Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5305 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Одесская государственная академия строительства и архитектуры
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
диплом1.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
491.01 Кб
Скачать
►Содержание►

    1. Показники оцінки інформаційної безпеки

Інформація — це актив, що, подібно іншим активам організації, має цінність і, отже, повинний бути захищений належним чином.

Інформаційна безпека захищає інформацію від широкого діапазону погроз з метою забезпечення впевненості в безперервності бізнесу, мінімізації шкоди, одержання максимальної віддачі від інвестицій, а також реалізації потенційних можливостей бізнесу.

Інформація може існувати в різних формах. Вона може бути надрукована або написана на папері, зберігатися в електронному вигляді, передаватися поштою або з використанням електронних засобів зв'язку, демонструватися на плівці або бути виражена усно. Безвідносно форми вираження інформації, засобів її поширення або збереження вона повинна завжди бути адекватно захищена.

Отже, можна перелічити задачі інформаційної безпеки. Інформаційна безпека — механізм захисту, що забезпечує:

  • конфіденційність: доступ до інформації тільки авторизованих користувачів;

  • цілісність: вірогідність і повноту інформації і методів її обробки;

  • приступність: доступ до інформації і пов'язаним з нею активам авторизованих користувачів у міру необхідності.

Інформаційна безпека досягається шляхом реалізації відповідного комплексу заходів щодо управління інформаційною безпекою, що можуть бути представлені політиками, методами, процедурами, організаційними структурами і функціями програмного забезпечення. Зазначені заходи повинні забезпечити досягнення цілей інформаційної безпеки організації.

Інформація, процеси, що її підтримують, інформаційні системи і мережна інфраструктура є істотними активами організації. Конфіденційність, цілісність і приступність інформації можуть істотно сприяти забезпеченню конкурентноздатності, ліквідності, прибутковості, відповідності законодавству і діловій репутації організації.

Підприємства, їх інформаційні системи і мережі все частіше зіштовхуються з різними погрозами безпеки, такими як комп'ютерне шахрайство, шпигунство, шкідництво, вандалізм, пожежі або повені. Такі джерела збитку, як комп'ютерні віруси, комп'ютерний злом і атаки типу відмовлення в обслуговуванні, стають більш розповсюдженими, більш агресивними і все більш витонченими.

Залежність від інформаційних систем і послуг означає, що підприємства стають все більше вразливими стосовно погроз безпеки. Взаємодія мереж загального користування і приватних мереж, а також спільне використання інформаційних ресурсів утрудняє управління доступом до інформації. Тенденція до використання розподіленої обробки даних послабляє ефективність централізованого контролю.

При проектуванні багатьох інформаційних систем питання безпеки не враховувалися. Рівень безпеки, що може бути досягнутий технічними засобами, має низку обмежень і, отже, повинний супроводжуватися належними організаційними заходами. Вибір необхідних заходів щодо управління інформаційною безпекою вимагає ретельного планування й уваги до найдрібніших деталей.

Управління інформаційною безпекою потребує, як мінімум, участі всіх співробітників організації. Також може знадобитися участь постачальників, клієнтів або акціонерів. Крім того, можуть знадобитися консультації фахівців сторонніх організацій.

Заходи щодо управління в галузі інформаційної безпеки обійдуться значно дешевше і виявляться більш ефективними, якщо будуть включені в специфікацію вимог на стадії проектування системи.

Організація повинна визначити свої вимоги до інформаційної безпеки з урахуванням наступних трьох факторів [14, с. 88].

По-перше, оцінка ризиків організації. За допомогою оцінки ризиків відбувається виявлення погроз активам організації, оцінка уразливості відповідних активів і імовірності виникнення погроз, а також оцінка можливих наслідків.

По-друге, юридичні, законодавчі, регулюючі і договірні вимоги, яким повинні задовольняти організація, її торговельні партнери, підрядчики і постачальники послуг.

По-третє, специфічний набір принципів, цілей і вимог, розроблених організацією у відношенні обробки інформації.

Вимоги до інформаційної безпеки визначаються за допомогою систематичної оцінки ризиків. Рішення про витрати на заходи щодо управління інформаційною безпекою повинні прийматися, виходячи з можливої шкоди, нанесеної бізнесу в результаті порушень інформаційної безпеки. Методи оцінки ризику можуть застосовуватися як для всієї організації, так і для якої-небудь її частини, окремих інформаційних систем, визначених компонентів систем або послуг, а саме там, де це практично здійснене і доцільне.

