Учебное пособие по ИБ (Лекции по информационной безопасности), страница 24
Описание файла
Файл "Учебное пособие по ИБ" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Просмотр PDF-файла онлайн
Текст 24 страницы из PDF
Устанавливаютсяполномочия пользователей для каждого файла и групп.195Возможности СЗИ от НСД "Спектр-Z"• При неактивности пользователя блокируется клавиатура, монитор имышь. Законным пользователям обеспечивается парольный доступ ивозможность работы в соответствии с установленными полномочиями.Может быть организована работа пользователя только с заданныммножеством дискет, сформированных администратором безопасности.Посторонним лицам информация на жестком диске рабочей станции и натаких спецдискетах недоступна.
Организуется работа любых групппользователей, как изолированных друг от друга, так и пересекающихся влюбой конфигурации.• Способна обнаружить атаку компьютерных вирусов и случайные илипреднамеренные искажения программ и данных. Ведет учет работыпользователей на компьютере.СЗИ НСД "Спектр-Z" имеет сертификат Гостехкомиссии РФ, которыйудостоверяет соответствие возможностей программного продуктатребованиям, предъявляемым к 3-му классу защищенности для средстввычислительной техники и к классу 1В для автоматизированных систем.196197ТЕМА 19ЭТАПЫ ПОСТРОЕНИЯСИСТЕМЫ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИПРОЦЕССНЫЙ ПОДХОД198ОБЩАЯ СХЕМА ПОСТРОЕНИЯУПРАВЛЯЕМЫХ БИЗНЕСБИЗНЕС-СИСТЕММОДЕЛЬ PDCA.PDCA. СОДЕРЖАНИЕ ЭТАПОВПроектирование(Plan)Plan)Осуществление(Do)Контроль(Check)Влияние(Action)Определить политику безопасности,безопасности, цели,цели, процессы ипроцедуры,процедуры, относящиеся к управлению рисками и улучшениюинформационной безопасности для достижения результатовсоответствующих общей политике и целям компании.компании.Внедрить и применять политику безопасности,безопасности, мерыуправления безопасностью,безопасностью, процессы и процедуры каксистему информационной безопасности.безопасности.Оценить,Оценить, а, где возможно,возможно, сравнить выполнение процессов сполитикой безопасности,безопасности, целями и практическим опытом идоложить результаты менеджменту (руководству)руководству) компаниидля анализа.анализа.Длядостиженияпостоянногоулучшениясистемыинформационнойбезопасностипредприниматькорректирующие и превентивные (предупреждающие)предупреждающие)действия на основании результатов внутреннего аудита,аудита,анализа со стороны руководства (менеджмента)менеджмента) или другойотносящейся к делу информации.информации.199ОПРЕДЕЛЕНИЯУгроза информационной безопасности – потенциально возможноесобытие,событие, действие,действие, процесс или явление,явление, которое может привести кнарушению конфиденциальности,,целостности,конфиденциальности целостности, доступности информации,информации, атакже неправомерному ее тиражированию.тиражированию.Уязвимость информации – подверженность информации воздействиюразличных дестабилизирующих факторов,факторов, которые могут привести кнарушению ее конфиденциальности,конфиденциальности, целостности,целостности, доступности,доступности, илинеправомерному ее тиражированию.тиражированию.Анализ риска – процесс определения угроз безопасности системы в целоми отдельным ее компонентам (не только техническим),техническим), определенияхарактеристик угроз и потенциального ущерба,ущерба, который может быть нанесенв случае их реализации,реализации, а также разработка мер по защите.защите.ОСНОВНЫЕ ЭТАПЫ ПОСТРОЕНИЯ СИСТЕМЫИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ1.
Определение политики безопасности2. Определение подхода к оценке рисков3. Определение области применения и границ Системы4. Определение рисков5. Анализ и оценка рисков6. Определение и оценка вариантов обработки рисков200ОСНОВНЫЕ ЭТАПЫ ПОСТРОЕНИЯ СИСТЕМЫИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ7. Выбор целей и мер управления безопасностьюдля обработки рисков8. Принятие решения по остаточным рискам9.
