Информационная безопасность / Derbin - Obespecheniye informatsiooonoy bezopasnosti 2013
.pdf9.4.4.ПОСЛЕДОВАТЕЛЬНОСТЬ АНАЛИЗА СИТУАЦИЙ
ВПРОЦЕССЕ ЗАЩИТЫ ИНФОРМАЦИИ
ДФ – дестабилизирующий |
фактор |
Событие №1 – защита информации обеспечена, поскольку даже при условии проявления дестабилизирующих факторов предотвращено их воздействие на защищаемую информацию или ликвидированы последствия такого воздействия
Событие №2 - защита информации нарушена, поскольку не удалось предотвратить воздействие дестабилизирующих факторов на информацию, однако это воздействие локализовано
Событие №3 - защита информации разрушена, поскольку воздействие дестабилизирующих факторов на информацию не только не предотвращено, но даже не
локализовано
201
9.4.5. АНАЛИТИЧЕСКАЯ МОДЕЛЬ ИСХОДОВ ПРИ ОСУЩЕСТВЛЕНИИ ФУНКЦИЙ ЗАЩИТЫ ИНФОРМАЦИИ
ДФ – дестабилизирующий фактор |
203 |
|
Глава 10.
ОЦЕНКА РИСКОВ ДЛЯ ПРИНЯТИЯ ОРГАНИЗАЦИОННЫХ МЕР В ИНТЕРЕСАХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
10.1.Содержание понятия «риски» и технологии их анализа в интересах защиты информации.
10.2.Понятие качественной и количественной оценки рисков, шкалы и критерии измерения.
10.3.Комплексная оценка рисков безопасности и ее основные этапы.
10.4.Критерии оценки уровня информационной безопасности предприятия.
10.5.Оценка текущего состояния информационной безопасности компании.
Литература:
1.Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность/Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.
2.ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч.1. Концепция и модели менеджмента безопасности ИТК технологий.
3.ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Ч.1. Введение и общая модель
205
Оглавление
10.1.СОДЕРЖАНИЕ ПОНЯТИЯ «РИСКИ» И ТЕХНОЛОГИИ ИХ АНАЛИЗА В ИНТЕРЕСАХ ЗАЩИТЫ ИНФОРМАЦИИ
10.1.1.ИНФОРМАЦИОННЫЕ РИСКИ И ЦЕЛЬ ИХ АНАЛИЗА
ПРОБЛЕМА: ФИНАНСИРОВАНИЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ОСТАТОЧНОМУ ПРИНЦИПУ
Непонимание руководством |
|
Неумение специалистов по безопасности |
|||||||
|
убеждать руководство вкладывать в инфор- |
||||||||
необходимости должного |
|
||||||||
|
мационную безопасность соответствующие |
||||||||
уровня инвестиций |
|
|
|||||||
|
|
|
|
средства |
|||||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
НАПРАВЛЕННОСТЬ УБЕЖДЕНИЯ РУКОВОДСТВА |
|
|
||||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Анализ информационных |
|
Убеждение о необходимости |
|
|||||
|
|
|
рисков и его |
|
|
||||
|
|
|
|
соответствовать тому или иному |
|
||||
|
представление для доклада |
|
|
||||||
|
|
нормативному акту |
|
||||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Оценка того, какие |
|
Способ |
|
Обоснование содержания |
угрозы и через какие |
|
обоснования |
|
проекта системы обеспечения |
уязвимости могут быть |
|
инвестиций |
|
информационной |
реализованы |
|
(затрат) |
|
безопасности |
|
|
|
|
|
|
|
|
|
|
Риск – это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации
ИНФОРМАЦИОННЫЙ РИСК ЗАВИСИТ
от стоимости информации |
от защищенности информационной системы |
206
10.1.3. ВЗАИМОСВЯЗЬ ЗАЩИТНЫХ МЕР И РИСКА
Возможности снижения уровня риска применением защитных мер:
избегать риска;
уступить риск (путем страховки и пр.);
снизить уровень угроз;
снизить степень уязвимости системы ИТ;
снизить возможность воздействия нежелательных событий;
отслеживать появление нежелательных событий, реагировать на их появление и устранять их последствия
ГОСТ Р ИСО/МЭК 13335-1- 2006
208