Файловый архив студентов. Файловый архив студентов.
1265 вузов, 4638 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Анал_з _нформац_йних ризик_в, як фактор_в, що в...doc
Скачиваний:
1
Добавлен:
17.09.2019
Размер:
77.31 Кб
Скачать
►Содержание►

  1. Практика захисту інформації в сенсі оцінки інформаційних ризиків

На теперішній час склалася загальноприйнята практика забезпечення режиму ІБ.

При забезпеченні режиму ІБ достатньо важливе місце відводиться задачам аналізу інформаційних ризиків компанії та керування ними. Розглянемо докладніше роботи із забезпечення режиму ІБ та з’ясуємо роль і місце задач аналізу та керування ризиками.

Незалежно від величини організації та специфіки її інформаційної роботи із забезпечення режиму ІБ зазвичай складаються з наступних етапів:

  • выработка политики безопасности;

  • определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

  • оценка рисков;

  • выбор контрмер, обеспечивающих режим ИБ;

  • управление рисками;

  • аудит системы керування ИБ.

Прокоментуємо ці етапи

І етап - визначення політики безпеки складається з низки практичних кроків:

Крок 1. Вибір національних та міжнародних керівних документів та стандартів в галузі ІБ і формулювання на їх базі основних вимог до політики ІБ компанії, включаючи:

  • керування доступом до засобів ЕОТ, програмам та даним, а також антивірусний захист;

  • питання резервного копіювання;

  • прведення ремонтних та відновлювальних робіт;

  • інформування про інциденти в сфері ІБ тощо.

Крок 2. Розробка підходів до керування інформаційними ризиками та прийняття рішення щодо вибору рівня захищеності ІТС. Рівень захищеності у відповідності до закордонних стандартів може бути мінімальним (базовим) або підвищеним. Цим рівням захищеності відповідає мінімальний (базовий) або повний варіант аналізу інформаційних ризиків.

Крок 3. Структуризація заходів із захисту інформації по адміністративному, процедурному та програмно-технічному рівнях.

Крок 4. Встановлення порядку сертифікації ІТС на відповідність стандартам у сфері ІБ. Призначення періодичності проведення нарад з тематики ІБ на рівні керівництва, в тому числі періодичного перегляду політики ІБ, а також порядку навчання всіх категорій користувачів ІТС правилам ІБ.

Слід зазначити, що розробка політики безпеки організації є найменш формалізованим етапом. Однак в останні часи саме тут зосереджені зусилля багатьох спеціалістів із захисту інформації. В результаті чого цей крок вдається формалізувати все в більшому ступені. Прикладом є доступне в Інтернеті "Керівництво з політики безпеки для автоматизованих інформаційних систем", в якому достатньо докладно розглянуті:

  • загальні положення політики безпеки;

  • життєвий цикл безпеки ІТС;

  • мінімальний цикл безпеки ІТС.

Наступний ІІ етап – визначення сфери системи керування ІБ та конкретизації цілей її створення.

На цьому етапі визначаються межі системи, для якої повинен бути забезпечений режим ІБ. Відповідно, система ІБ будується саме в цих межах. Сам опис системи виконується за наступним планом:

  • існуюча структура організації та зміни, які заплановано внести у зв’язку з розробкою (модернізацією) ІТС;

  • ресурси ІТС, що підлягають захисту. Доцільно розглянути ресурси ІТС наступних класів: засоби ЕОТ, дані, системне та прикладне ПЗ. Всі ресурси мають цінність з точки зору організації. Для їх оцінки повинна бути вибрана система критерієв та методика отримання результатів за цими критеріями;

  • технологія обробки інформації та вирішувані задачі. Для вирішуваних задач слід побудувати моделі обробки інформації;

  • розміщення засобів ЕОТ та інфраструктури підтримки.

Зазвичай, на цьому етапі складається документ, в якому фіксуються межі інформаційної системи, перелічуються інформаційні ресурси компанії, що підлягають захисту, наводиться система критеріїв та методики оцінки вартості інформаційних активів компанії.

На ІІІ етапі – постановки задачі оцінювання ризиків – обґрунтовуються вимоги до методики оцінки інформаційних ризиків компанії.

На теперішній час існують різні підходи до оцінки ризиків. Вибір підхода залежить від рівня вимог, яки пред’являються в організації до режиму ІБ, від характера самих загроз та ефективності потенційних заходів із захисту інформації. Зокрема, розрізняють мінімальні (або базові) та підвищені (або повні) вимоги до режиму ІБ.

Мінімальним вимогам до режиму ІБ очевидно відповідає базовий рівнеь ІБ. Такі вимоги застосовують, зазвичай, до типових проектних рішень. Існує низка стандартів та специфікацій, в яких наводиться мінімальний (типовий) набір вірогідних загроз, таких як віруси, несанкціонований доступ тощо. Для нейтралізації цих загроз обов’язково повинні бути прийняті контрзаходи – незалежно від вірогідності їх здійснення та вразливості ресурсів ІТС. Таким чином, характеристики загроз на базовому рівні розглядати не обов’язково. Стандарти в цій галузі будуть розглянуті нами нижче.

У випадках, коли порушення режиму ІБ ведуть до серйозних наслідків, базового рівня вимог до режиму ІБ недостатньо, тому пред’являються додаткові вимоги. Для формулювання додаткових вимог необхідно:

  • визначити цінність ресурсів;

  • до стандартного набору додати перелік загроз, актуальних для досліджуваної ІТС;

  • розрахувати вірогідність загроз;

  • виявити вразливості ресурсів;

  • оцінити потенційні збитки від дій зловмисників.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности