Читайте также:
|
|
Чтобы определить требования защиты для ИТ-системы, сначала должны быть рассмотрены ИТ-приложения, которые напрямую относятся к ИТ-системе. Обзор, какие ИТ-приложения значимы, был подготовлен на предыдущем шаге "Документирование информации об ИТ-приложениях и относящейся к ним информации".
Чтобы определить требования безопасности ИТ-системы, следует в целом рассмотреть потенциальный ущерб соответствующим ИТ-приложениям. Ущерб или полное разрушение с наиболее серьезным влиянием определяет требования безопасности ИТ-системы (принцип максимума).
При изучении возможного ущерба и его последствия, должно быть понятно, что ИТ-приложения ИТ-системы могут использовать результаты других ИТ-приложений как свои входные данные. Очевидно, менее важное ИТ-приложение А может стать значительно важнее, если другое, важное, ИТ-приложение В зависит от результатов А. В этом случае требования безопасности, определенные для ИТ-приложения В должны также распространяться на ИТ-приложение А. Если эти ИТ-приложения находятся в разных ИТ-системах, то требования безопасности одной ИТ-системы должны распространяться на другую (соблюдение зависимостей).
Если несколько ИТ-приложений или информация об ИТ-системе обрабатываются и накапливаются (например, более маленькие), вредные события в одной ИТ-системе приводят к большому общему повреждению. В этом случае, требования безопасности ИТ-системы соответственно повышаются (совокупный эффект).
Пример: все ИТ-приложения требуемые для записи данных клиента находятся на одном сетевом сервере. Вред в случае сбоя этого ИТ-приложения был оценен как низкий, однако, есть достаточно альтернатив. Но, если произойдет сбой на сервере (и поэтому также на всех ИТ-приложениях), общий ущерб будет значительно больше. Организация может быть не в состоянии далее выполнять свою роль в таких обстоятельствах. Поэтому требования безопасности этих "центральных" компонент также должны быть выше.
Противоположный эффект тоже может быть. Поэтому возможно для ИТ-приложения иметь высокие требования безопасности, но его требования безопасности не распространяются на рассматриваемую ИТ-систему, т.к. только незначительная часть ИТ-приложения работает в этой ИТ-системе (эффект распространения).
Примеры: Эффект распространения в основном возникает для обеспечения доступности основных ценностей. Поэтому, напр., там, где ИТ-системы разработаны избыточным образом, требования безопасности отдельных компонент могут быть ниже, чем для всего приложения. Эффект распространения также возможен для конфиденциальности. Если можно гарантировать, что клиент получает только некритические данные из высоко конфиденциального приложения базы данных, клиент, в отличие от сервера базы данных, имеет только низкие требования безопасности.
Дата добавления: 2015-11-14; просмотров: 33 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Кастомизация таблицы назначений | | | Представление результатов |