Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности
Опубликовано: 23.10.2017На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.
Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.
Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.
Какие существуют виды возможных угроз в информационной среде?
Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:
физические источники; нецелесообразное пользование компьютерной сетью и Всемирной паутиной; утечка из закрытых источников; утечка техническими путями; несанкционированное вторжение; атака информационных активов; нарушение целостности модификации данных; чрезвычайные ситуации; правовые нарушения.Оценка и обработка рисков информационной безопасности
OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Для получения более подробной информации обращайтесь к нам:
22. Понятие рисков информационной безопасности. Оценка рисков.
Риск информационной безопасности – потенциальная возможность использования уязвимости актива или группы активов конкретной угрозой для причинения ущерба организации
23. Политики безопасности, их роль и сущность в организации.
Политика безопасности организации
Информационная безопасность -- это состояние защищённости информационной среды. Сама же защита информации представляет собой деятельность для предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
В то время, информационная безопасность организации -- состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
На данный момент для большинства организаций политика безопасности абсолютно необходима. В первую очередь она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и данных. На основе политики безопасности устанавливаются необходимые средства и процедуры для обеспечения безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.
Политика безопасности организации включает:
Базовую политику безопасности;
Специализированные политики безопасности;
Процедуру безопасности.
1.Под базовой политикой безопасностипонимается , как организация обрабатывает информацию, кто может получить к ней доступ и каким способом. Подход, реализуемый базовой политикой безопасности, дает возможность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика является основной для организации или предприятия.
2.Существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые из них предназначены для любой организации, другие -- специфичны для определенных окружений.
С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
* политики, затрагивающие значительное число пользователей;
* политики, связанные с конкретными техническими областями.
К специализированным политикам, затрагивающим значительное число пользователей, относятся:
* политика допустимого использования;
* политика удаленного доступа к ресурсам сети;
* политика защиты информации;
* политика защиты паролей и др.
Информационная безопасность и виды возможных угроз
Информационная безопасность – это защита информации от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб ее владельцу или пользователю.
Основные принципы информационной безопасности
1. Целостность данных - такое свойство, в соответствии с которым информация сохраняет свое содержание и структуру в процессе ее передачи и хранения. Создавать, уничтожать или изменять данные может только пользователь, имеющий право доступа.
2. Конфиденциальность — свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям
3. Доступность информации - это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой информации.
4. Достоверность – данный принцип выражается в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.
Задача обеспечения информационной безопасности подразумевает реализацию многоплановых и комплексных мер по предотвращению и отслеживанию несанкционированного доступа неавторизованных лиц, а также действий, предупреждающих неправомерное использование, повреждение, искажение, копирование, блокирование информации.
Вопросы информационной безопасности становятся первоочередными в тех случаях, когда выход из строя или возникновение ошибки в конкретной компьютерной системе могут привести к тяжелым последствиям.
НОУ ИНТУИТ | Лекция | Виды угроз информационной безопасности
Аннотация: В лекции приводятся виды угроз информационной безопасности, классификация источников угроз и защищаемой информации.
Виды угроз информационной безопасности и классификация источников угроз
Угрозы возникают из противоречий экономических интересов различных элементов, взаимодействующих как внутри, так и вне социально-экономической системы — в том числе и в информационной сфере. Они и определяют содержание и направления деятельности по обеспечению общей и информационной безопасности. Следует отметить, что анализ проблем экономической безопасности необходимо проводить, учитывая взаимосвязи экономических противоречий, угроз и потерь, к которым может приводить реализация угроз. Такой анализ приводит к следующей цепочке:
< источник угрозы (внешняя и/или внутренняя среда предприятия)>
<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>
<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>
< угроза (вид, величина, направление)>
<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>
<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.
Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на материальные объекты, программные средства или информацию, либо с последствиями (результатами) такого воздействия.