Составители:
Рубрика:
423
Проведение анализа рисков и оценки потерь требуют глубоких системных
знаний и аналитического мышления во многих смежных областях зашиты ин-
формации. Без таких знаний невозможно будет впоследствии построить надеж-
ную систему информационной безопасности на выделенные средства в задан-
ные сроки.
По результатам работ на этапе анализа уязвимости должно быть подготов-
лено
экспертное заключение о защищенности информационных ресурсов на
объекте, включающее в себя:
модели каналов утечки информации и несанкционированного доступа;
методики определения вероятностей установления информационного кон-
такта для внешних нарушителей;
сценарии возможных действий нарушителя но каждому из видов угроз,
учитывающие модель нарушителя, возможности системы защиты информации
и технических средств разведки, а также
действия нарушителя после ознаком-
ления с информацией, ее искажения или уничтожения.
Руководство предприятия или организации, как правило, ожидает точной
количественной оценки защищенности информационных ресурсов на объекте.
Не всегда удается получить такие оценки, однако можно вычленить наиболее
уязвимые участки и сделать прогноз о возможных проявлениях описанных в
отчете угроз.
9.3. Защита
информационных ресурсов
Предпринимаемые меры защиты должны быть адекватны вероятности осу-
ществления данного типа угрозы и потенциальному ущербу, который может
быть нанесен в том случае, если угроза осуществится (включая затраты на за-
щиту от нее).
Необходимо иметь в виду, что многие меры защиты требуют достаточно
больших вычислительных ресурсов, что в
свою очередь существенно влияет на
процесс обработки информации. В связи с этим современный подход к реше-
нию этой проблемы заключается в применении в АСУ принципов ситуацион-
ного управления защищенностью информационных ресурсов .
Суть такого подхода заключается в том, что требуемый уровень безопасно-
сти информации устанавливается в соответствии с ситуацией, определяющей
соотношение
между ценностью перерабатываемой информации, затратами
(снижением производительности АСУ, дополнительным расходом оперативной
памяти и др.), которые необходимы для достижения этого уровня, и возмож-
ными суммарными потерями (материальными, моральными и др.) от искажения
и несанкционированного использования информации.
Необходимые характеристики защиты информационных ресурсов опреде-
ляются в ходе ситуационного планирования при непосредственной подготовке
технологического
процесса защищенной обработки информации с учетом сло-
жившейся ситуации, а также (в сокращенном объеме) во время процесса обра-
Страницы
- « первая
- ‹ предыдущая
- …
- 410
- 411
- 412
- 413
- 414
- …
- следующая ›
- последняя »
