CC BY
38признаками, которых может являться: обгорания краски, которые обнаруживаются при проведении ремонта труб, появление желтоватой пены в местах уплотнений на клапанных крышках и штуцерах цилиндров со стороны нагнетания, что свидетельствует о недопустимом нагреве воздуха. По этому, при проведении внутреннего осмотра необходимо уделить внимание описанным признакам и выявить причину поступления в систему горячего воздуха.
Список литературы
1. ГОСТ Р 52630-2012 Сосуды и аппараты стальные сварные. Общие технические условия. Введ., 2012. С. 11-29. Москва: Стандартинформ, 2013. С. 1-121.
2. ПБ 03-576-03 Правила устройства и безопасной эксплуатации сосудов, работающих под давлением. Введ. 19.06.2003. Москва: ПИО ОБТ, 2003.
3. РД 03-606-03 Инструкция по визуальному и измерительному контролю. Серия 03. Выпуск 39 / Колл. авт. М.: Федеральное государственное унитарное предприятие «Научно-технический центр по безопасности в промышленности Госгортехнадзора России», 2004. С. 1-53.
4. Клюев В.В. и др. Неразрушающий контроль и диагностика. Справочник / Под ред. В.В. Клюева. М.: Машиностроение, 2003.
СПЕЦИФИКА ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ Анищенко В.А.
Анищенко Виктор Александрович - студент магистратуры, факультет прикладной математики и информатики, Московский авиационный институт, Учебный центр «Интеграция», г. Серпухов
Аннотация: в статье рассмотрены основные моменты, влияющие на оценку рисков для информационной безопасности предприятий.
Ключевые слова: оценка рисков, информационная безопасность, защита.
Современные отделы стратегического управления организацией не способны обойтись без оценки наиболее вероятных и критичных рисков информационной безопасности (ИБ), т.к. от этого зависит успешность деятельности компании [1]. Существует ряд методологий, посредством которых производится оценка рисков (ОР), в частности:
- CRAMM - методология, используемая в правительстве Великобритании;
- OCTAVE - методология оценки уязвимости ИБ;
- NIST SP800-30 - методология УР в системе информационных технологий;
- ИБ - ISO / IEC 27005: 2011 - стандарт, определяющий количественные и качественные методы управления рисками (УР);
- ENISA - свод правил по ОР ИБ.
С помощью методов ОР ИБ организации, можно выявить и рассчитать:
- объемы информационных активов (И А);
- денежную ценность активов;
- угрозы, которые критично отражаются на ИА;
- средства защиты приоритетных активов;
- угрозы возможных потерь.
Специалисты в области ОР ИБ осуществляют такой комплекс работ:
- точную и регулярную инвентаризацию ИА и их стоимости;
- обоснование и использование методологии, позволяющей осуществлять эффективную ОР для конкретных сценариев развития риска в отдельной компании;
- анализ наиболее вероятных уязвимостей и угроз;
- планирование мер, нацеленных на поддержку и повышение уровня ИБ;
- разработку матриц рисков;
- ОР общей безопасности хранения и обработки информации;
- формирование отчетов о результатах работы;
- разработка плана по минимизации уровней рисков.
Результатом работ по ОР являются:
- подготовка общей карты ИА компании;
- разработка концептуальной карты рисков;
- создание отчетно-графических документов по результатам проведенной ОР;
- разработка плана по дальнейшей обработке рисков.
Проведение ОР ИБ организации позволяет:
- обратить внимание руководства на наиболее актуальных и приоритетных проблемах;
- разработать превентивные меры для предотвращения возможного вреда компании [2].
Обеспечение ИБ организации часто дополнительно осуществляется посредством разработки и применения методов защиты информации, для чего создается отдельная система - комплексная система защиты информации (КСЗИ).
В ряде случаев, когда организация разрабатывает собственную политику обеспечения ИБ, она может руководствоваться:
- международными стандартами ISO / IEC 17799: 2005, ISO / IEC 27001: 2005, что особенно эффективно на основе COBIT. В таком случае в организации имплементируется существующая система управления ИБ согласно установленным стандартам;
- собственными сертифицированными разработками.
Для того чтобы обеспечить достаточный уровень ИБ организации на практике разрабатывается унифицированная система обеспечения ИБ. Она включает в себя некоторую совокупность мер программно-технического (ПТ) и организационного уровней, которые направлены на обеспечение защиты ИА, от потенциальных, наиболее вероятных и критичных, угроз. Меры, направленные на защиту организационного уровня, применяются на базе соответствующих мероприятий, которые предусмотрены используемой политикой ИБ. Меры защиты ПТ уровня как правило включают адаптацию математических методов защиты информации и интеграцию технических аппаратных средств защиты [3].
Экономический эффект от внедрения подобной системы выражается в виде уменьшения значений возможного репутационного и материального видов ущерба, которое наносится предприятию, за счет применения мер для поддержания режима ИБ.
Эффективно идентифицировать весь перечень нужных мер по защите информации, выбрать перспективную стратегию развития информационной архитектуры и инфраструктуры организации и постоянно поддерживать на высоком уровне ИБ организации становиться возможным лишь после проведения аудита уязвимостей и анализа рисков.
Наиболее часто используемой на практике методикой ОР ИБ является -NIST, разработанная в США [3]. Она охватывают достаточно значительный ряд вопросов, которые связаны со стратегией УР, однако, не имплементирует никаких средств НЛ, что не позволяет в полной мере учесть специфику взаимосвязи факторов влияния и неопределенностей.
Список литературы
1. Акимов В.А. Нечеткие модели в природе, техносфере, обществе и экономике / В.А. Акимов, В.В. Лесных, Н.Н. Раднаев. М.: Деловой экспресс, 2004. 352 с.
2. Аронов И.З. Современные проблемы безопасности технических систем и анализа риска / Аронов И.З. // Стандарты и качество, 1998. № 3. С. 451.
3. Борисов В.В. Нечеткие модели и сети. / В.В. Борисов, В.В. Круглов, А.С. Федулов, М.: Горячая линия-Телеком, 2007. 284 с.
АНАЛИЗ УГРОЗ И УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ Анищенко В.А.
Анищенко Виктор Александрович - студент магистратуры, факультет прикладной математики и информатики, Московский авиационный институт, Учебный центр «Интеграция», г. Серпухов
Аннотация: в статье рассмотрены основные угрозы и уязвимости информационной безопасности организации.
Ключевые слова: угрозы, злоумышленник, информационная безопасность.
Для построения полноценной защиты для информационной инфраструктуры организации (ИИО) необходимо иметь полное представление обо всех реальных и потенциальных угрозах, которые могут иметь место в системе [1].
Все существующие современные угрозы для ИИО подразделяют на такие классы [2]:
• угроза целостности (повреждение, искажение, уничтожение информации);
• угроза конфиденциальности (любое нарушение конфиденциальности документа или информации);
• угроза работоспособности системы (умышленные хакерские атаки или ошибки пользователей);
• угрозы сбоя в ПО и оборудовании.
Важное значение при построении ИИО имеет упорядочение документооборота, что позволяет обеспечить намного более качественную систему защиты. При разработке защищенной среды электронного документооборота необходимо идентифицировать и проанализировать потенциальный круг источников угроз. Следует выделить основные группы источников угроз, в частности это: легальные пользователи системы, административный управляющий персонал и внешние/внутренние злоумышленники.
Согласно ряду исследований [3] до 80% потерь от подобных преступлений, по взлому корпоративных информационных систем, составляют атаки изнутри организации. Любой пользователь системы является потенциальным злоумышленником, в силу того, что он способен нарушить конфиденциальность информации, допустив ошибку или сделав осознанный выбор. Состав всех внешних злоумышленников отличается. Как правило, это конкуренты, реже партнеры, иногда в качестве злоумышленников выступают клиенты.
Любая защищенная ИИО обязана обеспечивать следующие средства защиты для выполнения главных функций по обеспечению:
• сохранности документов;
• безопасного доступа;
• конфиденциальности;
