Причины возникновения уязвимости информации. Классификация и характеристика уязвимостей. Модель уязвимостей
Уязвимость (информационной системы)- Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Причины возникновения уязвимостей.
- отсутствие гарантии конфиденциальности и целостности передаваемых данных;
- недостаточная реализация политики безопасности;
- отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, Системы обнаружения вторжений);
- уязвимости используемых операционных систем;
- непрофессиональное и слабое администрирование систем;
Классификация:
Сетевые уязвимости:
· уязвимости сетевых протоколов;
· уязвимости уровня операционной системы;
· уязвимости конкретных СУБД ;
· уязвимости программного обеспечения.
· уязвимость со стороны персонала
Кадровые:
5. Недостаточное обучение
6. неосведомленность персонала
7. немотивированность персонала
8. отсутствие мониторинга
Физической безопасности:
4. небрежное использование механизмов физического контроля доступа
5. отсутствие дверей/окон и пр.
6. Подверженность оборудования затоплению/температурам/пыли/перепадам напряжения
Управление коммуникациями и операциями:
6. Сложный интерфейс, приводящий к ошибкам при использовании
7. Плохой контроль изменений
8. Плохое управление сетью
9. отсутствие резервного копирования
10. Отсутствие обновлений ПО
Рис. Модель уязвимостей
|
|
|
Система менеджмента информационной безопасности организации на основе цикла Деминга -Шухарта: цели управления, задачи, последовательность процессов и разрабатываемые документы управления.
Ответ: См. ГОСТ Р ИСО/МЭК 27001-2006.
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Задачами организации является:
1. разработка,
2. внедрение,
3. обеспечение функционирования,
4. мониторинг,
5. анализ,
6. поддержка и непрерывное улучшение СМИБ
| Планирование PLAN (разработка СМИБ) | Разработка политики, установление целей, процессов и процедур СМИБ |
| Осуществление Do (внедрение и обеспечение функционирования СМИБ) | Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ |
| Проверка Check (проведение мониторинга и анализа СМИБ) | Оценка безопасности функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа |
| Действие Act (поддержка и улучшение СМИБ) | Проведение корректирующих и превентивных действий в целях достижения непрерывного улучшения СМИБ |
|
|
|
Менеджмент рисков информационной безопасности.
Можно выделить три группы возможных целей создания СМИБ по уровню возрастания сложности решаемых задач:
1. Провести высокоуровневую оценку рисков информационной безопасности и предложить адекватные рискам меры и средства управления системы менеджмента информационной безопасности (СМИБ).
2. Повысить эффективность СМИБ организации за счет обоснования адекватных рискам мер контроля и управления.
3. Повысить эффективность бизнеса за счёт совершенствования системы управления СМИБ и снижения ущерба от реализации возможных угроз информационной безопасности.
При моделировании рисков информационной безопасности возможно решение следующих двух групп задач: a) Обоснование системы информационной безопасности на основе упорядочивании и классификации рисков по степени их опасности: 1. R = {ri}, где ri ≥ ri+1 ≥ ri+2 ≥ … ≥ rn . 2. ∀ri, (ri ∈ R) → (ri ∈ K1) ∪ (ri ∈ K2) ∪ (ri ∈ K3) …, где K1, К2, К3 – классы опасности риска. 3. ∀ri, (ri ∈ R) → (ri ∈ v1) ∪ (ri ∈ v2) ∪ (ri ∈ v3)∪ (ri ∈ v4), где v1, v2, v3, v4– способы обработки рисков (снижение, сохранение, предотвращение или перенос риска).
b) Обоснование системы информационной безопасности на основе экономических оценок рисков.
Задание 4 (10 баллов)
Дата добавления: 2019-09-13; просмотров: 2382; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!