Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный авиационный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции_теория_риска.doc
Скачиваний:
47
Добавлен:
01.11.2018
Размер:
1.06 Mб
Скачать
►Содержание►

5.2 Германский стандарт bsi

В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности». Оно представляет собой гипертекстовый справочник объемом около 4 Мб (в формате HTML). Общая структура документа приведена на рис. 5.1.

Можно выделить следующие блоки этого документа:

  • методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);

  • компоненты информационных технологий:

  • основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);

  • инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);

  • клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);

  • сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);

  • элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);

  • телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);

  • стандартное ПО;

  • базы данных;

  • каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

При этом все каталоги структурированы следующим образом.

Угрозы по классам:

  • форс-мажорные обстоятельства;

  • недостатки организационных мер;

  • ошибки человека;

  • технические неисправности;

  • преднамеренные действия.

Контрмеры по классам:

  • улучшение инфраструктуры;

  • административные контрмеры;

  • процедурные контрмеры;

  • программно-технические контрмеры;

  • уменьшение уязвимости коммуникаций;

  • планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках имеются на сайте BSI.

Этот информационный ресурс, безусловно, заслуживает внимания. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Обзор каталогов (названия позиций) приводится в приложении 4.

5.3 Стандарт сша nist 800-30

Данный стандарт подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.

Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 5.2).

Таблица 5.2. Управление рисками на различных стадиях жизненного цикла информационной технологии

Фаза жизненного цикла информационной технологии

Соответствие фазе управления рисками

1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование)

Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ

2. Проектирование ИС

Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)

3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование

До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков

4. Функционирование ИС

Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС

5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются)

Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам

Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 5.2.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности