Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Підходи до пріорітизації ризиків↑ ⇐ ПредыдущаяСтр 24 из 24 Содержание книги
Поиск на нашем сайте
У даному стандарту часто використовуються терміни управління ризиками і оцінка ризиків, які зв'язані один з одним, але не є взаємозамінними. В процесі управління ризиками безпеки, пропонованому корпорацією майкрософті, під управлінням ризиками розуміються загальні зусилля по зниженню ризиків до прийнятного для бізнесу рівня. Під оцінкою ризиків розуміється процес виявлення і пріорітизації ризиків для бізнесу. Не дивлячись на те що існує велике число методик оцінки і пріорітизації ризиків, велика частина цих методик заснована на якісному або кількісному підході до управління ризиками або використовує поєднання цих підходів. Інструментарій для управління ризиками У процесі оцінки ризиків ми проходимо ряд послідовних етапів, періодично відкочуючись на попередні етапи, наприклад, переоцінюючи, певний ризик після вибору конкретної контрзаходи для його мінімізації. На кожному етапі необхідно мати під рукою опитування, переліки загроз і вразливостей, реєстри ресурсів та ризиків, документація, протоколи нарад, стандарти і керівництва. У зв'язку з цим потрібен певний запрограмований алгоритм, база даних і інтерфейс для роботи з цими різноманітними даними. Для управління ризиками ІБ можна застосовувати інструментарій, наприклад, як у методі CRAMM, або RA2,проте це не є обов'язковим. Приблизно також про це сказано і в стандарті BS 7799-3. Корисність застосування інструментарію може полягати в тому, що він містить запрограмований алгоритм робочого процесу оцінки та управління ризиками, що спрощує роботу недосвідченому спеціалістові. Використання інструментарію дозволяє уніфікувати методологію і спростити використання результатів для переоцінки ризиків, навіть якщо вона виконується іншими фахівцями. Завдяки використанню інструментарію є можливість порядок зберігання даних і роботу з моделлю ресурсів, профілями загроз, переліками вразливостей і ризиками. Крім власне засобів оцінки та управління ризиками програмний інструментарій може також містити додаткові кошти для документування СУІБ, аналізу розбіжностей до вимог стандартів, розробки реєстру ресурсів, а також інші кошти, необхідні для впровадження та експлуатації СУІБ. Розвиток стандарту
Концепція проекту ISO 27005, по суті, відповідає концепції BS 7799-3, а також NIST SP 800-30:2002. У цілому, і BS 7799-3 і проект 27005 мають описовий характер і не містять конкретних вимог до способів управління ризиками. Стандарти дозволяють самостійно врахувати різні аспекти СУІБ, ідентифікувати рівні ризику, визначити критерії для прийняття ризику, ідентифікувати прийнятні рівні ризику і т.д. Стандарти дотримуються безперервного 4-процесного підходу до менеджменту систем якості, включають аналогічні етапи аналізу, оцінки та управління, правила і рекомендації, носять ітеративний характер, не висувають конкретних вимог до методів, містять вимоги щодо інформативності кожного етапу. Можна відзначити деяку тенденцію до деталізації етапів і додаванні прикладів у чергових версіях проекту 27005. Всі сучасні стандарти в області безпеки - NIST SP 800-30, BS 7799-3 і проект ISO 27005 відображають що склався в міжнародній практиці загальний процесний підхід до організації управління ризиками. При цьому управління ризиками представляється як базова частина системи менеджменту якості організації. Стандарти носять відверто концептуальний характер, що дозволяє експертам по ІБ реалізувати будь-які методи, засоби і технології оцінки, відпрацювання та управління ризиками. З іншого боку, стандарти не містять рекомендацій з вибору будь-якого апарату оцінки ризику, а також з синтезу заходів, засобів і сервісів безпеки, які використовуються для мінімізації ризиків, що знижує корисність стандартів як технологічних документів. Потреба у відповідному національному стандарті з управління ризиками визначається не тільки популяризацією економічно виправданих підходів до ІБ, але і вимог та рекомендацій, заданими ГОСТ 27001:2005 і ГОСТ 17799:2005, а також витікає з вимог до організації бізнес-процесів, визначених в актуальних стандартах серії 9000. Недоліки ISO 27005 або BS 7799-3 (відсутність конкретних методик) З огляду на окремі некоректності переказів стандартів серії 27000 та досвід міжнародного визнання ГОСТ ІСО 15408, хочеться сподіватися, що розвиток нормативної бази в нашій країні буде рухатися шляхом прийняття ГОСТ, автентичного ISO 27005 або BS 7799-3. Реальними стимулами для розвитку нормативного напрямку, пов'язаного з управлінням ризиками може бути становлення системи національної сертифікації СУІБ або розвиток принципів сертіфікаціі систем менеджменту якості в напрямку виконання вимог з ІБ. Висновки
Вибір якісного або кількісного підходів до оцінки ризиків, визначається характером бізнесу організації та рівнем його інформатизації, тобто важливістю для нього інформаційних активів, а також рівнем зрілості організації. ====================================================================
