Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
Топ:
Проблема типологии научных революций: Глобальные научные революции и типы научной рациональности...
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Эволюция кровеносной системы позвоночных животных: Биологическая эволюция – необратимый процесс исторического развития живой природы...
Интересное:
Средства для ингаляционного наркоза: Наркоз наступает в результате вдыхания (ингаляции) средств, которое осуществляют или с помощью маски...
Распространение рака на другие отдаленные от желудка органы: Характерных симптомов рака желудка не существует. Выраженные симптомы появляются, когда опухоль...
Уполаживание и террасирование склонов: Если глубина оврага более 5 м необходимо устройство берм. Варианты использования оврагов для градостроительных целей...
Дисциплины:
2017-06-02 | 612 |
5.00
из
|
Заказать работу |
Содержание книги
Поиск на нашем сайте
|
|
Категорирование заключается в определении уровня конфиденциальности (секретности) и критичности (степень влияния на эффективность производственных процессов) ресурса. Требования по категорированию могут разрабатываться в организации или базироваться на отраслевых НПА.
· конфиденциальность (высокая, средняя, низкая)
· целостность (высокая, средняя, низкая)
· доступность (высокая, средняя, низкая)
Критерии отнесения к категориям конфиденциальности
К1 - Строго конфиденциальная -(информация, содержащая сведения, составляющие государственную тайну, сертификаты ЭЦП должностных лиц; информация, разглашение которой может привести к тяжким финансово-экономическим последствиям для организации;
К2 - Конфиденциальная – информация, отнесенная к коммерческой и др. тайне, персональные данные, сведения ограниченного распространения, информация, разглашение которой может привести к значительным убыткам и потере; внутренняя информация, предназначенная для использования исключительно сотрудниками организации при выполнении ими своих служебных обязанностей;
К3 - Открытая информация- открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации; иная информация.
Критерии отнесения к категориям целостности
В1 – высокие требования к целостности - информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность которой должна обеспечиваться ЭЦП;
В2 - средние требования к целостности - информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению любого, кроме значительного ущерба (не отнесенного к категории B1), целостность которой должна обеспечиваться в соответствии с решением руководства организации (методами подсчета контрольных сумм, хеш-функций и т.п.);
|
В3 - информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется
Критерии отнесения к категориям доступности
Д1 - доступ к задаче должен обеспечиваться в любое время (задержка получения результата не должна превышать нескольких секунд или минут) – например, серверы ЛВС;
Д2 - доступ к задаче должен осуществляться без существенных временных задержек (задержка не должна превышать нескольких часов) – например, отдельные критически важные ПЭВМ;
Д3 - доступ к задаче может обеспечиваться с существенными временными задержками (задержка не должна превышать нескольких дней) – например, ПЭВМ сотрудников банка, которые работают параллельно;
Д 4 - временные задержки при доступе к задаче практически не лимитированы (допустимая задержка несколько недель – например, ПЭВМ буфета, хозслужбы, и тд.)
Ф | К1 | К2 | К3 |
Ц1 | |||
Ц2 | |||
Ц3 |
Категория | Д1 | Д2 | Д3 | Д4 |
Ф1 | ||||
Ф2 | ||||
Ф3 | ||||
Ф4 |
Категорирование
· Категория 1 – максимальная степень защиты
· Категория 2 – высокая степень защиты
· Категория 3 – средняя степень защиты
· Категория 4 – низкая степень защиты
Решение об отнесении ресурса к категориям информации принимает руководство или начальник отдела.
Угроза – возможные воздействия на ИО, приводящие к ущербу
Классификация угроз
· по аспекту информационной безопасности, против которого угрозы направлены в первую очередь (доступность, целостность, конфиденциальность, собственность);
· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
|
· по способу осуществления (случайные/преднамеренные, природные/техногенного характера);
· по расположению источника угроз (внутренние/внешние).
Примеры угроз
Угрозы доступности:
· отказ пользователей;
· внутренний отказ информационной системы;
· отказ поддерживающей инфраструктуры.
Угрозы целостности:
· ввод неверных данных;
· изменение данных;
· нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений
Угрозы конфиденциальности:
· Перехват паролей.
· Размещение и передача конфиденциальных данных в небезопасной среде.
· Доступ к резервным копиям.
· Кражи оборудования.
· Социальный инжиниринг
· Злоупотребления полномочиями.
Одним из способов идентификации угроз является построение модели нарушителя
При составлении перечня угроз и оценке их уровня используются списки классов угроз различных организаций и информация об их рейтингах либо средних значениях вероятности реализации данной угрозы. The Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation’s National Infrastructure Protection Center, SecurityFocus, и др. Существуют системы мониторинга состояния кибер-ИБ в мире (Symantec). В основном относятся к кибер-угрозам.
http://www.bdu.fstec.ru/threat?size=100 - База данных угроз ФСТЭК
Приложения ISO 27005.
Идентификация уязвимостей.
Уязвимости – это слабые места активов, делающие возможной реализацию угрозы. Они связаны с природой активов или окружающими условиями (в т.ч. с используемыми контролями).
Составляется список потенциальных уязвимостей данной ИС и возможные результаты их реализации (источники - сетевые сканеры уязвимостей, каталоги уязвимостей разных организаций, примерные списки уязвимостей ISO 27005 и др.). При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.
Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.
|
e) Оценка риска.
Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.
Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и возможного наносимого ущерба;
Определение уровня риска.
Применение критериев принятия риска (приемлемый/требующий обработки).
Оценивание рисков
Аспекты:
· Шкалы и критерии, по которым можно измерять риски.
· Оценку вероятностей событий.
· Технологии измерения рисков.
|
|
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Особенности сооружения опор в сложных условиях: Сооружение ВЛ в районах с суровыми климатическими и тяжелыми геологическими условиями...
Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!