Банк рефератов содержит более 364 тысяч рефератов, курсовых и дипломных работ, шпаргалок и докладов по различным дисциплинам: истории, психологии, экономике, менеджменту, философии, праву, экологии. А также изложения, сочинения по литературе, отчеты по практике, топики по английскому.
Полнотекстовый поиск
Всего работ:
364139
Теги названий
Разделы
Авиация и космонавтика (304)
Административное право (123)
Арбитражный процесс (23)
Архитектура (113)
Астрология (4)
Астрономия (4814)
Банковское дело (5227)
Безопасность жизнедеятельности (2616)
Биографии (3423)
Биология (4214)
Биология и химия (1518)
Биржевое дело (68)
Ботаника и сельское хоз-во (2836)
Бухгалтерский учет и аудит (8269)
Валютные отношения (50)
Ветеринария (50)
Военная кафедра (762)
ГДЗ (2)
География (5275)
Геодезия (30)
Геология (1222)
Геополитика (43)
Государство и право (20403)
Гражданское право и процесс (465)
Делопроизводство (19)
Деньги и кредит (108)
ЕГЭ (173)
Естествознание (96)
Журналистика (899)
ЗНО (54)
Зоология (34)
Издательское дело и полиграфия (476)
Инвестиции (106)
Иностранный язык (62791)
Информатика (3562)
Информатика, программирование (6444)
Исторические личности (2165)
История (21319)
История техники (766)
Кибернетика (64)
Коммуникации и связь (3145)
Компьютерные науки (60)
Косметология (17)
Краеведение и этнография (588)
Краткое содержание произведений (1000)
Криминалистика (106)
Криминология (48)
Криптология (3)
Кулинария (1167)
Культура и искусство (8485)
Культурология (537)
Литература : зарубежная (2044)
Литература и русский язык (11657)
Логика (532)
Логистика (21)
Маркетинг (7985)
Математика (3721)
Медицина, здоровье (10549)
Медицинские науки (88)
Международное публичное право (58)
Международное частное право (36)
Международные отношения (2257)
Менеджмент (12491)
Металлургия (91)
Москвоведение (797)
Музыка (1338)
Муниципальное право (24)
Налоги, налогообложение (214)
Наука и техника (1141)
Начертательная геометрия (3)
Оккультизм и уфология (8)
Остальные рефераты (21692)
Педагогика (7850)
Политология (3801)
Право (682)
Право, юриспруденция (2881)
Предпринимательство (475)
Прикладные науки (1)
Промышленность, производство (7100)
Психология (8692)
психология, педагогика (4121)
Радиоэлектроника (443)
Реклама (952)
Религия и мифология (2967)
Риторика (23)
Сексология (748)
Социология (4876)
Статистика (95)
Страхование (107)
Строительные науки (7)
Строительство (2004)
Схемотехника (15)
Таможенная система (663)
Теория государства и права (240)
Теория организации (39)
Теплотехника (25)
Технология (624)
Товароведение (16)
Транспорт (2652)
Трудовое право (136)
Туризм (90)
Уголовное право и процесс (406)
Управление (95)
Управленческие науки (24)
Физика (3462)
Физкультура и спорт (4482)
Философия (7216)
Финансовые науки (4592)
Финансы (5386)
Фотография (3)
Химия (2244)
Хозяйственное право (23)
Цифровые устройства (29)
Экологическое право (35)
Экология (4517)
Экономика (20644)
Экономико-математическое моделирование (666)
Экономическая география (119)
Экономическая теория (2573)
Этика (889)
Юриспруденция (288)
Языковедение (148)
Языкознание, филология (1140)

Реферат: Как обосновать затраты на информационную безопасность

Название: Как обосновать затраты на информационную безопасность
Раздел: Рефераты по информатике
Тип: реферат Добавлен 23:11:16 28 июня 2011 Похожие работы
Просмотров: 55 Комментариев: 21 Оценило: 2 человек Средний балл: 5 Оценка: неизвестно     Скачать

Как обосновать затраты на информационную безопасность?

Перепечатано с любезного разрешения ОАО ИнфоТеКС Интернет Траст
Исходный текст находится здесь .

Уровни зрелости компании

Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

  • 0 уровень :
    • ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
    • Финансирование отсутствует;
    • ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
  • 1 уровень :
    • ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
    • Финансирование ведется в рамках общего ИТ-бюджета;
    • ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
  • 2 уровень :
    • ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
    • Финансирование ведется в рамках отдельного бюджета;
    • ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
  • 3 уровень :
    • ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
    • Финансирование ведется в рамках отдельного бюджета;
    • ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.

Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Ко второй категории относятся штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.

Анализ риска

В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 последовательных этапов:

1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);

2. Категорирование ресурсов;

3. Построение модели злоумышленника;

4. Идентификация, классификация и анализ угроз и уязвимостей;

5. Оценка риска;

6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

  • Информационные ресурсы (конфиденциальная и критичная информация компании);
  • Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
  • Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
  • Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

параметр/значение

критичный

существенный

незначительный

строго конфиденциальный

7

6

5

конфиденциальный

6

5

5

для внутреннего пользования

5

4

3

открытый

4

3

2


Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:

  • Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
  • Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
  • Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
  • Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
  • Время действия (постоянно, в определенные временные интервалы);
  • Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.

Угрозы классифицируются по следующим признакам:

  • наименование угрозы;
  • тип злоумышленника;
  • средства реализации;
  • используемые уязвимости;
  • совершаемые действия;
  • частота реализации.

Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух параметров:

  • Значимость ресурса;
  • Частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.

Накопление статистики по инцидентам

Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новых или изменения существующих технологий защиты является определение параметра "частота реализации угрозы". Единственный путь получения объективных значений этого параметра - накопление статистики по инцидентам. Накопленная статистика, например, за год позволит определить количество реализаций угроз (определенного типа) на ресурс (определенного типа). Работу по накоплению статистики целесообразно вести в рамках процедуры обработки инцидентов.

Процедура обработки инцидентов состоит из следующих процессов:

  • идентификация нарушения;
  • фиксация нарушения;
  • принятие решения об обработке инцидента;
  • регистрация инцидента;
  • назначение исполнителей;
  • сопровождение обработки инцидента;
  • фиксация действий и результатов расследования;
  • определение ущерба;
  • закрытие процесса.

Накопление статистики по инцидентам помимо получения объективных данных, необходимых для обоснования вложений в ИБ, позволяет оценить эффективность функционирования СОИБ. Накопленная за определенный временной интервал статистика позволяет отследить общую тенденцию в сторону уменьшения или увеличения количества инцидентов.

Заключение

Таким образом, процесс внедрения и модернизации СОИБ будет принят и одобрен руководством, если:

  • компания имеет утвержденную руководством программу развития СОИБ;
  • применяется процедура анализ риска;
  • существуют процедуры обработки и учета инцидентов нарушения ИБ.
Оценить/Добавить комментарий
Имя
Оценка
Комментарии:
Хватит париться. На сайте FAST-REFERAT.RU вам сделают любой реферат, курсовую или дипломную. Сам пользуюсь, и вам советую!
Никита06:03:52 04 ноября 2021
.
.06:03:50 04 ноября 2021
.
.06:03:47 04 ноября 2021
.
.06:03:45 04 ноября 2021
.
.06:03:43 04 ноября 2021

Смотреть все комментарии (21)
Работы, похожие на Реферат: Как обосновать затраты на информационную безопасность

Назад
Меню
Главная
Рефераты
Благодарности
Опрос
Станете ли вы заказывать работу за деньги, если не найдете ее в Интернете?

Да, в любом случае.
Да, но только в случае крайней необходимости.
Возможно, в зависимости от цены.
Нет, напишу его сам.
Нет, забью.



Результаты(293955)
Комментарии (4226)
Copyright © 2005-2022 HEKIMA.RU [email protected] реклама на сайте