Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Уязвимость/последствии




Имеется два фактора, определяющих уязвимость организации. Первый фактор — последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям — устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее, средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Угрозы Рей-тинг Видимость Рей-тинг Число очков
Ни одна из угроз не считается реальной   Очень маленькая    
Возможность возникновения угроз тяжело оценить   Средняя, периодические публикации об организации    
Угрозы реальны, имел место ряд случаев их возникновения   Большая, постоянные публикации об организации    
Последствия Рей-тинг Уязвимость Рей-тинг Число очков
Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска   Инциденты считаются приемлемыми как необходимое условие бизнеса, руководство организации с пониманием относится к этому    
Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль   Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности    
Будут затронуты внешние функции организации, нанесен большой финансовый ущерб   Руководители организации станут жестче относиться к безопасности, пострадают взаимоотношения с деловыми партнерами    
Общее число  
 

Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются:

2 – 10 — низкий риск

11 – 29 — средний риск

30 – 50 — высокий риск

Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности — КРИТИЧЕСКАЯ ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса, и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

o КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это — информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.

o КОММЕРЧЕСКАЯ ТАЙНА: этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.

o ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.

o ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.

Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью:

o адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса;

o электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности;

o существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку — его могут прочитать на каждой промежуточной станции;

o Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют нам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.

Для подключения ЛС к Интернету используется Брандмауэр — это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр — это не одна компонента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.

Брандмауэры обеспечивают несколько типов защиты:

o они могут блокировать нежелательный трафик;

o они могут направлять входной трафик только к надежным внутренним системам;

o они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом;

o они могут протоколировать трафик в и из внутренней сети;

o они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета;

o они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.




Поделиться с друзьями:


Дата добавления: 2014-10-23; Просмотров: 363; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.