ВУЗ:
Составители:
ния, изменения или потери. Безопасность ИТ предназначена, чтобы предотвратить или
уменьшить эти и подобные опасности.
Анализ возможных угроз и анализ рисков помогает выбору мер безопасности, кото-
рые должны быть осуществлены, чтобы уменьшить риск до приемлемого уровня. Эти
меры безопасности можно обеспечить через соответствующие комбинации ИТ, реали-
зующих функции системы, и/или через внешние меры.
Понятие «защищенности» принципиально не отличается от любых других свойств
технической системы и является для системы априорно заданным. Особенностью поня-
тия «защищенность» является его тесная связь с понятиями «злоумышленник» или «уг-
розы» (понятие, обезличивающее причину вывода системы из защищенного состояния
злоумышленником).
При рассмотрении понятия «злоумышленник» практически всегда выделяется объ-
ект его воздействия – часть системы, на которую направлены те или иные его действия.
Обычно выделяют три компоненты, связанные с нарушением безопасности систе-
мы:
• злоумышленник – внешний по отношению к системе источник нарушения свойства
безопасности;
• объект атаки – часть, принадлежащая системе, на которую направлены те или
иные воздействия «злоумышленника»;
• канал воздействия – среда переноса злоумышленного воздействия.
5.1. ПОНЯТИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
Интегральной характеристикой защищаемой системы является политика безопасно-
сти – качественное (или количественно-качественное) выражение свойств защищенности
в терминах, представляющих систему.
Наиболее часто рассматриваются политики безопасности, связанные с понятием
«доступ». Доступ – категория субъективно-объективной политики, описывающая про-
цесс выполнения операций субъектов над объектами.
Политика безопасности включает:
• множество операций субъектов над объектами;
• для каждой пары «субъект – объект» (S
i
,O
i
) множество разрешенных операций, из
множества возможных операций.
Политика безопасности строится на основе анализа рисков, которые признаются ре-
альными для информационной системы организации. Когда риски проанализированы и
стратегия защиты определена, составляется программа обеспечения информационной
безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, оп-
ределяется порядок контроля выполнения программы и т.п.
5.1.1. АНАЛИЗ РИСКА
В настоящее время инвестиции в информационную безопасность могут рассматри-
ваться как инвестиции для увеличения прибыли путем уменьшения административных
затрат на ее поддержание или для защиты от потери прибыли путем предотвращения по-
тенциальных затрат в случае негативных последствий. При этом стоимость средств обес-
печения безопасности должна соответствовать риску и прибыли для той среды, в которой
работает организация.
Риск – это ситуация, когда угроза использует уязвимое место для нанесения вреда
вашей системе. Политика безопасности обеспечивает основу для внедрения средств
обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие
уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безо-
пасности для защиты соединений с глобальными сетями, нужно выполнить тот или иной
анализ риска для оценки требуемой жесткости политики, который определит необходи-
мые затраты на средства обеспечения безопасности для выполнения требований полити-
ки. То, насколько жесткой будет политика, зависит от:
− уровня угроз, которым подвергается организация и видимость организации из
внешнего мира;
− уязвимости организации к последствиям потенциальных инцидентов с безопас-
ностью;
− государственных законов и требований вышестоящих организаций, которые мо-
гут явно определять необходимость проведения того или иного вида анализа риска или
диктовать применение конкретных средств обеспечения безопасности для конкретных
систем, приложений или видов информации.
Отметим, что здесь не учитывается ценность информации или последствия инци-
дентов с безопасностью. В прошлом такие оценки стоимости требовались как составная
часть формального анализа риска в попытке осуществить оценку затрат на безопасность.
Страницы
- « первая
- ‹ предыдущая
- …
- 40
- 41
- 42
- 43
- 44
- …
- следующая ›
- последняя »
