(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Угрозы информационной безопасности. Часть 2. Уязвимости информационных систем

Источник: sec-it
sec-it

Просто тупо применять все подряд средства и методы защиты информации на всех подряд средствах обработки информации нецелесообразно и глупо. Например тратить кучу денег на сертифицированные дорогие межсетевые экраны, анализаторы трафика и т. п., незачем если во внешнюю сеть выходят компьютеры не обрабатывающие критически важную информацию (есть такие способы обработки, но о них я расскажу в следующий раз). В предыдущей статье мы с вами обсудили такой вопрос как Угрозы информационной безопасности. Но для чего мы их определили и классифицировали.

Угрозы информационной безопасности

Все очень просто. Любая угроза может быть реализована если только есть возможность ее реализации. Правильными словами если сказать, то эта возможность называется уязвимостью. Возможно вы встречали данный термин в компьютерных областях, например уязвимости операционной системыили интернет браузера Microsoft Internet Explorer, которые постоянно закрывают в компании Microsoft. Да это те самые уязвимости о которых я говорю, но это понятие намного шире. Уязвимости могут быть также в информационных системах, автоматизированных системах управления технологическими процессами, уязвимость может быть даже в бизнес процессах вашей организации. В связи с этим необходимо выделить какую либо область защиты, к которой вы будете применять средства и меры защиты информации, например бизнес процесс расчета зарплаты, бизнес процесс материально-технического снабжения или например отдел маркетинговых исследований. Выделение бизнес процессов в область защиты на мой взгляд более удобнее чем обозначить один или группу серверов или всю организацию в целом. Области защиты, если их несколько, нужно распределить по важности обрабатываемой в них информации. Кроме того необходимо определить все возможные элементы этой области, назовем их объекты защиты. В качестве объектов защиты могут быть носители информации, сервера, базы данных, люди, каналы связи, персональные компьютеры, помещения и т. д. После того как вы определили область защиты и объекты защиты необходимо применить к ним классифицированные угрозы информационной безопасности с указанными вероятностями их возникновения. Затем по каждой угрозе и по каждому нарушителю необходимо определить уязвимости информационной безопасности которые могут быть в объектах защиты. Например реализация такой угрозы как нарушение доступности сервера базы данных возникшего в результате вирусного заражения возможна через такую уязвимость как наличие выхода в сеть Интернет с этого сервера или уязвимость отсутствия последних обновлений антивирусных баз на данном сервере (объектом защиты в данном случае является сервер с установленной на нем базой данных или сама база данных). Или еще пример реализация такой угрозы как уничтожение критически важных документов в результате пожара через такую уязвимость как отсутствие несгораемого сейфа в помещении бухгалтерии или отсутствие пожарной сигнализации в помещениях (помещение с хранящимися там документами или сами документы в данном случае является объектом защиты). Или вот еще пример - реализация угрозы нарушение конфиденциальности финансовых документов организации возникшее в результате копирования этих документов посторонним лицом по ошибке зашедшим в кабинет бухгалтерии пока там никого не было через такую уязвимость как отсутствие системы контроля доступа в помещение, или неосведомленности и безответственности сотрудников той самой бухгалтерии. Вобщем таких примеров я могу привести множество, да и вы уважаемые коллеги и читатели моего блока это сможете сделать, в связи с этим, дабы не отвлекаться от данной темы, предлагаю перенести обсуждение возможных уязвимостей на одну из тем форума сайта. После определения всех возможных уязвимостей в вашей области защиты необходимо определить их критичность в зависимости от важности информации обрабатываемой в данной области защиты. Критичность лучше всего выражать в по какой-то шкале, например трех или пяти бальной. Например 3 - критичная уязвимость, 2 - средняя уязвимость и 1 - низкая уязвимость. Каждой уязвимости, сопоставленной угрозе, ставится один из уровней критичности. Выбрать этот уровень можно путем опроса специалистов в той или иной области. Например такая уязвимость как отсутствие антивирусного ПО на сервере с установленной операционной системой Linux или на контроллере домена может быть принята низкой т. к. это ни как ни скажется на критически важной информации, уязвимость отсутствия огнетушителя в помещении архива тоже можно принять низкой, уязвимость отсутствия запираемого шкафа в помещении бухгалтерии тоже может быть принята низкой т. к. в этом помещении есть система контроля доступа в помещение, а вот отсутствие разграничения доступа информационной системе в маркетинговом отделе может быть принята высокой, т. к. это может привести к утечке информации с данной системы. В результате у нас должна получится некая матрица с объектами защиты, угрозами информационной безопасности с их вероятностями и нарушителями, и уязвимостями с их критичностями.

Спасибо за внимание, до встречи!

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 15.06.2012 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
ABBYY Lingvo x6 Многоязычная Домашняя версия, электронный ключ
IBM Domino Messaging Client Access License Authorized User License + SW Subscription & Support 12 Months
WinRAR 5.x 1 лицензия
Stimulsoft Reports.Ultimate Single License Includes one year subscription
Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 10-14 Node 1 year Base License
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Corel DRAW - от идеи до реализации
ЕRP-Форум. Творческие дискуссии о системах автоматизации
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100