АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Правила побудови системи забезпечення інформаційної безпеки

Читайте также:
  1. I. Общие правила
  2. II. КРИТИКА: основные правила
  3. II. Правила стрельбы
  4. IV. ІНФОРМАЦІЙНО-МЕТОДИЧНЕ ЗАБЕЗПЕЧЕННЯ
  5. IV. Правила подсчета результатов
  6. IX. ОБЫЧАИ, ПРАВИЛА И ГАДКИЙ УТЕНОК
  7. The United States Department of Homeland Security (DHS) – Міністерство внутрішньої безпеки СШA.
  8. V ПРАВИЛА БЕЗОПАСНОСТИ И ПЕРВАЯ МЕДИЦИНСКАЯ ПОМОЩЬ ПРИ ПРОВЕДЕНИИ БАРОКАМЕРНЫХ ПОДЪЕМОВ
  9. VII. Матеріали методичного забезпечення заняття.
  10. А кто наблюдает над всеми? Кто задает стратегию? Кто создает правила?
  11. АКАДЕМІЯ ПОЖЕЖНОЇ БЕЗПЕКИ ІМЕНІ ГЕРОЇВ ЧОРНОБИЛЯ
  12. Аналіз освітлення робочої зони розробника проекту з метою визначення та забезпечення його оптимального значення.

Вибір варіанту побудови системи забезпечення інформаційно/безпеки

Залежно від конфіденційності інформації, яка зберігається, обробляється та передається У організації, рівня її критичності, величини можливих збитків від реалізації загроз, матеріальних, фінансових та інших ресурсів, які є у розпорядженні організа­ції, а також інших чинників обґрунтовується пропозиція щодо доцільності застосування варіантів побудови СЗІБ. Можливі на­ступні варіанти:

• досягнення необхідного рівня інформаційної безпеки за міні­
мальних затрат і допустимого рівня обмежень на технології
зберігання, оброблення та передавання інформації у органі­
зації;

• досягнення необхідного рівня захищеності інформації за до­
пустимих затрат і заданого рівня обмежень на технології збері­
гання, оброблення та передавання інформації у організації;

• досягнення максимального рівня захищеності інформації за
необхідних затрат і мінімального рівня обмежень на технології
зберігання, оброблення та передавання інформації у організації.
Якщо інформація становить державну таємницю, то необхід­
но застосовувати, як правило, третій варіант.

Оцінювання витрат на СЗБІ

Здійснюється первинне (попереднє) оцінювання допустимих витрат на блокування загроз, виходячи з вибраного варіанту побудови СЗІБ і виділених на це коштів. На етапі проектуван­ня СЗІБ, після формування пропозицій щодо складу заходів і засобів захисту, здійснюється оцінка залишкового ризику для кожної пропозиції (наприклад, за критерієм «ефективність/вар-


Розділ 9. Основи управління інформаційною безпекою

тість»), вибирається найбільш оптимальна серед них і первинна оцінка уточнюється. Якщо залишковий ризик перевищує гра­нично допустимий, вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повтор­но до одержання прийнятного результату.

Визначення вимог до заходів, методів та засобів захисту

Вихідними даними є:

• завдання і функції організації;

• результати аналізу середовищ функціонування організації;

• модель загроз, модель порушників;

• результати аналізу ризиків.

На підставі цих даних визначаються компоненти організації, для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки у організації.

Для кожного компонента та (або) організації в цілому фор­мується перелік необхідних функціональних послуг захисту від несанкціонованого доступу та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації. Визначені вимоги складають профіль захищеності інформації у організації (скла­дових організації).

Для кожного компонента та (або) організації в цілому виз­начаються загальні підходи та вимоги з захисту інформації від витоку технічними каналами.

На наступному кроці визначаються механізми безпеки, що ре­алізують функціональні послуги безпеки, здійснюється вибір техніч­них засобів захисту інформації від витоку технічними каналами.

