Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Коломенский институт филиал МГМУ

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ТИБиМЗИ-Л9_2012.doc

Скачиваний:

Добавлен:

13.11.2019

Размер:

668.16 Кб

Скачать

☆

<<< < Предыдущая 1 2 3 45 / 75 6 7 > Следующая >>>

2.3 Негативные социальные и психологические явления, происходящие в организации или ее структурном подразделении.

Негативные социальные и психологические явления, происходящие в организации или ее структурном подразделении, включают в себя:

слабую воспитательно-профилактическую работу в коллективе и недостаточное внимание руководства организации к проблемам или достижениям сотрудников;
недовольство сотрудников своим материальным обеспечением (низкая заработная плата, отсутствие или низкий размер премии, отсутствие жилья и другие);
конфликты между сотрудниками, между руководством и подчиненными;
напряженную психологическую обстановку в коллективе (недоверие, зависть, постоянные стрессовые ситуации, недовольство руководства относительно деятельности того или иного сотрудника, давление и другие);
невозможность карьерного роста, самореализации, проявления инициативы и другие.

Под воздействием таких факторов сотрудник более склонен к разглашению или созданию условий для утечки информации – в этом и заключается проявление уязвимости вследствие негативных социальных и психологических явлений в организации. Целями негативных действий сотрудника по отношению к информации является улучшение своего материального положения (продажа ценной информации конкурентам), желание навредить руководителю или сотруднику, который состоит в конфликте с ним и другие. Но кроме отрицательных психологических и социальных мотивов, у сотрудника могут быть и другие обстоятельства, побудившие его к посягательствам на защищаемую информацию (угрозы, шантаж со стороны злоумышленника).

2.4 Высокая ценность информации

Ценность информации определяет ее полезность для собственника или владельца. Она зависит от многих факторов: от количества, качества, достоверности информации, ее способности к старению.

Зависимость ценности информации (V) от ее количества (I):

Зависимость эффективности (E) информации от ее количества (I):

Для оценки количества информации применяется предложенный К. Шенноном термин "энтропия", который означает степень (меру) неопределенности ситуации при условии, что число исходов ее конечно. Энтропия рассчитывается по формуле:

где: k – коэффициент, учитывающий выбранное основание логарифма, p_i – вероятность i-го исхода, n – общее число исходов.

Чем меньше вероятность некоторого события (чем событие неожиданнее), тем большее количество информации получит адресат, если это событие произойдет.

Ценность информации включает в себя и понятие качества информации, которое определяется существованием иерархической структуры информации. Информация на различных уровнях не только качественно различается, образуя ряд подмножеств, но и связана друг с другом, ведь для информации высокого уровня необходима информация нижнего уровня. Качество информации – это совокупность свойств информации, обуславливающих ее пригодность для эффективного использования по назначению. Чем выше качество информации, тем она ценнее.

Достоверность информации оказывает значительное влияние на ценность информации. Снижение достоверности информации может произойти на любом этапе работы с ней, а также при создании информации (ошибки при вводе информации на носитель, сбои в работе технических средств при приеме поступающей информации, ошибки в программном обеспечении и другие). В большинстве случаев в качестве показателя достоверности любого массива информации используется отношение числа достоверных элементов к общему их числу. Для баз данных, состоящих из множества структурных элементов, такой подход оказывается слишком груб, так как различные структурные элементы имеют свою степень значимости, а потому в оценке достоверности должны учитываться с некоторым весом (сумма же весов всех элементов равна 1). При этом под "значимостью" понимается не только ценность хранящейся информации, но также и частота обращений к данному структурному элементу. Таким образом, если предположить, что исследуемый комплекс (например, база данных, составленная из таблиц) состоит из K структурных элементов (таблиц) с весами w₁, …, w_k. Причем:

И, если каждый структурный элемент состоит из N_k информационных элементов (для баз данных это записи), из которых достоверны по количеству: элементов, то достоверность каждого структурного элемента выражается формулой:

Тогда достоверность всей базы данных составит:

Способность информации к старению выражает срок ее жизни, после которого информация будет уже не пригодна (полностью или частично) для достижения определенных целей организации. Старение информации и ее ценность взаимосвязаны: очень ценная и быстро стареющая информация более подвержена угрозам, она более уязвима, поскольку злоумышленник, которому нужна эта информация, стремится как можно скорее добыть ее и использовать для достижения своих целей.

