Министерство по развитию информационных технологий и коммуникаций республики узбекистан каршинский филиал ташкентского университета
Рис 1. Применение модели PDCA к процессам УРИБ
Download 0.91 Mb. Pdf ko'rish
|
УК Практика Введение в управление рисками ИБ 2022 готовая
- Bu sahifa navigatsiya:
- Внедрение (Внедрение и эксплуатация УРИБ) Внедрение и функционирование политик, методов, процессов и процедур УРИБ. Проверка (Мониторинг
- Действия (Поддержавание и совершенствование УРИБ)
Рис 1. Применение модели PDCA к процессам УРИБ
Планирование (Развитие УРИБ) Определение процессов и процедур, связанных с установлением политик и целей, управлением рисками и улучшением информационной безопасности для достижения результатов, заявленных в общих политиках и целях организации. 5 Внедрение (Внедрение и эксплуатация УРИБ) Внедрение и функционирование политик, методов, процессов и процедур УРИБ. Проверка (Мониторинг и анализ управления рисками ИБ) Оцените соответствие процессов политике и целям УРИБ и при необходимости измерьте их эффективность. Анализ результатов высшим руководством. Действия (Поддержавание и совершенствование УРИБ) Реализация корректирующих и предупреждающих действий на основе результатов внутренних аудитов УРИБ, анализа руководством или информации, полученной из других источников для постоянного улучшения. Количество компьютерных преступлений в сфере кредита и финансов постоянно растет. Например, до 25% мошеннических платежных операций зафиксировано в интернет-магазинах. Несмотря на это, в западных странах наблюдается активное развитие электронной коммерции, высокодоходного современного бизнеса. Известно, что доходы «виртуальных» мошенников будут расти параллельно с развитием этого направления. Мошенники уже не действуют в одиночку, они работают с хорошо подготовленными, хорошо оснащенными техническими и программными преступными группировками, с участием самих банковских служащих. По оценкам специалистов в области безопасности, доля таких преступников составляет 70%. «Виртуальный» вор зарабатывает намного больше, чем его коллега — обычный злоумышленник. Кроме того, «виртуальные» преступники действуют, не выходя из дома. Средний показатель ущерба от кражи с использованием электронных средств в 6-7 раз превышает среднестатистический ущерб от вооруженного ограбления банка только в США. В 1989 г. убытки в результате различных махинаций в сфере банковских услуг и финансовых операций составили 800 млн. долларов, в 1997 году - дошло до 100 млрд. доллара. Эти показатели растут, более того, они могут быть на порядок выше, чем данные, представленные выше. Потому что многие потери остаются незамеченными или незарегистрированными. Своеобразную «политику молчания» можно понять по нежеланию системных администраторов обсуждать подробности несанкционированного использования своей сети, опасаясь повторения этого неприятного события и не раскрывая свой метод защиты. Не лучше обстоят дела и в других областях человеческой деятельности, где используются компьютеры. Из года в год увеличивается количество обращений в правоохранительные органы по поводу компьютерных преступлений. Все эксперты признают, что вместе с распространением вирусов резко возросли внешние атаки. Видно, что ущерб, причиняемый компьютерными преступлениями, неуклонно растет. Но неверно утверждать, что 6 компьютерные преступления часто совершаются «виртуальными» мошенниками. В настоящее время угроза проникновения в компьютерные сети исходит от хакеров, взломщиков и компьютерных пиратов, у каждого из которых свои методы. Хакеры, в отличие от других компьютерных пиратов, иногда объявляют владельцам компьютеров, что намерены взломать их системы заранее, в целях хвастовства. Они сообщают о своих успехах на интернет-сайтах. В этом случае хакер не повреждает компьютеры, на которые он заходит с намерением конкурировать. Взломщики — это электронные «воры», специализирующиеся на взломе программ с целью получения прибыли. Для этого они используют готовые программы для взлома, которые распространяются через Интернет. Хакеры — это высококвалифицированные специалисты фирм и компаний, которые крадут информацию от имени фирм-конкурентов и даже иностранных спецслужб. Кроме того, они воруют деньги со счетов в иностранных банках. Некоторые «эксперты» образуют серьезную группу, потому что такой криминальный бизнес очень прибыльный. Это вскоре приведет к тому, что ущерб от «виртуальной» преступности будет на порядок (если не больше), чем ущерб от традиционного вида криминального бизнеса. В настоящее время нет эффективных способов нейтрализации такой угрозы. Ненадежный сотрудник доставляет столько же (если не больше) неприятностей, чем промышленный шпион. Более того, определить его наличие сложнее. Кроме того, ему приходится преодолевать не внешнюю защиту сети, а только внутреннюю защиту сети, которая обычно не очень строгая. Однако в этом случае риск его несанкционированного использования корпоративной информации выше, чем у любого другого злоумышленника. Перечисленные выше категории нарушителей информационной безопасности можно сгруппировать в соответствии с их квалификацией: любители (искатели приключений), эксперты (халявщики, недобросовестные работники), профессионалы (хакеры-профессионалы). Если причины нарушений безопасности и техническое вооружение каждой группы сопоставить с этими группами, то можно получить обобщенную модель нарушителя информационной безопасности (рис. 1.2). Хакер, обычно опытный профессионал, пытается узнать все о компьютерных системах и сетях, особенно о мерах их безопасности. Таким образом, модель разрушителя определяет: • категория лиц, которые могут быть нарушителями; • потенциальные цели злоумышленника и их ранжирование по степени важности и защищенности; • предположения о его квалификации; оценка его технического вооружения; • ограничения и предположения относительно его поведения. Спектр причин, побуждающих пользователей использовать систему без 7 разрешения, достаточно широк: от азарта игры с компьютером до чувства властности над надоедливым менеджером. Этим занимаются не только любители, но и профессиональные программисты. Они перехватывают пароли, угадывая, угадывая или передавая их другим хакерам. Некоторые из них не только просматривают файлы, но и интересуются их содержимым. Это серьезная угроза, ведь в этом случае будет сложно отличить безобидное действие от злого умысла. До недавнего времени менеджеры были обеспокоены тем, что недовольные сотрудники злоупотребляют своим положением, чтобы нарушить работу системы, позволить посторонним использовать ее или оставить систему без присмотра. Основания для принуждения к таким действиям следующие: - реакция на гнев или выговор со стороны руководителя; - недовольство тем, что компания не оплатила работу, выполненную в нерабочее время; - злонамеренный умысел, например месть, с целью ослабить фирму как конкурента какой-либо вновь созданной фирме. Недовольный сотрудник представляет собой одну из самых больших угроз для вычислительных систем командных пользователей. Вот почему антихакерское агентство оказывает услуги отдельным владельцам компьютеров. Профессиональные хакеры — это компьютерщики, которые очень хорошо разбираются в вычислительных и коммуникационных системах. Для входа в систему профессионалы не полагаются на удачу и догадки, а используют некую рутину и опыт. Их цель - определить и устранить защиту, Нарушитель ИБ Мотивы нарушения ИБ Техническая вооруженность Игровые действия в сети Реакция на выговор, неуплата за работу, злой умысел Домашний ПК в сети ПК в сети на работе + знание языков программирования Квалификация Любитель Специалист Профессионал Промышленный шпионаж,продажа информации ПК последнего поколения в сети + арсенал современного ПО Download 0.91 Mb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling