработке обеспечение информации систем, организации должны учитывать взаимосвязь всех различных факторов, которые на них влияют. Разработать надежный обеспечение информации программы, необходимо учитывать не только цели безопасности программы (см. ниже), но и то, как эти цели конкретно относятся к различным состояниям, в которых информация может находиться в системе, и всему спектру доступных мер безопасности, которые необходимо учитывать в дизайн. Модель МакКамбера помогает не забывать учитывать все важные аспекты дизайна, не зацикливаясь на чем-то конкретном (то есть полагаясь исключительно на технические средства контроля за счет необходимых политик и обучения конечных пользователей).
Размеры и атрибуты
Желаемые цели
- Конфиденциальность: гарантия того, что конфиденциальная информация не будет преднамеренно или случайно раскрыта посторонним лицам.
- Честность: гарантия того, что информация не была намеренно или случайно изменена таким образом, чтобы поставить под сомнение ее надежность.
- Доступность: обеспечение своевременного и надежного доступа уполномоченных лиц к данным и другим ресурсам при необходимости.
Информационные состояния
- Место хранения: Данные в состоянии покоя (DAR) в информационной системе, например, хранящейся в памяти, на магнитной ленте или диске.
- Передача: передача данных между информационными системами - также известная как данные в пути (DIT).
- Обработка: выполнение операций с данными для достижения желаемой цели.
Гарантии
- Политика и практика: административный контроль, такой как директивы управления, которые обеспечивают основу для того, как обеспечение информации должен быть реализован внутри организации. (примеры: политики допустимого использования или процедуры реагирования на инциденты) - также называемые операции.
- Человеческий фактор: обеспечение того, чтобы пользователи информационных систем знали о своих ролях и обязанностях в отношении защиты информационных систем и были способны следовать стандартам. (пример: обучение конечных пользователей по предотвращению заражения компьютерными вирусами или распознаванию тактики социальной инженерии) - также называемые персонал
- Технологии: программные и аппаратные решения, предназначенные для защиты информационных систем (примеры: антивирус, межсетевые экраны, системы обнаружения вторжений и т. д.)
Мотивация
Согласно веб-сайту Джона МакКамбера, идея состоит в том, чтобы отодвинуть развитие безопасности как искусства и поддержать его с помощью структурированной методологии, которая функционирует независимо от развития технологий. В основе этой методологии лежит взаимосвязь между конфиденциальностью, целостностью и доступностью с хранением, передачей и обработкой при применении политики, процедур, человеческой стороны и технологий.
Смотрите также
использованная литература
- Оценка и управление рисками безопасности в ИТ-системах: структурированная методология Джона МакКамбера (Автор) [Издатель: Auerbach Publications; 1 издание (15 июня 2004 г.)]
внешние ссылки
(Мертвые ссылки!)