Информационная безопасность



              

Как определить источники угроз? - часть 2


Можно поучиться на чужих ошибках. Но, во-первых, учиться на чужих ошибках у нашего народа вообще не принято, а во-вторых, кто же про свои ошибки расскажет? Остается сначала представить все возможные варианты, а затем отобрать наиболее применимые к конкретному случаю. Здесь опять-таки альтернатива: либо использовать накопленный банк данных уже случившихся вариантов проявлений угроз (и не быть до конца уверенным, что все варианты уже проверены), либо попытаться создать методологический инструмент формирования поля возможных проявлений угроз, основанный на изучении всех влияющих факторов и позволяющий рассмотреть даже самые маловероятные варианты. Например, в США только после трагических событий 11 сентября 2001года в гражданских самолетах стали ставить бронированные двери в кабины пилотов, в то время как в СССР, такую угрозу предвидели еще на заре становления гражданской авиации.

Однако не будем лукавить и утверждать, что в природе нет методик проведения анализа рисков. Например, в нашей компании консалтинг в области информационной безопасности является серьезным направлением, и нами был самым тщательным образом изучен опыт коллег в данном вопросе. Но все имеющиеся на сегодняшний день методики (к сожалению, преимущественно иностранные) позволяют получить только лишь качественную оценку. Это, например, такие методики как Guide to BS 7799 risk assessment and risk management. - DISC, PD 3002, 1998.,Guide to BS 7799 auditing.о - DISC, PD 3004, 1998 (на основе стандартов BS 7799 и ISO/IEC 17799-00). В данных методиках оценка безопасности информации проводится по 10 ключевым контрольным точкам, которые представляют собой либо обязательные требования (требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (к примеру, обучение правилам безопасности). Эти контрольные точки применимы ко всем организациям. К ним относятся:

  • документ о политике информационной безопасности;
  • распределение обязанностей по обеспечению информационной безопасности;
  • обучение и подготовка персонала к поддержанию режима информационной безопасности;
  • уведомление о случаях нарушения защиты;
  • средства защиты от вирусов;
  • планирование бесперебойной работы организации;
  • контроль копирования ПО, защищенного законом об авторском праве;
  • защита документации организации;
  • защита данных;
  • контроль соответствия политике безопасности.




    Содержание  Назад  Вперед