- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
1.4. Стандарт bs 7799-3:2006.
Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности. Британский Стандарт, был опубликован BSI и вступил в силу 17 марта 2006 года. Он был подготовлен Техническим Комитетом BDD/2, Управление информационной безопасностью.
В качестве руководства этот Британский Стандарт принимает форму руководящих принципов и рекомендаций.
Этот стандарт был подготовлен для руководителей бизнеса и их сотрудников, задействованных в мероприятиях по управлению рисками в рамках СУИБ (Системы Управления Информационной Безопасностью). Он предоставляет конкретное руководство и рекомендации по реализации требований, относящихся к процессам управления рисками и связанным с ними мероприятиям.
Стандарт содержит в себе 7 разделов:
Область действия
Ссылки на нормативные документы
Термины и определения
Риски информационной безопасности в организационном контексте
Оценка рисков
Обработка риска и принятие решения руководством
Непрерывные действия по управлению рисками
Также в стандарте присутствует 5 приложений:
Приложение A (Информативное) Примеры соответствия требованиям законодательства и нормативной базы.
Приложение B (Информативное) Риски информационной безопасности и риски организации.
Приложение C (Информативное) Примеры ресурсов, угроз, уязвимостей, и методов оценки рисков.
Приложение D (Информативное) Инструменты управления рисками.
Приложение E (Информативное) Взаимосвязь между BS ISO/IEC 27001:2005 и BS 7799-3:2006.
Риски информационной безопасности в организационном контексте. Данный раздел включает в себя определение области действия системы управления информационной безопасностью (какие именно элементы будут включены в СУИБ), и политику СУИБ, цель которой - Обеспечение управления и поддержки информационной безопасности со стороны руководства. Определяются основные положения по выбору подхода к оценке рисков, описывая обязательные элементы, которые должен содержать процесс оценки рисков.
Оценка рисков. Рассматривается процесс оценки рисков, идентификации ресурсов организации, идентификации требований законодательства и бизнеса, определение стоимости ресурсов, идентификации и оценки угроз и уязвимостей, а также процесс вычисления и оценивания рисков.
Обработка риска и принятие решения руководством. В этом разделе обсуждаются подходы принятия решения и обработки рисков – путем комбинирования превентивных и детектирующих механизмов контроля, тактики избежания и принятия или путем передачи риска другой организации.
Непрерывные действия по управлению рисками. Включает в себя пункты Непрерывное управление рисками безопасности, сопровождение и мониторинг, анализ со стороны руководства, пересмотр и переоценка риска, аудиты, механизмы контроля документации, корректирующие и превентивные меры, отчеты и коммуникации. [5,6]
1.5. Обзор моделей построения информационных рисков.
Анализ рисков в области информационной безопасности разделяется на качественный и количественный. Количественный анализ более точный, он позволяет получить конкретные значения рисков, но он занимает большее количество времени, что не всегда является оправданным. Чаще используется качественный анализ, задача которого — распределение факторов риска по группам.
Качественный анализ.
Насчитывается несколько моделей качественного анализа. Различие состоит в количестве градаций риска. Одна из наиболее распространенных моделей — трехступенчатая. Шкала оценки каждого фактора выглядит следующим образом: “низкий — средний — высокий”.
Существует мнение, что трех ступеней недостаточно, и предлагается пятиуровневая модель. Однако это не принципиально, в целом любая модель анализа сводится к разделению угроз на критические и второстепенные.
При работе с моделями с числом градаций больше трех, например с пятью, возможно возникновение затруднений — отнести риск к пятой или к четвертой группе. Качественный анализ является саморегулирующимся и поэтому допускает подобные «ошибки».
Количественный анализ.
Количественный метод отнимает значительно большее количество времени, так как каждому фактору риска необходимо присваивать конкретное значение. Но следует учитывать то, что во многих случаях дополнительная точность не требуется или просто не стоит лишних усилий. Необходимо также учитывать то фактор, что многие организации находятся в постоянном развитии. И за то время, что выполняется анализ, фактические значения рисков вполне могут оказаться другими.
Данные факторы указывают на целесообразность использования качественного анализа. Кроме того, эксперты считают, что, несмотря на простоту, качественный метод оценки является достаточно эффективным инструментом анализа. [4,5,6,16]