Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Комплексная система безопасности




Схема классификации информации по уровню ее конфиденциальности (Фрагмент 7)

Класс Тип информации Описание Примеры
  открытая информация общедоступная информация информационные брошюры, сведения публиковавшиеся в СМИ
  внутренняя информация информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы
  конфиденциальная информация раскрытие информации ведет к значительным потерям на рынке реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм
  секретная информация раскрытие информации приведет к финансовой гибели компании (зависит от ситуации)

Требования по работе с конфиденциальной информацией (Фрагмент 8)

При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:

- осведомление сотрудников о закрытости данной информации;

- общее ознакомление сотрудников с основными возможными методами атак на информацию;

- ограничение физического доступа;

- полный набор документации по правилам выполнения операций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

- расчет рисков атак на информацию;

- поддержания списка лиц, имеющих доступ к данной информации;

- по возможности выдача подобной информации по расписку (в т.ч. электронную);

- автоматическая система проверки целостности системы и ее средств безопасности;

- надежные схемы физической транспортировки;

- обязательное шифрование при передаче по линиям связи;

- схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

- детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);

- защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

- криптографическая проверка целостности информации.

Политика ролей (Фрагмент 9)

Функции каждого человека, так или иначе связанного с конфиденциальной информацией на предприятии, можно классифицировать (установить роли) следующим образом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, ответственен за поиск самой свежей информации об обнаруженных уязвимостях в используемом в фирме программном обеспечении и в целом в стандартных алгоритмах.

Владелец информации – лицо, непосредственно работающее с данной информацией, (не нужно путать с оператором). Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных). Владелец информации не должен участвовать в аудите системы безопасности.

Поставщик аппаратного и программного обеспечения. Обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктов.

Разработчик системы и/или программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.

Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за ее их выполнением на рабочих местах. Линейные менеджеры должны быть осведомлены о всей политике безопасности предприятия, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.

Операторы – лица, ответственные только за свои поступки. Они не принимают никаких решений и ни за кем не наблюдают. Они должны быть осведомлены о классе конфиденциальности информации, с которой они работают, и о том, какой ущерб будет нанесен фирмы при ее раскрытии.

Аудиторы – внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности

Создание политики информационной безопасности (Фрагмент 10)

Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

- определение, какие данные и насколько серьезно необходимо защищать,

- определение кто и какой ущерб может нанести фирме в информационном аспекте,

- вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существует множество схем вычисления рисков, например одна из самых простых.

Ущерб от атаки (Фрагмент 11)

Величина ущерба Описание
  Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
  Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
  Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
  Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
  Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
  Фирма прекращает существование

Вероятность атаки (Фрагмент 12)

Вероятность Средняя частота появления
  Данный вид атаки отсутствует
  реже, чем раз в год
  около 1 раза в год
  около 1 раза в месяц
  около 1 раза в неделю
  практически ежедневно

Таблица рисков предприятия (Фрагмент 13)

Описание атаки Ущерб Вероятность Риск (=Ущерб*Вероятность)
Спам (переполнение почтового ящика)      
Копирование жесткого диска из центрального офиса      
... ... ...  
Итого:  



Поделиться с друзьями:


Дата добавления: 2015-04-24; Просмотров: 466; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.011 сек.