|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Правила побудови системи забезпечення інформаційної безпекиВибір варіанту побудови системи забезпечення інформаційно/безпеки Залежно від конфіденційності інформації, яка зберігається, обробляється та передається У організації, рівня її критичності, величини можливих збитків від реалізації загроз, матеріальних, фінансових та інших ресурсів, які є у розпорядженні організації, а також інших чинників обґрунтовується пропозиція щодо доцільності застосування варіантів побудови СЗІБ. Можливі наступні варіанти: • досягнення необхідного рівня інформаційної безпеки за міні • досягнення необхідного рівня захищеності інформації за до • досягнення максимального рівня захищеності інформації за Оцінювання витрат на СЗБІ Здійснюється первинне (попереднє) оцінювання допустимих витрат на блокування загроз, виходячи з вибраного варіанту побудови СЗІБ і виділених на це коштів. На етапі проектування СЗІБ, після формування пропозицій щодо складу заходів і засобів захисту, здійснюється оцінка залишкового ризику для кожної пропозиції (наприклад, за критерієм «ефективність/вар- Розділ 9. Основи управління інформаційною безпекою тість»), вибирається найбільш оптимальна серед них і первинна оцінка уточнюється. Якщо залишковий ризик перевищує гранично допустимий, вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повторно до одержання прийнятного результату. Визначення вимог до заходів, методів та засобів захисту Вихідними даними є: • завдання і функції організації; • результати аналізу середовищ функціонування організації; • модель загроз, модель порушників; • результати аналізу ризиків. На підставі цих даних визначаються компоненти організації, для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки у організації. Для кожного компонента та (або) організації в цілому формується перелік необхідних функціональних послуг захисту від несанкціонованого доступу та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації. Визначені вимоги складають профіль захищеності інформації у організації (складових організації). Для кожного компонента та (або) організації в цілому визначаються загальні підходи та вимоги з захисту інформації від витоку технічними каналами. На наступному кроці визначаються механізми безпеки, що реалізують функціональні послуги безпеки, здійснюється вибір технічних засобів захисту інформації від витоку технічними каналами. Вибір основних рішень з забезпечення безпеки інформації Комплекс заходів з забезпечення безпеки інформації розглядається на трьох рівнях: • правовому; • організаційному; • технічному. Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ На правовому рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо: • системи нормативно-правового забезпечення робіт з захисту • підтримки керівництвом організації заходів з забезпечен • процедур доведення до персоналу та користувачів організа • системи контролю за своєчасністю, ефективністю і повнотою На організаційному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо: • застосування режимних заходів на об'єктах організації (ор • забезпечення фізичного захисту об'єктів організації (органі • організації проведення обстеження середовищ функціону • порядку виконання робіт з захисту інформації, взаємодії з • виконання робіт з модернізації організації (окремих компо • регламентації доступу сторонніх користувачів до інформа • регламентації доступу власних користувачів і персоналу до • здійснення профілактичних заходів (наприклад, попереджен Розділ 9. Основи управління інформаційною безпекою • реалізації окремих положень політики безпеки, найбільш На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування технічних і програмно-технічних засобів, які реалізують задані вимоги з захисту інформації. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти: • інженерно-технічне обладнання виділених приміщень, в яких • реєстрація санкціонованих користувачів організації, автори • керування доступом до інформації і механізмів, що реалізують • виявлення і реєстрація небезпечних подій з метою здійснення • перевірка і забезпечення цілісності критичних даних на всіх • забезпечення конфіденційності інформації.у тому числі вико • резервне копіювання критичних даних, супроводження ар • відновлення роботи об'єктів організації після збоїв, відмов, • захист програмного забезпечення, що використовується у • забезпечення функціонування засобів контролю, у тому числі Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ 9.3.2. Організація проведення відновлювальних робіт і забезпечення неперервного функціонування об'єктів організації та організації в цілому Повинні бути вироблені підходи щодо планування і порядку виконання відновлювальних робіт після збоїв, аварій, інших непередбачених ситуацій (надзвичайних ситуацій) з метою забезпечення неперервного функціонування організації в захищеному режимі. Під час планування цих робіт рекомендується враховувати наступні питання: • виявлення критичних з точки зору безпеки процесів у роботі • визначення можливого негативного впливу надзвичайних • підготовка персоналу і користувачів до роботи в надзвичай План проведення відновлювальних робіт і забезпечення неперервного функціонування організації повинен описувати дії щодо улагодження інциденту, дії щодо резервування, дії