Безопасность сетей

    0f1a9e67   

Оценка стоимости


Процесс обеспечения информационной безопасности начинается с оценки имущества: определения информационных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невозможно эффективно выполнить программу защиты этих активов.

Данный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности следующие:

  • определить ценность информационных активов;
  • определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
  • определить существующие уязвимые места в практической деятельности организации;
  • установить риски организации в отношении информационных активов;
  • предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
  • обеспечить базу для создания соответствующего проекта обеспечения безопасности.

Перечисленные цели не изменят тип оценки, принятый в организации. Однако степень приближения каждой цели зависит от масштабов работы.

Перечислим пять основных видов оценки.

  • Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
  • Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры и выявлены зоны риска.
  • Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для ее информационных активов. Установлены уязвимости в местах обработки информации по всей организации. Исследована информация, представленная как в электронном виде, так и на физических носителях.
  • Аудит. Исследована существующая политика и соответствие организации этой политике.
  • Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.




    Содержание  Назад  Вперед