Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Современное развитие человеческой цивилизации, вступившей в двадцать первый век, характеризуется наиболее интенсивным использованием компьютерных информационных технологий во всех сферах 2 страница



Применение подслушивающих устройств.

Угрозы, источник которых имеет доступ к периферийным устройства КС (терминалам);

Угрозы, источник которых непосредственно расположен в КС и связан либо с некорректным использованием ресурсов КС, либо с количественной или качественной недостаточностью этих ресурсов, которая была изначально заложена на стадии проектирования компьютерной системы;

По степени зависимости от активности КС:

Угрозы, проявляемые независимо от активности КС, например, хищение носителей информации (магнитных дисков, лент, микросхем памяти и др.);

Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных, например, угрозы распространения программных вирусов.

По степени воздействия на КС:

Пассивные угрозы, которые ничего не меняют в структуре ифункциональной организации КС, например, угроза копирования данных;

Активные угрозы, при реализации которых вносятся изменения в структурную и функциональную организацию КС, например, угроза внедрения аппаратных и программных спецвложений.

По этапам доступа пользователей или программ к ресурсам КС:

Угрозы, которые могут проявляться на этапе доступа к ресурсам КС;

Угрозы, которые после разрешения доступа реализуются в результате несанкционированного или некорректного использования ресурсов КС.

По способу доступа к ресурсам КС:

Угрозы, использующие прямой стандартный путь доступа к ресурсам КС с помощью незаконно полученных паролей или путем несанкционированного использования терминалов законных пользователей;

Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

По текущему месту расположения информации, хранящейся и обрабатываемой в КС:

Угроза доступа к информации на внешних запоминающих устройсвах (например, путем копирования данных с жесткого диска);

Угроза доступа к информации в основной памяти (например, путем несанкционированного обращения к памяти);

Угроза доступа к информации, циркулирующей в линиях связи (например, путем незаконного подключения);

Угроза доступа к информации, отображаемой на терминале или печатающем принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).

Рассмотренные угрозы безопасности компьютерных систем обычно анализируются системно и комплексно с точки зрения вероятностей возникновения, а также с учетом тех последствий, к которым приводит их реализация.



 

1.4 Случайные угрозы информационной безопасности

Данные угрозы не связаны с преднамеренными действиями злоумышленников и реализуются в зависимости от случайных факторов в случайные моменты времени. При этом могут происходить уничтожение, модификация, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, хотя при этом создаются предпосылки для преднамеренного воздействия на информацию.

 

Механизм реализации случайных угроз в целом достаточно хорошо изучен, тем не менее, реальные последствия таких угроз являются в настоящее время весьма существенными. Так, по статистическим данным, до 80% ущерба, наносимого информационным ресурсам КС любыми угрозами, причиняется реализацией именно случайных угроз.

 

К случайным обычно относят следующие угрозы:

 

Сбои и отказы в работе технических средств;

Ошибки при разработке КС, в том числе алгоритмические и программные ошибки;

Ошибки обслуживающего персонала и пользователей;

Стихийные бедствия и аварии.

Сущность сбоев и отказов, возникающих в процессе эксплуатации технических средств, сводится к следующему:

 

Сбой – это временное нарушение работоспособности какого–либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

Отказ – это необратимое нарушение работоспособности какого–либо элемента системы, приводящее к невозможности выполнения им своих функций.

Для сложных компьютерных систем случайные сбои и отказы практически неизбежны. Их возникновение может быть вызвано не только внутренними технологическими причинами, но и побочным влиянием окружающей среды (ее температуры, влажности, радиоактивного фона и д.р.), а также случайными помехами и наводками, которые появляются в работающей компьютерной системе.

 

В результате сбоев или отказов нарушается необходимая работоспособность технических средств, что может привести к уничтожению или искажению данных, хранящихся и обрабатываемых в системе. Если это случается на программном уровне, то из-за изменения алгоритма работы отдельных устройств может произойти нарушение конфиденциальности информации в результате несанкционированной ее выдачи на запрещенные устройства (каналы связи, мониторы, печатающие устройства и т.п.).

