ВУЗ:
Составители:
Рубрика:
115
Понятно, что на данном уровне определяются конкретные цели, частные
критерии и показатели информационной безопасности, определяются права
конкретных групп пользователей, формулируются соответствующие условия
доступа к информации и т. п. Здесь из конкретных целей выводятся (обычно
формальные) правила безопасности, описывающие, кто, что и при каких
условиях может делать или не может. Более детальные и формальные правила
упростят внедрение системы и настройку средств ОБИ.
На этом уровне описываются механизмы защиты информации и
используемые программно-технические средства для их реализации (в рамках,
конечно, управленческого уровня, но не технического).
За политику безопасности нижнего уровня отвечают системные
администраторы.
В рамках разработки политики безопасности проводится анализ рисков
(risk analysis). Это делается с целью минимизации затрат на ОБИ. Напомним,
что основной принцип безопасности – затраты на средства защиты не должны
превышать стоимости защищаемых объектов. При этом если политика
безопасности оформляется в виде высокоуровневого документа, описывающего
общую стратегию, то анализ рисков (как приложение) оформляется в виде
списка активов, нуждающихся в защите. Рассмотрим этап анализа риска
подробнее.
3.2. Проведение анализа риска
Использование АС связано с определенной совокупностью рисков, под
которыми понимаются стоимостные выражения событий (обычно
вероятностных), ведущих к потерям. Если риск не приемлем, то необходимо
предпринять защитные меры, не превышающие по стоимости возможный
ущерб.
Анализ риска, главным образом, необходим для следующего:
Страницы
- « первая
- ‹ предыдущая
- …
- 113
- 114
- 115
- 116
- 117
- …
- следующая ›
- последняя »
