Добавил:

vv_sokol Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Академия Государственной противопожарной службы МЧС России

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Информационная безопасность / Derbin - Obespecheniye informatsiooonoy bezopasnosti 2013

.pdf

Скачиваний:

Добавлен:

09.11.2022

Размер:

7.32 Mб

Скачать

☆

<<< < Предыдущая 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2021 / 2721 22 23 24 25 26 27 > Следующая >>>

9.4.3.ОЦЕНКА БЕЗОПАСНОСТИ ИНФОРМАЦИИ

СУЧЕТОМ УГРОЗ ВОЗДЕЙСТВИЯ

Объект – информация (сообщение)

Показатели
информационной	Потен-	Реали-	Итог
характеристики	циал	зация	Итог
характеристики	циал	зация
объекта

Источник	x11	x21	x11 x2 1		показателей

Важность
Важность
(конфиденциаль-	x12	x2 2	x12 x2 2
ность)
					значений
Смысл	x13	x2 3	x13 x2 3

Актуальность	x14	x2 4	x14 x2	4
Актуальность	x14	x2 4	x14 x2	4
					Сравнение
Объем	x15	x2 5	x15 x2	5	Сравнение
Объем	x15	x2 5	x15 x2	5

Достоверность	x16	x2 6	x16 x2 6


характеристика	n
характеристика	∑x1nx2n/n
Информационная
	1

Факторы угроз воздействия на информацию

Искажение

Подмена

Дискредитация

Дезинформация

Интеллект.

(уничтожение)

(вскрытие)

воздействие

Потенциал

Интенсивность

Актуальность

Потенциал

Интенсивность

Актуальность

Потенциал

Интенсивность

Актуальность

Потенциал

Интенсивность

Актуальность

Потенциал

Интенсивность

Актуальность

… … … … … …

y11

y21

y31

… … …

y121 y221 y321

… … …

y12

y22

y32 y122 y222 y322

… … …

y13

y23

y33

… … …

y123

y223 y323

… … …

y133 y233 y333

y14

y24

y34

… … …

… … … … … … … … …

… … …

y15

y25 y35

… … … … … …

… … …

… … … … … … … … …

y16

y26

y36

… … …

∑∑ Y1ny2ny3n…ymn/n/m

1 1

201

9.4.4.ПОСЛЕДОВАТЕЛЬНОСТЬ АНАЛИЗА СИТУАЦИЙ

ВПРОЦЕССЕ ЗАЩИТЫ ИНФОРМАЦИИ

ДФ – дестабилизирующий

фактор

Событие №1 – защита информации обеспечена, поскольку даже при условии проявления дестабилизирующих факторов предотвращено их воздействие на защищаемую информацию или ликвидированы последствия такого воздействия

Событие №2 - защита информации нарушена, поскольку не удалось предотвратить воздействие дестабилизирующих факторов на информацию, однако это воздействие локализовано

Событие №3 - защита информации разрушена, поскольку воздействие дестабилизирующих факторов на информацию не только не предотвращено, но даже не

локализовано

201

9.4.5. АНАЛИТИЧЕСКАЯ МОДЕЛЬ ИСХОДОВ ПРИ ОСУЩЕСТВЛЕНИИ ФУНКЦИЙ ЗАЩИТЫ ИНФОРМАЦИИ

ДФ – дестабилизирующий фактор	203

9.4.6.ФОРМА ИЗЛОЖЕНИЯ ДАННЫХ АНАЛИТИЧЕСКОГО ОТЧЕТА

1.Заключение.

Ответы на вопросы, какова степень важности полученной информации, ее значение для принятия конкретных решений, идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т.п., какое отношение имеет предмет отчета к другим областям аналитической работы. Факты и сведения, на основе которых получены результаты анализа, не должны смешиваться с самими результатами.

2. Рекомендации.

Конкретные направления дальнейших действий службы безопасности и других структурных подразделений предприятия для улучшения системы безопасности, предотвращения утраты информации, принятия наиболее эффективных решений и т.п.