 

Для компьютерных систем существует также случайная угроза, связанная с ошибками, допущенными при разработке технических и программных средств. Эти ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для негативного воздействия на ресурсы компьютерной системы. Особую опасность представляют ошибки в операционных системах и в программных средствах защиты информации. На общее количество схемных, системотехнических, структурных, алгоритмических и программных ошибок влияют многие другие факторы: квалификация разработчиков системы, условия их работы, наличие опыта и др.

 

Определенную угрозу для информационной безопасности компьютерных систем представляют также ошибки обслуживающего персонала и пользователей. Согласно данным Национального Института Стандартов и Технологий США (NIST) до 65% случаев нарушения безопасности информации происходят именно из-за этих причин. Некомпетентное, небрежное или невнимательное выполнение сотрудниками своих функциональных обязанностей приводит к уничтожению, нарушению целостности, конфиденциальности информации, а также компрометации механизмов защиты.

 

К ошибочным действиям человека, обслуживающего компьютерную систему или являющегося ее пользователем, приводят также естественные для него особенности: утомляемость, эмоциональность, чувствительность к изменениям состояния окружающей среды и др.Трудно предсказуемыми источниками угроз информации являются стихийные бедствия и аварии, которые могут возникнуть на объекте размещения компьютерной системы. Пожар, наводнение, землетрясение, удар молнии, выход из строя электропитания и т.д. чреваты для компьютерной системы наиболее разрушительными последствиями.

 

1.5. Преднамеренные угрозы информационной безопасности

Преднамеренное происхождение таких угроз обуславливается злоумышленными воздействиями на компьютерную систему людей. Мотивациями для этого могут стать сугубо материальный интерес, желание навредить, простое развлечение с самоутверждением своих способностей и др.

 

Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к компьютерной системе.

 

Злоумышленником может быть:

 

Разработчик КС;

Сотрудник из числа обслуживающего персонала;

Пользователь;

Постороннее лицо.

Разработчик владеет наиболее полной информацией об аппаратных и программных средствах КС и имеет возможность внедрения "закладок" на этапах создания и модернизации систем. Однако он, как правило, не получает непосредственного доступа на эксплуатируемые обьекты КС.

 

Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающие эти системы. При отсутствии на рабочем месте законного пользователя или при его халатном отношении к своим должностным обязанностям квалифицированный нарушитель может получить несанкционированный доступ к информации, а также ввести вредоносную программу, модифицировать данные, алгоритмы и т.д. При достаточно свободном доступе в помещение, где размещены средства КС, он может визуально наблюдать информацию на средствах отображения и документирования, похитить носители с информацией (дискеты, ленты, листинги и д.р.), либо снять с них копию.

 

Специалисты, обслуживающие КС, обладают различными потенциальными возможностями для злоумышленных действий. Наибольший вред могут нанести сотрудники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.

 

Достаточно опасна ситуация, когда нарушителем является пользователь компьютерной системы, который по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией осуществляет хищение (копирование) или уничтожение информационных массивов и (или) программ.

 

Посторонние лица, не имеющие отношения к КС, находятся, по сравнению в другими злоумышленниками, в наименее выгодном положении. Если предположить, что они не имеют доступа к объектам КС, то в их распоряжении имеются только дистанционные средства традиционного шпионажа и возможности диверсионной деятельности.

 

Говоря об угрозах преднамеренного характера в целом, нужно отметить, что в настоящее время они изучены еще недостаточно и постоянно пополняются новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по следующим группам:

 

Традиционных шпионах и диверсии;

Несанкционированный доступ к информации;

Электромагнитные излучения и наводки;

Модификация структур КС;

Вредительские программы.

В условиях применения компьютерных систем, по-прежнему, останутся действенными средства традиционного шпионажа и диверсий. Чаще всего они используются для получения сведений о системе защиты, а также для хищения и уничтожения информационных ресурсов.

