© Баранова Е.К.
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации. Защита информации Организационные меры Инженерно-технические меры Криптографические меры Федеральный закон РФ от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации " Программно-аппаратные меры Правовые меры
внутренний и внешний аудит, оценка риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты, руководства
организация пропускного режима; организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация ведения протоколов; контроль выполнения требований служебных инструкций; создание твердых копий важных с точки зрения утраты массивов данных и другие
Cobit 4.1 Уровни зрелости: 0 Несуществующий 1 Начальный/Повторяющийся эпизодически и бессистемно 2 Повторяющийся, но интуитивный 3 Определенный 4 Управляемый и измеряемый 5 Оптимизированный Обозначения: Текущее положение организации Средний показатель для отрасли Цель организации Описание уровней: 0 Процессы управления не применимы 1 Процессы используются разово или в отдельных случаях и не организованы 2 Процессы повторяются по образцу 3 Процессы документально оформлены и доведены до сведения заинтересованных лиц 4 Ведется мониторинг процессов в измеряемых показателях 5 Лучшие практики внедрены и автоматизированы
Измеряемый Анархия Фольклор Стандарты Оптимизируемый Руководство не занимается вопросами ИБ. Обеспечением ИБ сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задач На уровне руководства существует определенное понимание задач обеспечения ИБ. Существуют стихийно сложившиеся процедуры обеспечения ИБ, их полнота и эффективность не анализируется Руководство осознает задачи в области ИБ. Руководство заинтересовано в использовании стандартов в области ИБ, оформлении документации в соответствии с ними Имеется полный комплект документов в области ИБ. Действующие инструкции соблюдаются. Регулярно проводится внутренний аудит в области ИБ. Руководство уделяет должное внимание вопросам ИБ Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность, ставит оптимизационные задачи построения системы ЗИ Петренко С.А. Управление информационными рисками
процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации The Committee of Sponsoring Organizations of the Treadway Commission Управление рисками Управление рисками скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ
Предпроектная стадия Проектирование Создание Функционирование Прекращение функционирования Управление рисками
Применение модели PDCA к управлению рисками
Базовая оценка рисков Полная оценка рисков требованиями базового уровня защищенности не рассматривается ценность ресурсов не оценивается эффективность контрмер повышенные требования в области ИБ определение ценности ресурсов оценка угроз и уязвимостей выбор надлежащих контрмер, оценка их эффективности
+ минимальное количество ресурсов (материальных, временных, людских) - если принимать слишком высокий базовый уровень, то для ряда систем уровень обеспечения безопасности будет завышен ; если базовый уровень будет принят слишком низким, то для ряда систем уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения. ГОСТ Р ИСО/МЭК 13335-3-2007 Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий Базовая оценка рисков
+ для каждой системы будут определены соответствующие ей защитные меры; результаты проведения детального анализа могут быть использованы при управлении изменениями в системе обеспечения безопасности. - требуется значительное количество средств, времени, квалифицированного труда; существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, так как для проведения оценки всех систем потребуется значительное время. ГОСТ Р ИСО/МЭК 13335-3-2007 Детальная оценка рисков
BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ
17799-2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью
ГОСТ Р ИСО/МЭК 13335-1-2006 Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий Для определения ценности актива необходимо определить степень тяжести последствий от нарушения свойств безопасности. Затем найти интегрированную характеристику
Низкий Умеренный Высокий - если потеря конфиденциальности, целостности и/или доступности оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал - если потеря конфиденциальности, целостности и/или доступности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал если потеря конфиденциальности, целостности и/или доступности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал Материалы JetInfo
ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ
+
