Проект "ИТ-Защита"

Процесс оценки состоит из получения исходных данных для оценки, самой оценки и задачи оформления результатов оценки. На рис.1 дается общее представление о взаимосвязи этих задач и подвидов деятельности по оценке.

Рассмотренные в ч.1 настоящей работы методические рекомендации предлагают при планировании защиты информации исчислять затраты на информационную безопасность (ИБ) пропорционально размерам возможных собственных потерь от утечки или утраты информации (нарушении политики безопасности).

Многие руководители служб автоматизации (СIO) и служб информационной безопасности (CISO) наверняка задавались вопросами: Как оценить эффективность планируемой или существующей корпоративной системы защиты информации? Как оценить эффективность инвестиционного бюджета на информационную безопасность (ИБ) компании? В какие сроки окупятся затраты компании на ИБ? Как экономически эффективно планировать бюджет компании на ИБ и управлять им? Попробуем найти возможные ответы на эти вопросы.

Введение
Большинство предприятий тратят на безопасность продукта своей деятельности определенный фиксированный процент прибыли. Часть вложенных на безопасность средств в этот продукт не возвращается в виде прибыли. Можно видеть, что безопасность это не продукт, а процесс. Поэтому для решения подобной проблемы можно посмотреть на безопасность как на управление рисками. Цель управления рисками заключается в балансе рисков для деятельности предприятия, снижая потенциальные угрозы. Необходимость в методе управления рисками, который бы позволил точно и надежно измерять параметры безопасности продукта и получать максимальную отдачу средств, вложенных на его безопасность, по-прежнему велика [1].

Информационная безопасность определяется выполнением требований известной «триады»: конфиденциальности, целостности и доступности.

ФОРМАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КРИТИЧНЫХ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

Рассмотрена модель информационных технологий критичных ИИС на основе предоставления прав в виде мандатного доступа к объектам комплексных измерений, модифицированная для военных и ядерных приложений. Представлены основные предположения и ограничения для данного вида модификаций. Предложена неформализованная модель описания процессов предоставления прав для систем подобного класса.