Защити свой компьютер на 100% от вирусов и хакеров. Олег Михайлович Бойцев

Чтение книги онлайн.

СКАЧАТЬ который лег в основу международного стандарта ISO/IEC 17799:2005, который, в свою очередь, стал базой для стандарта ISO/IEC 27001.

      Следующим понятием ИБ, которое логически вытекает из представлений о стандартах информационной безопасности, является политика ИБ.

      Итак, политика безопасности (от англ. security policy) представляет собой совокупность правил, установок и принципов, соблюдение которых обеспечивает приемлемый уровень безопасности/защищенности информационного пространства и инфраструктуры, непосредственно связанной с деятельностью рассматриваемой организации.

      Результатом работы администратора безопасности должно стать создание документа политики ИБ.

      При создании документа политики ИБ особое внимание необходимо обратить на следующие вопросы:

      ♦ что можно отнести к активам организации (данные, персонал, обслуживающая инфраструктура, материальные ценности);

      ♦ насколько чувствительна и секретна рассматриваемая информация;

      ♦ какие факторы и в каком объеме могут нанести фирме ущерб в информационном аспекте (идентификация угроз);

      ♦ насколько уязвима система для вторжения изнутри и снаружи (идентификация уязвимостей);

      ♦ каковы риски организации с учетом входных данных (угрозы, уязвимости, ущерб, активы) и что можно предпринять для минимизации этих рисков.

      Определение рисков ИБ и их минимизация являются, пожалуй, ключевым моментом, определяющим актуальность и эффективность политики ИБ.

      Как определить, является риск для организации большим или маленьким, приемлемым или недопустимым? В простейшем случае для выяснения степени риска можно воспользоваться матрицей рисков (табл. 1.1).

      Из табл. 1.1 вовсе нетрудно догадаться, что величина риска является результатом произведения входных значений (угрозы и ущерба).

      Как видно из таблицы, риск можно классифицировать по уровню:

      ♦ высокий;

      ♦ средний;

      ♦ низкий.

      Таблица 1.1. Матрица рисков (согласно рекомендациям NIST "Risk Management Guide for Information Technology Systems")

      Понятное дело, что если организация имеет дело с высоким риском, то его необходимо нейтрализовать или в крайнем случае минимизировать.

      ПРИМЕЧАНИЕ

      Если анализ системы показывает, что для минимизации и/или нейтрализации риска могут потребоваться слишком большие неоправданные затраты, то целесообразно отнести такой риск к категории приемлемых. Ущерб от атаки и затраты на ее предотвращение должны быть сбалансированы!

      Как правило, система с высоким уровнем риска наиболее подвержена атакам. В зависимости от источника можно выделить по крайней мере два типа атак:

      ♦ внешние атаки;

      ♦ атаки, исходящие изнутри (чаще всего ассоциированы с действием инсайдеров).

      В рамках следующего раздела мы поговорим с вами о некоторых разновидностях СКАЧАТЬ