Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Информационная безопасность и защищенность
информационных систем


Естественный вопрос об основе для уверенности в том, что продукт или система ИТ выполняют цели безопасности можно разрешить, обратившись к знаниям и практике, отраженным в мировых стандартах и их отечественных аналогах.

Бессмысленно подвергать сомнению принятый способ достижения доверия, чтобы не лишиться единственной точки опоры в вопросе оценки уровня защищенности информационной системы, но и не следует уповать на достижение абсолютного уровня безопасности, т.к. пытливые умы постоянно работают и над обратной задачей, как неотъемлемой и противоположной, если вспомнить основы философии.

Применение предложенных методов в комплексе позволит приблизить реальную защищенность информационной системы к желаемой, т.к. среди методик есть и схожие с действиями злоумышленников, вопрос лишь в степени и различии мотиваций последнего и имитирующего его действия аудитора, причем каждый из них может обладать своими преимуществами. Это хороший способ оценки их возможностей, устойчивости собственной информационной системы и безопасности бизнеса в целом.

Обратимся к статистике. При традиционных способах вооруженных ограблений "средняя выручка" составляет чуть больше 20 тыс. долларов, в виртуальном мире она превышает 500 тыс.(!) без применения явных угроз жизни и при существенно меньшей степени уголовной ответственности.

Достижения уличных карманников едва обеспечивают им прожиточный минимум, а успехи мошенников с кредитными карточками уже приближаются к уровню традиционных банковских ограблений и тоже без тяжелых "накладных расходов" в виде наказаний национальных уголовных кодексов.

Однако самые выдающиеся "достижения" происходят независимо от среды и осуществляются, как правило, с участием сотрудников компаний, владеющих ключевой информацией.

ГОСТ Р ИСО/МЭК 15408-3-2002 "обеспечивает доверие с использованием активного исследования. Активное исследование – оценка продукта или системы ИТ, позволяющая определить его свойства безопасности", а оценка является традиционным способом достижения доверия. "Методы оценки, в частности, могут включать в себя:

а) анализ и проверку процессов и процедур;
б) проверку, что процессы и процедуры действительно применяются;
в) анализ соответствия между представлениями проекта ОО*;
г) анализ соответствия представления проекта ОО требованиям;
д) верификацию доказательств;
е) анализ руководств;
ж) анализ разработанных функциональных тестов и полученных результатов;
з) независимое функциональное тестирование;
и) анализ уязвимостей, включающий предположения о недостатках безопасности;
к) тестирование проникновения."

* - Объект оценки

Как видно, между плоскостью формального обеспечения безопасности и плоскостью наступления уголовного преследования существует пространство мотиваций неправомерных действий и это куда большая пропасть, чем белые пятна в дарвиновской теории эволюции, на что и следует обратить внимание служб обеспечения информационной безопасности.

Богатый опыт в обеспечении физической безопасности современные службы безопасности вынуждены обогащать новыми знаниями в несвойственной сфере информационной безопасности виртуального мира.

Страница 1 2 3 4 5

© Центр Сетевой Безопасности Арнис, 2005

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница