- •Полный отчет
- •Итоговый отчет Введение
- •Вводные данные: процесс и масштабы оценки
- •Ситуационный анализ
- •Результаты:
- •Уровень безопасности
- •Результаты
- •Инициативы по обеспечению безопасности
- •Области анализа
- •Оценочный анализ
- •Инфраструктура
- •Приложения
- •Операции
- •Персонал
- •Список приоритетных действий
- •Приложения Вопросы и ответы
- •Глоссарий
Глоссарий
В глоссарии рассматриваются стандартные термины и понятия, используемые в отрасли обеспечения безопасности и включенные в данный отчет. Кроме того, могут быть включены и другие термины, не использованные в этом отчете.
Термин |
Определение |
AoAs |
Области анализа, которые являются инфраструктуры, приложений, операции, и люди. |
Приложения |
Прикладная программа, функциональные возможности которой использует конечный пользователь. Работает в загруженной операционной системе. В качестве примера приложения можно привести текстовый редактор, электронные таблицы и программы управления базами данных. |
антивирус |
Программные и аппаратные технологии, защищающие вычислительную среду от злонамеренных программных средств. |
профиль риска для бизнеса (ПРБ) |
Величина измерения риска, которому подвергается организация, в зависимости от бизнес-среды и отрасли, в условиях которых она конкурирует. |
индекс эшелонированной защиты (DiDI) |
Величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии. |
демилитаризованная зона (ДМЗ) |
Часть сети, отделенная от внутренней сети межсетевым экраном, а также подключенная к Интернету через другой межсетевой экран. |
межсетевой экран |
Аппаратное или программное устройство, обеспечивающее защиту хост-компьютеров от несанкционированного доступа через сеть. |
Инфраструктура |
Сетевые функции, возможности управления ими и их поддержки для обеспечения защиты сети, реагирования на нештатные ситуации, безотказной работы сети и анализа ошибок. Включены поддержка внутренних и внешних бизнес-процессов, а также способы создания и развертывания узлов. |
многофакторная проверка подлинности |
Проверка подлинности, требующая сочетания как минимум двух из следующих условий: что известно; что имеем; или кто вы. Например, дебетовая банковская карта - это двухфакторная проверка подлинности. Для нее требуется то, что имеем (сама карта), и то, что известно (ПИН-код). Необходимость ввода кем-то нескольких паролей для проверки подлинности - это лишь однофакторная проверка подлинности, поскольку это как раз "то, что известно". Вообще, чем больше факторов, тем выше уровень безопасности при проверке подлинности. Таким образом, система, для которой требуется карта с идентификатором (то, что имеем), ПИН-код (то, что известно) и сканер отпечатков пальцев (кто вы), является более безопасной, чем система, которой требуется лишь имя пользователя/пароль (один фактор) или карта с идентификатором и ПИН-код. |
Операции |
The policies, processes, procedures, and practices related to the protection |
Персонал |
Члены организации, а также политики, процессы, процедуры и методы, относящиеся к защите сотрудников и организации. |
инфраструктура открытых ключей (PKI) |
Комплексный набор технологий, требуемых для обеспечения шифрования с использованием открытых ключей и цифровых подписей. Для обеспечения распределения ключей, целостности и конфиденциальности данных используется шифрование с комбинированием открытых и закрытых ключей. |
процесс |
Документированная серия последовательных задач, используемых для выполнения бизнес-функции. |
|
|
Интерпретация графиков
Показатель ПРБ находится в диапазоне от 0 до 100, где более высокая оценка подразумевает более высокий показатель потенциального риска для бизнеса в данной специфической области анализа (AoA). Важно отметить, что нулевое значение в данном случае невозможно, так как деловая деятельность сама по себе подразумевает наличие какого-то уровня риска. Кроме того, важно понимать, что существуют определенные аспекты ведения бизнеса, для которых отсутствует прямая стратегия снижения риска.
Индекс DiDI также находится в диапазоне от 0 до 100. Высокий показатель свидетельствует о среде, в которой было принято множество мер для развертывания стратегий эшелонированной защиты (DiD) в конкретной области (AoA). Показатель DiDI не отражает общей эффективности безопасности или же ресурсы, затраченные на безопасность. Это, скорее, отражение общей стратегии, использованной для защиты среды.
На первый взгляд, может показаться, что низкий показатель ПРБ и высокий показатель DiDI - это хороший результат, но это не всегда так. Масштаб данной самооценки не предусматривает все факторы, которые следует принять во внимание. При значительной диспропорции между показателями ПРБ и DiDI в конкретной области анализа рекомендуется изучить ее (AoA) как можно глубже. При анализе результатов важно учитывать индивидуальные показатели, как для ПРБ, так и DiDI, по отношению друг к другу. Стабильная среда, вероятно, будет представлена сравнительно одинаковыми показателями во всех областях. Разница между показателями DiDI - это явный признак того, что общая стратегия безопасности базируется на одной методике снижения риска. Если стратегия обеспечения безопасности не уравновешивает аспекты, связанные с персоналом, процессами и технологиями, то для среды существует вероятность повышенной уязвимости для злонамеренных атак.