Вибір основних рішень з забезпечення безпеки інформації

Комплекс заходів з забезпечення безпеки інформації розгля­дається на трьох рівнях:

• правовому;

• організаційному;

• технічному.


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

На правовому рівні забезпечення безпеки інформації повин­ні бути вироблені підходи щодо:

• системи нормативно-правового забезпечення робіт з захисту
інформації у організації;

• підтримки керівництвом організації заходів з забезпечен­
ня безпеки інформації у організації, виконання правових та
(або) договірних вимог з захисту інформації, визначення від-
повідальностіпосадових осіб, організаційної структури, ком­
плектування і розподілу обов'язків співробітників СЗІБ;

• процедур доведення до персоналу та користувачів організа­
ції основних положень політики безпеки інформації, їхнього
навчання і підвищення кваліфікації з питань безпеки інфор­
мації;

• системи контролю за своєчасністю, ефективністю і повнотою
реалізації у організації рішень з захисту інформації, дотри­
манням персоналом і користувачами положень політики без­
пеки.

На організаційному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо:

• застосування режимних заходів на об'єктах організації (ор­
ганізації);

• забезпечення фізичного захисту об'єктів організації (органі­
зації), носіїв інформації, інших ресурсів;

• організації проведення обстеження середовищ функціону­
вання організації;

• порядку виконання робіт з захисту інформації, взаємодії з
цих питань з іншими суб'єктами системи захисту інформації
в державі;

• виконання робіт з модернізації організації (окремих компо­
нентів);

• регламентації доступу сторонніх користувачів до інформа­
ційної сфери організації;

• регламентації доступу власних користувачів і персоналу до
інформаційної сфери організації;

• здійснення профілактичних заходів (наприклад, попереджен­
ня ненавмисних дій, що призводять до порушення політики
безпеки, попередження появи вірусів та ін.);


Розділ 9. Основи управління інформаційною безпекою

• реалізації окремих положень політики безпеки, найбільш
критичних з точки зору забезпечення захисту аспектів (на­
приклад, організація віддаленого доступу до організації
(об'єктів організації), використання мереж передачі даних
загального користування, зокрема Internet, використання не-
сертифікованого програмного забезпечення т.ін.).

На технічному рівні забезпечення безпеки інформації повин­ні бути вироблені підходи щодо застосування технічних і про­грамно-технічних засобів, які реалізують задані вимоги з захисту інформації. Під час розгляду різних варіантів реалізації рекомен­дується враховувати наступні аспекти:

• інженерно-технічне обладнання виділених приміщень, в яких
розміщуються компоненти організації, експлуатація і супровод­
ження засобів блокування технічних каналів витоку інформації;

• реєстрація санкціонованих користувачів організації, автори­
зація користувачів в системі;

• керування доступом до інформації і механізмів, що реалізують
послуги безпеки, включаючи вимоги до розподілу ролей ко­
ристувачів і адміністраторів;

• виявлення і реєстрація небезпечних подій з метою здійснення
повсякденного контролю або проведення службовихрозсліду-
вань;

• перевірка і забезпечення цілісності критичних даних на всіх
стадіях їхньої обробки в організації;

• забезпечення конфіденційності інформації.у тому числі вико­
ристання криптографічних засобів;

• резервне копіювання критичних даних, супроводження ар­
хівів даних і програмного забезпечення;

• відновлення роботи об'єктів організації після збоїв, відмов,
особливо для об'єктів із підвищеними вимогами до доступ­
ності інформації;

• захист програмного забезпечення, що використовується у
організації (на об'єктах організації), від внесення несанкціо­
нованих доповнень і змін;

• забезпечення функціонування засобів контролю, у тому числі
засобів виявлення технічних каналів витоку інформації.


Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

9.3.2. Організація проведення відновлювальних робіт і забезпечення неперервного функціонування об'єктів організації та організації в цілому

Повинні бути вироблені підходи щодо планування і поряд­ку виконання відновлювальних робіт після збоїв, аварій, інших непередбачених ситуацій (надзвичайних ситуацій) з метою за­безпечення неперервного функціонування організації в захи­щеному режимі. Під час планування цих робіт рекомендується враховувати наступні питання:

• виявлення критичних з точки зору безпеки процесів у роботі
організації;

• визначення можливого негативного впливу надзвичайних
ситуацій на роботу організації; визначення й узгодження
обов'язків персоналу і користувачів, а також порядку їхніх
дій у надзвичайних ситуаціях;

• підготовка персоналу і користувачів до роботи в надзвичай­
них ситуаціях.

План проведення відновлювальних робіт і забезпечення не­перервного функціонування організації повинен описувати дії щодо улагодження інциденту, дії щодо резервування, дії щодо відновлення. Він включає в себе:

• опис типових надзвичайних ситуацій, які потенційно най­
більш можливі у організації внаслідок наявності вразливих
місць, або які реально мали місце під час роботи;

• опис процедур реагування на надзвичайні ситуації, які слід
вжити відразу після виникнення інциденту, що може приз­
вести до порушення політики безпеки;

• опис процедур тимчасового переводу організації або окре­
мих її компонентів на аварійний режим роботи;

• опис процедур поновлення нормальної виробничої діяль­
ності організації або окремих її компонентів;

• порядок тестування плану, тобто проведення тренувань пер­
соналу в умовах імітації надзвичайних ситуацій.

План проведення відновлювальних робіт і забезпечення непере­рвного функціонування організації підлягає перегляду у разі виник­нення істотних змін у організації. Такими змінами можуть бути:


Розділ 9. Основи управління інформаційною безпекою

встановлення нового обладнання або модернізація існуючо­го, включення до складу організації нових компонентів; встановлення нових систем життєзабезпечення на об'єктах організації (сигналізації, вентиляції, пожежегасіння, конди-ціонування і т. ін.);

проведення будівельно-ремонтних робіт; організаційні зміни у структурі організації, виробничих про­цесах, процедурах обслуговування організації; зміни у технології зберігання, оброблення та передавання ін­формації;

зміни у програмному забезпеченні; будь-які зміни у складі і функціях СЗІБ.

9.3.3. Правила розмежування доступу користувачів та процесів до ресурсів інформаційної сфери організації

Найважливішу частину політики безпеки, яка регламентує доступ користувачів і процесів до ресурсів інформаційної сфе­ри організації, складають правила розмежування доступу (ПРД). ПРД — це певним абстрактним механізмом, який виступає посе­редником при будь-яких взаємодіях об'єктів організації і є най­більш суттєвим елементом політики безпеки.

Так приклад, загальні ПРД можуть бути наступними (за при­пущення, що у організації визначено такі ієрархічні ролі — ад­міністратор безпеки організації, адміністратор, користувач):

• кожне робоче місце повинно мати свого адміністратора, який
несе відповідальність за його працездатність та за дотримання
всіх вимог і процедур, пов'язаних з обробкою інформації та її
захистом. Таку роль може виконувати уповноважений користу­
вач. Цей користувач повинен бути забезпечений відповідними
інструкціями і навчений всім вимогам і процедурам;

• для попередження неавторизованого доступу до даних, про­
грамного забезпечення, інших ресурсів організації, керуван­
ня механізмами захисту здійснюється адміністратором без­
пеки організації (об'єкта організації);


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

для попередження поширення комп ютерних вірусів відпові­
дальність за дотримання правил використання програмного
забезпечення несуть: адміністратор безпеки організації, на
об'єкті організації — адміністратор безпеки об'єкта органі­
зації. Повинно використовуватися тільки програмне забезпе­
чення, яке дозволено політикою безпеки (ліцензійне, яке має
відповідні сертифікати, експертні висновки тощо);

• за всі зміни програмного забезпечення, створення резервних
і архівних копій несе відповідальність адміністратор безпеки
організації (об'єкта організації). Такі роботи виконуються за
його дозволом;

