Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Информационная безопасность и защищенность
информационных систем


Определение причин возникновения уязвимостей всех уровней по ГОСТ Р ИСО/МЭК 15408-3-2002:

Упущенные условия конфиденциальности в трудовых контрактах, отсутствие планов и инструкций действий персонала в нештатных ситуациях, нечеткие правила работы в информационной системе, и, наконец, неуловимый "человеческий" фактор могут обесценить все прочие усилия по защите ИС. Это подтверждают многочисленные исследование по информационной безопасности - нарушение сотрудниками правил пользования информационными системами занимает 2(!) место после вирусов, троянов и Интернет-червей. Последний пример - оптовая торговая компания постоянно теряла своих самых крупных клиентов, т.к. вся электронная почта проходила через транзитный почтовый сервер, контролируемый конкурентом. Обнаружение и устранение уязвимости стало возможным лишь при сопоставлении сведений о структуре информационной системы и информационных потоках, детальных настройках конфигурационных файлов с реальной организацией текущих бизнес-процессах. Естественно, традиционные полицейские методы не могли выявить причину утечки информации.

Следует заметить, что инструментальный аудит является необходимым, но недостаточным для качественного исследования существующего уровня информационной безопасности предприятия, т.к. не выходит за рамки оценки обеспечения защищенности технических средств ИС и его проведение для полноты функциональности следует совмещать с проверкой верхних уровней обеспечения защищенности бизнес-процессов организационными мерами, отвечающими требованиям политики безопасности предприятия. Опыт показывает, что разработка совершенной документации организационного уровня и, в частности, разработка жестких регламентов значительно снижает необходимость постоянного обучения и повышения квалификации персонала, т.к. четко определяет конкретность действий персонала в любой ситуации и минимизирует "стихийность" действий в нештатных, позволяя при необходимости вносить уточнения и корректировки, что, в целом, также соответствует целям управления, функционирования и развития предприятия в безопасной информационной среде. Организация и построение идеальной системы информационной безопасности всегда останется желанной, но недостижимой целью, но знания, при достижении определенной массы, обладают свойством приобретать новые качества и достаточно своевременно воспользоваться ими для получения вполне приемлемого уровня обеспечения информационной безопасности любой IT-системы

В.Б.

Страница 1 2 3 4 5

© Центр Сетевой Безопасности Арнис, 2005

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница