Минимальные требования информационной безопасности
Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности.
Политика информационной безопасности - комплекс документов, отражающих все основные требования к обеспечению защиты информации и направления работы предприятия в этой сфере. При построении политики безопасности можно условно выделить три ее основных уровня: верхний, средний и нижний.
Разработка политики безопасности предполагает осуществление ряда предварительных шагов:
• оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия в целом или отдельные направления его деятельности;
• анализ потенциально уязвимых информационных объектов;
• выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе.
У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские(вызванные действиями пользователей и администраторов).
|
|
При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
· дата и время события;
· уникальный идентификатор пользователя– инициатора действия;
· тип события;
· результат действия(успех или неудача);
· источник запроса(например, имя терминала);
· имена затронутых объектов(например, открываемых или удаляемых файлов);
· описание изменений, внесенных в базы данных защиты(например, новая метка безопасности объекта).
Характерная особенность протоколирования и аудита –зависимость от других средств безопасности.
Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.
Несанкционированный доступ - это чтение, изменение или разрушение информации при отсутствии на это соответствующих полномочий.
Для защиты информации от несанкционированного доступа применяются:
1.Организационные мероприятия. 2.Технические средства. 3.Программные средства.
|
|
· Еще одно важное понятие, фигурирующее в "Оранжевой книге", –выборочное протоколирование, как в отношении пользователей(внимательно следить только за подозрительными), так и в отношении событий.
Современные методы проведения экспертизы для решения профессиональных задач путем мозговой атаки.
Мозговая атака – коллективный метод поиска новых технических идей и решений. Была предложена американским психологом А. Осборном 1939 г.
Коллективная генерация идей
Отбирается группа (эффективное число участников 5-12 чел.) для генерации идей, вводится правило, не критиковать любую идею, какой бы абсурдной она не казалась. Ставиться задача получения максимального количества идей, обстановка должна быть непринужденной, люди раскованы.
При проведении сеанса мозговой атаки наблюдается цепная реакция идей, приводящая к «интеллектуальному взрыву». За 15-30 минут генерируется 50-150 идей, в то время как при индивидуальной работе только 10-20, однако полная продолжительность штурма составляет около 1,5 – 2 часов.
Применяется в решении технических проблем, деловом совещании, при планировании военных операций, в уголовном розыске и тд.)
Достоинства – поощряется творческое мышление, генерирование идей проходит в комфортной атмосфере)
Недостатки – так как позволены любые идеи, даже фантастические, участники могут уйти от поставленной задачи, также в потоке разнообразных предложений бывает трудно найти подходящую идею и тд.
Дата добавления: 2018-06-01; просмотров: 3105; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!