Опубликован: 03.09.2003 | Уровень: специалист | Доступ: платный
Лекция 12:

Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия"

Анализ рисков, идентификация активов и угроз

Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но не исключены ситуации, когда усилия прикладываются не там, где нужно.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба.

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (аппаратура т.п.) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Важно принять во внимание все, что может пострадать от нарушений режима безопасности.

В Руководстве фигурирует следующая классификация активов:

  • аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы;
  • программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;
  • данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, передаваемые по коммуникационным линиям;
  • люди: пользователи, обслуживающий персонал;
  • документация: по программам, по аппаратуре, системная, по административным процедурам;
  • расходные материалы: бумага, формы, красящая лента, магнитные носители.

После выявления активов, нуждающихся в защите, необходимо идентифицировать угрозы и размеры возможного ущерба. К числу основных классов возможных угроз относятся:

  • несанкционированный доступ;
  • нелегальное ознакомление с информацией;
  • отказ в обслуживании.
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова
Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
Валентина Конюхова
Валентина Конюхова
Россия, Казань, КГТУ им.А.Н.Туполева (КАИ), 2008