Научная литература
booksshare.net -> Добавить материал -> Экономика -> Гусев В.С. -> "Экономика и организация безопасности хозяйствующих субъектов" -> 44

Экономика и организация безопасности хозяйствующих субъектов - Гусев В.С.

Гусев В.С., Кузин Б. И., Медников М. Д., Соколицын А. С. Степашин С. В., Федотов А. В., Шульц В. Л. Экономика и организация безопасности хозяйствующих субъектов: Учебник — СПб.: ИД «Очарованный странник», 2001. — 256 c.
ISBN 5-299-00119-3
Скачать (прямая ссылка): econiorg_bezopas.pdf
Предыдущая << 1 .. 38 39 40 41 42 43 < 44 > 45 46 47 48 49 50 .. 70 >> Следующая

Так, западноевропейские фирмы, производящие оборудование для банковских систем защиты, придерживаются такой приоритетности объективных и искусственных угроз, правда, по весьма ограниченному кругу объектов защиты [37]:
для сейфовых комнат, хранилищ ценностей, компьютерных банков данных — защита от чрезвычайных обстоятельств
1 Зарубежные фирмы расходуют значительные суммы (по отдельным данным — до 15% средств из чистой прибыли) на компенсацию потерь, вызванных неполадками вычислительной техники.
147
(пожаров, аварий, терроризма), от несанкционированного доступа и краж;
для операционных залов — защита от несанкционированной записи или считывания информации, от чрезвычайных ситуаций.
Данный подход позволяет дифференцированно подойти к распределению ресурсов на обеспечение информационной безопасности.
В ранжировании угроз по частоте их проявления можно использовать мнения экспертов [37,44]: (1) копирование и кража программного обеспечения; (2) несанкционированный ввод информации в базу данных предприятия; (3) модификация или уничтожение информационных файлов на магнитных носителях; (4) кража (съем) конфиденциальной информации; (5) несанкционированное использование ресурсов компьютерной системы предприятия; (6) несанкционированный доступ к конфиденциальной информации.
Количественные оценки вероятности риска экономических потерь от проявления различных угроз те же эксперты оценивают следующим образом (% от общих годовых потерь): потери от несанкционированного доступа к конфиденциальной информации — 48; непредсказуемые потери (технологические ошибки, отказы) — 35; потери от вирусных атак — 15; остальные потери — 2. Отсюда видно, что все-таки наибольшей приоритетностью в принятии эффективных защитных мер обладают угрозы информационной безопасности вообще (2/3 всех потерь) и несанкционированного доступа к конфиденциальной информации в частности. Поэтому организация системы защиты конфиденциальной информации чрезвычайно важна.
Можно предложить следующий подход, предусматривающий конкретизацию этапов анализа риска угроз, но уже по отношению к системе защиты конфиденциальной информации:
148
постановка задач защиты;
планирование организации защиты;
синтез и структурная оптимизация системы защиты;
практическая реализация предпочтительного (оптимального) варианта системы защиты конфиденциальной информации, реализация и поддержка политики безопасности.
Исходные данные для формирования системы и постановки задач защиты конфиденциальной информации как совокупности правовых, организационных, информационно-программных и технических мер таковы:
априорные требования об уровнях безопасности конфиденциальной информации;
характеристика сфер распространения конфиденциальной информации, циркулирующей на предприятии;
эксплуатационные характеристики (в том числе надежностные и стоимостные) элементов программного и технического обеспечения системы защиты;
затраты, планируемые предприятием на организацию защиты конфиденциальной информации.
Формулируемые в сложившейся теории [17,19,20,33] требования к организации системы защиты связывают с неуязвимостью информации. Она предполагает определенное сочетание трех свойств защищаемой информации: конфиденциальности, целостности, готовности.
Свойство конфиденциальности означает, что засекреченная информация должна быть доступна только тем пользователям, которым она предназначена. Целостность: информация, на основе которой принимаются решения, должна быть достоверной и полной, защищена от возможных непреднамеренных и злоумышленных искажений. Готовность: информация должна быть доступна соответствующим службам в виде, предполагающем ее использование в решении управленческих задач. Отсутствие хотя бы одного из этих свойств и будет означать уязвимость системы защиты.
149
Определение априорных требований к защите, обеспечивающей неуязвимость (конфиденциальность) информации, можно свести к выбору класса защищенности, соответствующего специфическим особенностям предприятия — объекта защиты и допустимым сферам циркуляции его конфиденциальной информации. Каждый класс характеризуется определенной минимальной совокупностью требований к защите:
7-й класс содержит только самые необходимые требования и наилучшим образом подходит для хозяйствующих субъектов, находящихся на начальных этапах автоматизации сбора и обработки информации и организации системы защиты;
6-й класс включает требования к защите рабочих станций локальной вычислительной сети, в которой технология обработки данных не предусматривает передачи данных по внешним каналам связи;
5-й класс описывает требования к системам защиты, применяемым в автоматизированных комплексах с распределенной обработкой данных;
4-й класс предназначен для обеспечения защиты в автоматизированных комплексах, применяющих электронные платежи в межбанковских расчетах и (или) в системе «банк-клиент», характеризуется обеспечением целостности архивов электронных документов;
3-й класс: системы, отвечающие требованиям этого класса защиты, характеризуются большим числом субъектов и объектов доступа;
Предыдущая << 1 .. 38 39 40 41 42 43 < 44 > 45 46 47 48 49 50 .. 70 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed