АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Основи управління інформаційною безпекою

Читайте также:
  1. Адміністративні правопорушення, що посягають на встановлений порядок управління. Ведення адвокатом таких справ.
  2. Академія прокуратури України при Генеральній прокуратурі України (на правах управління).
  3. Аналіз оцінки системи управління розподілом готової продукції підприємства
  4. Антиконкурентні дії органів влади, місцевого самоврядування, адміністративно - господарського управління і контролю
  5. БІОЛОГІЧНІ ОСНОВИ ПРОМЕНЕВОЇ ТЕРАПІЇ
  6. Біофізичні основи магнітотерапії
  7. В. Альдопентози, гетероциклічної основи та фосфатної кислоти
  8. В.Альдопентози, гетероциклічної основи та фосфатної кислоти
  9. Вибір технічних засобів та розробка технічної структури системи управління
  10. Види підприємств. Матеріальні основи функціонування підприємств
  11. Відмінність сучасного менеджменту від традиційного управління
  12. Впровадження в діяльність страхових компаній управління на основі збалансованої системи показників

9.1. СТАНДАРТИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЇХ ОСНОВНІ ПОЛОЖЕННЯ

Інформаційна безпека представляє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комп­лексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною без­пекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку [44, 29, 54].

Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 р. цей стандарт був признаний міжнародним під назвою «International Standard ISO/IEC 17799. Information technology — Code of practice for information security management».

Стандарт ISO/IEC 17799 [84] — це модель системи менедж­менту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність спів­робітників, використання оцінки ризику тощо в контексті ін­формаційної безпеки. У процесі впровадження стандарту ство­рюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушен­ням інформаційної безпеки. Основна ідея стандарту — допо­могти комерційним та державним господарським організаціям


Розділ 9. Основи управління інформаційною безпекою

вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.

Структура стандарту дозволяє вибрати ті засоби управлін­ня, які стосуються конкретної організації або сфери відповідаль­ності усередині організації. Зміст стандарту включає наступні розділи (рис. 9.1):

• політика безпеки [security policy];

• організація захисту [organizational security];

• класифікація ресурсів та контроль [asset classification and
control];

• безпека персоналу [personnel security];

• фізична безпека та безпека навколишнього середовища
[physical and environmental security];

• адміністрування комп'ютерних систем та обчислювальних
мереж [computer and network management];

• керування доступом до системи [system access control];

• розробка та супроводження інформаційних систем [system
development and maintenance];

• планування безперервної роботи організації [business
continuing planning];

; • виконання вимог (відповідність законодавству) [compliance]. У зв'язку з цим виділяється ряд ключових елементів управ­ління, що подаються як фундаментальні:

• політика з інформаційної безпеки;

• розподіл відповідальності за інформаційну безпеку;

• освіта та тренінг з інформаційної безпеки;

• звітність за інциденти з безпеки;

• захист від вірусів;

• забезпечення безперервності роботи;

• контроль копіювання ліцензованого програмного забезпе­
чення;

• захист архівної документації організації;

• захист персональних даних;

• реалізація політики з інформаційної безпеки.



 


Розділ 9. Основи управління інформаційною безпекою

Як^идно, поряд з елементами управління для комп'ютерів та компртерних мереж стандарт велику увагу приділяє питан­ням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безпере­рвності виробничого процесу, юридичним вимогам.

Безумовно, що не всі 109 пунктів стандарту можна застосо­вувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використо­вується як деяке «меню», з якого слід вибрати елементи, які мож­на застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.

Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами ро­зуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:

• конфіденційність [confidentiality] — захищеність інформації
від несанкціонованого доступу;

• цілісність [integrity] — захищеність інформації від несанк­
ціонованої зміни, забезпечення її точності та повноти;

• доступності [availability] — можливість використання інфор­
мації, коли в цьому виникає необхідність, працездатність сис­
теми.