Любая целенаправленная деятельность сопряжена с процессом добычи и обработки информации. Информация от одного и того же источника в зависимости от своего целевого назначения может обладать той или иной ценностью и стареть с различной скоростью. Если назначением информации является управление какой-то системой для достижения определенной цели, то ее ценность может быть выражена через приращение вероятности достижения поставленной цели. Если до получения информации вероятность достичь цель была P₀, а после получения стала P₁, то ценность ее может быть определена по формуле:

V = log₂ P₁ – log₂ P₀ = log₂ ( P₁ : P₀ ) .

Информация во все времена являлась предметом купли-продажи, но такие операции с ней имеют свои особенности. Американская пословица гласит: "Если у нас есть по яблоку, и мы обменяемся, у нас опять будет по яблоку. Но если у нас есть по идее и мы обменяемся, то у каждого их будет по две". Эта пословица отражает одну из главных особенностей информации, которая отличает ее из группы материальных объектов купли-продажи.

Как товар информация обладает следующими свойствами:

классический товар при продаже отчуждается у владельца, информация же обычно остается у него, так как она фиксирует образ объекта познания, и этот образ впоследствии передается, размножается, оставаясь тождественным (изоморфным) первоначально полученному образцу;
возможно многократное потребление информации, в ходе которого она не теряет своей потребительской стоимости, но продолжительность использования информации не бесконечна (с течением времени она устаревает и теряет свою ценность);
информацию нельзя присвоить;
информация поступает на рынок в качестве товара или услуг.

Информация может быть и товаром, и материальной ценностью, которая включается в состав имущества организации. При этом организация, выступая в качестве собственника информации (субъекта, в полном объеме реализующего полномочия владения, пользования, распоряжения), может сама продавать ценную информацию. Также информация наряду с интеллектуальной собственностью и имуществом может рассматриваться в качестве объекта гражданского права (статья 128 Гражданского кодекса). Поэтому ценность информации – это форма проявления ее уязвимости (так же, как ценность товара является формой проявления уязвимости товара).

Таким образом, связь ценности информации с уязвимостью информации налицо. Повышенная ценность информации создает предпосылки для реализации угроз, направленных на ее модификацию, уничтожение, утечку, блокирование доступа к ней, следовательно, является слабой стороной информации. Поэтому любая организация стремится защитить ценную информацию. Защищаемая информация обязательно должна иметь определенную ценность и приносить пользу ее собственнику, оправдывая затрачиваемые на ее защиту силы и средства.

2.5 Уязвимость и информационный риск. Для эффективного обеспечения информационной безопасности необходимо организовать решение задач анализа и управления информационными рисками нарушения конфиденциальности, целостности, доступности информационных ресурсов. Изучение информационных рисков позволяет оценить уровень безопасности информационной системы и определить перспективы развития системы защиты информации.

Информационный риск – это возможность реализации потенциальной уязвимости, которая приведет к реализации угрозы. Оценка же информационного риска представляет собой оценку такой возможности.

Анализ информационного риска позволяет одновременно определить имеющиеся уязвимости информации (или информационной системы). Уязвимость информации и информационный риск взаимосвязаны и взаимозависимы друг от друга: уязвимость порождает риск. Поэтому анализ и управление информационными рисками позволяют анализировать уязвимости информации и эффективно устранять их.

При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.

Существуют количественные и качественные методы измерения рисков. Использование количественных методов позволяет упростить анализ соотношения стоимости и эффективности предлагаемых мер, однако при этом предъявляются более высокие требования к методике измерения исходных данных и проверке адекватности используемой модели. Информационные риски могут быть оценены и качественными методами. При этом возможные риски должны быть ранжированы по степени их опасности с учетом таких факторов, как вероятность реализации угроз, цена возможных потерь и уровень уязвимостей.