 

Для этой цели применяются:

 

Подкуп, шантаж и вербовка сотрудников;

Подслушивание ведущихся переговоров;

Дистанционный видеоконтроль помещений;

Хищение атрибутов системы защиты;

Сбор и анализ отходов машинных носителей информации.

Нельзя также исключить возможность осуществления различных диверсий (взрывы, поджоги) или угрозу вооруженного нападения террористических групп.

 

Опыт применения компьютерных систем показал, что в них, помимо традиционного шпионажа, существует много других возможных направлений утечки информации и путей несанкционированного доступа к ней.

 

Несанкционированный доступ к информации (НСДИ) осуществляется обычно с использованием штатных аппаратных и программных средств компьютерной системы. В результате такого доступа нарушаются установленные разграничения доступа пользователей или процессов к шифровальным ресурсам.

 

Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Поскольку процессы в КС инициируются в интересах определенных лиц, то и на них также накладываются соответствующие ограничения по доступу к ресурсам. Для реализации установленных правил разграничения доступа в КС создается система разграничения доступа (СРД).

 

Если СРД отсутствует, то злоумышленник, имеющий навыки работы в КС, может получить без ограничений доступ к любой информации. По имеющейся СРД несанкционированный доступ возможен при фальсификации полномочий пользователей. НСДИ упрощается в результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей.

 

Процессы обработки и передачи информации техническими средствам КС обычно сопровождаются электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземления и других проводниках. Они получили название побочных электромагнитных излучений и наводок (ПЭМИН). Наибольший уровень электромагнитного излучения в КС присущ работающим устройствам отображения информации на электронно-лучевых трубках. С помощью специального оборудования злоумышленник может на расстоянии зафиксировать такие излучения, а затем выделить из них необходимую информацию.

 

Следует также отметить, что электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения. Мощные электромагнитные импульсы и сверхвысокочастотные излучения способны уничтожить информацию на магнитных носителях, могут вывести из строя электронные блоки компьютерной системы.Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Такая модификация может осуществляться на любом жизненном цикле КС. Несанкционированное изменение структуры КС на этапах разработки и модификации получило название "закладка". Закладки, внедренные на этапе разработки, очень сложно выявить.

 

Программные и аппаратные закладки используются либо для непосредственного вредительского воздействия, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия закладок на КС осуществляются при получении соответствующий команды извне (это характерно обычно для аппаратных закладок) или при наступлении определенных событий в системе. Программные и аппаратные закладки, способствующие реализации неконтролируемого входа в систему, получили название "люки". Для компьютерной системы могут произойти наиболее негативные последствия, если такой вход осуществляется в обход имеющихся средств защиты информации.

 

Среди вредительских программ, представляющих собой угрозу безопасности информации в КС, стали весьма распространенными так называемые компьютерные вирусы. Компьютерный вирус – это специально написанная небольшая по размерам программа, которая после внедрения в программную среду КС способна самопроизвольно присоединяться к другим программам (т.е. заражать их), самостоятельно распространяться путем создания своих копий, а при выполнении определенных условий оказывать негативное воздействие на КС. Компьютерный вирус, однажды внесенный в систему распространяется лавинообразно подобно биологической инфекции и может причинить большой вред данным и программному обеспечению.

Всеобщая осведомленность в необходимости обеспечения безопасности компьютерных систем растет по мере того, как очень важные вопросы информационной безопасности все больше и больше становятся зависимыми от взаимодействия компьютерных систем. Безопасность является основной заботой бизнеса, который хочет использовать Интернет в коммерческих целях и для поддержания деловых отношений. Увеличение осведомленности в необходимости защиты вылилось в увеличение количества попыток интегрировать защитные механизмы в компьютерные системы. Механизмы защиты операционной системы играют решающую роль в обеспечении безопасности на более высоких уровнях.

 

Необходимость наличия встроенных средств защиты на уровне операционной системы бесспорна, операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы. Потребность в защищенных операционных системах особенно важна в современных компьютерных средах. Для этого и разрабатывается политика безопасности.