• кожний користувач має свій унікальний ідентифікатор і па­
роль. Право видачі цих атрибутів надається адміністратору.
Атрибути для адміністраторів надає адміністратор безпеки
організації. Видача атрибутів дозволяється тільки після доку­
ментальної реєстрації особи як користувача. Користувачам за­
бороняється спільне використання персональних атрибутів;

• користувачі проходять процедуру автентифікації для отри­
мання доступу до ресурсів організації;

• атрибути користувачів періодично змінюються, а невикорис-
товувані і скомпрометовані — видаляються;

• процедури використання активного мережаного обладнання,
а також окремих видів програмного забезпечення, яке може
суттєво впливати набезпеку (аналізатори трафіку,аналізатори
безпеки мереж, засоби адміністрування і т.ін.), авторизовані і
здійснюються під контролем адміністратора безпеки інформа­
ційної системи;

• усі користувачі повинні знати «Інструкцію користувача»
(пройти відповідний курс навчання, скласти іспит);

• адміністратор безпеки організації і адміністратори мереж
повсякденно здійснюють перевірку працездатності засобів
захисту інформації, ведуть облік критичних з точки зору без­
пеки подій і готують звіти щодо цього.

Загальні ПРД мають бути конкретизовані на рівні вибору не­обхідних функціональних послуг захисту (профілю захищенос­ті) та впровадження організаційних заходів захисту інформації-


Розділ 9. Основи управління інформаційною безпекою

9.3.4. Документальне оформлення політики безпеки

загальний, у якому визначається відношення керівництва ор­ганізації до проблеми інформаційної безпеки організації; організаційний, у якому наводиться перелік підрозділів, робо­чих груп, посадових осіб, які відповідають за роботи у сфері захисту інформації, 'їхніх функції, викладаються підходи, що застосовуються до персоналу (опис посад з точки зору безпеки інформації, організація навчання та перепідготовки персона­лу, порядок реагування на порушення режиму безпеки та ін.); класифікаційний, де визначаються матеріальні та інформа­ційні ресурси, які є у наявності у організації, та необхідний рівень їхнього захисту;

розділ, у якому визначаються ПРД до інформації; розділ, у якому визначається підхід щодо керування об'єктами та обладнанням організації;

розділ, у якому висвітлюються питання фізичного захисту; розділ, у якому висвітлюються питання захисту інформації від витоку технічними каналами;

розділ, де викладено порядок розробки та супроводження сис­теми, модернізації апаратного та програмного забезпечення; розділ, який регламентує порядок проведення відновлюваль-них робіт і забезпечення неперервного функціонування органі­зації у цілому та окремих складових та об'єктів організації; юридичний розділ, у якому приводиться підтвердження від­повідності політики безпеки законодавству України.

9.4. СИСТЕМА МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА її ОЦІНКА

Як уже відзначалося, у процесі впровадження стандартів ме­неджменту інформаційної безпеки створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення ма­теріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити досить складне завдання:


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

не тільки забезпечити надійний захист інформації, але також ор­ганізувати ефективний доступ до даних та нормальну роботу з ними.

Для того, щоб впевнитися, що система менеджменту інфор­маційної безпеки відповідає своєму призначення, здійснюється її оцінка. Коли здійснюється забезпечення безпеки державних ін­формаційних ресурсів, то оцінка здійснюється у формі держав­ної експертизи відповідно до Положення державну експертизу у сфері технічного захисту інформації від 2000 року. У положення приведені загальні положення державної експертизи у сфері за­хисту інформації, права та обов'язки суб'єктів експертизи, поря­док організації та проведення експертизи.

Відповідно до міжнародного стандарту ISO 17799 здійснюєть­ся аудит системи менеджменту інформаційної безпеки.

Для одержання сертифіката система менеджменту інформацій­ної безпеки підприємства оцінюється аудитором ISO 17799. Ауди­тор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менеджменту інфор­маційної безпеки, а також; вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опи­су системи.

Акредитовану сертифікацію можуть здійснювати лише ті сер­тифікаційні товариства,які пройшли акредитацію ISO. сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей відносяться: держав­ні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.009 сек.)