Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Методы оценки информационной безопасности АС
Аудит информационной безопасности – процесс сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. В число задач, решаемых при проведении аудита информационной безопасности АС, входят: · Сбор и анализ исходных данных об организационной и функциональной структуре АС, необходимых для оценки состояния информационной безопасности. · Анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности. · Построение модели нарушителей информационной безопасности. · Построение модели угроз информационной безопасности по отношению к ресурсам АС, а также уязвимостей в существующей системе защиты, делающих возможным реализацию угроз информационной безопасности в АС. · Анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности. · Осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИС и определение уязвимостей в установках защиты данных узлов. · Формирование рекомендаций по разработке (или доработке) Политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности. · Формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и информационной безопасности АС. Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности. Такие организации могут быть как государственными, так и иметь статус независимых, негосударственных. Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
Основными направлениями деятельности в области аудита безопасности информации являются 1 Аттестация объектов информатизации по требованиям безопасности информации a. аттестация автоматизированных систем, средств связи, обработки и передачи информации, b. аттестация помещений, предназначенных для ве-дения конфиденциальных переговоров, c. аттестация технических средств, установленных в выделенных помещениях 2 Контроль защищенности информации ограниченного доступа a. выявление технических каналов утечки инфор-мации и способов несанкционированного доступа к ней, b. контроль эффективности применяемых средств защиты информации 3 Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН) a. персональные ЭВМ, средства связи и обработки информации; b. локальные вычислительные системы; c. оформления результатов исследований в соот-ветствии с требованиями Гостехкомиссии России. 4 Проектирование объектов в защищенном исполнении. a. разработка концепции информационной безо-пасности (первая глава учебника); b. проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении; c. проектирование помещений, предназначенных для ведения конфиденциальных переговоров. Методы аудита информационной безопасности: - Экспертно-аналитические методы - проверка соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер ЗИ, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.
- Экспертно-инструментальные методы - проведение проверки функций или комплекса функций ЗИ с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств ЗИ и наблюдения реакции за их выполнением. - Моделирование действий злоумышленника («дружественный взлом» системы ЗИ) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям). Каждый из вышеперечисленных методов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить. В качестве объекта аудита может выступать как АС в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите. Аудит безопасности состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач: 1. Разработка регламента проведения аудита 2. сбор исходных данных 3. анализ исходных данных с целью оценки текущего уровня безопасности 4. разработка рекомендаций по повышению уровня защиты АС.
|
||||||
Последнее изменение этой страницы: 2017-02-22; просмотров: 663; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.135.222.253 (0.009 с.) |