- •Понятие информационная безопасность
- •Важность и сложность проблемы информационной безопасности
- •Основные определения и критерии классификации угроз
- •Классификация угроз
- •Вредоносное программное обеспечение
- •Различные области информационной безопасности
- •Законодательный уровень иб
- •Оценочные стандарты
- •2. Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
- •Административный уровень иб
- •Управление рисками
- •Процедурный уровень иб
- •Реагирование на нарушение режима безопасности
- •Программно-технический уровень иб
Административный уровень иб
Сюда относятся действия общего характера, предпринимаемые руководством организации.
Цель а.у.ИБ: формирование программ или работ по обеспечению информационной безопасности за счет выделения дополнительных ресурсов.
Основная программа: политика безопасности.
Политика безопасности - набор документированных решений, составленный организацией и предпринимаемый для решения проблем информационной безопасности, политикам безопасности строится на основе процедуры, называемой “Анализом рисков”. Также политикой безопасности называют документ, отражающий подход организации к защите своей информации.
Считается, что практично рассматривать политику безопасности по 3-м этапам(уравням):
1. Верхний уровень (решения затрагивают всю организацию в целом, исходят от руководства, примеры: заниматься ли это программной, формулировка целей организации в области информационной безопасности, решение вопросов информационной безопасности в целом).
Особенности:
- относительное управление ресурсами и координирование управлением;
- должна четко ограничиваться сфера влияния;
- должны определяться обязанности лиц по реализации программы;
- политика 1-го уровня имеет дело с 3-мя аспектами:
1. организация должна соблюдать законы;
2. необходимо координировать действия тех лиц, которые отвечают за безопасность;
3. обеспечение степени исполнительности персонала через систему поощрений и наказаний.
- имеет смысл выносить вопрос, если невозможно решить вопрос без вмешательства руководства, либо суть вопроса обеспечивает эффективное средство экономии времени и ресурсов.
- надо выносить минимум вопросов, так как руководство организации может быть не компетентно по данному вопросу.
2. Средний уровень (относятся вопросы, которые касаются отдельных аспектов информационной безопасности, но так же затрагивают какие-то технологии, например: можно ли использовать другое ПО, можно ли пользователю брать информацию на дом):
- Описание аспекта;
- Область применения;
- Позиция организации по данному аспекту;
- Роли и обязанности;
- Законопослушность;
- Точка контакта.
3. Нижний уровень (относится к конкретным информационных сервисам, пример, кто имеет право доступа к объектам), аспекты:
- цели;
- правила достижения целей;
особенность: цели политики нижнего уровня должны быть более конкретными и полными, в более общем случае цели должны связывать собой объекты сервиса и действия с ними.
Программа безопасности:
Составляется после политики безопасности.
1 уровень (верхний):
- охватывает всю организацию;
- возглавляется некоторым лицом, которое обеспечивает реализацию всей программы;
- ведется управление оценки рисков, координируется деятельность, стратегическое планирование;
- осуществляется контроль деятельности в области компьютерной безопасности.
2 уровень(нижний):
- обеспечение надежности и экономичности защиты конкретных сервисов или групп сервисов.
Управление рисками
Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
Функция риска(риск) - функция от величины возможного ущерба и вероятности реализации определенной угрозы.
Управление рисками включает в себя следующие виды деятельности:
1. оценка рисков(измерение);
2. нейтрализация рисков(выбор эффективных и экономичных защитных средств).
Процесс управления рисками можно разделить на следующие этапы:
1. Выбор анализируемых объектов и уровня детализации их рассмотрения(карты информационной системы показывают какие сервисы берутся в рассмотрение, а какими принебрегают);
2. Выбор методологии оценки рисков(цель оценки рисков приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать, оценка должна быть количественной, но .м.б с погрешностью);
3. Идентификация активов (происходит учет и.с, поддерживающей инфраструктуры, персонала, репутации организации т.е. определяются ресурсы организации, в результате получается картина полной информационной структуры организации и способов её использоавния);
4. Анализ угроз и выявление уязвимых мест ();
5. Оценка рисков (см. выше);
6. Выбор защитных мер ;
7. Реализация и проверка выбранных мер;
8. Анализ остаточных рисков.
1-3 подготовительные этапы.