|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Основи управління інформаційною безпекою9.1. СТАНДАРТИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЇХ ОСНОВНІ ПОЛОЖЕННЯ Інформаційна безпека представляє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку [44, 29, 54]. Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 р. цей стандарт був признаний міжнародним під назвою «International Standard ISO/IEC 17799. Information technology — Code of practice for information security management». Стандарт ISO/IEC 17799 [84] — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику тощо в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям Розділ 9. Основи управління інформаційною безпекою вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними. Структура стандарту дозволяє вибрати ті засоби управління, які стосуються конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 9.1): • політика безпеки [security policy]; • організація захисту [organizational security]; • класифікація ресурсів та контроль [asset classification and • безпека персоналу [personnel security]; • фізична безпека та безпека навколишнього середовища • адміністрування комп'ютерних систем та обчислювальних • керування доступом до системи [system access control]; • розробка та супроводження інформаційних систем [system • планування безперервної роботи організації [business ; • виконання вимог (відповідність законодавству) [compliance]. У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні: • політика з інформаційної безпеки; • розподіл відповідальності за інформаційну безпеку; • освіта та тренінг з інформаційної безпеки; • звітність за інциденти з безпеки; • захист від вірусів; • забезпечення безперервності роботи; • контроль копіювання ліцензованого програмного забезпе • захист архівної документації організації; • захист персональних даних; • реалізація політики з інформаційної безпеки.
Розділ 9. Основи управління інформаційною безпекою Як^идно, поряд з елементами управління для комп'ютерів та компртерних мереж стандарт велику увагу приділяє питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам. Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке «меню», з якого слід вибрати елементи, які можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується. Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу: • конфіденційність [confidentiality] — захищеність інформації • цілісність [integrity] — захищеність інформації від несанк • доступності [availability] — можливість використання інфор Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях з точки зору матеріальних втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання: Що може загрожувати інформаційним ресурсам? Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом? Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки? Наскільки часто слід очікувати подібні випадки? Для одержання сертифіката система менеджменту інформаційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менедж- Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ менту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи. Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, визнається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей належать: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін. На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії. 9.2. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ 9.2.1. Визначення політики інформаційної безпеки організації Необхідність у політиці безпеки на сьогоднішній день є очевидним фактом для будь-якого навіть достатньо невеликого підприємства. Політика безпеки в цілому — це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку. Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інформації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що Розділ 9. Основи управління інформаційною безпекою позитивно впливає на якість керування бізнесом у цілому, і, як наслідок покращує його прибутковість і ефективність. Політику з інформаційної безпеки організації можна визначити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки організації, вироблених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформаційної безпеки. Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформаційній безпеці організації. Управління об'єктом відповідно до заданої політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністратором) системи забезпечення інформаційної безпеки організації. Система забезпечення інформаційної безпеки організації (СЗІБ) являє собою сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на протидію завданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або оператору зв'язку організації. Адміністратором (керівним органом системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалізацію політики забезпечення інформаційної безпеки організації. Під час розробки політики безпеки повинні бути враховані технологія зберігання, оброблення та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних засобів, фізичного середовища та інші чинники. В організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються. Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації. Політика безпеки Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ повинна стосуватись: інформації (рівня критичності ресурсів організації), взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій заїхисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні). Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої Модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту). Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апаратні і програмні) заходи і визначати правила та порядок застосування у організації кожного з цих видів. Політика безпеки повинна базуватися на наступних основних принципах: • системності; • комплексності; • неперервності захисту; • достатності механізмів і заходів захисту та їхньої адекват • гнучкості керування системою захисту, простоти і зручності • відкритості алгоритмів і механізмів захисту, якщо інше не пе Політика безпеки повинна доказово давати гарантії того, що: • в організації (в кожній окремій складовій частині, в кожному • реалізація заходів захисту інформації є рентабельною; • в будь-якому середовищі функціонування організації забез • забезпечується персоніфікація положень політики безпеки
Розділ 9. Основи управління інформаційною безпекою здійснюється доступ в процесі функціонування інформацій-ноі\системи; • персрнал і користувачі забезпечені достатньо повним комп • всі критичні з точки зору безпеки інформації технології • враховані вимоги всіх документів, які регламентують поря Політика безпеки розробляється на підготовчому етапі створення СЗІБ організації. Методологія розроблення політики безпеки організації включає в себе наступні роботи: • розробка концепції безпеки інформації у організації; • аналіз ризиків; • визначення вимог до заходів, методів та засобів захисту; • вибір основних рішень з забезпечення безпеки інформації; • організація виконання відновлювальних робіт і забезпечен • документальне оформлення політики безпеки. 9.2.2. Концепція інформаційної безпеки в організації Концепція інформаційної безпеки в організації викладає систему поглядів, основних принципів, розкриває основні напрями забезпечення безпеки інформації. Розроблення концепції здійснюється після розгляду повної структури організації і виконується на підставі аналізу наступних чинників: • правових і (або) договірних засад; • вимог до забезпечення безпеки інформації згідно з завдання • загроз, які впливають на ресурси організації, що підлягають Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ За результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію зберігання, оброблення та передавання інформації у організації: • мета та пріоритети, яких необхідно дотримуватись у організа • загальні напрями діяльності, необхідні для досягнення цієї • аспекти діяльності у галузі безпеки інформації.які повинні ви • відповідальність посадових осіб та інших суб'єктів взаємовід 9.2.3. Аналіз та оцінка ризиків Аналіз ризиків передбачає вивчення моделі загроз для інформаційної сфери організації та моделі порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і формування на його підставі моделі захисту інформаціїу організації. Під час проведення аналізу ризиків необхідним є виконання наступних робіт. Визначення компонентів і ресурсів організації, які необхідно враховувати при аналізі. Повинні бути визначені критичні з точки зору безпеки компоненти і ресурси організації, які можуть бути об'єктами атаки або самі є потенційним джерелом порушення безпеки інформації (об'єкти захисту). Для цього використовуються відомості, одержані в результаті обстеження середовищ функціонування організації. Ідентифікація загроз з об'єктами захисту. Встановлюється відповідність моделі загроз і об'єктів захисту, тобто складається матриця загрози/компоненти (ресурси) організації. Кожному елементу матриці повинен бути зіставлений опис можливого впливу загрози на відповідний компонент або ресурс організації. У процесі упорядкування матриці може уточнюватися список загроз і об'єктів захисту, внаслідок чого коригуватись модель загроз. Розділ 9. Основи управління інформаційною безпекою Оцінка ризиків. Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кожної загрози впродовж певного проміжку часу, тобто ймовірності її здійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрози рекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити за припущення, що кожна подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз неможливо одержати достатньо об'єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визначається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подібних систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо. Оцінка може мати числове або смислове значення (наприклад, ймовірність реалізації загрози — незначна, низька, висока, неприпустимо висока). У будь-якому випадку існуючий ризик не повинен перевищувати гранично допустимий для кожної загрози. Перевищення свідчить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків. Оцінювання величини можливих збитків, пов'язаних з реалізацією загроз. Виконується кількісна або якісна оцінка збитків, що можуть бути нанесені організації (організації) внаслідок реалізації загроз. Доцільно, щоб ця оцінка складалась з величин очікуваних збитків від втрати інформацією кожної з властивостей (конфіденційності, цілісності або доступності) або від втрати керованості організації внаслідок реалізації загрози. Для одержання оцінки можуть бути використані такі ж методи, як і при аналізі ризиків. Величина можливих збитків визначається розміром фінансових втрат або, у разі неможливості визначення Цього, за якісною шкалою (наприклад, величина збитків — відсутня, низька, середня, висока, неприпустимо висока). Частина И. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ 9.3. ОСНОВНІ ПРАВИЛА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.01 сек.) |