КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Разработка политики безопасности
|
|
|
|
Адекватный уровень информационной безопасности в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективной политики безопасности. Эффективные политики безопасности определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
Политика безопасности - это превентивные меры по защите конфиденциальных данных и информационных процессов в организации. Превентивные меры - это коллективные меры, применяемые сообществом и направленные на предупреждение угрозы безопасности. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
- определение класса конфиденциальности данных и степени их защиты;
- определение возможных злоумышленников и возможного ущерба;
- вычисление рисков и определение схемы уменьшения их до приемлемой величины.
В области информационной безопасности существуют два метода оценки текущей ситуации.
1. Метод исследование снизу вверх основан на схеме: «Вы - злоумышленник. Ваши действия?» Служба информационной безопасности, основываясь на данных об известных видах атак, пытается применить их на практике с целью проверки: возможно ли такая атака со стороны реального злоумышленника. Метод достаточно прост и требует небольших капиталовложений.
2. 
Метод исследование сверху вниз представляет собой детальный анализ всей существующей схемы хранения и обработки информации. Метод состоит из нескольких этапов (рис. 6.5).
Первый этап: определение информационных объектов и потоков, подлежащих защите.
Второй этап: определение реализованных методик защиты информации, их объема и уровня исполнения.
Третий этап: проведение классификации информационных объектов в соответствии с конфиденциальностью, доступностью и целостностью.
Четвертый этап: выяснение возможного ущерба при атаке на каждый конкретный информационный объект. На этом этапе производится вычисление рисков по формуле:
Риск = «возможный ущерб от атаки» х «вероятность атаки».
Таблица 6.3.
Возможный ущерб от атаки
| Величина ущерба | Описание |
| Раскрытие информации имеет ничтожный моральный и финансовый ущерб | |
| Ущерб от атаки незначителен, основные финансовые операции и положение фирмы на рынке не затронуты | |
| Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально | |
| Значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов | |
| Потери очень значительны, организация на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы | |
| Организация прекращает существование |
Таблица 6.4.
Вероятность атаки
| Вероятность атаки | Средняя частота появления атаки |
| Атака отсутствует | |
| Атака производится реже, чем раз в год | |
| Атака производится около 1 раза в год | |
| Атака производится около 1 раза в месяц | |
| Атака производится около 1 раза в неделю | |
| Атака производится практически ежедневно |
Ущерб от атаки представляет собой положительное число в соответствии с таблицей 6.3. Вероятность атаки представляет собой положительное число в соответствии с таблицей 6.4. Классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал, оценку вероятности появления атаки должны проводить технические работники организации.
Пятый этап: составление таблицы рисков предприятия. Таблица должна содержать данные о проведенных атаках, о вероятности, с которой производилась атака, о причиненном ущербе и риске (табл. 6.5.).
Таблица 6.5.
Таблица рисков
| № п/п | Описание атаки | Вероятность атаки | Причиненный ущерб | Риск |
| Копирование базы данных с сервера | ||||
| Троянский конь | ||||
| … | … | … | … | |
| Интегральный риск Итого: | S |
Шестой этап: анализ таблицы рисков. На этапе задаются некоторым максимально допустимым риском и проверяют таблицу на превышении допустимого значения. Если такое превышение имеет место, значит, данная строка является первоочередной для разработки политики безопасности. Затем производится сравнение удвоенного значения максимального риска с интегральным риском. Если интегральный риск превышает допустимое значение, значит, в системе безопасности имеются погрешности, которые в сумме не дадут предприятию эффективно работать. В этом случае выбираются строки с большим значением риска и производится попытка их уменьшить или устранить полностью.
Седьмой этап: разработка политики безопасности предприятия. На этом этапе с учетом законов страны, внутренних требований организации и этические нормы общества описываются технические и административные меры, планируемые к реализации.
Восьмой этап: расчет экономической стоимости программы и ее сравнение с потенциальным ущербом от атак. Если финансовые вложения в программу безопасности являются экономически невыгодными, то происходит возврат к шестому этапу.
Девятый этап: детальное документирование и утверждение политики безопасности у руководства организации.
Десятый этап: внедрение политики безопасности.На этапе внедрения политики безопасности решающее значение имеет поддержка руководства организации. Политика безопасности вводится в действие приказом руководителя организации и процесс ее внедрения должен находиться у него на контроле.
Политика безопасности лежит в основе организационных мер защиты информации. Она разрабатывается в соответствии со Стандартом ISO 17799 и заключается в принятии и реализации согласованных решений по обеспечению информационной безопасности в организации. Для того чтобы оставаться эффективной политика должна периодически корректироваться.
|
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 1975; Нарушение авторских прав?; Мы поможем в написании вашей работы!