При совместной же работе двух и более пользователей с одним объектом рано или поздно появляется проблема отделения одной части информации от другой и разграничения доступа к этим частям. А значит, возникают и разные уровни чувствительности информации хотя бы по параметру конфиденциальность.

Контроль классификации средств работы с информацией.

Что касается классификации средств работы с информацией, то необходимо различать классификацию, проведенную силами самого предприятия (его службой информационной безопасности) и классификацию, произведенную третьей стороной (например, производителем системы). При этом вовсе не обязательно, что первый вариант хуже второго. Широко известные, сертифицированные на определенную категорию, системы обычно (и это указывается в сертификационном документе) категоризируются в определенной конфигурации, на определенном оборудовании, в определенной среде и при других определенных условиях. А это значит, что система, сертифицированная по пресловутому классу С2, вовсе не соответствует данной категории на конкретном предприятии по различным причинам (другое оборудование, особенности или ошибки конфигурации и пр.). В этом случае, с одной стороны, собственная категоризация (или перекатегоризация), возможно, окажется более точной. С другой стороны, собственная категоризация может не быть такой подробной, как [СС], например, о которых было рассказано в разделе для специалистов.

В любом случае необходимо убедиться в том, как оценивались надежность механизмов безопасности (аутентификация, криптография и др.)