Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
posobie_IM_red_ot_120309.doc
Скачиваний:
3
Добавлен:
01.03.2025
Размер:
2.48 Mб
Скачать

4.19 Управление информационной безопасностью

Информационная безопасность является одним из важнейших аспектов внедрения ИС. С одной стороны, информатизация менеджмента создает ее неоценимую поддержку, но с другой стороны менеджмент попадает в прямую зависимость от уровня информационной безопасности ИС.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных.

Управление информационной безопасностью – процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности.

К техническим мерам можно отнести:

  • защиту от несанкционированного доступа к системе,

  • резервирование особо важных обеспечивающих подсистем,

  • организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев,

  • установку оборудования для обнаружения и тушения пожаров,

  • использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов,

  • установку резервных систем электропитания,

  • оснащение помещений замками,

  • физическое разграничение доступа персонала в помещения,

  • установку систем сигнализации и т.д.

К организационным мерам относятся:

  • охрана информационных систем,

  • тщательный подбор персонала,

  • исключение случаев ведения особо важных работ только одним человеком,

  • наличие плана восстановления работоспособности системы после выхода ее из строя,

  • организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы,

  • универсальность средств защиты для всех пользователей (включая высшее руководство),

  • разделение полномочий в области доступа к данным,

  • возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий.

Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям:

  • разработка политики и организация ИБ,

  • организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов,

  • защита персонала и снижение внутренних угроз компании,

  • физическая безопасность в компании и безопасность окружающей среды,

  • управление средствами связи и эксплуатацией оборудования,

  • разработка и обслуживание аппаратно-программных систем,

  • управление непрерывностью бизнес-процессов в компании,

  • соблюдение правовых норм по безопасности.

Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).

У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com).

Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME и который включает в себя 5 этапов.

1 этап - оценка (assess). На этом этапе осуществляется идентификация и инвентаризация всех ресурсов организации. На данном этапе осуществляются анализ риска (risk assessment), а также поиск уязвимостей (vulnerability assessment), тестирование на проникновение (penetration assessment) и оценка угроз (threat assessment).

2 этап - проектирование (design). На этом этапе разрабатывается политика безопасности организации и вырабатываются принципы оценки эффективности, предлагаемых в ней мер (законодательных, организационных, программно-технических). При этом учитываются собранные на первом этапе данные о пользователях, имеющихся сетевых устройствах, расположении критических информационных ресурсов и т.п.

3 этап - развертывание (deploy). В рамках данного этапа осуществляются работы по установке средств защиты, их интеграции и тестированию в принятой технологии обработки информации, по обучению пользователей требованиям политики безопасности и правилам эксплуатации установленных защитных средств.

4 этап - эксплуатация (manage and support). На этом этапе оценивается эффективность принятых мер и их соответствие положениям разработанной политики безопасности. В случае возникновения инцидентов, связанных с ее нарушением, реализуется разработанный на втором этапе план реагирования на инциденты и, как следствие, осуществляется пересмотр некоторых положений политики безопасности. Изменение технологии обработки информации, появление новых технологий защиты и т.п. также являются толчком к пересмотру разработанных документов.

5 этап - обучение (education). Обучение - это постоянный процесс, осуществляемый на всех этапах построения комплексной системы информационной безопасности. В нем участвуют все сотрудники организации: операторы, администраторы, руководители и т.д.

В идеальной компании процесс управления информационной безопасностью является проактивным (превентивным и постоянным).