Контрмеры (контроли) - сложившаяся практика, процедуры или механизмы, которые защищают информационные активы от угроз и связанных с ними уязвимостей.
Области возникновения информационных рисков - конфиденциальность, доступность и целостность информации.
Конфиденциальность - защищенность информации от несанкционированного доступа.
Доступность - возможность за приемлемое или допустимое время получить информационную услугу.
Целостность - актуальность и непротиворечивость информации, се защищенность от разрушения и несанкционированного изменения.
Ввод отдельных неверных данных в ИС означает, что произошло нарушение целостности. Неправильные данные не только нарушают актуальность массива данных в целом, но и приводят к противоречию между отдельными элементами данных в массиве, обрабатываемом далее в ИС. Пожар вызывает ущерб в области доступности информации, поскольку частично или полностью выходит из строя ИТ инфраструктура и, следовательно, все или часть пользователей может лишиться необходимой информационной услуги. Кража информации, имеющей высокую ценность для деятельности компании (план слияний и поглощений, например), есть ни что иное, как нарушение в области конфиденциальности, поскольку, попав в руки прямого конкурента, она может привести к значительным финансовым и имиджевым потерям для компании, а возможно и к судебным тяжбам.
1.3 Субъекты информационных отношений
При использовании ИТ технологий в информационных процессах задействованы различные субъекты, имеющие неодинаковое отношение к информационным активам вследствие разницы в занимаемом служебном положении. Поэтому разные категории сотрудников не только несут различную степень ответственность за обеспечение безопасности информационных активов, но по-разному на сотрудниках сказываются последствия нарушения ИБ в областях конфиденциальности, доступности и целостности.
Внутри компании можно выделить следующие основные категории сотрудников по отношению к информационным активам.
Собственник информации- человек или группа лиц, на чьи средства создана и эксплуатируется КИС и кто обладает монопольным правом распоряжаться информационными по своему усмотрению. Этот субъект может не только открыть, передать или продать любую коммерческую информацию, по может ее и полностью уничтожить. Ограничение - он не может свободно распоряжаться теми сведениями, в отношении которых действуют законодательно закрепленные ограничения. Например, некоторые документы не могут быть уничтожены ранее истечения пятилетнего срока хранения, не подлежит раскрытию информация, подпадающая под гриф «Государственная тайна». Некоторые виды персональных данных сотрудников не могут быть разглашены без их согласия, что регулируется действующим законом о персональных данных. Располагая, таким образом, практически неограниченными полномочиями в отношении информации, собственник напрямую должен быть заинтересован в 'том, чтобы обеспечить такой режим ИБ, при котором финансовые и иные риски были бы не выше допустимого уровня.
Владелец информационных активови/или информационных систем это человек, который, будучи сотрудником компании, в рамках своих служебных обязанностей по поручению собственника несет ответственность за безопасное использование информационных активов и/или ИС. Такое поручение может быть в явном виде закреплено, например, в заключаемом сотрудником договоре с собственником. Роль владельца информационных активов состоит не только в том, чтобы не допускать нарушений ИБ в отношении порученной его заботам информации, но также и обеспечивать соответствующие права доступа к информации подчиненным ему сотрудникам и другим лицам для выполнения ими своих бизнес-функций на основе действующей в компании процедуры управления доступом. Владельцами информации являются первый руководитель компании (например, генеральный директор) и руководители структурных подразделений. Они могут делегировать свои права и обязанности в отношении ИБ подчиненным им сотрудникам, но при этом не освобождаются от ответственности за обеспечение установленного режима безопасности.
Владелецопределяет ценность информационных активов и несет за это ответственность. Он принимает решение о применении адекватных рискам контрмер. Владелец может и должен знать об уязвимостях, способных привести к ущербу в результате реализации угроз. Владельцы, в конечном итоге, участвуют в принятии решений по обеспечению ИБ в компании. В случае, если компании нанесен ущерб в результате какого-либо инцидента ИБ (например, разглашение строго
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.