ГОСТ Р ИСО/МЭК 13335-1 — 2006
2.26уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть ис
пользована одной или несколькими угрозами.
3 Концепции безопасности и взаимосвязи
3.1 Принципы безопасности
Для создания эффективной программы безопасности ИТТ фундаментальными являются следую
щие высокоуровневые принципы безопасности:
- менеджментриска — активыдолжны бытьзащищены путем принятия соответствующих мер. Защит
ные меры должны выбираться и применяться на основании соответствующей методологии управления
рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз,
устанавливаетдопустимые риски и учитывает существующие ограничения:
- обязательства — важны обязательства организации в области безопасности ИТТ и в управлении
рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности
ИТТ:
- служебные обязанности и ответственность — руководство организации несет ответственность за
обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопаснос
тью ИТТ, должны быть определены и доведены до сведения персонала;
- цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ. должно осу
ществляться с учетом целей, стратегий и политики организации.
- управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в
течение всего ихжизненного цикла.
Ниже с позиций фундаментальных принципов безопасности приведено описание основныхкомпонен
тов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характерис
тики каждого компонента и указаны основные сопряженные с ним факторы.
3.2 Активы
Правильное управлениеактивами является важнейшим фактором успешнойдеятельности организа
ции и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как
ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не
ограничиваются):
- материальные активы (например вычислительные средства, средства связи, здания);
- информацию (данные) (напримердокументы, базы данных);
- программное обеспечение:
- способность производить продукт или предоставлять услугу;
- людей;
- нематериальные ресурсы (например престижфирмы, репутацию).
Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифи
цированы активы организации. Во многих случаях процесс идентификации активов и установления их цен
ности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длительной
процедуры. Степеньдетализацииданной процедурыдолжна определяться отношением величины времен
ных и финансовых затрат к ценности активов. Во всехслучаях степеньдетализации должна быть установ
лена. исходя изцелей безопасности.
Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины:
ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости
влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых орга
низация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особен
ности в упомянутых условиях могут иметь существенное значение для международных организаций и
трансконтинентального использования ИТТ.
Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать
защитные меры и. тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный
риск для того, чтобы определить, адекватно ли защищены активы.
3.3 Угрозы
Активы подвержены многим видам угроз. Угроза обладаетспособностью наносить ущерб активам и.
следовательно, организации в целом. Этот ущерб может возникать из-за атаки на информацию, обрабаты
ваемую ИТТ. на саму систему или иные ресурсы, приводя, например, к их неавторизованному разруше-
2*3