Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5308 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «Высшая школа экономики»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лек-ОУСлЗИ-51.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
689.67 Кб
Скачать
►Содержание►

Вопрос 1. Классификация концепций безопасности информации

Концепция безопасности информации как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты должна в общем виде отвечать на три простых вопроса:

  1. Что защищать? (выбор объекта защиты)

  2. От чего защищать? (определение угроз объекту)

  3. Как защищать? (определение способов и средств для защиты объекта)

Ответы на данные вопросы, а следовательно, и концепции безопасности информации делятся на два типа — технологические и нормативные.

Технологические КБИ. В технологических КБИ под объектом защиты понимается не абстрактная информация, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для ее сбора, передачи, обработки и хранения. Уже на этапе ее формирования КБИ технологического типа необходимо уже иметь четкое представление о том, как устроена информационная система компании, как распределены аппаратные и программные ресурсы (территориально и по подразделениям компании).

Нормативные КБИ. В нормативных КБИ определяется информация, подлежащая защите и ее ценность, т.е. размеры потерь от ее разрушения или разглашения. Нормативные КБИ учитывают специфику информации, проявляющуюся в том, что она не исчезает при потреблении и не передается полностью при обмене. Иными словами, нормативные КБИ учитывают не только циркуляцию информации внутри организации (на предприятии), но и обмен информацией с внешними организациями (предприятиями).

Вопрос «От чего защищать?» в нормативных КБИ рассматривается с точки зрения доступности информации, ее целостности и конфиденциальности, т.е. для каждого вида защищаемой информации определяются приоритеты и направления ее защиты.

Ответ на вопрос «Как защищать?» в нормативных КБИ состоит в определении места и роли организационных и технических мероприятий в процессе защиты информации, а также в формулировании требований к поставщикам оборудования и услуг защиты информации.

КБИ смешанного типа. Для КБИ обоих типов — технологического и нормативного — справедливо следующее утверждение: достоинства и недостатки одного типа КБИ являются зеркальным отражением недостатков и достоинств другого типа КБИ.

Для максимального использования достоинств обоих типов КБИ при разработке КБИ компании в настоящее время предлагается разрабатывать КБИ так называемого смешанного типа. Такая КБИ представляет собой фактически два документа:

  1. Собственно КБИ, разработанную на основе КБИ нормативного типа (с незначительным добавлением технических и технологических аспектов).

  2. Политику безопасности информации (ПБИ) — технический документ, в котором формулируются требования к средствам защиты информации и архитектуре защиты информации.

При этом в ПБИ детализация требований к средствам защиты информации доходит до уровня общей функциональности, но не опускается до технических требований к оборудованию. Фактически, ПБИ во многом похожа на технологическую КБИ, но разрабатывается исключительно на основе предварительно разработанной КБИ.

При этом в нормативной части концепции (собственно КБИ) отражаются следующие вопросы:

1. Общие положения.

2. Защищаемая информация.

3. Меры защиты информации.

4. Базовый уровень защиты информации.

5. Реализация повышенных требований к защите информации.

6. Модель обеспечения безопасности информации.

7. Модель оценки риска от реализации угроз информации.

8. Методика расчета финансовых затрат на реализацию концепции.

9. Перечень нормативных документов, разрабатываемых в рамках концепции.

10. Взаимосвязь нормативных документов, разрабатываемых в рамках концепции.

11. Действия в случаях нарушения системы защиты информации.

Вторая часть — ПБИ, разрабатываемая на основе нормативной части концепции, отражает следующие вопросы:

1. Объекты и субъекты безопасности информации.

2. Взаимосвязь объектов и субъектов безопасности информации.

3. Угрозы безопасности информации.

4. Техническая часть концепции безопасности информации.

5. Требования к системам и средствам.

6. Требования к поставщикам.

7. Требования к эксплуатации.

На основе анализа существующих типов КБИ можно сделать следующие выводы:

  1. КБИ технологического типа оптимальна для мелких и средних организаций (предприятий), в которых сбор исходных данных для разработки КБИ не сопряжен с большим объемом работы.

  2. КБИ технологического типа имеет смысл разрабатывать также для организаций (предприятий), организационная и бизнес-структура которых не подвержена изменениям в процессе их деятельности.

  3. Для мелких и средних организаций (предприятий) разработка КБИ технологического типа сокращает период внедрения системы защиты информации.

  4. Для крупных организаций (предприятий) разработка КБИ технологического типа затруднена в силу сложности процедуры сбора исходных данных.

  5. КБИ нормативного типа оптимальна для организаций (предприятий) со сложной структурой, наличием филиалов, дочерних компаний и т.д. В данном случае на основе КБИ компании могут быть разработаны КБИ (или ПБИ) ее подразделений (т.е. фактически речь идет о разработке смешанной КБИ).

  6. Для организаций (предприятий) с большим числом бизнес-процессов, сложной технологической и организационной структурой необходимо разрабатывать КБИ смешанного типа.

  7. КБИ смешанного типа оптимальна для управляющих организаций (предприятий).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности