Построение СЗИ Построение политики безопасности
Структура политики безопасности Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым объектам. Перечень используемого ПО и его настроек. Набор инструкций : администратора безопасности ; системного администратора ; системного оператора ; пользователя системы ; инструкция по оперативному восстановлению системы.
Состав инструкций Определение объектов доступа. Определение прав. Определение порядка работы в штатной ситуации. Определение порядка действий в нештатных ситуациях
Перечень защищаемых объектов ( программно - аппаратное обеспечение ) Перечень используемого программного и аппаратного обеспечения. Конфигурация активного сетевого оборудования. Конфигурация программного обеспечения, версии и установленные исправления.
Перечень защищаемых объектов ( информационные ресурсы ) Перечень типов информационных ресурсов и их пользователей. Перечень кандидатов на присвоение грифа секретности. Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.
Построение СЗИ Анализ рисков
это процесс получения количественной и / или качественной оценки ущерба, который может понести предприятие в случае реализации угрозы информационной безопасности.
Общий алгоритм анализа рисков · выбор анализируемых объектов и определение степени детализации их рассмотрения; · моделирование каналов утечки информации и НСД; · оценка вероятности реализации угроз (установления информационного контакта); · формирование облика (модели) нарушителя; · оценка возможного развития событий в случае достижения целей нарушителем; · оценка возможного ущерба (потерь); · ранжирование угроз в соответствии с оценками риска; · определение стратегии управления рисками; · оценка эффективности мер по управлению рисками; · подготовка экспертного заключения о защищенности информационных ресурсов.
Ущерб включает цену ресурса - затраты на производство ; стоимость восстановления или создания нового ресурса ; стоимость восстановления работоспособности организации ( при работе с искаженным ресурсом, без него, при дезинформации ); стоимость вынужденного простоя ; стоимость упущенной выгоды ; стоимость выплаты неустоек, штрафов ; стоимость затрат на реабилитацию, престижа, имени фирмы ; стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме ; стоимость затрат на поиск ( или восстановление ) каналов связи, информационных источников.
Управление рисками Принятие риска Изменение характера риска Уклонение от риска Уменьшение риска