 

Политика информационной безопасности в компьютерных системах - это совокупность требований к функциям, архитектуре, составу и регламенту функционирования информационной системы, которые определяют траектории информационных процессов и состояния системы, безопасные для обрабатываемой информации.

 

2.1. Разработка политики информационной безопасности

Политика информационной безопасности формируется на основе информационного и технического обследования информационной системы, анализа информационных рисков и оценки защищенности информации, в соответствии с требованиями Российских нормативно-руководящих документов, а также рекомендаций международных стандартов в области защиты информации (например, ISO 17799), что особенно важно для предприятий, осуществляющих взаимодействие с иностранными партнерами.

 

Аттестация автоматизированной системы по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация автоматизированной системы по международным требованиям информационной безопасности делает предприятие более привлекательным для зарубежных компаний при выборе деловых партнеров в России.

 

В крупных организациях в информационные процессы вовлечена масса людей. Для большинства из них требования политики безопасности отнюдь не очевидны. Чем сложнее пользователям приспособиться к установленной политике, тем менее вероятна ее работоспособность. На начальном этапе ее требования наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

 

Необходимо осуществлять непрерывный контроль выполнения правил политики безопасности, как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения, разбираться в их причинах.

 

Одна из основных форм этого контроля — регулярное проведение как внутреннего, так и внешнего аудита безопасности.

 

Политику безопасности необходимо совершенствовать, чтобы она оставалась эффективной. Даже если удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение информационной безопасности — непрерывный процесс. Технологии стремительно изменяются, системы устаревают, а многие процедуры теряют эффективность. Политики безопасности должны непрерывно совершенствоваться, чтобы оставаться эффективными.

 

Политика безопасности включает в себя 3 уровня защиты (рис 2.1):

 

 

Рис. 2.1. Три уровня защиты

 

1-й уровень - защита на уровне аппаратных средств рабочих станций и серверов, активизируемая на каждом компьютере до загрузки ОС;

2-й уровень - создание замкнутого интерфейсного окружения и защита на уровне локальных компьютерных ресурсов;

3-й уровень - защита на уровне общих ресурсов компьютерной сети, включая блокирование несанкционированного межсетевого доступа.

Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться.

 

2.2. Методология политики безопасности компьютерных систем

Политика безопасности в компьютерных системах должна включать:

 

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. Эта политика также может определять, учитываются ли другие аспекты работы, не имеющие отношения к безопасности;

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу;

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Необходимо описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики;

Соблюдение политики. Могут быть явно описаны наказания, которые должны быть увязаны с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики;

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности.

2.3. Основные положения политики информационной безопасности

Стандарт ISO 17799 является обобщением опыта обеспечения информационной безопасности зарубежными предприятиями и организациями по стандартизации. В нем нет детализированных требований по информационной безопасности, однако описан общий подход к организационным и техническим аспектам защиты информации, которые позволяют сформировать адекватную политику информационной безопасности. Реализация рекомендаций по организационным вопросам защиты информации позволяет сделать политику информационной безопасности комплексной, что в сочетании с решением технических вопросов защиты информации в соответствии с Российскими нормативно-руководящими документами, обеспечивает относительно высокий уровень безопасности.

 

В стандарте ISO 17799 даны рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности, разрабатываемой для конкретной организации:

 

Определение информационной безопасности и перечень составляющих ее элементов, положение о целях управления и принципах информационной безопасности;

Разъяснение основных положений политики информационной безопасности, принципов ее построения и стандартов в области защиты информации, соответствие политики безопасности требованиям российского и международного законодательства;

Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе;

Организация защиты от компьютерных вирусов и других разрушающих программ средств;

Обеспечение непрерывности функционирования информационной системы;

Последствия нарушения политики информационной безопасности;

Порядок изменения политики информационной безопасности при модернизации системы управления или информационной системы;

Должностные обязанности и ответственность за обеспечение информационной безопасности руководителей и сотрудников организации;

Организационно-распорядительные документы, которые должны быть изданы при формировании политики информационной безопасности (положения, инструкции, регламенты и т.п.).

