Составители:
Рубрика:
172
Многие активы представлены в виде информации, которая хранится,
обрабатывается и передается модулями ИИС таким образом, чтобы удов-
летворить требования владельцев этой информации. Владельцы информа-
ции вправе требовать, чтобы распространение и модификация таких пред-
ставлений информации (данных) строго контролировались. Они могут за-
просить, чтобы модули ИИС реализовали специальные средства контроля
для
противостояния угрозам, данным как часть всей совокупности контр-
мер безопасности.
Возможные угрозы, каналы утечки информации и перечень меро-
приятий по их устранению и ограничению рассматриваются как элементы
в контексте понятия «Среда информационной безопасности».
Среда информационной безопасности (СИБ) включает все законы,
политики безопасности организаций, опыт, специальные навыки и знания,
для которых решено
, что они имеют отношение к безопасности. СИБ
включает также угрозы безопасности, присутствие которых в этой среде
установлено или предполагается.
При установлении СИБ необходимо принять во внимание:
• физическую среду СИБ в той ее части, которая определяет все аспекты
эксплуатационной среды СИБ, касающиеся его безопасности, включая
известные мероприятия, относящиеся к физической
защите и персона-
лу;
• активы, которые требуют защиты СИБ и к которым применяются тре-
бования или политики безопасности; они могут включать активы, к ко-
торым это относится непосредственно, типа файлов и баз данных, а
также активы, которые косвенно подчинены требованиям безопасности;
• предназначение СИБ, включая типы продуктов и предполагаемую сфе
-
ру их применения.
На основании исследования политик безопасности, угроз и рисков
следует сформировать материалы, относящиеся к безопасности информа-
ции:
• изложение предположений, которым должна удовлетворять СИБ для
того, чтобы она считалась безопасной;
• изложение угроз безопасности активов, в котором были бы идентифи-
цированы все угрозы, прогнозируемые на основе анализа безопасности
как относящиеся к СИБ. В ГОСТ Р ИСО/МЭК 15408. Угрозы раскры-
ваются через понятия источника угрозы, предполагаемого метода напа-
дения, любых уязвимостей, которые являются предпосылкой для напа-
дения, и идентификации активов, которые являются целью нападения.
При оценке рисков безопасности будет квалифицирована каждая угроза
безопасности с оценкой возможности ее перерастания в фактическое
Страницы
- « первая
- ‹ предыдущая
- …
- 171
- 172
- 173
- 174
- 175
- …
- следующая ›
- последняя »
