Исходная концептуальная схема (парадигма) информационной безопасности организаций БС РФ. Собственник

but.gif (133 bytes) Собственник1_gloss.gif (303 bytes) практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.

but.gif (133 bytes) Собственник должен постоянно стремиться к выявлению следов   активности злоумышленника1_gloss.gif (303 bytes).

but.gif (133 bytes) В том числе и для этой цели собственник создает уполномоченный орган - свою службу обеспечения ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).

but.gif (133 bytes) Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать свою систему обеспечения ИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление моделей угроз и нарушителя1_details.gif (102 bytes)).

but.gif (133 bytes) Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ1_gloss.gif (303 bytes) при минимальных ресурсных затратах.

but.gif (133 bytes)   Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ1_gloss.gif (303 bytes) организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации.

but.gif (133 bytes) Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).

but.gif (133 bytes) При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.

but.gif (133 bytes) При принятии решений о внедрении защитных мер (мер контроля) для противодействия идентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации.

(Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", п.5.5, п.5.7, п.5.8, п.5.9) (принят и введен в действие распоряжением Банка России от 26 января 2006 г. N Р-27)

АИСС БКБ, www.orioncom.ru, tel (495) 783-5510