Политика безопасности

Политика безопасности

Содержание

Определение политики безопасности

Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

  • от конкретной технологии обработки информации;
  • от используемых технических и программных средств;
  • от расположения организации;


Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы

Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Величина ущерба Описание
0 Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1 Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2 Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
3 Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4 Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5 Фирма прекращает существование

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

Вероятность Средняя частота появления
0 Данный вид атаки отсутствует
1 реже, чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Риск предприятия

Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :

Описание атаки Ущерб Вероятность Риск (=Ущерб*Вероятность)
Спам (переполнение почтового ящика) 1 4 4
Копирование жесткого диска из центрального офиса 3 1 3
2
Итого :  9

На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.


Источники

  • ГОСТ Р ИСО/МЭК 15408
  • [1]

См. также

Внешние ссылки

Примеры политики безопасности


Wikimedia Foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Полезное


Смотреть что такое "Политика безопасности" в других словарях:

  • политика безопасности — Набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение критичной информации. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index&d=4264] Тематики защита информации EN security policy …   Справочник технического переводчика

  • политика безопасности — 2.39 политика безопасности (security policy): Утвержденный план или способ действий по обеспечению информационной безопасности. Источник: ГОСТ Р ИСО/ТС 22600 2 2009: Информатизация здоровья. Управление полномочиями и контроль доступа. Часть …   Словарь-справочник терминов нормативно-технической документации

  • политика безопасности оператора связи — политика безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. [ГОСТ Р 52448 2005, пункт …   Словарь-справочник терминов нормативно-технической документации

  • Политика безопасности организации — (organisational security policies): одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности... Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ.… …   Официальная терминология

  • Политика безопасности оператора связи — Политика безопасности оператора связи: совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи... Источник: ЗАЩИТА… …   Официальная терминология

  • политика безопасности (информации в организации) — Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. [ГОСТ Р 50922 2006] Тематики защита информации …   Справочник технического переводчика

  • политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) — 2.12 политика безопасности информационно телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно… …   Словарь-справочник терминов нормативно-технической документации

  • политика безопасности (информации в организации) — 3.3.2 политика безопасности (информации в организации): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Источник: Р… …   Словарь-справочник терминов нормативно-технической документации

  • Политика безопасности оператора связи — 1. Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи Употребляется в документе: ГОСТ Р 52448 2005 Обеспечение… …   Телекоммуникационный словарь

  • Общая внешняя политика и политика безопасности — Европейский союз Эт …   Википедия


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»