Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебник 234.docx
Скачиваний:
41
Добавлен:
30.04.2022
Размер:
529.83 Кб
Скачать
►Содержание►

2.2. Стандарт СоbiТ

Концепция СоbiТ является продуктом независимой международной ассоциации аудита и управления информационными системами ISACA [13,23].

Ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления, обеспечению режима ИБ.

Разработанный документ называется СоbiТ и состоит из четырех частей:

1) краткое описание концепции, положенной в основу;

2) определения и основные понятия, где определяются основные управляющие процессы для информационной технологии и требования к ним;

3) спецификации управляющих процессов и возможные инструменты воздействия;

4) рекомендации по выполнению аудита информационной технологии.

Модель управления СоbiТ описывает универсальную модель управления информационной технологией [40]. В модели присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, которые группируются следующим образом:

требования к качеству технологии  показатели качества, стоимость, характеристики доставки. Показатели качества должны подробно описывать возможные негативные аспекты, которые в обобщенном виде входят в целостность и доступность. Кроме того, включаются и показатели, относящиеся к субъективным аспектам: стиль, удобство интерфейсов и др. Характеристики доставки  показатели, в обобщенном виде входящие в доступность и частично конфиденциальность и целостность. Данная система показателей используется при управлении рисками и оценке эффективности информационной технологии;

доверие к технологии  соответствие принятым стандартам и требованиям, достоверность информации, действенность;

показатели ИБ  конфиденциальность, целостность, доступность. Обобщенные показатели для технологии, зависящие от соответствующих показателей качества;

Любая работающая информационная технология проходит следующие стадии жизненного цикла: а) планирование и организация, б) приобретение и ввод в действие, в) доставка и поддержка, г) мониторинг за процессами.

Всего выделяется 34 основные задачи, связанные с ресурсами информационных технологий и оказывающие воздействие на отдельные свойства информации, потребляемой бизнес-процессом. Кроме традиционных свойств информации: конфиденциальность, целостность, доступность. В данной модели используется еще четыре свойства  действенность, эффективность, соответствие формальным требованиям, достоверность.

2.3. Стандарт score

SCORE является совместным проектом института SANS и Центра безопасности Интернет (CIS). Различные организации объединились в рамках проекта SCORE для разработки базового множества практических стандартов по обеспечению безопасности для различных операционных платформ. Требования и рекомендации широко обсуждаются и проверяются участниками проекта SCORE, и только после этого передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства для оценки соответствия операционных платформ предложенным стандартам [60]. Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.

Методика оценки рисков, предложенная институтом SANS, прежде всего, связана с возможностью осуществления сетевых воздействий. Воздействия разной степени критичности требуют разного уровня реагирования (рис.2.1).

Рис. 2.1. Схема зависимости свойств системы обработки информации при оценке риска по методике SANS

Критичность воздействия определяется величиной риска, связанного с ее осуществлением, который определяется вероятностью успешной реализации этого воздействия и величиной потенциального ущерба.

Величина ущерба определяется критичностью ресурсов, на которые направлено воздействие.

Вероятность успешного осуществления воздействия определяется эффективностью методов и величиной уязвимости.

Величина уязвимости определяется эффективностью контрмер системного и сетевого уровня, используемых для противодействия данному виду угроз.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности