Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
- Бұл бет үшін навигация:
- 2.4. Методика проверки организационных мер на соответствие положениям международного стандарта безопасности ISO 17799.
|
Очень низкая От 60 до 150 Низкая От 150 до 250 Средняя От 250 до 400 Высокая 400 и более Очень высокая Таблица 5. Степень уязвимости при количестве баллов. До 100 Низкая От 100 до 300 Средняя 300 и более Высокая Эта методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить показатели. Далее используя метод оценка рисков по трем факторам произведем расчет по формуле 3. В результате проделанной работы по оценки рисков мы получим качественные показатели. А при использовании оценки ущерба в случае реализации угроз конфиденциальности, целостности и доступности– мы сможем получить и некоторые количественные результаты. 2.4. Методика проверки организационных мер на соответствие положениям международного стандарта безопасности ISO 17799. Политика информационной безопасности компании является важнейшим 40 нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов [7]. Ниже приведены основные разделы стандарта ISO 17799: Политика безопасности Организационные меры по обеспечению безопасности Управление форумами по информационной безопасности Координация вопросов, связанных с информационной безопасностью Распределение ответственности за обеспечение безопасности Классификация и управление ресурсами Инвентаризация ресурсов Классификация ресурсов Безопасность персонала Безопасность при выборе и работе с персоналом Тренинги персонала по вопросам безопасности Реагирование на секьюрити инциденты и неисправности Физическая безопасность Управление коммуникациями и процессами Рабочие процедуры и ответственность Системное планирование Защита от злонамеренного программного обеспечения (вирусов, троянских коней) Управление внутренними ресурсами 41 Управление сетями Безопасность носителей данных Передача информации и программного обеспечения Контроль доступа Бизнес требования для контроля доступа Управление доступом пользователя Ответственность пользователей Контроль и управление удаленного (сетевого) доступа Контроль доступа в операционную систему Контроль и управление доступом к приложениям Мониторинг доступа и использования систем Разработка и техническая поддержка вычислительных систем Требования по безопасности систем Безопасность приложений Криптография Безопасность системных файлов Безопасность процессов разработки и поддержки Управление непрерывностью бизнеса Процесс управления непрерывного ведения бизнеса Непрерывность бизнеса и анализ воздействий Создание и внедрение плана непрерывного ведения бизнеса Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса Соответствие системы основным требованиям Соответствие требованиям законодательства Анализ соответствия политики безопасности Анализ соответствия техническим требованиям Анализ соответствия требованиям системного аудита После изучения русской редакции ISO 17799 был разработан вопросник, ответив на вопросы которого получаем подробный отчет о состоянии дел в существующей 42 политики безопасности организации. Алгоритм работы данного раздела поясним на следующем примере. При выборе раздела стандарта ―Политика безопасности. Организационные меры‖ пользователю предлагается ответить на следующий вопрос с вариантами ответов: Существует ли в компании разработанная политика информационной безопасности, все положения которой на практике внедрены в информационную систему? а) Да б) Нет в) Положения политики внедрены частично. После обработки ответа в таблицу базы данных записывается следующее: При ответе ―Нет‖ - ―Необходимо разработать и внедрить комплексную политику информационной безопасности‖. При ответе ― Положения политики внедрены частично‖- Необходимо добиться полного внедрения всех положений политики безопасности в информационную систему компании. При ответе на остальные вопросы происходят те же действия. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|