Некоторые принципы управления риском.

(разработаны фирмой Countermeasures Incarparated)

• Все системы можно пострадать от одной и той же популяции угроз. Популяция угроз бесконечна по их числу и разнообразию. В любой системе и в любом месте можно встретить проявление любой угрозы, изменяется лишь вероятность её возникновения.

• На частоту возникновения угрозы нельзя ничем повлиять. Определённые изменения частоты угроз на самом деле являются следствием принимаемых контрмер.

• Уязвимость уменьшается с увеличением количества контрмер. Уровень уязвимости снижается при их применении.

• Каждая контрмера имеет свои уязвимые места, поэтому невозможно достичь нулевого уровня уязвимости.

• С помощью контрмер можно добиться приемлемого уровня уязвимости. Существует набор контрмер, с помощью которого можно достичь любого уровня уязвимости.

Дополнительные принципы.

[Д. Стейн, С. Мун; с.39].

• Все контрмеры потребуют затрат со стороны организации. Расходы на внедрение контрмер, необходимых для достижения приемлемого уровня уязвимости, могут, в свою очередь, оказаться неприемлемыми.

• Чем меньше диапазон допустимых отклонений от необходимого уровня безопасности, тем больше расходы на внедрение и проведение контрмер. С другой стороны, чем больше расходы на контрмеры, тем больше необходима мотивация этих расходов.

• Точно измерить можно только затраты. Частоту возникновения угроз, их серьёзность и возможность предотвращения чаще всего измерить не удаётся. Выбор контрмер всегда требует потратить осязаемое (реальные расходы в связи с применением контрмер) на неосязаемое (потенциальные потери).

30 Общие принципы проектирования систем защиты информации.

1 Системный подход

а) Главная цель — обеспечения качества информации (а не ЗИ как самоцель):

– конфиденциальность;

– целостность;

– достоверность, адекватность, точность;

б) Учёт всех факторов в их взаимосвязи;

Построение системы ЗИ (т.е. комплексное использование имеющихся в распоряжении средств).

2 Типовая концепция ЗИ в АСОД

Рисунок — Типовая концепция ЗИ в АСОД

Функции ЗИ — конкретные мероприятия по ЗИ.

Задачи ЗИ — возможности средств методов и мероприятий, определение перечня каналов НСД(утечки) информации.

Средства ЗИ — устройства, программы, мероприятия.

Система ЗИ — совокупность всех мероприятий по ЗИ.

31 Выбор мер обеспечения безопасности. Методы и средства ЗИ

1)Классификация методов и средств ЗИ:

Управление — регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи информации, где в качестве ресурсов рассматриваются технические средства, ОС, программы, БД, элементы данных и т.п. Осуществляется путём целенаправленного воздействия подсистемы управления системы обеспечения безопасности информации (СОБИ) на средства и механизмы ЗИ и компоненты ИВС с целью обеспечения безопасности информации.

Препятствия — физически преграждают нарушителю путь к защищаемой информации.

Маскировка — метод ЗИ путём их криптографического закрытия.

Регламентация — разработка и реализация в процессе функционирования ИВС комплексов мероприятий, создающих такие условия технологического цикла обработки информации, при которых минимизируется риск.

Регламентация охватывает как структурное построение ИВС, так и технологию обработки данных, организацию работы пользователей и персонала сети.

Побуждение — создание такой обстановки и условий, при которых правила обращения с защищенной информацией регулируется моральными и нравственными нормами.

Принуждение — угроза материальной, административной и уголовной ответственности за нарушение правил обращения с защищенной информацией.

На основе перечисленных методов создаются средства ЗИ, которые можно разделить на:

Формальные— выполняют свои функции по заранее установленным процедурам без вмешательства человека;

Неформальные — реализуется в результате деятельности людей, либо регламентируют эту деятельность.