Page 7 - 4394
P. 7
Повинні захищати інформаційні цінності
Власники
інформації
Мінімізують риски порушення безпеки
Визначають та реалізують
політику безпеки
Запобігають або
знижують
ризики
Контрміри:
Механізми і сервіси
безпеки на основі
політики безпеки
Повинні Ведуть до
знати про збільшення
уразливості ризиків
Уразливості
Ризики
порушення
Використовують Збільшують ризики безпеки
уразливості для доступу
до інформаційних Пошкоджують
цінностей
Руйнують цінності
Опоненти Здійснюють атаки інформаційні
Атаки цінності Інформаційні
або
цінності
противники
Зловживають і/або руйнують інформаційні цінності
Рисунок 1.1 – Взаємозв’язок основних понять безпеки
інформаційних систем
організація повинна визначити допустимий для неї рівень ризику.
Це рішення повинне знайти віддзеркалення в політиці безпеки,
прийнятої в організації.
Політика безпеки - правила, директиви і практичні навички,
які визначають те, як інформаційні цінності обробляються,
захищаються і поширюються в організації і між інформаційними
системами; набір критеріїв для надання сервісів безпеки.
Атака - будь-яка дія, що порушує безпеку інформаційної
системи. Формальніше можна сказати, що атака - це дія або
послідовність зв'язаних між собою дій, що використовують
уразливості даної інформаційної системи і що приводять до
порушення політики безпеки.
7