 |
Основные аспекты, решаемые при разработке ИБ
|
|
|
|
Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:
· на сегодняшний день нет единой теории защищенных систем;
· производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;
· для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.
Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности - достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.
В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.
Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:
|
|
|
· анализ средств защиты;
· определение факта вторжения.
На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой - наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.
Анализ рисков
Оценка и анализ рисков ИБ
На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий.
Общая идея выражена формулой:
РИСК = P происшествия * ЦЕНА ПОТЕРИ.
Определим субъективную шкалу вероятностей событий:
A − событие практически никогда не происходит;
B − событие случается редко;
C− вероятность события за рассматриваемый промежуток времени около 0,5;
D − скорее всего, событие произойдет;
E − событие почти обязательно произойдет.
Кроме того, используем субъективную шкалу серьезности происшествий.
1. N (Negligible) – Воздействием можно пренебречь.
2. Mi (Minor) – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию – незначительно.
|
|
|
3. Mo (Moderate) – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
4. S (Serious) – Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо.
5. C (Critical) – Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений: 1. Низкий риск.
2. Средний риск.
3. Высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен следующим образом (табл. 8).
Таблица 8
Определение риска в зависимости от двух факторов
| Negligible | Minor | Moderate | Serious | Critical | |
| A | Низкий риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
| B | Низкий риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
| C | Низкий риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| D | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| E | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
Показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
1 − риск практически отсутствует; теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 − риск очень мал; события подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
8 − риск очень велик; событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми и т.д.
Следующей по важности группой информации является информация по организационно – правовым вопросам (группа 2),информация по вопросам торгово-экономических отношений (группа 3) и информация по вопросам управления имуществом предприятия (группа 2). Разглашение такого рода информации конкурентам приведет к нарушению планов компании и, соответственно, повлечет за собой большие убытки. Вся остальная информация также нуждается в определенной защите, но нарушение ее безопасности приведет к устранимым последствиям.
|
|
|
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Для оценки рисков необходимо систематически рассматривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Данные бухгалтерского учета имеют первостепенное значение для деятельности любой организации, так как они формируют целостную картину финансово-хозяйственного состояния предприятия. На основании бухгалтерской отчетности осуществляются такие важнейшие функции, как планирование, оперативное управление деятельностью компании, прогнозирование, оценка состояния предприятия. Ежедневно в бухгалтерию поступает огромный поток первичных документов, которые обрабатываются бухгалтерами, вводятся в информационную систему, затем на основании первичной документации и отчетной информации предыдущего периода формируется бухгалтерская отчетность о деятельности компании в текущем периоде.
Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.
|
|
|
