Составители:
Рубрика:
200
- уклонение от риска (от некоторых классов рисков можно уклониться; например,
вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска
несанкционированного доступа в локальную сеть со стороны Web-клиентов);
- изменение характера риска (можно принять некоторые меры, например страхование
отдельных рисков);
- принятие риска (не все риски могут быть уменьшены до
пренебрежимо малой
величины). Возможна ситуация, когда для уменьшения риска не существует эффективных и
приемлемых по цене мер. В этом случае приходится поднимать планку приемлемого риска и
переносить центр тяжести на смягчение последствий и выработку планов восстановления
после аварий, стихийных бедствий и иных происшествий.
На практике, после принятия стандартного набора контрмер, ряд
рисков уменьшается,
но остается все еще значимым. Необходимо знать остаточную величину риска. Если какие-
либо риски оказались недопустимо высокими, необходимо реализовать дополнительные
защитные меры.
Проведение анализа рисков и оценки потерь требует глубоких системных знаний и
аналитического мышления во многих смежных областях зашиты информации. Без таких
знаний невозможно будет впоследствии построить
надежную систему информационной
безопасности на выделенные средства и в заданные сроки.
По результатам работ на этапе анализа уязвимости должно быть подготовлено
экспертное заключение о защищенности информационных ресурсов на объекте,
включающее в себя:
- модели каналов утечки информации и несанкционированного доступа;
- методики определения вероятностей установления информационного контакта для
внешних нарушителей;
- сценарии
возможных действий нарушителя по каждому из видов угроз,
учитывающие модель нарушителя, возможности системы защиты информации и
технических средств разведки, а также действия нарушителя после ознакомления с
информацией, ее искажения или уничтожения.
Руководство предприятия или организации, как правило, ожидает точной
количественной оценки защищенности информационных ресурсов на объекте. Не всегда
удается получить такие
оценки, однако можно вычленить наиболее уязвимые участки и
сделать прогноз о возможных проявлениях описанных в отчете угроз.
8.5. Защита информационных ресурсов и повышение информационной безопасности
Предпринимаемые меры защиты должны быть адекватны вероятности осуществления
данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае,
если угроза осуществится (включая
затраты на защиту от нее). Необходимо иметь в виду, что
многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою
очередь существенно влияет на процесс обработки информации. Поэтому современный
подход к решению этой проблемы заключается в применении в АСУ принципов
ситуационного управления защищенностью информационных ресурсов. Суть такого подхода
заключается
в том, что требуемый уровень безопасности информации устанавливается в
соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой
информации, затратами (снижением производительности АСУ, дополнительным расходом
оперативной памяти и др.), которые необходимы для достижения этого уровня, и
возможными суммарными потерями (материальными, моральными и др.) от искажения и
несанкционированного использования информации.
Необходимые характеристики защиты
информационных ресурсов определяются в
ходе ситуационного планирования при непосредственной подготовке технологического
процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в
сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится
Страницы
- « первая
- ‹ предыдущая
- …
- 198
- 199
- 200
- 201
- 202
- …
- следующая ›
- последняя »