Определение перечня объектов, подлежащих защите в компьютерной системе, сложная, но необходимая задача, решение которой позволяет идентифицировать информационные ресурсы, подлежащие защите и определить классы объектов защиты, которые могут быть созданы при эксплуатации системы, и, следовательно, заранее определить политику безопасности относительно этих объектов. Однако для разработки адекватной политики информационной безопасности, кроме того, требуется построить информационную модель системы, которая позволит выделить объекты, определяющие траектории информационных процессов в системе и провести анализ информационной безопасности в соответствии с реализуемой стратегией разграничения доступа. Разработку информационной модели системы способны выполнить только специалисты по защите информации, имеющие профессиональную подготовку и опыт разработки таких моделей для различных информационных систем.

 

Соответствие законодательству - важный пункт политики безопасности. Страны мирового сообщества имеют специфичные законы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в российском законодательстве. Поэтому при разработке политики безопасности необходимо учесть специфику законодательства страны, где осуществляет деятельность организация. Для этого необходимо привлечение юристов, владеющих вопросами права в области информационных технологий, телекоммуникаций и информационной безопасности. Юристы, специализирующиеся в области информационной безопасности и имеющие соответствующий опыт работы могут быть только в организации, предоставляющей консалтинговые услуги по информационной безопасности.

 

Определение должностных обязанностей и ответственности за обеспечение информационной безопасности руководителей и сотрудников организации, в том числе, за предоставление отчетности об инцидентах по информационной безопасности, позволяет установить персональную ответственность за участки работ, снизить вероятность халатного отношения к вопросам защиты информации.

 

Организационно-распорядительные документы, издаваемые при формировании политики информационной безопасности, позволяют юридически закрепить порядок обеспечения информационной безопасности и регламентировать порядок защиты информации.

 

2.4. Жизненный цикл политики безопасности

Разработка политики безопасности — длительный и трудоемкий процесс, требующий профессионализма, отличного знания нормативной базы в области безопасности. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение информационной безопасности компьютерных систем. Эта ответственность обычно концентрируется на руководителе отдела информационной безопасности, директоре по безопасности или на руководителе отдела внутреннего аудита. Именно он координирует деятельность рабочей группы по разработке и внедрению политики безопасности на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов:

 

Первоначальный аудит безопасности. Аудит безопасности - процесс, с которого начинаются любые планомерные действия по обеспечению информационной безопасности в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и самые чувствительные к угрозам безопасности бизнес-процессы;

Разработка. Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки политики безопасности. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации. Разработка политики безопасности с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками, ограничившись адаптацией типового комплекта к специфическим условиям своей организации. Этот путь позволяет сэкономить месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки политики безопасности;

Внедрение. С наибольшими трудностями приходится сталкиваться на этапе внедрения политики безопасности, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Системных администраторов может раздражать необходимость выполнения требований политик безопасности, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемых программных средствах функций, необходимых для реализации отдельных положений политики безопасности. На этапе внедрения необходимо не просто довести содержание политики до сведения всех сотрудников организации, но также обучить и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по-старому. Для успешного завершения внедрения должна быть создана специальная проектная группа, действующая по согласованному плану;

Аудит и контроль. Соблюдение положений политики безопасности обязательно для всех сотрудников организации и должно непрерывно контролироваться. Проведение планового аудита безопасности является одним из основных методов контроля работоспособности политики безопасности, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений политики и внесения в них необходимых корректировок;

Пересмотр и корректировка. Первая версия политики безопасности обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес-процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности. Как правило, ежегодный пересмотр политики безопасности — норма, которая устанавливается самой политикой.


Дата добавления: 2015-08-27; просмотров: 137 | Нарушение авторских прав







mybiblioteka.su - 2015-2024 год. (0.024 сек.)







<== предыдущая лекция | следующая лекция ==>