(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Угрозы информационной безопасности. Часть 2. Уязвимости информационных систем

Источник: sec-it
sec-it

Просто тупо применять все подряд средства и методы защиты информации на всех подряд средствах обработки информации нецелесообразно и глупо. Например тратить кучу денег на сертифицированные дорогие межсетевые экраны, анализаторы трафика и т. п., незачем если во внешнюю сеть выходят компьютеры не обрабатывающие критически важную информацию (есть такие способы обработки, но о них я расскажу в следующий раз). В предыдущей статье мы с вами обсудили такой вопрос как Угрозы информационной безопасности. Но для чего мы их определили и классифицировали.

Угрозы информационной безопасности

Все очень просто. Любая угроза может быть реализована если только есть возможность ее реализации. Правильными словами если сказать, то эта возможность называется уязвимостью. Возможно вы встречали данный термин в компьютерных областях, например уязвимости операционной системыили интернет браузера Microsoft Internet Explorer, которые постоянно закрывают в компании Microsoft. Да это те самые уязвимости о которых я говорю, но это понятие намного шире. Уязвимости могут быть также в информационных системах, автоматизированных системах управления технологическими процессами, уязвимость может быть даже в бизнес процессах вашей организации. В связи с этим необходимо выделить какую либо область защиты, к которой вы будете применять средства и меры защиты информации, например бизнес процесс расчета зарплаты, бизнес процесс материально-технического снабжения или например отдел маркетинговых исследований. Выделение бизнес процессов в область защиты на мой взгляд более удобнее чем обозначить один или группу серверов или всю организацию в целом. Области защиты, если их несколько, нужно распределить по важности обрабатываемой в них информации. Кроме того необходимо определить все возможные элементы этой области, назовем их объекты защиты. В качестве объектов защиты могут быть носители информации, сервера, базы данных, люди, каналы связи, персональные компьютеры, помещения и т. д. После того как вы определили область защиты и объекты защиты необходимо применить к ним классифицированные угрозы информационной безопасности с указанными вероятностями их возникновения. Затем по каждой угрозе и по каждому нарушителю необходимо определить уязвимости информационной безопасности которые могут быть в объектах защиты. Например реализация такой угрозы как нарушение доступности сервера базы данных возникшего в результате вирусного заражения возможна через такую уязвимость как наличие выхода в сеть Интернет с этого сервера или уязвимость отсутствия последних обновлений антивирусных баз на данном сервере (объектом защиты в данном случае является сервер с установленной на нем базой данных или сама база данных). Или еще пример реализация такой угрозы как уничтожение критически важных документов в результате пожара через такую уязвимость как отсутствие несгораемого сейфа в помещении бухгалтерии или отсутствие пожарной сигнализации в помещениях (помещение с хранящимися там документами или сами документы в данном случае является объектом защиты). Или вот еще пример - реализация угрозы нарушение конфиденциальности финансовых документов организации возникшее в результате копирования этих документов посторонним лицом по ошибке зашедшим в кабинет бухгалтерии пока там никого не было через такую уязвимость как отсутствие системы контроля доступа в помещение, или неосведомленности и безответственности сотрудников той самой бухгалтерии. Вобщем таких примеров я могу привести множество, да и вы уважаемые коллеги и читатели моего блока это сможете сделать, в связи с этим, дабы не отвлекаться от данной темы, предлагаю перенести обсуждение возможных уязвимостей на одну из тем форума сайта. После определения всех возможных уязвимостей в вашей области защиты необходимо определить их критичность в зависимости от важности информации обрабатываемой в данной области защиты. Критичность лучше всего выражать в по какой-то шкале, например трех или пяти бальной. Например 3 - критичная уязвимость, 2 - средняя уязвимость и 1 - низкая уязвимость. Каждой уязвимости, сопоставленной угрозе, ставится один из уровней критичности. Выбрать этот уровень можно путем опроса специалистов в той или иной области. Например такая уязвимость как отсутствие антивирусного ПО на сервере с установленной операционной системой Linux или на контроллере домена может быть принята низкой т. к. это ни как ни скажется на критически важной информации, уязвимость отсутствия огнетушителя в помещении архива тоже можно принять низкой, уязвимость отсутствия запираемого шкафа в помещении бухгалтерии тоже может быть принята низкой т. к. в этом помещении есть система контроля доступа в помещение, а вот отсутствие разграничения доступа информационной системе в маркетинговом отделе может быть принята высокой, т. к. это может привести к утечке информации с данной системы. В результате у нас должна получится некая матрица с объектами защиты, угрозами информационной безопасности с их вероятностями и нарушителями, и уязвимостями с их критичностями.

Спасибо за внимание, до встречи!

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 15.06.2012 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
TeeBI for RAD Studio Suite with source code single license
Panda Global Protection - ESD версия - на 1 устройство - (лицензия на 1 год)
Microsoft Office для дома и учебы 2019 (лицензия ESD)
DevExpress / DXperience Subscription
Panda Antivirus Pro - Лицензии для SMB - (лицензия на 1 год)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Реестр Windows. Секреты работы на компьютере
Компьютерный дизайн - Все графические редакторы
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Беговая дорожка (3)
Купила беговую дорожку вот здесь https://4gym.com.ua/product/technogym-artis-run Очень классная,...
 
Аналоги виагры (3)
Если мужчине, по каким либо причинам, не подходит виагра, существуют качественные аналоги...
 
работа на дому! (8)
Доброго времени суток дорогие друзья. Многоуровневый маркетинг окончательно признан...
 
Отличается ли ДрифтКазино от беттинга? (16)
Друзья, давно заметил, что на Дрифте уже несколько месяцев во всю рекламируется и предлагается...
 
Актуальное зеркало БК Лигаставок (2)
Актуальное зеркало букмекерской конторы Лигаставок https://superbet.guru/bk-ligastavok-mirror/...
 
 
 



    
rambler's top100 Rambler's Top100