Елементи безпеки

Наступні положення на високому рівні описують головні елементи, задіяні в процесі керування безпекою. Кожен з елементів визначений і наведені його основні супутні чинники. Детальніший опис елементів і їхніх залежностей подано в інших частинах цього стандарту.

Активи

Наявність відповідного керування активами важлива для забезпечення успіху організації і є головною рисою всіх рівнів керування. До активів організації належать:

– фізичні об’єкти (наприклад апаратне забезпечення, засоби зв’язку, будівлі);

– інформація/дані (наприклад документи, бази даних);

– програмне забезпечення;

– здатність виробляти деяку продукцію чи надавати послуги;

– людські ресурси;

– нематеріальна власність (наприклад імідж, символіка).

Більшість із цих активів мають потребу в захисті чи якому-небудь ступені безпеки. У випадку, коли активи не мають належного рівня безпеки, необхідно застосовувати до них механізми оцінювання ризиків.

Якщо йдеться про перспективність програми безпеки організації, то не має сенсу забезпечувати захист і здійснювати його подальшу підтримку, якщо чітко не визначені активи організації. У більшості випадків процес ідентифікування активів і визначання їхніх розмірів можна виконати на досить високому рівні і без дорогого, детального і тривалого аналізування. Рівень деталізації для цього аналізування визначають значеннями часу і вартості аналізування стосовно цінності активів. У будь-якому випадку рівень деталізації визначають, виходячи з цілей захисту. Зокрема, ці підходи можна застосовувати до груп активів.

Розглядають такі характеристики активів, як їхня цінність і (або) критичність і різноманітність застосовуваних засобів захисту. Необхідність застосування засобів безпеки до активів визначають також їхньою вразливістю до впливу специфічних загроз. Якщо ці аспекти очевидні для власника активів, їх треба зафіксувати на початкових стадіях. Оточення і мікро політика, у яких діє організація, можуть впливати на активи та їхні характеристики. Наприклад, мікро політика організації може розглядати як дуже важливі завдання безпеки особистої інформації. У діяльності міжнародних організацій і їхніх систем інформаційних технологій вагому роль відіграють оточення і мікро політика.

Загрози

Активи є об’єктами для багатьох видів загроз. Загроза потенційно є причиною небажаного інциденту, що здатний заподіяти шкоду системі чи організації та її активам. Ця шкода є результатом прямої чи непрямої атаки, спрямованої на інформацію, якою оперує система чи служба інформаційних технологій, і являє собою, наприклад, її несанкціоноване знищення, розкриття, зміну, перекручування, втрату доступності чи втрату. Загроза може здійснитися, заподіяти шкоду у випадку наявності в активах уразливих місць. Загрози, причиною яких є людина, розділяють на випадкові й навмисні. І випадкові, і навмисні загрози повинні бути ідентифіковані й визначені їхні рівні й ймовірність. Приклади загроз наведені в табл. 7.1.

Таблиця 7.1