Оформление результатов и отчетность10. Эксплуатация и мониторинг Системы11. Поддержка и совершенствование СистемыОПРЕДЕЛЕНИЕ ОБЛАСТИ ПРИМЕНЕНИЯ ИГРАНИЦ СИСТЕМЫНеобходимо определить область применения играницы системы информационной безопасностис учетом характеристик деятельности (бизнеса)бизнеса)компании,структурыкомпании,еекомпании,компании,местонахождения,местонахождения, активов и технологий,технологий, включаяподробностииобъяснениякакихкаких-либоисключений из области применения.применения.201ОПРЕДЕЛЕНИЕ ОБЛАСТИПРИМЕНЕНИЯ И ГРАНИЦ СИСТЕМЫ.СИСТЕМЫ.ОБЩИЙ ПРИМЕРОПРЕДЕЛЕНИЕ ПОЛИТИКИБЕЗОПАСНОСТИОпределить политику безопасности с учетом характеристикдеятельности (бизнеса)бизнеса) компании,компании, самой компании,компании, ееместонахождения,местонахождения, активов и технологий,технологий, которая:которая:• содержит основу для установления целей и определяет общеепонимание направлений и принципов действий в отношенииинформационной безопасности• учитывает деловые (бизнесбизнес-), правовые или регулирующие(нормативные)нормативные) требования,требования, а также контрактные обязательства вконтексте безопасности• осуществляется в контексте стратегического управленияриском в компании,компании, в которой будет иметь место создание иподдержка системы информационной безопасности• устанавливает критерии,критерии, относительно которых будетоцениваться риск• одобрена руководством (менеджментом)менеджментом) компании202ОПРЕДЕЛЕНИЕ ПОДХОДА К ОЦЕНКЕРИСКОВ1.
Идентифицировать методологию (методику)методику) оценки рисков,рисков,удовлетворяющую требованиям к конкретной системеинформационной безопасности,безопасности, а также требованиям кинформационной безопасности деятельности (бизнеса),бизнеса),правовым и регулирующим (нормативным)нормативным) требованиям2. Разработать критерии принятия рисков и идентифицироватьдопустимые уровни рискаВыбранная методология (методика)методика) оценки рисков должнаобеспечивать,обеспечивать, чтобы оценка рисков давала сравнимые ивоспроизводимые результаты.результаты.ОПРЕДЕЛЕНИЕ РИСКОВ1.
Идентифицировать активы в рамках областиприменениясистемыинформационнойбезопасности и владельцев этих активов2. Идентифицировать угрозы этим активам3. Идентифицировать уязвимости,уязвимости, которые моглибы быть использованы при реализации угроз4. Идентифицировать влияние (воздействие)воздействие) наактивы,котороеможетоказатьпотеряактивы,конфиденциальности,конфиденциальности, целостности и доступности203ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯАКТИВОВИдентификациюактивовпроводить в соответствииклассификацией по группам:группам:рекомендуетсясо следующей1.
Информационные активы2. Программные активы3. Физические активы4. Сервисы5. Человеческие активы (трудовые ресурсы)ресурсы)ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯУГРОЗ,УГРОЗ, УЯЗВИМОСТЕЙ И ОЦЕНКА ВЛИЯНИЯИдентификация угроз активам компании с учетомимеющихся уязвимостей,уязвимостей, а также оценка их влияния наактивы осуществляется составлением модели угроз,угроз, структурапредставления каждой угрозы в которой следующая:следующая:1. Аннотация угрозы2.
Возможные источники угрозы3. Способ реализации угрозы4. Используемые уязвимости5. Вид активов,активов, потенциально подверженных угрозе6. Нарушаемые свойства безопасности активов7. Возможные последствия реализации угрозы204ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯУГРОЗ,УГРОЗ, УЯЗВИМОСТЕЙ И ОЦЕНКА ВЛИЯНИЯДля выявления источников угроз обычносоставляется модель нарушителя информационнойбезопасности.безопасности.Пример классификации нарушителей по уровнюфункциональныхвозможностейвавтоматизированных системах можно посмотреть вРДФСТЭК«Концепциязащитысредстввычислительной техники и автоматизированныхсистем от несанкционированного доступа кинформации»информации».1.2.3.4.АНАЛИЗ И ОЦЕНКА РИСКОВОценить влияние на деятельность (бизнес)бизнес) компании,компании,которое может иметь место в результате нарушенийбезопасности,безопасности, принимая во внимание последствия,последствия,связанныеспотерейконфиденциальности,конфиденциальности,целостности или доступности активовОценитьреальнуювозможность(вероятность,вероятность,опасность)опасность) появления нарушений безопасности в светесуществующих угроз и уязвимостей,уязвимостей, а также ущерб,ущерб,связанный с этими активами,активами, и реализованные внастоящее время меры управления безопасностьюОпределить уровни рисковИспользуякритериидопустимостирисков,рисков,установленные на этапе разработки методологии(методики)методики) оценки рисков,рисков, определить,определить, являются лириски допустимыми или требуют обработки205ОПРЕДЕЛЕНИЕ И ОЦЕНКА ВАРИАНТОВОБРАБОТКИ РИСКОВВозможные действия включают:включают:1.
