Оценка рисков и политика безопасности

⇐ Предыдущая 7 8 9 101112 13 14 15 16 Следующая ⇒

Методика создания политики безопасности учреждения, организации или предприятия состоит из учёта основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и стоимости программы обеспечения безопасности.

Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

- определение, какие данные и насколько серьёзно необходимо защищать;

- определение, кто и какой ущерб может нанести фирме в информационном аспекте;

- вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существуют две системы исследования ситуации в области информационной безопасности на предприятии: методы «снизу вверх» и «сверху вниз». Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на схеме: «Вы – злоумышленник. Ваши действия?». То есть служба информационном безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, летальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состоянии системы информационной безопасности с целью определении, какие из классических методик защиты информации уже реализованы, в каком объёме и на каком уровне. На третьем этапе производится классификация всех информационных объектов в соответствии с их конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение, насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название вычисление рисков. Согласно одной из самых простых схем вычисления рисков риском называется произведение возможного ущерба от атаки на вероятность такой атаки.

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. Каковы возможные последствия атак на информации? В первую очередь, конечно, интерес представляют экономические эффекты.

1. Раскрытие коммерческой информации может привести к серьёзным прямым убыткам на рынке.

2. Известие о краже большого объёма информации обычно серьёзно влияет на репутацию фирмы, приводя косвенно к потерям в объёмах торговых операций.

3. Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.

4. Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к серьёзным убыткам.

5. Многократные успешные атаки на фирму, представляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объёме доходов.

Таблица 2

⇐ Предыдущая 7 8 9 101112 13 14 15 16 Следующая ⇒

Поделиться с друзьями:

Дата добавления: 2014-12-27; Просмотров: 1095; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.01 сек.