Создания политики безопасности организации Выполнил: Мозалевский Арсений Группа 12171
Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности : определение какие данные и насколько серьезно необходимо защищать, определение кто и какой ущерб может нанести фирме в информационном аспекте, вычисление рисков и определение схемы уменьшения их до приемлимой величины.
Системы оценки информационной безопасности на предприятии Исследование с низу вверх Исследование сверху в низ
«Сверху вниз» Метод "сверху вниз" представляет собой детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
«Снизу вверх» Метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы – злоумышленник. Ваши действия ? ". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
«Вычисление рисков» Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков.
«Ущерб от атаки» Ущерб от атаки может быть представлен неотрицательным числом « 0» -Раскрытие ифнормации принесет ничтожный моральный и финансовый ущерб фирме. « 1» - Ущерб от атки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты « 2» - Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
« 3» - Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов « 4» - Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. « 5» - Фирма прекращает существование
«Вероятность атаки» Вероятность атаки представляется неотрицательным числом: « 0» - Данный вид атаки отсутствует « 1» - реже, чем раз в год « 2» - около 1 раза в год « 3» - около 1 раза в месяц « 4» - около 1 раза в неделю « 5» - практически ежедневно
«Таблица рисков» Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :
«Анализ таблицы рисков» На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких огрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
«Разработка политики безопасности» Далее производится разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
«Экономическая стоимость программы» После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлимыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.
Скачать презентацию Создания политики безопасности организации Выполнил Мозалевский Арсений Группа
Создания политики безопасности организации.pptx