========================================================================================================================================================================================================================================================================================================================================================= Информационная безопасность [править] Материал из Википедии — свободной энциклопедии Эта версия страницы ожидает проверки и может отличаться от последней подтверждённой, проверенной 26 августа 2010.
Данная версия страницы не проверялась участниками с соответствующими правами. Вы можете прочитать последнюю стабильную версию, проверенную 26 августа 2010, однако она может значительно отличаться от текущей версии. Проверки требует 41 правка. Перейти к: навигация, поиск У этого термина существуют и другие значения, см. Информационная безопасность (значения). Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень. В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:
[править] Сущность понятия «информационная безопасность» [править] Содержание понятия В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие. Кортеж защиты информации - это последовательность действий для достижения определённой цели. Информационная безопасность государства [3] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере. В современном социуме информационная сфера имеет две составляющие[4]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. [править] Стандартизированные определения (для ДЦТД4-1) Безопасность информации (данных) [1] — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность. Информационная безопасность [2] — защита конфиденциальности, целостности и доступности информации.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки. Безопасность информации (данных) (англ. information (data) security)[6] — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе. Безопасность информации (при применении информационных технологий) (англ. IT security)[6] — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. Безопасность автоматизированной информационной системы [6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов. Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь. [править] Существенные признаки понятия В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
Выделяют и другие не всегда обязательные категории модели безопасности:
[править] Рекомендации по использованию терминов (Рекомендации Комиссаровой) В Государственном стандарте РФ[10] приводится следующая рекомендация использования терминов «безопасность» и «безопасный»: Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:
Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности». [править] Объём (реализация) понятия «информационная безопасность» Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[11]:
Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности. Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо[2]:
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы. [править] Нормативные документы в области информационной безопасности В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся[12]: Акты федерального законодательства:
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право. К нормативно-методическим документам можно отнести
[править] Органы (подразделения), обеспечивающие информационную безопасность В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия. Государственные органы РФ, контролирующие деятельность в области защиты информации:
Службы, организующие защиту информации на уровне предприятия
[править] Организационно-технические и режимные меры и методы Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы. Политика безопасности (информации в организации) (англ. Organizational security policy)[1] — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)[5] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[11]:
При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799—2005[2], на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности. [править] Программно-технические способы и средства обеспечения информационной безопасности В литературе предлагается следующая классификация средств защиты информации.[11]
[править] Организационная защита объектов информатизации Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
К основным организационным мероприятиям можно отнести:
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. [править] Гражданско-правовая ответственность за нарушения информационной безопасности сайтов сети Интернет ·
·
[править] Исторические аспекты возникновения и развития информационной безопасности Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов[4]:
[править] Примечания
|
|||||
Последнее изменение этой страницы: 2016-07-11; просмотров: 232; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.191.28.200 (0.011 с.) |