Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Корпоративная система и уровни ее информационной безопасности

Проблема информационной безопасности корпоративной системы обычно решается в двух плоскостях: во-первых, рассматриваются формальные критерии, которым должны соответствовать защищенные информационные технологии, а во-вторых, практический аспект - конкретный комплекс мер безопасности. Формальные критерии являются предметом стандартизации более пятнадцати лет. Во многих странах, в том числе и в России, существуют национальные стандарты. Наличие стандартов информационной безопасности позволяет оценивать состояние информационной безопасности конкретной корпоративной системы с точки зрения комплексного подхода. Идеи, содержащиеся в этих документах, заключаются в следующем.

Практические правила обеспечения информационной безопасности (ИБ) на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, обязательно использование некоторых средств идентификации и аутентификации пользователей (сервисов - razgovorodele.ru), средств резервного копирования, антивирусного контроля и т.д. Режим информационной безопасности в подобных системах обеспечивается:

- на административном уровне - политикой безопасности организации, в которой сформулированы цели в области ИБ и способы их достижения;
- на процедурном уровне - путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты;
- на программно-техническом уровне - применением апробированных и сертифицированных решений, стандартного набора контрмер: резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.

При создании систем ИБ важно не упустить каких-либо существенных аспектов - в этом случае применяемой информационной технологии будет гарантирован некоторый минимальный (базовый) уровень ИБ. Базовый уровень ИБ предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распространенных угроз безопасности без оценки вероятностей этих угроз. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности защиты в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.

Схема разработки требований к информационной безопасности

В ряде случаев базового уровня оказывается недостаточно. Для обеспечения повышенного уровня ИБ необходимо знать параметры, характеризующие степень безопасности информационной системы (технологии) и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов. В том или ином виде рассматриваются ресурсы, характеристики рисков и уязвимости информационной системы. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции ИБ. Стратегия безопасности при обеспечении базового уровня информационной безопасности в практическом плане сводится к следующим шагам.

1. Определение необходимых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

- управление доступом к средствам вычислительной техники (СВТ), программам и данным;
- антивирусную защиту;
- вопросы резервного копирования;
- проведение ремонтных и восстановительных работ;
- информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или нужно проводить полный вариант анализа рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ: график совещаний по тематике ИБ на уровне руководства, периодичность пересмотра положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы в этой области.

Информационная система

Минимальным требованиям к информационной безопасности соответствует базовый уровень ИБ, обычно реализуемый в типовых проектных решениях. В стандарте определен набор наиболее вероятных угроз, таких, как вирусы, сбои оборудования, несанкционированный доступ и т.д. Контрмеры для нейтрализации этих угроз должны быть приняты обязательно вне зависимости от вероятности их осуществления и уязвимости ресурсов - razgovorodele.ru. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базового уровня требований к безопасности информации становится недостаточно.

Чтобы сформулировать дополнительные требования, необходимо:

- определить ценность ресурсов;
- к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;
- оценить вероятность угроз;
- определить уязвимость ресурсов.

Отдельные аспекты безопасности корпоративной информационной системы

Должна быть разработана стратегия управления рисками разных классов. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но все же остается значимым. Поэтому необходимо знать остаточную величину риска. Когда этап по определению принимаемых во внимание рисков завершен, должна быть предложена стратегия управления ими.

Комплекс предлагаемых мер должен быть построен в соответствии с выбранной стратегией управления рисками и структурирован по уровням (организационному, программно-техническому - razgovorodele.ru) и отдельным аспектам безопасности. Если проводится полный вариант анализа рисков, то эффективность комплекса контрмер оценивается для каждого риска. Если к ИБ предъявляются повышенные требования, проводится так называемый полный вариант анализа рисков, в рамках которого в дополнение к базовым рассматриваются:

- модель бизнес-процессов с точки зрения ИБ;
- ресурсы организации и их ценность;
- составление полного списка угроз безопасности - потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров;
- уязвимости - слабые места в защите, которые могут спровоцировать реализацию угрозы.

На основе собранных сведений оцениваются риски для информационной системы организации, для отдельных ее подсистем, баз данных и элементов данных. Следующим шагом является выбор контрмер, снижающих риски до приемлемых и формируется структура системы защиты информации.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна