Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
| Основные определения
Безопасность (защищенность) информации в компьютерных системах (КС) - это такое состояние всех компонент КС, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. Компьютерные системы, в которых обеспечивается безопасность информации, называются защищенными [1]. Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности . Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности . Этот документ разрабатывается и принимается как официальный руководящий документ высшими органами управления организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в КС. В программах информационной безопасности содержатся также общие требования и принципы построения систем защиты информации в КС. Под системой защиты информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в КС в соответствии с принятой политикой безопасности. Угроза безопасности - потенциально возможное происшествие, которое может оказать воздействие на информацию в системе. Уязвимость - некая неудачная характеристика системы, которая делает возможным возникновение угрозы. Атака - действие по использованию уязвимости КС; атака - это реализация угрозы. Угроза конфиденциальности - угроза раскрытия информации. Угроза целостности - угроза изменения информации. 6 Угроза доступности - угроза нарушения работоспособности системы при доступе к информации. Ущерб - стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности. Риск - вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах. В сущности, для коммерческой организации задача безопасного функционирования информационной системы сводится к выработке правил и выбору защитных средств. Комбинация двух этих составляющих позволит обеспечить необходимый уровень безопасности, как для ценных ресурсов организации, так и для всей информационной системы обработки этих ресурсов. Другими словами задача защиты – это разработка эффективной политики безопасности (или правил безопасности). Чтобы меры политики безопасности по защите отвечали реальному состоянию дел необходимо знать - что, от кого и в какой степени нужно защищать. На сегодня существует только один процесс, способный в какой то мере дать ответы на поставленные вопросы, речь идет об анализе рисков. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|