Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5111 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Хакасский технический институт (филиал СФУ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Пособие по ИБ 2005год.doc
Скачиваний:
1
Добавлен:
01.04.2025
Размер:
2.17 Mб
Скачать
►Содержание►

2.3. Особенности модели

Модель архитектуры компании можно представить как взаимоза­висимые уровни (рис. 2.4):

  • стратегический уровень (миссия и стратегия, цели и задачи);

  • бизнес-архитектура в текущем и планируемом состоянии;

  • системная архитектура в текущем и планируемом состоянии;

  • планы миграции.

Стратегический уровень, объединяющий миссию, стратегию и бизнес-цели, определяет направления развития компании.

Бизнес-архитектура включает необходимые для реализации стратегии компоненты:

  • организационную структуру организации;

  • бизнес-процессы, направленные на реализацию текущих и пер­спективных задач;

  • комплекс документов, обеспечивающих передачу необходимой информации;

  • документопотоки, сопутствующие процессам создания и реа­лизации услуг.

Рис. 2.4. Модель архитектуры компании

Системная архитектура (сегодня достаточно часто используется термин "ИТ-архитектура") представляет собой совокупность техно­логических и технических решений, предназначенных для обеспече­ния информационной поддержки деятельности компании в соответ­ствии с правилами и концепциями, определенными бизнес-архитектурой.

Планы миграции — это документы, определяющие совокупность ме­роприятий и порядок перехода из текущего состояния в планируемое.

Система защиты информации, являясь неотъемлемой составной частью системной архитектуры, строится в соответствии с моделью, которая формируется на основе требований нормативных документов государства в области защиты информации, а также адаптации между­народных стандартов информационной безопасности в условиях дей­ствующего нормативно-правового поля РФ. К нормативным докумен­там прежде всего необходимо отнести руководящие документы Гостехкомиссии РФ, имеющие первостепенное значение в нашей стране:

  1. Защита от несанкционированного доступа к информации. Терми­ны и определения.

  2. Концепция защиты средств вычислительной техники и автомати­зированных систем от несанкционированного доступа к информации.

  3. Классификация автоматизированных систем и требования по за­щите информации.

  4. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.

  5. Средства вычислительной техники. Показатели защищенности от несанкционированного доступа к информации.

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасно­стью), принятом в 2000 г. Этот стандарт является международной версией британского стандарта BS 7799. Он содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безо­пасности организационного уровня, включая административные, процедурные и физические меры защиты.

Критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных техноло­гий), принятом в 1999 г. Общие критерии оценки безопасности инфор­мационных технологий определяют функциональные требования безо­пасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Модель системы защиты информации (рис. 2.5) представляет со­бой совокупность объективных внешних и внутренних факторов и отражает их влияние на состояние информационной безопасности объекта и сохранность информационных ресурсов. При этом целесо­образно рассматривать следующие объективные факторы:

  • угрозы информационной безопасности, характеризующиеся опре­деленной вероятностью возникновения и вероятностью реализации;

  • уязвимость объекта или системы контрмер (комплексной сис­темы защиты информации), влияющую на вероятность реализации угрозы;

  • риск, т.е. возможность причинения ущерба организации в резуль­тате реализации угрозы информационной безопасности: утечки инфор­мации и ее неправомерного использования (в конечном итоге риск, от­ражает вероятные финансовые потери - прямые или косвенные).

Рис. 2.5. Модель системы защиты информации

Для построения сбалансированной комплексной системы защиты информации проводится анализ рисков, затем определяется опти­мальный уровень риска для компании на основе заданного критерия Комплексная система защиты информации (совокупность контрмер) строится таким образом, чтобы достичь заданного уровня риск.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности