Читайте также:
|
Целью определения требований безопасности является, начиная с бизнес-процессов, решить для каждого зарегистрированного ИТ-приложения, включая их данные, какие требования безопасности для конфиденциальности, целостности и доступности. Эти требования безопасности ориентированы на потенциальные нарушения, связанные с неблагоприятным воздействием на ИТ-приложение и поэтому на соответствующие бизнес-процессы.
Так как требования безопасности обычно неисчислимы, то IT-Grundschutz делит требования безопасности на три категории:
| Категории требований безопасности | |
| "нормальный" | Влияние любой потери или нарушения ограниченное и измеримое |
| "высокий" | Влияния любой потери или нарушения может быть значительным |
| "очень высокий" | Влияние любой потери или нарушения может достигать катастрофических размеров, которые могут угрожать существованию |
Следующие шаги описывают, как определить соответствующую категорию требований безопасности для бизнес-процесса и соответствующих ИТ-приложений.
Шаг 1: Определение категорий требований безопасности
Повреждения, которые могут произойти, если конфиденциальность, целостность или доступность будут потеряны для определенного бизнес-процесса или для ИТ-приложения, включая его данные, обычно могут соответствовать следующему сценарию:
• Нарушения законов, нормативов, контрактов;
• Снижение информационного самоопределения;
• Физические повреждения;
• Нарушение выполнения обязанностей;
• Отрицательное внутреннее или внешнее влияние;
• Финансовые последствия.
Часто, единственный случай потери или нарушения может вовлечь несколько категорий повреждений. Поэтому, напр., сбой может препятствовать выполнению важного ИТ-приложения, что приведет к финансовым потерям и поэтому к потере репутации.
Чтобы различать "нормальную", "высокую" и "очень высокую" категории требований безопасности, может быть уместным определить границы для отдельных сценариев повреждения. Следующие таблицы используются для определения потенциальных повреждений и их последствий для каждого требования безопасности. Каждая организация должна откорректировать эти таблицы под собственные условия.
| Требования безопасности категории "нормально" | |
| 1. Нарушение законов, нормативов или контрактов | Нарушение нормативов и законов с минимальными последствиями; ‑ Минимальные нарушения контракта, которые влекут незначительные договорные неустойки. |
| 2. Снижение прав на информационное самоопределение | ‑ Снижение прав на информационное самоопределение расценивается человеком как терпимое; ‑ Возможное злоупотребление человеком, имеющим отношение к данным, имеет минимальное влияние на социальное или финансовое положение заинтересованных лиц. |
| 3. Физические повреждения | ‑ Не кажется возможным |
| 4. Нарушение выполнения обязанностей | ‑ Нарушение расценивается как терпимое заинтересованными лицами; ‑ Максимально допустимое время простоя больше 24 часов. |
| 5. Отрицательное внутреннее или внешнее влияние | ‑ Минимальное снижение репутации / доверия, в пределах учреждения / предприятия. |
| 6. Финансовые последствия | ‑ Финансовые потери приемлемы для организации. |
| Требования безопасности категории "высоко" | |
| 1. Нарушение законов, нормативов или контрактов | ‑ Нарушение нормативов и законов со значительными последствиями; ‑ Большинство нарушений контракта влекут значительные договорные неустойки. |
| 2. Снижение прав на информационное самоопределение | ‑ Возможно значительное снижение прав индивидуальных прав на информационное самоопределение; ‑ Возможное злоупотребление данными, связанными с людьми, будет иметь значительное влияние на социальное или финансовое положение заинтересованных лиц. |
| 3. Физические повреждения | ‑ Физические повреждения отдельных лиц не исключаются. |
| 4. Нарушение выполнения обязанностей | ‑ Нарушение выполнения обязанностей расценивается нетерпимое некоторыми заинтересованными лицами; ‑ TМаксимально допустимое время простоя от1 до 24 часов. |
| 5. Отрицательное внутреннее или внешнее влияние | ‑ Возможно значительное снижение репутации / доверия. |
| 6. Финансовые последствия | ‑ Финансовые потери значительные, но организация может выжить. |
| Требования безопасности категории "очень высоко" | |
| 1. Нарушение законов, нормативов или контрактов | ‑ Очень значительные нарушения нормативов и законов; ‑ Нарушения контрактов с губительными последствиями. |
| 2. Снижение прав на информационное самоопределение | ‑ Возможно особенно существенное нарушение прав человека на информационное самоопределение; ‑ Возможные злоупотребления данными о людях означают социальный или финансовый крах заинтересованных лиц. |
| 3. Физические повреждения | ‑ Возможны серьезные повреждения отдельных лиц; ‑ Опасность для жизни и частей тела. |
| 4. Нарушение выполнения обязанностей | ‑ Нарушение выполнения обязанностей расценивается как недопустимое всеми заинтересованными лицами; ‑ Максимально допустимое время простоя менее часа. |
| 5. Отрицательное внутреннее или внешнее влияние | ‑ Возможна потеря репутации / доверия в масштабах нации или государства, возможно даже угроза существованию учреждения / компании. |
| 6. Финансовые последствия | ‑ Учреждение / компания возможно не сможет выжить вследствие финансовых потерь. |
Дата добавления: 2015-11-14; просмотров: 37 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Регистрация участков | | | Кастомизация таблицы назначений |