.
Chaque emplacement a ses propres conditions pour les niveaux de la confidentialité, de l'intégrité, et de la disponibilité, et la politique d'emplacement énonce ces besoins de cet emplacement particulier.
Une politique militaire de sécurité (également appelée une politique gouvernementale de sécurité) est une politique de sécurité développée principalement pour fournir la confidentialité.
Le nom vient de la nécessité des militaires de garder l'information, telle que la date qu'un bateau de troupe naviguera, le secret. Bien que l'intégrité et la disponibilité soient importantes, les organismes employant cette classe des politiques peuvent surmonter la perte d'exemple d'eitherfor, en employant des ordres non envoyés par un réseau informatique. Mais le compromis de la confidentialité serait catastrophique, parce qu'un adversaire pourrait projeter des contre-mesures (et l'organisation ne peut pas savoir du compromis).
La confidentialité est l'un des facteurs de l'intimité, une issue identifiée dans les lois de beaucoup d'entités de gouvernement (telles que la Loi d'intimité des Etats-Unis et la législation semblable en Suède). Hormis contraindre quelle information une entité de gouvernement peut légalement obtenir à partir des individus, de telles contraintes d'endroit d'actes sur la révélation et d'utilisation de cette information. La révélation non autorisée peut avoir comme conséquence les pénalités qui incluent la prison ou les fines ; aussi, une telle révélation mine l'autorité et le respect que les individus prennent pour le gouvernement et les empêche de révéler que le type d'information aux agences a ainsi compromis.
Une politique commerciale de sécurité est une politique de sécurité développée principalement pour fournir l'intégrité.
Le nom vient de la nécessité des sociétés commerciales d'empêcher trifouiller leurs données, parce qu'ils ne pourraient pas survivre de tels compromis. Par exemple, si la confidentialité de l'ordinateur d'une banque est compromise, un équilibre du compte de client peut être indiqué. Ceci embarrasserait certainement la banque et ferait probablement prendre le client ses affaires ailleurs. Mais la perte résultat au "inférieur" de la banque serait mineure. Cependant, si l'intégrité de l'ordinateur tenant les comptes étaient compromises, les équilibres dans les comptes de clients pourraient être changés, avec des effets financièrement ruineux.
Quelques politiques d'intégrité emploient la notion d'une transaction ; comme des caractéristiques de base de données, elles exigent que les actions se produisent de façon à laisser la base de données dans un état cohérent. Ces politiques, appelées les politiques conçues pour traiter les mouvements dès leur apparition de sécurité d'intégrité, sont critiques aux organismes qui exigent l'uniformité des bases de données
| EXEMPLE : Quand un client déplace l'argent d'un compte à l'autre, la banque emploie une transaction bien formée. Cette transaction a deux parts distinctes : de l'argent est d'abord débité au compte original et ensuite crédité au deuxième compte. À moins que les deux parties de la transaction soient accomplies, le client perdra l'argent. Avec une transaction bien formée, si la transaction est interrompue, l'état de la base de données est consistenteither immobile comme il était avant que la transaction ait commencé ou car il aurait été quand la transaction a fini. Par conséquent, une partie de la politique de la sécurité de la banque est que toutes les transactions doivent être bien formées. |
Le rôle de la confiance dans ces politiques accentue leur différence. Les politiques de confidentialité ne placent aucune confiance dans les objets ; autant que la politique est concernée, l'objet pourrait être un rapport réellement correct ou un conte pris des fables d'Aesop. Le rapport annuel dicte si cet objet peut être révélé. Il n'indique rien environ si l'objet devrait être cru.
Les politiques d'intégrité, à l'effet contraire, indiquent à combien l'objet peut être fait confiance. Étant donné que ce niveau de confiance est correct, la politique dicte ce qu'un sujet peut faire avec cet objet. Mais la question cruciale est comment le niveau de la confiance est assigné. Est-ce que par exemple, si un emplacement obtient une nouvelle version d'un programme, ce programme devrait-il avoir l'intégrité élevée (c'est-à-dire, l'emplacement fait-il confiance à la nouvelle version de ce programme) ou basse intégrité (c'est-à-dire, l'emplacement ne fait-il pas confiance encore au nouveau programme), ou devrait le niveau de la confiance être quelque part dans l'intervalle (parce que le fournisseur a fourni le programme, mais il n'a pas été examiné à l'emplacement local aussi complètement que la vieille version) ? Ceci définit des politiques d'intégrité considérablement plus nébuleuses que des politiques de confidentialité. L'attribution d'un niveau de confidentialité est basée sur ce que le classificateur veut que d'autres sachent, mais l'attribution d'un niveau d'intégrité est basée sur ce que le classificateur pense subjectivement pour être vrai au sujet de la fidélité d'information.
Deux autres limites décrivent des politiques liées aux besoins de sécurité ; parce qu'elles apparaissent ailleurs, nous les définissons maintenant.
Une politique de confidentialité est une politique de sécurité traitant seulement la confidentialité.
Une politique d'intégrité est une politique de sécurité traitant seulement l'intégrité.
Les politiques de confidentialité et les politiques militaires traitent la confidentialité ; cependant, une politique de confidentialité ne traite pas l'intégrité du tout, tandis qu'une politique militaire peut. Une distinction semblable se tient pour des politiques d'intégrité et des directives commerciales.
Online: 508 users browsing the articles directory
. |