Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Хакасский государственный университет им. Н.Ф.Катанова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Р_Реферат.docx
Скачиваний:
5
Добавлен:
08.06.2023
Размер:
1.66 Mб
Скачать
►Содержание►

Введение

1 Общие сведения о физической защите информации

1.1 Определение активов, угроз и уязвимостей

Независимо от того, какой вид защиты информации применяется, процесс начинается с оценки рисков, с которыми может сталкиваться организация [1].

Способ расчета риска выглядит так:

(1.1)

В этом уравнении «А» относится к «активу», «УГ» — к «угрозе», а «УЯ» — к уязвимости. Выявив и определив эти три элемента, можно получить точную картину каждого риска.

Актив — это любые данные, устройство или другой компонент систем организации, которые представляют ценность — часто потому, что они содержат конфиденциальные данные или могут использоваться для доступа к такой информации.

Например, настольный компьютер сотрудника, ноутбук или служебный телефон будут считаться активом, как и приложения на этих устройствах. Точно так же критически важная инфраструктура, такая как серверы и системы поддержки, является активом [2].

Наиболее распространенными активами организации являются информационные активы. Это такие вещи, как базы данных и физические файлы, то есть конфиденциальные данные, которые хранятся на физических устройствах.

Подобной концепцией является «контейнер информационных активов», в котором хранится эта информация. В случае с базами данных это будет приложение, которое использовалось для создания базы данных. Для физических файлов это будет папка на диске, в которой хранится информация.

Угроза — это любое происшествие, которое может негативно повлиять на актив, например, если он потерян, отключен от сети или используется неуполномоченным лицом [3].

Угрозы можно рассматривать как обстоятельства, ставящие под угрозу конфиденциальность, целостность или доступность актива, и они могут быть преднамеренными или случайными.

Естественные угрозы — это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы — это угрозы КС, вызванные деятельностью человека. Среди искусственных угроз, исходя из мотивации действий, можно выделить:

  • непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

  • преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

К преднамеренным угрозам относятся такие вещи, как преступный взлом или кража информации злоумышленником, тогда как случайные угрозы обычно связаны с ошибкой сотрудника, технической неисправностью или событием, причиняющим физический ущерб, например, пожаром или стихийным бедствием [3].

Уязвимость — это организационная ошибка, которая может быть использована для угрозы уничтожения, повреждения или компрометации актива.

Например, уязвимости в программном обеспечении возникают из-за его сложности и частоты обновления. Эти недостатки, известные как ошибки, могут быть использованы хакерами для доступа к конфиденциальной информации.

Однако уязвимости относятся не только к технологическим недостаткам. Это могут быть физические недостатки, такие как сломанный замок, который позволяет посторонним проникнуть в ограниченную часть помещения, или плохо написанные (или несуществующие) правила, которые могут привести к раскрытию информации сотрудниками [4].

Другие уязвимости включают врожденные человеческие слабости, такие как наша восприимчивость к фишинговым электронным письмам; конструктивные недостатки помещения, например, прохудившаяся труба возле розетки; и коммуникационные ошибки, такие как отправка сотрудниками информации не тому человеку.

Риск информационной безопасности должен иметь что-то, что находится под угрозой (актив), действующее лицо, которое может его использовать (угроза), и способ, которым они могут произойти (уязвимость) [5].

Если обнаружилась уязвимость, но нет угрозы ее использования, то практически нет риска. Точно так же можно обнаружить угрозу, но уже защищены все слабые места, которые она может использовать.

Конечно, выявление рисков — это только первый шаг к обеспечению безопасности организации. Их необходимо задокументировать, оценить и расставить приоритеты и принять меры для защиты.

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности