Политика безопасности

  • 07 окт. 2011 г.
  • 1399 Слова
Политика безопасности
Введение
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня – сформировать программу работ в области ИБ и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающаяподход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Административный уровень информационной безопасности
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Риск - это ситуация,когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. То, насколько жесткой будет политика, зависит от:
уровня угроз, которым подвергается организация и видимость организации из внешнего мира (Угроза - это любое событие,которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Наличие угрозы не означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Видимость системы - это мера какинтереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе);
уязвимости организации к последствиям потенциальных инцидентов с безопасностью ( Рассматривают два фактора, определяющих уязвимость организации: последствия инцидента с безопасностью и учет политических или организационных последствий).
Анализ рисков обычно производится при помощи матрицыпрофиля риска, представленной в таблице. Периодически необходима (пере)оценка рисков для контроля эффективности деятельности в области безопасности и для учета изменений обстановки. Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. Суть мероприятий поуправлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
(пере)оценка (измерение) рисков;
выбор эффективных и экономичных средств (нейтрализация рисков).По отношению к выявленным рискам возможны следующие действия:
ликвидация риска (например, за счет устранения причины);
уменьшение риска (например, за счет использования дополнительных защитных средств);
принятие риска (и выработка плана действия в соответствующих условиях);
переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделитьна следующие этапы:
Выбор анализируемых объектов и уровня их детализации.
Выбор методологии оценки рисков.
Идентификация активов.
Анализ угроз и их последствий, выявление уязвимых мест в защите.
Оценка рисков.
Выбор защитных мер.
Реализация и проверка выбранных мер.
Оценка остаточного риска.
Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценкерисков. Этапы, предшествующие анализу угроз, можно считать подготовительными, т.к. они напрямую с рисками не связаны. Первый шаг в анализе угроз – их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла. Целесообразно выявлять не только сами угрозы, но и источники их возникновения – это поможет в выборе дополнительных средств защиты....
tracking img