14 Субъективная оценка вероятных источников нападений.
Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической
составляющей некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне
(корректность существующей программы обеспечения ИБ и практика ее выполнения). Иллюстрацией этого положения являются рисунки 12,
13 и 14, построенные на основании данных Института компьютерной безопасности (Computer Security Institute, CSI) [8].
В рамках предприятия предложим следующую схему разработки, внедрения и проверки системы безопасности (рисунок 15):
Определение надёжности источников
|
ß
|
Кодирование информации на канальном уровне
|
ß
|
Настройка информационного шлюза предприятия
|
ß
|
Создание внутренней инфраструктуры защиты информации
|
ß
|
Аудит системы безопасности и ввод её в действие
|
ß
|
Постоянное совершенствование системы безопасности
|