Читайте также:
|
|
У процесі оцінки ризиків ми проходимо ряд послідовних етапів, періодично відкочуючись на попередні етапи, наприклад, переоцінюючи, певний ризик після вибору конкретної контрзаходи для його мінімізації. На кожному етапі необхідно мати під рукою опитування, переліки загроз і вразливостей, реєстри ресурсів та ризиків, документація, протоколи нарад, стандарти і керівництва. У зв'язку з цим потрібен певний запрограмований алгоритм, база даних і інтерфейс для роботи з цими різноманітними даними.
Для управління ризиками ІБ можна застосовувати інструментарій, наприклад, як у методі CRAMM, або RA2,проте це не є обов'язковим. Приблизно також про це сказано і в стандарті BS 7799-3. Корисність застосування інструментарію може полягати в тому, що він містить запрограмований алгоритм робочого процесу оцінки та управління ризиками, що спрощує роботу недосвідченому спеціалістові.
Використання інструментарію дозволяє уніфікувати методологію і спростити використання результатів для переоцінки ризиків, навіть якщо вона виконується іншими фахівцями. Завдяки використанню інструментарію є можливість порядок зберігання даних і роботу з моделлю ресурсів, профілями загроз, переліками вразливостей і ризиками.
Крім власне засобів оцінки та управління ризиками програмний інструментарій може також містити додаткові кошти для документування СУІБ, аналізу розбіжностей до вимог стандартів, розробки реєстру ресурсів, а також інші кошти, необхідні для впровадження та експлуатації СУІБ.
Сутність поняття "інформаційна безпека".
Сущность понятия «информационная безопасность»
Содержание понятия
В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
Кортеж защиты информации - это последовательность действий для достижения определённой цели.
Информационная безопасность государства [3] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.
В современном социуме информационная сфера имеет две составляющие[4]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
] Стандартизированные определения (для ДЦТД4-1)
Безопасность информации (данных) [1] — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность [2] — защита конфиденциальности, целостности и доступности информации.
1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе ее передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security)[6] — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность информации (при применении информационных технологий) (англ. IT security)[6] — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы [6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.
Дата добавления: 2015-11-14; просмотров: 34 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Детальний розгляд кількісного підходу | | | Существенные признаки понятия |