щодо відновлення. Він включає в себе: • опис типових надзвичайних ситуацій, які потенційно най • опис процедур реагування на надзвичайні ситуації, які слід • опис процедур тимчасового переводу організації або окре • опис процедур поновлення нормальної виробничої діяль • порядок тестування плану, тобто проведення тренувань пер План проведення відновлювальних робіт і забезпечення неперервного функціонування організації підлягає перегляду у разі виникнення істотних змін у організації. Такими змінами можуть бути: Розділ 9. Основи управління інформаційною безпекою встановлення нового обладнання або модернізація існуючого, включення до складу організації нових компонентів; встановлення нових систем життєзабезпечення на об'єктах організації (сигналізації, вентиляції, пожежегасіння, конди-ціонування і т. ін.); проведення будівельно-ремонтних робіт; організаційні зміни у структурі організації, виробничих процесах, процедурах обслуговування організації; зміни у технології зберігання, оброблення та передавання інформації; зміни у програмному забезпеченні; будь-які зміни у складі і функціях СЗІБ. 9.3.3. Правила розмежування доступу користувачів та процесів до ресурсів інформаційної сфери організації Найважливішу частину політики безпеки, яка регламентує доступ користувачів і процесів до ресурсів інформаційної сфери організації, складають правила розмежування доступу (ПРД). ПРД — це певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об'єктів організації і є найбільш суттєвим елементом політики безпеки. Так приклад, загальні ПРД можуть бути наступними (за припущення, що у організації визначено такі ієрархічні ролі — адміністратор безпеки організації, адміністратор, користувач): • кожне робоче місце повинно мати свого адміністратора, який • для попередження неавторизованого доступу до даних, про Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ • для попередження поширення комп ютерних вірусів відпові • за всі зміни програмного забезпечення, створення резервних • кожний користувач має свій унікальний ідентифікатор і па • користувачі проходять процедуру автентифікації для отри • атрибути користувачів періодично змінюються, а невикорис- • процедури використання активного мережаного обладнання, • усі користувачі повинні знати «Інструкцію користувача» • адміністратор безпеки організації і адміністратори мереж Загальні ПРД мають бути конкретизовані на рівні вибору необхідних функціональних послуг захисту (профілю захищеності) та впровадження організаційних заходів захисту інформації- Розділ 9. Основи управління інформаційною безпекою 9.3.4. Документальне оформлення політики безпеки загальний, у якому визначається відношення керівництва організації до проблеми інформаційної безпеки організації; організаційний, у якому наводиться перелік підрозділів, робочих груп, посадових осіб, які відповідають за роботи у сфері захисту інформації, 'їхніх функції, викладаються підходи, що застосовуються до персоналу (опис посад з точки зору безпеки інформації, організація навчання та перепідготовки персоналу, порядок реагування на порушення режиму безпеки та ін.); класифікаційний, де визначаються матеріальні та інформаційні ресурси, які є у наявності у організації, та необхідний рівень їхнього захисту; розділ, у якому визначаються ПРД до інформації; розділ, у якому визначається підхід щодо керування об'єктами та обладнанням організації; розділ, у якому висвітлюються питання фізичного захисту; розділ, у якому висвітлюються питання захисту інформації від витоку технічними каналами; розділ, де викладено порядок розробки та супроводження системи, модернізації апаратного та програмного забезпечення; розділ, який регламентує порядок проведення відновлюваль-них робіт і забезпечення неперервного функціонування організації у цілому та окремих складових та об'єктів організації; юридичний розділ, у якому приводиться підтвердження відповідності політики безпеки законодавству України. 9.4. СИСТЕМА МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА її ОЦІНКА Як уже відзначалося, у процесі впровадження стандартів менеджменту інформаційної безпеки створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити досить складне завдання: Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними. Для того, щоб впевнитися, що система менеджменту інформаційної безпеки відповідає своєму призначення, здійснюється її оцінка. Коли здійснюється забезпечення безпеки державних інформаційних ресурсів, то оцінка здійснюється у формі державної експертизи відповідно до Положення державну експертизу у сфері технічного захисту інформації від 2000 року. У положення приведені загальні положення державної експертизи у сфері захисту інформації, права та обов'язки суб'єктів експертизи, порядок організації та проведення експертизи. Відповідно до міжнародного стандарту ISO 17799 здійснюється аудит системи менеджменту інформаційної безпеки. Для одержання сертифіката система менеджменту інформаційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менеджменту інформаційної безпеки, а також; вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи. Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства,які пройшли акредитацію ISO. сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін. На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.013 сек.) |