SecuRRity.Ru » Облако тегов » стандарт
Международный стандарт безопасности ISO 17799
автор: Administrator | 23 марта 2009, 01:05 | Просмотров: 15902теги: ISO, 17799, Информация, Безопасность, стандарт, система, защита
Критерии оценки защищенности информационных систем
Какой вопрос наиболее часто задают IT-менеджеры специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько защищена наша информационная система?".
Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать специалисты по обеспечению информационной безопасности. И действительно оценить защищенность информационной системы достаточно сложно... но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла или на 58%"), а качественную - система соответствует определенному классу или уровню защищенности. Количественные методы оценки на практике не нашли своего применения.
Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.
Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос, проверку на соответствие какому стандарту безопасности будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты.
И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
Какой вопрос наиболее часто задают IT-менеджеры специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько защищена наша информационная система?".
Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать специалисты по обеспечению информационной безопасности. И действительно оценить защищенность информационной системы достаточно сложно... но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла или на 58%"), а качественную - система соответствует определенному классу или уровню защищенности. Количественные методы оценки на практике не нашли своего применения.
Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.
Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос, проверку на соответствие какому стандарту безопасности будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты.
И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус Атака БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO