WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 ||

• нормативно-правовое и методическое обеспечение ИБ;
• лицензирование и сертификация в области ИБ;
• методология оценки возможных угроз;
• создание комплексной системы безопасности информации;
• аудит, консалтинг и аутсорсинг в области защиты информации;
• экономический аспект проблем безопасности;
• персонал и безопасность; формирование корпоративной культуры безопасности.

В этом перечне в том или ином виде присутствуют почти все интересующие нас вопросы. Однако при практическом решении на конкретном предприятии указанных выше задач стандартизации ИБ их «цена» в значительной степени не равнозначна.

Наиболее сложными вопросами являются вопросы методологии исследования конкретных типов угроз, присущих конкретному предприятию, а также оценки связанных с этими угрозами рисков. Здесь специалист по ИБ должен весьма полно и досконально знать все используемые информационные и бизнес-технологии, а также историю информационных и связанных с ними финансовых «провалах», которые происходили на аналогичных предприятиях. По сути дела, исследователь должен уподобиться либо нарушителю7

11

, либо (и) злоумышленнику8

12

. Другими словами, если, например, речь идет о банковской сфере деятельности, то исследователь должен знать реализованные на практике случаи «воровства» денег из банков с использованием высоких технологий.

Вторая группа сложных вопросов связана с упорядочиванием деятельности различного уровня администраторов информационных систем, а также «продвинутых» пользователей, которые имеют (могут получить) широкие административные права. Это - проблема обеспечения контроля за действиями администраторов, а также регламентация их деятельности. Вторая проблема – ограничение возможностей нерегламентированного использования информационной системы «продвинутыми» пользователями.

Третья группа сложных вопросов сосредоточена в теме «Персонал и безопасность. Формирование корпоративной культуры безопасности». Это - проблема руководства предприятия, проблема различного уровня администраторов информационных систем и, наконец, проблема рядовых пользователей.

В процессе обсуждения на различных уровнях перспектив создания некоторых корпоративных стандартов ИБ были выработаны следующие основные требования к будущим стандартам:

1) простота и понятность;

2) непротиворечивость терминов и определений;

3) открытость (под открытостью понимается как возможность развития данного стандарта, так и возможность последующей разработки и интеграции в стандарт документов более низкого уровня — уточняющих, дополняющих и детализирующих положения базового стандарта);

4) стандарт должен быть, по возможности, прямого действия (т.е. не должен требовать для своего применения дополнительных нормативных или распорядительных документов). Требования стандарта должны быть изложены в виде наилучших практик и опыта решения проблем безопасности;

5) стандарт должен быть разработан с учетом стандартов и технических отчетов ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT и ряда других международных документов, стандартизирующих (или представляющих наилучшие практики) область ИБ;

6) стандарт должен содержать механизмы его актуализации.


1 Федеральный закон от 27.12.2002 № 184-ФЗ.

2 См., напр.: Левашов М.В. Безопасность банковских и информационных технологий в расчетной (платежной) системе банка //Расчеты и операционная работа в банке, 2003, № 5.

3 http://www. stp.ru/

4 ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT, а также ряд других международных документов, стандартизирующих (или представляющих наилучшие практики) область информационных технологий.

5 риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (см. сноску 1).

6 Финансовый ущерб, ущерб для имиджа и др.

7 Работника предприятия (например, легального пользователя информационной системы).

8 Не работника предприятия.

9 ФЗ «О техническом регулировании» предусматривает приоритет международных стандартов перед национальными стандартами.

Pages:     | 1 ||



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.