Подготовительные этапы в разработке политики ИБ

Страница 1

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании (Рис.1). Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Рисунок 1. Компоненты архитектуры информационной безопасности.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать – сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой угрозой ущерб, получим риск угрозы. После этого следует приступать к разработке политики ИБ.

1.1 Категорирование

Существуют три основных аспекта ИБ:

– доступность;

– конфиденциальность;

– целостность.

Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.

Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис.2).

http://www.citforum.ru/security/articles/categorizing/graphics1.gif

Рисунок 2. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

– организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

– активам организации наносится незначительный ущерб;

– организация несет незначительные финансовые потери;

– персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

– компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

– активам организации причиняется значительный ущерб;

– компания несет значительные финансовые потери;

– персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

– компания теряет способность выполнять все или некоторые из своих основных функций;

– активам организации причиняется крупный ущерб;

– организация несет крупные финансовые потери;

– персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Страницы: 1 2

Другое по теме:

Расчет цены и использование мировой валюты СДР
СДР (англ. Special Drawing Rights, SDR) – условная денежная единица, применяемая странами-членами Международного валютного фонда; инструмент, позволяющий создавать валютные резервы. Первоначально стоимость СДР определялась золотым паритетом доллара США (35 долларов за унцию). С 1974 года СДР привяз ...

История развития банковской системы
коммерческий национальный банк система Для того чтобы понять сущность любого явления, необходимо знать историю его развития, основные этапы его эволюции от простых форм к более сложным и разнообразным. Не являются исключениями и такое понятие как «банки и банковская система». Первые упоминания об о ...

Анализ эффективности введения глобальной системы денежных переводов «Western Union»
C января 2008 года по декабрь 2010 года в АКБ «Алмазэргиэнбанк» ОАО денежные переводы осуществлялись через глобальную систему «Money Gram». Исходя из данных за 2008–2010 гг., прослеживается тенденция к уменьшению объема денежных переводов. По сравнению с объемом в 2008 году, объемы 2009 и 2010 годо ...

Главное меню

Copyright © 2018 - All Rights Reserved - www.bankpartition.ru