Постановка задачи анализа рисков 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Постановка задачи анализа рисков



Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируется и постановка задач анализа рисков.

Основным фактором, от которого зависит отношение организации к вопросам информационной безопасности, является степень ее зрелости. Так, например, известная аналитическая компания Gartner Group и университет Carnegie Mellon предложили свои модели определения зрелости компании. Различным уровням зрелости соответствуют разные потребности в области информационной безопасности. Далее упомянутые модели обсуждаются подробнее.

Модель Gartner Group

Gartner Group выделяет четыре уровня зрелости компании - начиная с нулевого и заканчивая третьим (см. табл. 1.1).

Согласно данным Gartner Group, на начало 2002 года компании распределились по уровням зрелости следующим образом: 30% компаний - 0-го уровня, 55% - 1-го уровня, 10% - 2-го уровня и 5% - 3-го уровня. В 2005 году, по мнению Gartner Group, процентное соотношение между компаниями разного уровня изменится так: 20% - компаний 0-го уровня, 35% - 1-го уровня, 30% - 2-го уровня и 15% - 3-го уровня зрелости.

Таблица 1.1. Уровни зрелости компании с точки зрения ИБ

Уровень зрелости Характеристика организации режима информационной безопасности компании
  Необходимость обеспечения ИБ компании в должной мере не осознана и формально такая задача не ставится. Выделенной службы информационной безопасности нет. Служба автоматизации использует традиционные механизмы и средства защиты информации стека протоколов TCP/IP и сервисов Intranet, а также операционной среды и приложений (ОС, СУБД, СППР, ERP, ERP II, CRM)
  Проблема обеспечения ИБ рассматривается управлением компании как исключительно техническая. Выделенной службы защиты информации нет. Организационные меры поддержания ИБ не принимаются. Финансирование осуществляется в рамках единого бюджета на IT-технологии. Служба автоматизации дополнительно к средствам защиты информации уровня 0 может привлекать средства отказоустойчивости, резервного копирования информации, источники бесперебойного питания, а также межсетевые экраны, виртуальные частные сети (VPN), антивирусные средства, средства прозрачного шифрования и e-Token
  Проблема обеспечения ИБ компании осознана и рассматривается как взаимно увязанный комплекс организационных и технических мер. Внедрены методики анализа информационных рисков, отвечающие минимальному, базовому, уровню защищенности КИС. В компании определены состав и структура штатной службы ИБ. Принята корпоративная политика информационной безопасности. Финансирование ведется в рамках отдельного бюджета на создание и поддержку корпоративной системы защиты информации. Служба ИБ дополнительно к средствам защиты информации уровней 0 и 1 привлекает средства защиты от НСД, системы обнаружения вторжений (IDS), инфраструктуру открытых ключей (PKI), а также соответствующие политике безопасности компании организационные меры (внешний и внутренний аудит, разработка планов защиты и непрерывного ведения бизнеса, действия во внештатных ситуациях и пр.)
  Проблема обеспечения ИБ компании осознана в полной мере. Наряду с бизнес-культурой существует понятие культуры информационной безопасности компании. Активно применяются методики полного количественного анализа информационных рисков, а также соответствующие инструментальные средства. Введена штатная должность — директор службы информационной безопасности (CISO). Определены состав и структура группы внутреннего аудита безопасности КИС (CISA), группы предупреждения и расследования компьютерных преступлений, группы экономической безопасности. Руководством компании утверждены концепция и политика безопасности, план защиты и другие нормативно-методические материалы и должностные инструкции. Финансирование выделяется исключительно в рамках отдельного бюджета. Служба ИБ дополнительно к средствам защиты информации уровней 0-2 обращается к средствам централизованного управления ИБ компании и средствам интеграции с платформами управления сетевыми ресурсами

 



Поделиться:


Последнее изменение этой страницы: 2016-12-27; просмотров: 229; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.224.70.148 (0.004 с.)