Характеристика концепция безопасности и взаимосвязи
Принципы безопасности
Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие:
Управление информационными рисками
Обязательства
Служебные обязанности и ответственность
Цели, стратегия и политика
Управления жизненным циклом
Управление информационными рисками – активы должны быть защищены путем принятия соответствующих мер.
Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками.
Методология управления рисками исходя из активов организации угроз уязвимостей и различных воздействий угроз устанавливает допустимые риски и учитывает существующие ограничения.
Менеджмент риска – полный процесс идентификации контроля устранения или уменьшения последствий опасных событий которые могут оказать влияние на ресурсы ИТТ.
Риск – потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Обязательства – для формирования обязательств следует разъяснить премущества от реализации безопасности.
Служебная обязанность и ответственность – руководство организации несет ответственность за обеспечение безопасности активов.
Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала.
Политика.
Управление жизненным циклом – управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства.
Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту.
Невозможно разработать и поддерживать успешную программу по безопасности если не идентифицированы активы организации.
Во многих случаях процесс идентифмикации активов и установления ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длит ельной процедуры.
Степень детализации данной процедуры должны определяться отношением величины временных и финансовых затрат к ценности активов.
Во всех случаях степень детализации.
Активы –
Материальные активы и еще пять видов активов нада вставить из ПРЕЗЕНТАЦИИ
Угрозы – потенциальные причины инцддента.
Угрозы наносят ущерб активам и следовательно организации в целом.
Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушени раскрытию модификации порче недоступности или потере.
Ущерб активам может быть нанесен при наличии уязвимости.
Стандарт 51898-2002
Атака – действия, направленные на реализацию угроз НСД к информации воздействия на нее или на ресурсы автоматизированной системы с применением программных или технических средств.
Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.
Уязвимость – слабость одного или нескольких активов.