Информационные технологии. Методы и средства обеспечения безопасности Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
Настоящий стандарт введен в действие 1 июня 2007 года и представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Стандарт устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Целью стандарта является формирование общих понятий и моделей управления безопасностью ИИТ.
Стандарт описывает
1. основные категории активов:
- материальные активы (вычислительные средства, здания и т.д.);
- информация (данные) (документы, базы данных):
- программное обеспечение;
- люди;
- нематериальные ресурсы (престиж, репутация).
2. Виды угроз.
Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.
Пример угроз:
Угрозы, обусловленные человеческим фактором | Угрозы среды | |
целенаправленные | случайные | |
Подслушивание/ перехват Модификация информации Атака хакера на систему Хищение | Ошибка Удаление файла Несчастный случай | Землетрясения Молнии Наводнение Пожар |
3. Характеристики угроз.
Угрозы обладают следующими характеристиками:
- источник (внутренний или внешний);
- мотивация (например: финансовая выгода, конкурентное преимущество);
- частота возникновения;
- правдоподобие;
- вредоносное воздействие.
Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость.
Cвязанные с активами уязвимости включают в себя слабости: физического носителя; организации; процедур; персонала; управления; администрирования; программное обеспечения; информации. Уязвимость не причиняет ущерб и может существовать и в отсутствие угрозы.
Способность конкретной угрозы использовать уязвимость одного или нескольких видов активов для нанесения ущерба организации, называется риском.
Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием.
Любые изменения активов, угроз, уязвимостей, а так же применение защитных мер может оказать значительное влияние на риск, но не может его полностью устранить.
Защитные меры – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие, обнаружить инциденты и облегчить восстановление активов.
1. Защитные меры могут выполнять одну или несколько функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.
При выборе и реализации защитных мер необходимо учитывать ограничения присущие организации.
Ограничения могут быть: организационные; коммерческие; финансовые; по окружающей среде; по персоналу; временные; правовые; технические; культурные и социальные.
Кроме перечисленных понятий стандарт устанавливает иерархию политик, описывает ее элементы, освещает организационные аспекты безопасности и функции управления безопасностью ИТТ. Основные положения и структура стандарта представлена в приложении 2.
Дата добавления: 2015-10-29; просмотров: 848;