Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Безопасность оборудования.
- Операционные процедуры и ответственность.
- Соответствие требованиям законодательства.
- Соответствие политикам и стандартам ИБ, а также техническое соответствие.
- Соображения относительно аудита ИБ ИС.
|
Защищенные области. Цель: предотвратить несанкционированный физический доступ, повреждение и вскрытие помещений организации и информации. Критичные или конфиденциальные средства обработки информации должны размещаться в защищенных областях, быть защищены четко определенными периметрами безопасности, оснащенными соответствующими барьерами безопасности и средствами контроля доступа. С этой целью связаны следующие угрозы ИБ, приводящие к физическому ущербу для организации:
пожар; бомбардировка; землетрясение; загрязнение окружающей среды (и другие формы катастроф, стихийных или вызванных действиями людей); затопление; ураган; забастовка; вторжение; кража; несанкционированный физический доступ; умышленное причинение вреда. Безопасность оборудования. Цель: предотвратить потери, ущерб, кражу или компрометацию активов и прерывание деятельности организации. Оборудование должно быть защищено от физических угроз и угроз окружающей среды. С этой целью связаны следующие угрозы ИБ: запыление; сбой системы кондиционирования воздуха; бомбардировка; компрометация ресурсов; загрязнение окружающей среды (и другие формы катастроф, природных или вызванных действиями людей); перехват информации; отказ поддерживающей инфраструктуры (такой как электричество, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха); пожар; затопление; сбой оборудования; утечка информации; вторжение; радиопомехи; прерывание деятельности; молния; ошибка в процессе сопровождения; сбой функционирования поддерживающей инфраструктуры; вредоносный код; флуктуация в системе электропитания; кража; несанкционированный физический доступ; ошибка пользователя; вандализм; умышленное причинение ущерба. П1.2. Управление коммуникациями и операциями Операционные процедуры и ответственность. Цель: обеспечить корректное и безопасное функционирование средств обработки информации. Должны быть установлены ответственность и процедуры управления и эксплуатации всех средств обработки информации. С этой целью связаны следующие угрозы ИБ: раскрытие информации; мошенничество; внедрение несанкционированного или не протестированного кода; вредоносный код; присвоение идентификатора другого пользователя; злоупотребление ресурсами или активами; ошибка персонала технической поддержки; сбой ПО; злоупотребление системой (случайное или преднамеренное); сбой системы; кража; несанкционированный доступ; несанкционированная или непреднамеренная модификация; неудачные изменения; использование ПО неавторизованными пользователями; использование ПО несанкционированным образом; ошибка пользователя; умышленное причинение вреда. П1.3. АСПЕКТЫ ИБ В УПРАВЛЕНИИ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА Цель: противодействовать прерываниям бизнес-деятельности и защищать критичные бизнес-процессы от влияния крупных сбоев ИС или катастроф, а также обеспечивать их своевременное возобновление. Для минимизации ущерба организации и восстановления после потери информационных ресурсов должен быть реализован процесс управления непрерывностью бизнеса. С этой целью связаны следующие угрозы ИБ: акты терроризма; катастрофы (природные или вызванные действиями людей); нарушение непрерывности бизнеса; планы; пожар; ошибки; сбой оборудования; инциденты информационной безопасности; прерывание бизнес деятельности и процессов; невыполненное обслуживание; сбой системы безопасности; системный сбой; кража; недоступность. П1.4. Соответствие Соответствие требованиям законодательства. Цель: избежать нарушения любого законодательства, нормативной базы и контрактных обязательств, а также любых требований ИБ. Проектирование, эксплуатация, использование и управление ИС может попадать под действие законодательных, нормативных и контрактных требований ИБ. С этой целью связаны следующие угрозы ИБ: нарушение контрактных обязательств; нарушение законодательства или нормативной базы; уничтожение записей; повреждение носителей информации; фальсификация записей; нелегальный импорт/экспорт ПО; нелегальное использование ПО; потеря документов; злоупотребление средствами обработки информации; несанкционированный доступ; несанкционированное использование материалов, являющихся интеллектуальной собственностью; несанкционированное использование ПО; использование сетевого оборудования несанкционированным образом; нарушение прав интеллектуальной собственности. Соответствие политикам и стандартам ИБ, а также техническое соответствие. Цель: обеспечить соответствие систем политикам и стандартам ИБ организации. Безопасность ИС должна регулярно проверяться. С этой целью связаны следующие угрозы ИБ: взлом защиты; ущерб, наносимый тестами на проникновение; сбой средств связи; злоупотребление ресурсами; доступ к сети неавторизованных лиц; кража; несанкционированный доступ; нелегальный импорт/экспорт ПО; нелегальное использование ПО; вредоносный код; несанкционированное использование ПО; использование сетевого оборудования несанкционированным образом; умышленное причинение ущерба. Соображения относительно аудита ИБ ИС. Цель: максимизировать эффективность и минимизировать вмешательство в/из процесса аудита ИБ ИС. Должны существовать механизмы контроля для защиты действующих систем и средств аудита при проведении аудита ИБ ИС. С этой целью связаны следующие угрозы ИБ: ущерб, причиняемый действиями третьей стороны; раскрытие паролей; прерывание бизнес процессов; вмешательство в/из процесса аудита; нарушение целостности; злоупотребление средствами аудита; несанкционированный доступ к журналам аудита; несанкционированный доступ к средствам аудита; несанкционированная модификация журналов аудита. Другая возможная классификация угроз ИБ приведена ниже. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|