Стандарт не зосереджується тільки на забезпеченні конфі­денційності. У комерційних організаціях з точки зору матеріаль­них втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до від­повідей на наступні питання:

Що може загрожувати інформаційним ресурсам?

Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?

Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?

Наскільки часто слід очікувати подібні випадки?

Для одержання сертифіката система менеджменту інформа­ційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менедж-


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

менту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика від­повідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті сер­тифікаційні товариства, які пройшли акредитацію ISO. Сертифі­кат, виданий такою організацією, визнається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей належать: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні ком­панії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.

9.2. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ

9.2.1. Визначення політики інформаційної безпеки організації

Необхідність у політиці безпеки на сьогоднішній день є оче­видним фактом для будь-якого навіть достатньо невеликого під­приємства. Політика безпеки в цілому — це сукупність програм­них, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інфор­мації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину од­ного з найбільш складних об'єктів — інформаційної системи, що


Розділ 9. Основи управління інформаційною безпекою

позитивно впливає на якість керування бізнесом у цілому, і, як наслідок покращує його прибутковість і ефективність.

Політику з інформаційної безпеки організації можна ви­значити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки організації, вироб­лених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформа­ційної безпеки.

Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформацій­ній безпеці організації. Управління об'єктом відповідно до зада­ної політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністра­тором) системи забезпечення інформаційної безпеки організації.

Система забезпечення інформаційної безпеки організації (СЗІБ) являє собою сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на про­тидію завданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або опе­ратору зв'язку організації. Адміністратором (керівним органом системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалі­зацію політики забезпечення інформаційної безпеки організації.

Під час розробки політики безпеки повинні бути враховані технологія зберігання, оброблення та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних за­собів, фізичного середовища та інші чинники. В організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.

Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, ціліс­ності, доступності оброблюваної інформації. Політика безпеки


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

повинна стосуватись: інформації (рівня критичності ресурсів ор­ганізації), взаємодії об'єктів (правил, відповідальності за захист ін­формації, гарантій заїхисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні).

Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої Модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доціль­но вказувати конкретну назву чи версію програмного продукту).

Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та мораль­но-етичні норми, організаційні (адміністративні), фізичні, тех­нічні (апаратні і програмні) заходи і визначати правила та поря­док застосування у організації кожного з цих видів.

Політика безпеки повинна базуватися на наступних основ­них принципах:

• системності;

• комплексності;

• неперервності захисту;

• достатності механізмів і заходів захисту та їхньої адекват­
ності загрозам;

• гнучкості керування системою захисту, простоти і зручності
її використання;

• відкритості алгоритмів і механізмів захисту, якщо інше не пе­
редбачено окремо.

Політика безпеки повинна доказово давати гарантії того, що:

• в організації (в кожній окремій складовій частині, в кожному
функціональному завданні і т. ін.) забезпечується адекват­
ність рівня захисту інформації рівню її критичності;

• реалізація заходів захисту інформації є рентабельною;

• в будь-якому середовищі функціонування організації забез­
печується оцінюваність і перевіряємість захищеності інфор­
мації;

• забезпечується персоніфікація положень політики безпеки
(стосовно суб'єктів організації), звітність (реєстрація, аудит)
для всіх критичних з точки зору безпеки ресурсів, до яких


 


Розділ 9. Основи управління інформаційною безпекою


здійснюється доступ в процесі функціонування інформацій-ноі\системи;

• персрнал і користувачі забезпечені достатньо повним комп­
лектом документації стосовно порядку забезпечення захисту
інформації;

• всі критичні з точки зору безпеки інформації технології
(функції) організації мають відповідні плани забезпечення
неперервної роботи та її поновлення у разі виникнення непе­
редбачених ситуацій;

• враховані вимоги всіх документів, які регламентують поря­
док захисту інформації у організації, та забезпечується їхнє
суворе дотримання.

Політика безпеки розробляється на підготовчому етапі ство­рення СЗІБ організації.

Методологія розроблення політики безпеки організації включає в себе наступні роботи:

• розробка концепції безпеки інформації у організації;

• аналіз ризиків;

• визначення вимог до заходів, методів та засобів захисту;

• вибір основних рішень з забезпечення безпеки інформації;

• організація виконання відновлювальних робіт і забезпечен­
ня неперервного функціонування організації;

• документальне оформлення політики безпеки.

9.2.2. Концепція інформаційної безпеки в організації

Концепція інформаційної безпеки в організації викладає систему поглядів, основних принципів, розкриває основні на­прями забезпечення безпеки інформації. Розроблення концепції здійснюється після розгляду повної структури організації і вико­нується на підставі аналізу наступних чинників:

• правових і (або) договірних засад;

• вимог до забезпечення безпеки інформації згідно з завдання­
ми і функціями організації;

• загроз, які впливають на ресурси організації, що підлягають
захисту.


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

За результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію зберігання, оброблення та передавання інформації у організації:

• мета та пріоритети, яких необхідно дотримуватись у організа­
ції під час забезпечення інформаційної безпеки;

• загальні напрями діяльності, необхідні для досягнення цієї
мети;

• аспекти діяльності у галузі безпеки інформації.які повинні ви­
рішуватися на рівні організації в цілому;

• відповідальність посадових осіб та інших суб'єктів взаємовід­
носин у організації, їхні права і обов'язки щодо реалізації за­
вдань інформаційної безпеки.

9.2.3. Аналіз та оцінка ризиків

Аналіз ризиків передбачає вивчення моделі загроз для інфор­маційної сфери організації та моделі порушників, можливих на­слідків від реалізації потенційних загроз (рівня можливої заподія­ної ними шкоди) і формування на його підставі моделі захисту інформаціїу організації. Під час проведення аналізу ризиків необ­хідним є виконання наступних робіт.

Визначення компонентів і ресурсів організації, які необхідно враховувати при аналізі. Повинні бути визначені критичні з точки зору безпеки компоненти і ресурси організації, які можуть бути об'єктами атаки або самі є потенційним джерелом порушення без­пеки інформації (об'єкти захисту). Для цього використовуються відомості, одержані в результаті обстеження середовищ функціо­нування організації.

Ідентифікація загроз з об'єктами захисту. Встановлюється відповідність моделі загроз і об'єктів захисту, тобто складається матриця загрози/компоненти (ресурси) організації. Кожному еле­менту матриці повинен бути зіставлений опис можливого впливу загрози на відповідний компонент або ресурс організації. У про­цесі упорядкування матриці може уточнюватися список загроз і об'єктів захисту, внаслідок чого коригуватись модель загроз.


Розділ 9. Основи управління інформаційною безпекою

Оцінка ризиків. Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кож­ної загрози впродовж певного проміжку часу, тобто ймовірності її здійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрози рекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити за припущення, що кож­на подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз не­можливо одержати достатньо об'єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визна­чається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подіб­них систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо.

Оцінка може мати числове або смислове значення (напри­клад, ймовірність реалізації загрози — незначна, низька, висока, неприпустимо висока).

У будь-якому випадку існуючий ризик не повинен перевищу­вати гранично допустимий для кожної загрози. Перевищення свід­чить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків.

Оцінювання величини можливих збитків, пов'язаних з ре­алізацією загроз. Виконується кількісна або якісна оцінка збит­ків, що можуть бути нанесені організації (організації) внаслідок реалізації загроз. Доцільно, щоб ця оцінка складалась з величин очікуваних збитків від втрати інформацією кожної з власти­востей (конфіденційності, цілісності або доступності) або від втрати керованості організації внаслідок реалізації загрози. Для одержання оцінки можуть бути використані такі ж методи, як і при аналізі ризиків. Величина можливих збитків визначається розміром фінансових втрат або, у разі неможливості визначення Цього, за якісною шкалою (наприклад, величина збитків — від­сутня, низька, середня, висока, неприпустимо висока).


Частина И. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

9.3. ОСНОВНІ ПРАВИЛА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.011 сек.)