Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Административный уровень




Основой мер административного уровня (предпринимаемых руководством организации) является политика безопасности — совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания и количество ресурсов, которые руководство считает целесообразным выделить.

Британский стандарт BS 7799-1995 (пример позитивного законодательства, описывающий основные положения политики безопасности) рекомендует включать в документ, характеризую­щий политику безопасности организации, следующие разделы:

● вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

● организационный, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности;

● классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

● штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.);

● раздел, освещающий вопросы физической защиты;

● раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

● раздел, описывающий правила разграничения доступа к производственной информации;

● раздел, характеризующий порядок разработки и сопровождения систем;

● раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

● юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Определение политики информационной безопасности (ИБ) должно сводиться к следующим практическим шагам.

1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

● управление доступом к средствам вычислительной техники (ВТ), программам и данным;

● антивирусную защиту;

● вопросы резервного копирования;

● проведение ремонтных и восстановительных работ;

● информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

Для построения системы защиты информации необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно система управления ИБ (система защиты информации) должна строиться именно в этих границах.

Описание границ системы, для которой должен быть обеспечен режим ИБ, рекомендуется выполнять по следующему плану.

1. Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.

2. Размещение средств ВТ и поддерживающей инфраструктуры. Модель иерархии средств ВТ.

3. Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: средства ВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.

4. Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором:

● зафиксированы границы и структура системы;

● перечислены ресурсы, подлежащие защите;

● дана система критериев для оценки их ценности.

Минимальным требованиям к режиму информационной безопасности (ИБ) соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности осуществления угроз и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того чтобы сформулировать дополнительные требования, необходимо:

● определить ценность ресурсов;

● к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

● оценить вероятности угроз;

● определить уровень уязвимости ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются средства, назначаются ответственные, определяется порядок контроля выполнения программы. Без этой основы все прочие меры информационной безопасности становятся неэффективными, они не могут быть всеобъемлющими и систематическими. Так, например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными. Поэтому в первую очередь необходимо определиться, какие угрозы наиболее вероятны и чреваты нанесением наибольшего ущерба (по статистике, наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью).

Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.

Процесс оценивания рисков содержит несколько этапов:

1) идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия);

2) оценивание угроз;

3) оценивание уязвимостей;

4) оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

5) оценивание рисков.

На основе оценивания рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для нормальной работы организации и имеющие определенную степень уязвимости, считаются подверженными риску, если по отношению к ним существует какая-либо угроза. При оценивании рисков учитываются потенциальные негативные воздействия от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз для этих ресурсов.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация. Риск зависит от показателей ценности ресурсов; вероятности реализации угроз для ресурсов и степени легкости, с которой уязвимости могут быть использованы при существующих или планируемых средствах обеспечения ИБ.

Цель оценивания рисков состоит в определении характеристик рисков для информационной системы и ее ресурсов. На основе таких данных могут быть выбраны необходимые средства управления ИБ.

При оценивании рисков учитывается:

● ценность ресурсов;

● оценка значимости угроз, уязвимостей;

● эффективность существующих и планируемых средств защиты.

Другими словами, при оценке рисков необходимо рассматривать несколько аспектов, включая воздействие на бизнес-процесс и вероятность событий.

Показатели ресурсов или потенциальное негативное воздействие на деятельность организации можно определять несколькими способами:

● количественными (например, стоимостные);

● качественными (которые могут быть построены на использовании таких понятий, как, например, умеренный или чрезвычайно опасный);

● их комбинацией.

Для того чтобы конкретизировать определение вероятности реализации угрозы, рассматривается определенный отрезок времени, в течение которого предполагается защищать ресурс. Вероятность того, что угроза реализуется, определяется следующими факторами:

● привлекательность ресурса (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);

● возможность использования ресурса для получения дохода (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);

● технические возможности угрозы, используемые при умышленном воздействии со стороны человека;

● вероятность того, что угроза реализуется;

● степень легкости, с которой уязвимость может быть использована.

В настоящее время известно множество методов, построенных на использовании таблиц. Важно, чтобы организация выбрала для себя подходящий метод, который обеспечивал бы реализуемые результаты.

Вопрос о том, как провести границу между допустимыми и недопустимыми рисками, решается пользователем. Очевидно, что разработка политики безопасности требует учета специфики конкретных организаций.




Поделиться с друзьями:


Дата добавления: 2014-01-20; Просмотров: 3608; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.006 сек.