Применениенадлежащихмеруправлениябезопасностью (уменьшение риска)риска)2. Сознательное и беспристрастное допущение(принятие)принятие) рисков,рисков, при условии,условии, что онисоответствуют принятой в организации политике икритериям принятия рисков (принятие риска)риска)3. Избежание (устранение))рисков(уклонение отустранениериска)риска)4. Перенос соответствующих рисков для деятельности(бизнесбизнес-рисков)рисков) на другие стороны,стороны, например,например,страховщиков,страховщиков, поставщиков (изменение характерариска)риска)ВАРИАНТОВ ОПРЕДЕЛЕНИЕ И ОЦЕНКАОБРАБОТКИ РИСКОВ.РИСКОВ.
ОБЩИЙ ПРИМЕР206ВЫБОР ЦЕЛЕЙ И МЕР УПРАВЛЕНИЯБЕЗОПАСНОСТЬЮ ДЛЯ ОБРАБОТКИ РИСКОВЦели и меры управления безопасностью должныбыть выбраны и реализованы для удовлетворениятребований,требований, идентифицированных в процессе оценкирисков и обработки рисков.рисков. При этом выборе должныприниматься во внимание как критерии принятияриска,риска, так и правовые,правовые, регулирующие (нормативные)нормативные)и контрактные требования и обязательства.обязательства.Как часть этого процесса должны быть выбраныцели и меры управления безопасностью,безопасностью, подходящиедля покрытия идентифицированных требований.требований.ПРИНЯТИЕ РЕШЕНИЯ ПО ОСТАТОЧНЫМРИСКАМРезультаты анализа и оценки рисков обычнопредставляютруководству(менеджменту)менеджменту)компании в виде отчета об анализе рисков.рисков.Принятие решения по остаточным рискам –привилегия и ответственность руководства(менеджмента)менеджмента) компании.компании.207ОФОРМЛЕНИЕ РЕЗУЛЬТАТОВ И ОТЧЕТНОСТЬНеобходимо документировать следующее:следующее:1.
Выбранные цели и меры управления безопасностью иоснования для их выбора2. Цели и меры управления безопасностью,безопасностью, реализованныев настоящее времяРезультаты как правило оформляются в виде положенияо применимости мер управления информационнойбезопасностью.безопасностью.Анализируя полученные результаты,результаты, руководствопринимает решение о необходимости внедрения(совершенствования)системыинформационнойсовершенствования)безопасности.безопасности.ЭКСПЛУАТАЦИЯ И МОНИТОРИНГ СИСТЕМЫВ процессе эксплуатации системы информационнойбезопасности необходимо проводить периодическиевнутренние аудиты с целью выявления несоответствийтекущего состояния сформулированным требованиямпо безопасности.безопасности.Результаты внутренних аудитов,аудитов, а также результатыанализа системы информационной безопасности состороны руководства (менеджмента)менеджмента) компании должныслужить поводом для устранения несоответствий иулучшения системы информационной безопасности.безопасности.208ЭКСПЛУАТАЦИЯ И МОНИТОРИНГ СИСТЕМЫ.СИСТЕМЫ.ВНУТРЕННИЕ АУДИТЫКомпания должна проводить внутренние аудиты (проверки)проверки)системыинформационнойбезопасностичереззапланированные интервалы времени,времени, чтобы определить,определить, вотношении целей,целей, мер управления безопасностью,безопасностью, процессови процедур безопасности компании следующее:следующее:1.