Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Об информационной безопасности операторского класса



Большое значение в решении рассматриваемой задачи играет мотивация топ-менеджмента. Обычно при планировании мероприятий по обеспечению ИБ и выделении соответствующего финансирования преобладают следующие мотивы:

мнение руководителей других компаний;

требования федерального законодательства, изложенные в интерпретации различных специалистов и «толкователей»;

собственные представления о предмете;

реализация принципа «как у других операторов»;

рекомендации стандартов и лучших практик, предложенные в интерпретации своих и «чужих» специалистов;

обоснованные расчетные характеристики собственных информационных рисков.

Все эти аргументы имеют право на существование, однако реализация последнего из них, оказывающего существенное влияние на эффективность бизнеса и капитализацию компании, находится в зачаточном состоянии. Большинство специалистов по-прежнему оценивают информационные риски в качественных характеристиках (например, большой, средний, малый риск или критичные, некритичные информационные системы и т.д.). Однако для оценки эффективности затрат на обеспечение ИБ необходимы более точные количественные характеристики. Единственным способом получения обоснованных оценок является, на наш взгляд, расчет информационных рисков, исходя из определения понятия «риск», приведенного, например, в Федеральном законе от 27.12.2002 г. «О техническом регулировании»: «…вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

Переводя это определение в математическую форму, получаем (в случае применения простейшей математической модели, учитывающей только уровень средних величин) формулу для оценки риска от несанкционированных действий (атаки) внешнего (для оператора) злоумышленника или внутреннего нарушителя. Риск – это средняя величина ущерба, возникшего в результате успешной реализации злоумышленником (нарушителем) атаки. Он вычисляется как произведение величины ущерба, выраженного в денежной форме, на вероятность успешной реализации атаки. При использовании такой методики задача расчета рисков сводится к оценке двух параметров – величины ущерба и вероятности успешной реализации атаки. Трудоемкость их оценки зависит от моделирования информационных атак и методов оценки ущерба. Указанные параметры должны оцениваться специалистами оператора (либо аудиторами, аутсорсерами и пр.) с учетом конкретных особенностей его деятельности. Однако существуют и общеизвестные операторские информационные (базовые) риски, информация о которых периодически появляется в средствах массовой информации. Защита от подобных рисков должна обеспечиваться путем реализации оператором связи базового уровня ИБ. В чем же состоят базовые риски и чем характеризуется базовый уровень ИБ?

Главная страница / Архитектура отрасли