В простейшем случае для оценки риска можно использовать два фактора – вероятность происшествия (инцидента) и тяжесть возможных последствий (ущерб от реализации угрозы)^². Риск тем выше, чем больше вероятность происшествия и тяжесть последствий. В этом случае риск определяется по формуле:

Риск = Вероятность происшествия х Цена потерь

Если переменные являются количественными величинами, то риск – это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена, и тогда в явном виде эта формула использоваться не должна. Очевидно, что из приведенной формулы можно определить направления деятельности службы безопасности организации по обеспечению безопасности: уменьшение вероятности негативного события и снижение возможного ущерба.

Наиболее часто встречается ситуация с использованием качественных величин. При этом тяжесть последствий происшествия может быть ранжирована на следующие пять уровней:

незначительная – воздействием можно пренебречь;
малая – происшествие с малыми последствиями: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную систему незначительно;
умеренная – происшествие с умеренными последствиями: их ликвидация не связана с крупными затратами, воздействие на информационную систему не велико и не затрагивает критически важные задачи;
серьезная – происшествие с серьезными последствиями: их ликвидация связана со значительными затратами, воздействие на информационную систему ощутимо и сказывается на выполнении критически важных задач;
критическая – происшествие влечет за собой невозможность решения критически важных задач.

В методиках оценки информационного риска, рассчитанных на более высокие требования, используется модель оценки риска по трем факторам – угроза, уязвимость, цена потери. При этом вероятность происшествия (как объективной, так и субъективной) зависит от вероятности реализации угроз и уровня уязвимости:

Вероятность происшествия = Вероятность угрозы х Уровень уязвимости

Соответственно, риск определяется следующим образом:

Риск = Вероятность угрозы х Уровень уязвимости х Цена потери

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае для определения показателя уровня риска используется таблица 1.

Здесь показатель уровня риска измеряется по шкале от 0-го до 8-го уровня в соответствии со следующими процентными определениями уровней риска:

0 – риск отсутствует;	4 = 50%;
1 = 12,5%;	5 = 62,5%;
2 = 25%;	6 = 75%;
3 = 37,5%;	7 = 87,5%;
	8 = 100%.

Таблица 1. Определение показателя уровня риска

Тяжесть последствий происшествия (цена потери)	Уровень угрозы
	низкий			средний			высокий
	Уровень уязвимости
	ннизкий	средний	ввысокий	ннизкий	ссредний	ввысокий	ннизкий	ссредний	ввысокий
Незначительная	0	1	2	1	2	3	2	3	4
Малая	1	2	3	2	3	4	3	4	5
Умеренная	2	3	4	3	4	5	4	5	6
Серьезная	3	4	5	4	5	6	5	6	7
Критическая	4	5	6	5	6	7	6	7	8

Информационно-аналитическую деятельность по оценке рисков организации может осуществлять как ее служба безопасности, так и специальные информационно-аналитические службы. Результаты информационно-аналитической работы показывают степень безопасности информационных ресурсов и условий функционирования организации, они являются основой для построения и совершенствования системы защиты информации, позволяют выработать способы активного и пассивного противодействия злоумышленникам.

Качественно выполненный анализ рисков позволяет провести сравнительный анализ эффективности защиты информации и стоимости реализации различных вариантов системы защиты от угроз и способов нейтрализации уязвимостей, выбрать адекватные меры контроля, оценить уровень остаточных рисков.

<<< < Предыдущая 1 2 3 45 / 75 6 7 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
13.11.2019136.19 Кб17ТИБиМЗИ-Л3_2012.doc
#
13.11.2019208.9 Кб12ТИБиМЗИ-Л4_2012.doc
#
13.11.2019388.61 Кб9ТИБиМЗИ-Л5_2012.doc
#
13.11.2019988.67 Кб64ТИБиМЗИ-Л7_2012.doc
#
13.11.2019446.46 Кб12ТИБиМЗИ-Л8_2012.doc
#
13.11.2019668.16 Кб17ТИБиМЗИ-Л9_2012.doc
#
17.11.20192.19 Mб24Товароведы Химия.doc
#
25.11.2019256 Кб2Требования к реферату 2011.doc
#
02.08.201955.3 Кб2требования к экзамену.doc
#
21.11.20198.04 Mб85ТФКП.doc
#
14.07.201973.73 Кб2Уголовная ответственность.rtf