В современной литературе приводятся разные шкалы оценок значимости угроз информации, ввиду скрытого характера их проявления и отсутствия точных статистических исследований.
Вместе с тем на основе анализа, проводимого различными специалистами в области компьютерных преступлений, можно расставить угрозы безопасности по частоте проявления следующим образом:
– кража (копирование) программного обеспечения;
– подмена (несанкционированный ввод) информации;
– уничтожение (разрушение) данных на носителях информации;
– нарушение нормальной работы (прерывание) в результате вирусных атак;
– модификация (изменение) данных на носителях информации;
– перехват (несанкционированный съем) информации;
– кража (несанкционированное копирование) ресурсов;
– нарушение нормальной работы (перегрузка) каналов связи;
– непредсказуемые потери.
На самом деле для реальных объектов защиты следует считать, что каждая угроза может себя проявить в какой-либо момент времени, поэтому все из них являются равнозначными.
Актуальность угрозы для конкретного объекта защиты можно оценить, наложив угрозу безопасности на модель защищаемой сети, с целью дальнейшей оценки опасности, таким образом, выявив самые значимые в данном случае.
1.5 Понятие политики информационной безопасности предприятия
Политикой информационной безопасности называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать.
Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология. Практические правила управления информационной безопасностью», политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия включала:
