Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 8:

Обеспечение информационной безопасности

Аннотация: Рассмотрены вопросы обеспечения информационной безопасности, оценки стоимости проведения мероприятий по безопасности. Уделено внимание вопросам разработки и реализации политики безопасности, а также аудита систем.
Ключевые слова: ПО, затраты, безопасность, стоимость, величина риска, процесс обеспечения, общий риск, цель оценки, оценка уязвимостей, программа безопасности, испытание, инвентаризация, опрос, диаграмма, доступ, Интернет, механизмы, списки управления доступом, мониторинг, информация, физическая безопасность, определение, физический доступ, минимум, физическая защита, список, критическая область, методология разработки, значение, источник угрозы, безопасность персонала, программное обеспечение, работ, отношение, среда безопасности, политика безопасности, политика использования, сервер, группа, оценка безопасности, место, управление учетными записями, слово, защита информации, очередь, стихийные бедствия, координатор, контроль, компьютер, безопасная установка, вероятность, аутентификация, сеть, биометрия, системы аутентификации, производительность, виртуальные частные сети, VPN, Размещение, архитектура, межсетевой экран, механизм безопасности, IDS, развертывание, шифрование, личный ключ, программа, исполнение, Дополнение, аудит, функция, конфликт интересов, вывод, уязвимость, электронная почта

Обеспечение информационной безопасности - это процесс, опережающий управление риском, а не следующий за ним. В отличие от ответной модели, когда вначале происходит чрезвычайное происшествие, а только потом принимаются меры по защите информационных ресурсов, предупредительная модель работает до того, как что-то случится.

В ответной модели общие затраты на безопасность неизвестны.

Общие затраты на безопасность = Стоимость ущерба от происшествия + Стоимость контрмер

К сожалению, мы не узнаем стоимость ущерба от происшествия, пока оно фактически не произойдет. Поскольку организация не предпринимает никаких шагов для предотвращения инцидента, нет никакой возможности узнать величину возможного ущерба. Следовательно, нельзя оценить риск, пока не произойдет реальный инцидент.

К счастью, организация может сократить затраты на обеспечение информационной безопасности. Правильное планирование и управление риском позволят значительно снизить, если не исключить, величину ущерба от происшествия. Если принимались правильные меры, и инцидент был предотвращен, то величина затрат составляет:

Общие затраты на безопасность = Стоимость контрмер

Также обратите внимание, что

Стоимость происшествия + Стоимость контрмер >> Стоимость контрмер

Предупредительное принятие необходимых мер - это правильный подход к информационной безопасности. В этом случае организация определяет свои уязвимые места, выявляет величину риска и выбирает экономически эффективные контрмеры. Это первый шаг в процессе обеспечения информационной безопасности.

Обеспечение информационной безопасности - это непрерывный процесс, включающий в себя пять ключевых этапов (см. рис. 8.1):

  • оценку;
  • политику;
  • реализацию;
  • квалифицированную подготовку;
  • аудит.

Каждый из этих этапов по отдельности повышает уровень защищенности организации; однако только взятые вместе они обеспечивают основу, которая позволит эффективно управлять риском.

Обеспечение информационной безопасности

Рис. 8.1. Обеспечение информационной безопасности
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Андрей Кравцов
Андрей Кравцов
Россия