Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности

Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы:

- использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем;
- проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799;
- применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии»;
- использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам.

При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем - razgovorodele.ru), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа. При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.

Уровень безопасности отдельной подсистемы

Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем. Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.

Реализация этих свойств позволяет руководству организации:

- сосредоточить свое внимание на наиболее важных аспектах обеспечения безопасности организации;
- принимать решения на основе объективной и целостной информации;
- контролировать возникающие риски;
- добиваться с большей эффективностью исполнения принятых решений;
- отслеживать качество принимаемых решений и оперативно вносить необходимые коррективы;
- значительно повысить предсказуемость результатов принимаемых решений.

Оценка эффективности работы подразделений информационной безопасности

К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора. Все это, несомненно, влияет на выработку политики безопасности информационных систем организации и ведет к необходимости учета следующих факторов:

- определения целей защиты;
- определения объекта защиты;
- определения актуальных угроз, субъектов этих угроз, выбора профилей защиты;
- разработки методов определения качества защиты или выбора уже существующих систем критериальных оценок;
- получения гарантий защищенности системы.

В условиях сложившейся неопределенности достаточно распространена ситуация, когда организация, заказывая услуги в сфере безопасности информационных систем, плохо представляет себе роль и место конкретной услуги, равно как и ее вклад в интегральный уровень безопасности. Как следствие, резко увеличиваются затраты на обеспечение безопасности при практической неопределенности в оценке достигнутого эффекта. При этом парадокс состоит в том, что при дальнейших вложениях неопределенность оценок практически не снижается, а сложность реализации мер безопасности растет.

В практической работе по организации и поддержанию уровня безопасности адекватного потребностям организации (защищенности, сохранности - razgovorodele.ru) информационных ресурсов при разработке политики безопасности в условиях неопределенности и неоднозначности действующей в стране концептуальной, законодательной и нормативной базы волей-неволей приходится сталкиваться с весьма разноплановыми факторами, влияющими на формирование этой политики. Следует также отметить, что любой заказчик услуг безопасности находится под сильным интеллектуальным давлением поставщиков таких услуг, и в первую очередь, поставщиков оборудования и программных средств безопасности, а эти средства ориентированы на самую распространенную модель угроз - модель НСД. В результате, при отсутствии собственной адекватной реалиям политики безопасности заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации. Между тем, уровень многих фирм, даже владеющих всеми необходимыми лицензиями, далек от совершенства.

Заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна