Автор: Защитник | 69107 | 23.02.2017 17:03 |
Коллеги, подскажите пожалуйста, можно ли оценить эффективность мероприятий (или использования средств ЗИ) по защите информации в АС без учета финансовых затрат?
В публикациях которые размещены в интернете постоянно встречаются оценки с учетом выполнения требований нормативных документов + финансовых затрат. |
Автор: oko | 69112 | 23.02.2017 20:06 |
Правило золотой середины в треугольнике "Безопасность - Функциональность - Экономичность". И от него никуда не деться, поэтому НМД + финансовый аспект.
А вообще... пен-тест вам в помощь (уж куда как нагляднее оценит эффективность реализованной системы защиты)... |
Автор: Защитник | 69113 | 23.02.2017 21:48 |
Око, меня интересует теоретическая часть. Поэтому пентест не подходит.
|
Автор: Защитник | 69114 | 23.02.2017 22:01 |
И финансовая оценка не важна, так как защищаемый ресурс - критически важен.
|
Автор: oko | 69118 | 24.02.2017 00:43 |
Так если критически важен и экономической стороной вопроса можно пренебречь, то выполняйте требования НМД (минимум) и стройте свою политику безопасности, в которой учитывайте все нюансы объекта (максимум), не оглядываясь на прочее.
Если же вас совсем теория интересует - погуглите статьи в той же киберленинке, загляните в открытые методики ФСТЭК и ФСБ по оценке угроз безопасности (обратная сторона эффективности защитных мероприятий). Методов оценки много (впрочем, зачастую используется "прямолинейный экспертный"). imho, ни один из них универсальностью не отличается. И, если защищаемая информация столь критична, то остается один неясный вопрос: от кого (какой потенциал нарушителя) вы строите свою защиту? Отсюда и эффективность выплывет... |
Просмотров темы: 1973