3.Обобщение информации.

Изложение самой существенной информации без излишней детализации.

4.Источники и надежность информации.

Предполагаемые оценки надежности данных и источника на момент написания отчета.

5.Основные и альтернативные гипотезы.

Наиболее вероятные гипотезы для принятия адекватных решений, а также дополнительной оценки правильности выбранной гипотезы.

6.Недостающая информация.

Четко указывается, какая именно дополнительная информация необходима для подтверждения окончательной гипотезы и принятия решения.

204

Глава 10.

ОЦЕНКА РИСКОВ ДЛЯ ПРИНЯТИЯ ОРГАНИЗАЦИОННЫХ МЕР В ИНТЕРЕСАХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

10.1.Содержание понятия «риски» и технологии их анализа в интересах защиты информации.

10.2.Понятие качественной и количественной оценки рисков, шкалы и критерии измерения.

10.3.Комплексная оценка рисков безопасности и ее основные этапы.

10.4.Критерии оценки уровня информационной безопасности предприятия.

10.5.Оценка текущего состояния информационной безопасности компании.

Литература:

1.Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность/Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.

2.ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч.1. Концепция и модели менеджмента безопасности ИТК технологий.

3.ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности

информационных технологий. Ч.1. Введение и общая модель

205

Оглавление

10.1.СОДЕРЖАНИЕ ПОНЯТИЯ «РИСКИ» И ТЕХНОЛОГИИ ИХ АНАЛИЗА В ИНТЕРЕСАХ ЗАЩИТЫ ИНФОРМАЦИИ

10.1.1.ИНФОРМАЦИОННЫЕ РИСКИ И ЦЕЛЬ ИХ АНАЛИЗА

ПРОБЛЕМА: ФИНАНСИРОВАНИЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ОСТАТОЧНОМУ ПРИНЦИПУ

Непонимание руководством			Неумение специалистов по безопасности
Непонимание руководством			убеждать руководство вкладывать в инфор-
необходимости должного			убеждать руководство вкладывать в инфор-
необходимости должного			мационную безопасность соответствующие
уровня инвестиций			мационную безопасность соответствующие
уровня инвестиций				средства
				средства


		НАПРАВЛЕННОСТЬ УБЕЖДЕНИЯ РУКОВОДСТВА


	Анализ информационных			Убеждение о необходимости
		рисков и его		Убеждение о необходимости
		рисков и его		соответствовать тому или иному
	представление для доклада			соответствовать тому или иному
	представление для доклада			нормативному акту
				нормативному акту

Оценка того, какие	Способ	Обоснование содержания
угрозы и через какие	обоснования	проекта системы обеспечения
уязвимости могут быть	инвестиций	информационной
реализованы	(затрат)	безопасности

Риск – это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации

ИНФОРМАЦИОННЫЙ РИСК ЗАВИСИТ

от стоимости информации

от защищенности информационной системы

206

10.1.2. БАЗОВЫЕ ПОНЯТИЯ

Риск - комбинация вероятности события и его последствий, опасность возникновения убытков или ущерба в результате применения информационных технологий, связанных с созданием, передачей, хранением и использованием информации с помощью информационных ресурсов.

Оценка риска - общий процесс анализа риска (систематические использование информации для идентификации источников и для оценки риска) и оценки риска (процесс сравнения оцененного риска с данными критериями риска для определения значимости риска).

Управление риском - координированные действия для направления и контроля организации в отношении риска (оценка риска, обработка риска, приемлемость риска и сообщение риска);

процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.

Обработка риска - процесс выбора и осуществления контролей для изменения риска.

Заявление и применимости - документ, описывающий задачи контроля и контроли, которые релевантны и применимы для ISMS организации, на основе результатов и выводов оценки риска и процесса обработки риска.

РУКОВОДСТВО BS 7799

Угроза - это возможность реализации нарушения правил политики ИБ. Объект оценки – это подлежащая оценке информационная система. Информационный актив – это набор информации, который используется в

работе и состоящий из информации и еѐ физического носителя

207