Kniga-Online.club
» » » » Олеся Фирсова - Экономическая безопасность предприятия

Олеся Фирсова - Экономическая безопасность предприятия

Читать бесплатно Олеся Фирсова - Экономическая безопасность предприятия. Жанр: Управление, подбор персонала издательство Литагент «МАБИВ»50b47336-5b4f-11e4-af45-002590591ed2, год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

Методология анализа рисков.

Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

– описание объекта и мер защиты;

– идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

– анализ угроз информационной безопасности;

– оценивание уязвимостей;

– оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

– оценивание рисков.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:

– показателей ценности ресурсов;

– вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);

– степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);

– существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.

Построение профиля защиты.

На этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рисунок 5).

Рисунок 5. Возможный алгоритм оценивания информационных рисков.

Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий.

Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.

Формирование организационной политики безопасности.

Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.

Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

– внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;

– определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Условия безопасного использования ИТ Предполагается, что система обеспечения безопасности объекта Заказчика, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.

Выделяются следующие виды условий безопасного использования ИТ:

– физические условия;

– условия для персонала;

– условия соединений.

Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.

Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.

Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.

Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Формулирование целей безопасности объекта.

В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности объекта Заказчика, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.

Определение функциональных требований безопасности.

Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.

На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.

Требования гарантии достигаемой защищенности.

Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии.

Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.

Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам.

Перейти на страницу:

Олеся Фирсова читать все книги автора по порядку

Олеся Фирсова - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Экономическая безопасность предприятия отзывы

Отзывы читателей о книге Экономическая безопасность предприятия, автор: Олеся Фирсова. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*