Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Определение требований безопасности для ИТ-приложений

Формулировка общих целей безопасности ИТ | Составление информационной политики безопасности | Установка организации безопасности ИТ | Сотрудник отдела безопасности | Команда управления безопасностью ИТ | Предоставление ресурсов для безопасности ИТ | Методология IT-Grundschutz | IT Анализ структуры | Сбор информации об ИТ-системах | Сбор информации об ИТ-приложениях и относящихся к ним данных |


Читайте также:
  1. B. Определение количества аммиака
  2. B.1.1. Определение основных активов
  3. CHINA (ПРОВЕДЕТ ПЕРЕГОВОРЫ ПО ВОПРОСАМ БЕЗОПАСНОСТИ) WITH JAPAN AND SOUTH KOREA
  4. D) сохранения точных записей, определения установленных методов (способов) и сохранения безопасности на складе
  5. I. Определение победителей
  6. I. ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЛУЧЕВОГО ИССЛЕДОВАНИЯ. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ЛУЧЕВОГО ИССЛЕДОВАНИЯ.
  7. III. Определение мест участников

Целью определения требований безопасности является, начиная с бизнес-процессов, решить для каждого зарегистрированного ИТ-приложения, включая их данные, какие требования безопасности для конфиденциальности, целостности и доступности. Эти требования безопасности ориентированы на потенциальные нарушения, связанные с неблагоприятным воздействием на ИТ-приложение и поэтому на соответствующие бизнес-процессы.

Так как требования безопасности обычно неисчислимы, то IT-Grundschutz делит требования безопасности на три категории:

Категории требований безопасности
"нормальный" Влияние любой потери или нарушения ограниченное и измеримое
"высокий" Влияния любой потери или нарушения может быть значительным
"очень высокий" Влияние любой потери или нарушения может достигать катастрофических размеров, которые могут угрожать существованию

 

Следующие шаги описывают, как определить соответствующую категорию требований безопасности для бизнес-процесса и соответствующих ИТ-приложений.

 

Шаг 1: Определение категорий требований безопасности

Повреждения, которые могут произойти, если конфиденциальность, целостность или доступность будут потеряны для определенного бизнес-процесса или для ИТ-приложения, включая его данные, обычно могут соответствовать следующему сценарию:

• Нарушения законов, нормативов, контрактов;

• Снижение информационного самоопределения;

• Физические повреждения;

• Нарушение выполнения обязанностей;

• Отрицательное внутреннее или внешнее влияние;

• Финансовые последствия.

 

Часто, единственный случай потери или нарушения может вовлечь несколько категорий повреждений. Поэтому, напр., сбой может препятствовать выполнению важного ИТ-приложения, что приведет к финансовым потерям и поэтому к потере репутации.

Чтобы различать "нормальную", "высокую" и "очень высокую" категории требований безопасности, может быть уместным определить границы для отдельных сценариев повреждения. Следующие таблицы используются для определения потенциальных повреждений и их последствий для каждого требования безопасности. Каждая организация должна откорректировать эти таблицы под собственные условия.

 

Требования безопасности категории "нормально"
1. Нарушение законов, нормативов или контрактов ­ Нарушение нормативов и законов с минимальными последствиями; ‑ Минимальные нарушения контракта, которые влекут незначительные договорные неустойки.
2. Снижение прав на информационное самоопределение ‑ Снижение прав на информационное самоопределение расценивается человеком как терпимое; ‑ Возможное злоупотребление человеком, имеющим отношение к данным, имеет минимальное влияние на социальное или финансовое положение заинтересованных лиц.
3. Физические повреждения ‑ Не кажется возможным
4. Нарушение выполнения обязанностей ‑ Нарушение расценивается как терпимое заинтересованными лицами; ‑ Максимально допустимое время простоя больше 24 часов.
5. Отрицательное внутреннее или внешнее влияние ‑ Минимальное снижение репутации / доверия, в пределах учреждения / предприятия.
6. Финансовые последствия ‑ Финансовые потери приемлемы для организации.

 

Требования безопасности категории "высоко"
1. Нарушение законов, нормативов или контрактов ‑ Нарушение нормативов и законов со значительными последствиями; ‑ Большинство нарушений контракта влекут значительные договорные неустойки.
2. Снижение прав на информационное самоопределение ‑ Возможно значительное снижение прав индивидуальных прав на информационное самоопределение; ‑ Возможное злоупотребление данными, связанными с людьми, будет иметь значительное влияние на социальное или финансовое положение заинтересованных лиц.
3. Физические повреждения ‑ Физические повреждения отдельных лиц не исключаются.
4. Нарушение выполнения обязанностей ‑ Нарушение выполнения обязанностей расценивается нетерпимое некоторыми заинтересованными лицами; ‑ TМаксимально допустимое время простоя от1 до 24 часов.
5. Отрицательное внутреннее или внешнее влияние ‑ Возможно значительное снижение репутации / доверия.
6. Финансовые последствия ‑ Финансовые потери значительные, но организация может выжить.

 

Требования безопасности категории "очень высоко"
1. Нарушение законов, нормативов или контрактов ‑ Очень значительные нарушения нормативов и законов; ‑ Нарушения контрактов с губительными последствиями.
2. Снижение прав на информационное самоопределение ‑ Возможно особенно существенное нарушение прав человека на информационное самоопределение; ‑ Возможные злоупотребления данными о людях означают социальный или финансовый крах заинтересованных лиц.
3. Физические повреждения ‑ Возможны серьезные повреждения отдельных лиц; ‑ Опасность для жизни и частей тела.
4. Нарушение выполнения обязанностей ‑ Нарушение выполнения обязанностей расценивается как недопустимое всеми заинтересованными лицами; ‑ Максимально допустимое время простоя менее часа.
5. Отрицательное внутреннее или внешнее влияние ‑ Возможна потеря репутации / доверия в масштабах нации или государства, возможно даже угроза существованию учреждения / компании.
6. Финансовые последствия ‑ Учреждение / компания возможно не сможет выжить вследствие финансовых потерь.

 


Дата добавления: 2015-11-14; просмотров: 37 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Регистрация участков| Кастомизация таблицы назначений

mybiblioteka.su - 2015-2024 год. (0.006 сек.)