Информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающие ее информирование, использование и развитие в интересах граждан, организаций, государств.
Электронный документооборот более безопасный и дешевле на 70%
Информационный ресурс не изнашивается. Ресурс многократного использования.
Обладает актуальностью.
Актуальность зависит от времени и от объекта.
Модель нарушителя. Необходима для составления схемы безопасности.
Защищаемая информация должна быть дешевле на 1 руб чем средства потраченные на ее доступ (правило не работает с государством).
Доступность - это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Целостность - гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений. Целостность информации условно подразделяется на статическую и динамическую.
|
|
Конфиденциальность - гарантия доступности конкретно информации только тому кругу лиц, для кого она предназначена.
Вначале создается модель нарушителя (модель угроз).
Затем модель рисков. В ней определяются те риски, на которые мы не обращаем внимание.
Создается модель безопасности информационной и физической защиты.
На базе двух этих моделей создается организационная модель.
ISO /IEC 27001 система управления информационной безопасностью
ISO /IEC 27002 стандарт правил по управлению защиты информации
ISO /IEC 27004 стандарт для измерений в области управления информационной безопасности (контроль)
ISO /IEC 27005 стандарт на риски
ISO /IEC 27006 руководство по процессу сертификации
ISO /IEC 27799 руководство по защите персональных данных
Анализ рисков имеет 4 основные цели:
1. Индификация активов и их ценности для компании
2. Индификация угроз и уязвимостей
3. Количественная оценка вероятности и влияние на бизнес этих потенциальных угроз
4. Обеспечение экономического баланса между ущербом от воздействия угроз и стоимости контрмер
Владелец рисков - собственник
При определение ценности актива учитываются
· затраты на получение и разработку актива
· Затраты на поддержку и защиту актива
· Цена актива для владельца и пользователя
· Ценность актива для злоумышленника (конкурентов)
· Ценность интеллектуальной собственности, использованной при разработке актива
· Цена, которую другие готовы заплатить за актив
· Затраты на замену актива при утрате
· Операционная и производительная деятельность которая зависит от доступа к активу
· Ответственность в случае компрометации актива
· Польза и роль актива в компании