Защитные меры (понятие). Виды защитных мер. Общие подходы к обеспечению ИБ.

Защитные меры (понятие). Виды защитных мер. Общие подходы к обеспечению ИБ.

Активы и контрмеры

Безопасность связана с защитой активов. Активы - все, что имеет ценность для компании.
Понятия безопасности и их взаимосвязь

За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Дабы снизить риск применяются контр-меры.

Понятия, используемые при оценке, и их взаимосвязь

Достаточность контрмер
При оценке достаточность контрмер анализируется через конструкцию, называемую заданием по безопасности.

Задание по безопасности начинается с описания активов и угроз этим активам. Затем в задании по безопасности описываются контрмеры и демонстрируется, что данные контрмеры являются достаточными, чтобы противостоять описанным угрозам, в таком случае обеспечено противостояние угрозам.

 

Система информационной безопасности организации (понятие). Решаемые задачи.

СОИБ - это совокупность защитных мер, реализующих обеспечение ИБ организации и процессов их эксплуатации включая ресурсное и организационное обеспечение.

В основе исходной концептуальной схемы ИБ любой организации лежит противодействие собственника с злоумышленником с целью получения контроля над информационными активами.

Злоумышленник - лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. (Ст. 27 УК РФ) И не злоумышленные (непреднамеренные) действия так же могут нанести ущерб собственнику.

Руководство организации должно знать, что подлежит защите, т.е. информационные активы негативное воздействие на которых может привести к ущербу. С целью снижения рисков ИБ собственник создает службу ИБ или назначает ответственное лицо.

Один из главных инструментов собственника в обеспечении ИБ это основанный на опыте прогноз (составление модели угроз и модели нарушителя).

Создание и эксплуатирование СОИБ.

Политика ИБ организации разрабатывается на основе накопленного опыта в области обеспечения ИБ, результатов идентификации архивов, подлежащих защите, результатов оценки рисков с учетом особенностей бизнеса и технологий, требований законодательства РФ, нормативных актов регулирующих органов, а также интересов и бизнес-целей конкретной организации.

Модель угроз и нарушителей должны учитывать разработки ведущих специалистов международный опыт в сфере ИБ - Best practices.

Риск нарушения ИБ ВЫРАЖАЕТСЯ В ВОЗМОЖНОСТИ ПОТЕРИ СОСТОЯНИЯ защищенности интересов организации в информационной сфере и возникновения ущерба бизнесу или убытков.

Уязвимость создает предпосылки для реализации угрозы. Постоянный анализ и изучение инфраструктуры организации с целью выявления и устранения уязвимостей ИБ - это ОСНОВА эффективной работы СОИБ.

 

ГОСТ Р ИСО/МЭК 27001-2006. Цель стандарта, основные положения стандарта.

Целью является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон

Основные положения. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ. Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

Организационные аспекты информационной безопасности. Распределение обязанностей по обеспечению информационной безопасности

Менеджмент коммуникаций и работ. Планирование и приемка систем.

Цель - Свести к минимуму риск сбоев в работе систем.

Использование ресурсов необходимо прогнозировать, исходя из будущих требований к производительности, настраивать и контролировать, чтобы обеспечить уверенность в достижении требуемых эксплуатационных данных системы. Прогнозирование требований должно учитывать новые требования бизнеса а так-же учитывать тенденции в ИТ.

Приемка системы: Должны быть определены критерии приемки для новых информационных систем и обновлений, кроме того, необходимо тестировать системы в течение их разработки и перед их приемкой. Необходимо рассмотреть: восстановление в случае сбоя, меропр. по осуществлению непрерывности бизнеса, простоту использования.

 

Приобретение, разработка и эксплуатация информационных систем. Требования безопасности информационных систем.

Цель: Обеспечить уверенность в том, что безопасность является неотъемлемой частью информационных систем.
Информационные системы включают эксплуатируемые системы, инфраструктуру, прикладные программы бизнеса, готовые продукты, услуги и прикладные программы, разработанные пользователями. Проектирование и внедрение информационной системы, поддерживающей процесс бизнеса, может быть критичным с точки зрения безопасности. Требования безопасности следует выявлять и согласовывать до разработки и (или) внедрения информационных систем.
Все требования безопасности следует выявлять на стадии определения задач проекта, а также обосновывать, согласовывать и документально оформлять в рамках общего проекта по внедрению информационной системы.

Анализ требований безопасности и спецификация
Мера и средство контроля и управления
Необходимо, чтобы в формулировках требований бизнеса для новых информационных систем или при модернизации существующих информационных систем были определены требования к мерам и средствам контроля и управления безопасности.
Рекомендация по реализации
В спецификациях требований к мерам и средствам контроля и управления следует учитывать как встроенные в информационную систему автоматизированные меры и средства контроля и управления, так и необходимость поддержки ручного управления. Аналогично следует подходить к оценке пакетов прикладных программ, разработанных или приобретенных для прикладных программ бизнеса.
Необходимо, чтобы требования безопасности и соответствующие меры и средства контроля и управления отражали ценность информационных активов (см. 7.2) и потенциальный ущерб бизнесу, который мог бы явиться результатом недостаточности мер безопасности или их отсутствия.
Системные требования в отношении информационной безопасности и процессов реализации безопасности необходимо включать на ранних стадиях проектов, касающихся информационных систем. Определение мер и средств контроля и управления на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой мер и средств контроля и управления во время или после внедрения системы.
В случае приобретения готовых продуктов необходимо соблюдение формального процесса приобретения и тестирования. В договорах с поставщиками должны учитываться определенные требования безопасности. Если функциональность безопасности в предлагаемом готовом продукте не удовлетворяет установленному организацией требованию, то тогда необходимо повторно рассмотреть порождаемый этим фактом риск и связанные с ним меры и средства контроля и управления прежде, чем продукт будет приобретен. Если обеспечивается дополнительная функциональность, и это создает риск безопасности, то ее следует блокировать, или пересмотреть предлагаемую структуру управления, чтобы определить возможность использования преимуществ имеющейся дополнительной функциональности.
Дополнительная информация
Если признано целесообразным, например из соображений затрат, руководство может пожелать воспользоваться независимой оценкой и сертификацией продуктов. Дополнительную информацию о критериях оценки безопасности продуктов ИТ можно найти в ИСО/МЭК 15408 или других стандартах по сертификации или оценке.
ИСО/МЭК ТО 13335-3 содержит рекомендации по использованию процессов менеджмента риска для определения требований к мерам и средствам контроля и управления безопасностью.

 

Защитные меры (понятие). Виды защитных мер. Общие подходы к обеспечению ИБ.

Активы и контрмеры

Безопасность связана с защитой активов. Активы - все, что имеет ценность для компании.
Понятия безопасности и их взаимосвязь

За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Дабы снизить риск применяются контр-меры.

1234Следующая ⇒

Поделиться:

Популярное:

1. I. Виды договоров в гражданском праве.
2. I. ОПИСАНИЕ ИСПЫТАТЕЛЬНОЙ УСТАНОВКИ. ПОРЯДОК ПЕРЕКЛЮЧЕНИЙ. МЕРЫ БЕЗОПАСНОСТИ.
3. II. Виды мышления, стадии его развития.
4. IV. Виды и размер гражданско-правовой ответственности
5. І. Современные подходы к пониманию права.
6. А. Прибыль и рентабельность предприятия: понятия, виды, методы расчета, факторы роста
7. Авторитарный режим: основные черты и виды
8. Административно-восстановительные меры
9. Административно-правовой договор. Виды административно-правовых договоров.
10. Административно-правовой режим: понятие и виды.
11. Акт применения норм права: понятие, структура , виды. Соотношение нормативно-правовых и правоприменительных актов.
12. Акты официального толкования: понятие и виды