1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
Корпоративные цели определяются исходя из основных целей деятельности организации и отношении этих целей к ИБ. Для этого необходимо проанализировать:
1)Наличие видов деятельности организации кот. не могут проводиться без поддержки АС
2)Зависимость деятельности организации от доступности целостности и конфиденциальности информации обрабатываемой АС
3)Влияние инцидентов ИБ на деятельность организации.
В зависимости от целей ИБ выбирается стратегия для достижения этих целей. Стратегия описывает то, как организация будет достигать эти цели ИБ. Корпоративная стратегия должна содержать:
1)Описание корпоративных целей
2)Стратегию оценки рисков ИБ
3)Метод классификации активов организации
4)Стратегию обработки инцидентов ИБ
5) Требование ИБ к АС организации, а точнее к телекоммуникационным системам соединения с внешней системой
2 Процессы планирования иб ас. Формирование корпоративной политики иб
Корпоративная политика (КП) бизнеса =>КП ИБ=>Политика ИБ АС =>Политика ИБ АС подразделения =>Частные политики(Политика антивирусной защиты, политика защиты от НСД, политика криптозащиты и т.д.)
КП должна быть сформирована на основе корпоративных целей ИБ и результатов оценки рисков ИБ. В КП ИБ должны быть описаны общие подходы или общие принципы обеспечения ИБ. Детальные действия по обеспечению ИБ описываются в политике ИБ АС, в частных политиках ИБ АС, в регламентах связанных с ИБ. В разработке КП должны участвовать: представители высшего руководства организации, специалисты АС и ИБ, специалисты коммунальной службы и финансовых подразделений. Корпоративная политика должна описывать:
1)Цели ИБ и их соответствие целям деятельности организации и правовым требованиям
2)Приоритетное направление в обеспечении ИБ
3)Способы управления рисками ИБ
4)Принцип обеспечения осведомленности и обучения ИБ
5)Принцип обеспечения поддержки и проверки ИБ
6)Обстоятельства при которых корп. политика ИБ должна быть пересмотрена или скорректирована.
3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
Управление рисками включает такие процессы:
1)Оценка рисков
2)Выбор защитных мер
3)Принятие рисков
4)Формирование политики
5)Формирование планов защитных мер
Риск ИБ это возможность того, что данная угроза может использовать уязвимости активов и тем самым нанести ущерб организации. Риск измеряется сочетанием вероятности рискового события и его последствий. Предотвращение риска – это решение не быть вовлеченным в рисковую ситуацию или действие.
Снижение риска – это действие, предназначенное для снижения вероятности негативных последствий и самих негативных последствий связанных с рисками ИБ.
При выборе защитных мер нужно стараться сделать так, чтобы риск снизился до остаточного риска. Устранение всех рисков невозможно и непрактично следовательно цель управления рисками состоит в том, чтобы защитить систему с помощью эффективных по стоимости и выполним. защит. мер которые применимы к системе и соответствуют цели системы
Риск можно уменьшить следующим способом:
1) Применение эффективных средств защиты чтобы увеличить затраты для атакующего
2)Применение многоуровневой защиты эффективных архитектурных решений, чтобы ограничить объект атаки.
3)Испытание информационных, программных, аппаратных средств для системы которая отвечает выбранным критериям доверия чтобы уменьшить вероятность наличия уязвимости системы
4)Применение многоуровневой защиты эффективных архитектурных решений и административных средств управления с целью предотвращения уязвимостей.