чинник - це облік політичних або організаційних наслідків. У деяких корпораціях верхній рівень керівництва організацією може подумати, прочитавши статтю у відомій газеті про проникнення в їх мережу, що відбулася катастрофа, навіть якщо при це організація не зазнала ніяких фінансових збитків. У відкритіших середовищах, таких як університети або наукові центри, керівництво може на підставі інциденту ухвалити рішення про введення обмежень на доступ. Ці чинники треба враховувати при визначенні уразливості організації до інцидентів з безпекою.
Рейтинг: Значення для погроз умножається на значення для годиться, а значення для наслідків умножається на значення для уразливості. Потім ці два числа складаються:
· 2 - 10: низький ризик
· 11 - 29: середній ризик
· 30 - 50: високий ризик
3.4. Облік інформаційних цінностей
Щоб гарантувати захист всіх інформаційних цінностей, і те, що поточне обчислювальне Середовище організації може бути швидко відновлена після інциденту з безпекою, кожен мережевий адміністратор повинен вести облік інформаційних систем в його зоні відповідальності. Список повинен включати все існуючу апаратну частину обчислювального Середовища, програми, електронні документи, бази даних і канали зв'язку.
Для кожної інформаційної цінності повинна бути описана наступна інформація:
· Тип: устаткування, програма, дані
·
Використовується в системі загального призначення або критичному застосуванні
· Відповідальний за дану інформаційну цінність
· Її фізичне або логічне місцеположення
3.5. Система загального призначення
Система загального призначення - це "взаємозв'язаний набір інформаційних ресурсів, які знаходяться під єдиним адміністративним управлінням, що дозволяють вирішувати загальні(неспецифічні) завдання або забезпечувати їх виконання". Зазвичай завданням систем загального призначення є забезпечення обробки або взаємодії між додатками. Системи загального призначення включають комп'ютери, мережі і програми, які забезпечують роботу великого числа додатків, і зазвичай адмініструються і супроводжуються відділом автоматизації в організації.
Політика безпеки для систем загального призначення як правило застосовна і для Інтернету, оскільки сервера, комунікаційні програми і шлюзи, що забезпечують зв'язок з Інтернетом, зазвичай знаходяться під єдиним управлінням.
3.6. Критичні застосування
Всі застосування вимагають деякого рівня безпеки, і адекватна безпека для більшості з них забезпечується засобами безпеки систем загального призначення, в рамках яких вони функціонують. Проте, деякі застосування, із-за специфічного характеру інформації, що зберігається і оброблюваної в них, вимагають спеціальних мерів контролю і вважаються критичними. Критичне застосування - це завдання, що вирішується за допомогою комп'ютерів або мереж, від успішності вирішення якої серйозно залежить можливість існування організації або виконання нею свого призначення. Прикладами критичних застосувань можуть
служити системи биллинга, обліку заробітної плати, інші фінансові системи і так далі Оскільки більшість користувачів витрачають основну частину свого часу на взаємодію з одним з критичних застосувань, потрібне включення курсів по інформаційній безпеці в програми перепідготовки кадрів для цих систем.
3.7. Класифікація даних
Для того, щоб розробити ефективну політику безпеки повинна бути класифікована відповідно до її критичності втрати конфіденційності. На основі цієї класифікації потім можна легко розробити політику для дозволу (або заборони) доступу до Інтернету або для передачі інформації по Інтернету.
Більшість організацій використовують такі класи, як "Комерційна таємниця" і "Для службового користування" . Класи, використовувані в політиці інформаційної безпеки, повинні бути узгоджені з іншими існуючими класами.
Дані повинні бути розбиті на 4 класи безпеки, кожен з яких має свої вимоги
по забезпеченню безпеки - критична інформація, комерційна таємниця, персональна інформація І для внутрішнього користування.
Ця система класифікації повинна використовуватися у всій організації. Особи, відповідальні за інформаційні цінності, відповідають за призначення ним класу, і цей процес повинен контролюватися керівництвом організації. Класи визначаються таким чином:
· КРИТИЧНА ІНФОРМАЦІЯ: Цей клас застосовується до інформації, що вимагає спеціальних засобів безпеки для забезпечення гарантій її цілісності, щоб захистити її від неавторизованої модифікації або видалення. Це - інформація, яка вимагає вищих гарантій чим зазвичай відносно її точності і повноти. Прикладами інформації цього класу може служити інформація про фінансові операції або розпорядження керівництва.
· КОМЕРЦІЙНА ТАЄМНИЦЯ: Цей клас застосовується до найбільш критичної комерційної інформації, яка призначена для використання тільки усередині організації, якщо тільки її розголошування не потрібне різними
законодавчими актами. Її неавторизоване розголошування може завдати серйозної шкоди організації, її акціонерам, діловим партнерам, і/або клієнтам.
· ПЕРСОНАЛЬНА ІНФОРМАЦІЯ: цей клас застосовується до інформації про людину, використання якої дозволене тільки усередині організації. Її неавторизоване розкриття може завдати серйозної шкоди організації або її службовцям.
· ДЛЯ ВНУТРІШНЬОГО КОРИСТУВАННЯ: Цей клас застосовується до решти всієї інформації, яка не потрапляє ні в один з вказаних вище класів. Хоча її неавторизоване розкриття порушує політику, воно не може нанести якої-небудь шкоди організації, її службовцям або клієнтам.
4. КОМЕРЦІЙНІ ВИМОГИ
Комерційні і інші організації використовують Інтернет тому, що він надає корисні сервіси. Організації повинні ухвалити рішення - чи використовуватимуться чи ні сервіси на базі Інтернету на підставі аналізу бізнес-плану або плану розвитку інформаційних технологій. Іншими словами, організації повинні проаналізувати свої потреби, виявити потенційні методи їх задоволення і уточнити їх після обліку вимог з боку безпеки крім впливу інших чинників.
Більшість організацій використовують Інтернет-сервіси для того, щоб забезпечити покращувану взаємодію між підрозділами організації, або між організацією і її клієнтами, або щоб скоротити витрати на автоматизацію комерційної діяльності. Безпека повинна враховуватися перш за все - один інцидент з безпекою може закреслювати будь-які фінансові вигоди, що надаються з'єднанням з Інтернетом.
Може також існувати декілька технологічних рішень для задоволення комерційних потреб організації, деякі з яких можуть бути забезпечені легше, ніж інші.
Частина цього розділу, що залишилася, стисло розглядає основні сервіси, що забезпечуються зв'язком з Інтернетом. У ній також