Оцінка ризику — це систематичний аналіз:

  • ймовірної шкоди, що нанесена бізнесу в результаті порушень інформаційної безпеки з урахуванням можливих наслідків від втрати конфіденційності, цілісності або приступності інформації й інших активів;

  • імовірності настання такого порушення з урахуванням існуючих погроз і уразливостей, а також запроваджених заходів щодо управління інформаційною безпекою.

Результати цієї оцінки допоможуть у визначенні конкретних заходів і пріоритетів в галузі управління ризиками, пов’язаними з інформаційною безпекою, а також запровадженню заходів щодо управління інформаційною безпекою з метою мінімізації цих ризиків.

Може знадобитися кількаразове проведення оцінки ризиків і вибору заходів щодо управління інформаційною безпекою для того, щоб охопити різні підрозділи організації або окремі інформаційні системи. Мається безліч різних підходів до управління ризиками. Однак слід зазначити, що деякі з заходів щодо управління інформаційною безпекою незастосовні до окремих інформаційних систем і середовищ і можуть виявитися неприйнятними для конкретних організацій [10, с. 101].

Ключовими заходами контролю з погляду законодавства є:

  • забезпечення конфіденційності персональних даних;

  • захист облікових відомостей організації;

  • права на інтелектуальну власність.

Заходи щодо управління інформаційною безпекою, розглянуті як загальноприйнята практика в галузі інформаційної безпеки, включають:

  • наявність документа, що описує політику інформаційної безпеки;

  • розподіл обов'язків із забезпечення інформаційної безпеки;

  • навчання питанням інформаційної безпеки;

  • інформування про інциденти, пов'язані з інформаційною безпекою;

  • управління безперервністю бізнесу.

Перераховані заходи застосовні для більшості організацій і інформаційних середовищ. Слід зазначити, що, хоча всі приведені заходи є важливими, доречність якого-небудь заходу повинна визначатися у світлі конкретних ризиків, з якими зіштовхується організація. Отже, незважаючи на те, що вищеописаний підхід розглядається як відправна точка для запровадження заходів щодо забезпечення інформаційної безпеки, він не заміняє вибір заходів щодо управління інформаційною безпекою, заснований на оцінці ризиків.

Практика показує, що для успішного впровадження інформаційної безпеки в організації вирішальними є наступні фактори:

  • відповідність цілей, політик і процедур інформаційної безпеки цілям бізнесу;

  • погодженість підходу до запровадження системи безпеки з корпоративною культурою;

  • видима підтримка і зацікавленість з боку керівництва;

  • чітке розуміння вимог безпеки, оцінка ризиків і управління ризиками;

  • забезпечення розуміння необхідності застосування заходів інформаційної безпеки керівництвом і співробітниками організації;

  • передача інструкцій у відношенні політики інформаційної безпеки і відповідних стандартів усім співробітникам і контрагентам;

  • забезпечення необхідного навчання і підготовки;

  • всебічна і збалансована система вимірюваних показників, використовуваних для оцінки ефективності управління інформаційною безпекою і пропозицій щодо її поліпшення, що надійшли від виконавців.

Адміністративний рівень забезпечення інформаційної безпеки є проміжним між законодавчо-правовим і програмно-технічним рівнями формування режиму інформаційної безпеки. Закони і стандарти в галузі інформаційної безпеки є лише відправним нормативним базисом інформаційної безпеки. Основою практичної побудови комплексної системи безпеки є адміністративний рівень, що визначає головні напрямки робіт із захисту інформаційних систем.

Задачею адміністративного рівня є розробка і реалізація практичних заходів щодо створення системи інформаційної безпеки, яка враховує особливості інформаційних систем, що захищаються. Крім цього, що немаловажне, саме на адміністративному рівні визначаються механізми захисту, що складають третій рівень інформаційної безпеки — програмно- технічний.

Метою адміністративного рівня є розробка програми робіт в галузі інформаційної безпеки і забезпечення її виконання в конкретних умовах функціонування інформаційної системи.

Змістом адміністративного рівня є наступні заходи [17, с. 266]:

  • розробка політики безпеки;

  • проведення аналізу погроз і розрахунку ризиків.

Розробка політики безпеки проводиться для конкретних умов функціонування інформаційної системи. Як правило, мова йде про політику безпеки організації, підприємства або навчального закладу. З урахуванням цього розглянемо наступне визначення політики безпеки.

Політика безпеки — це комплекс запобіжних заходів щодо забезпечення інформаційної безпеки організації. Політика безпеки включає правила, процедури і керівні принципи в галузі безпеки, якими керується організація у своїй діяльності. Крім цього, політика безпеки містить у собі вимоги на адресу суб'єктів інформаційних відносин, при цьому в політиці безпеки викладається політика ролей суб'єктів інформаційних відносин.

Основні напрямки розробки політики безпеки: визначення обсягу і необхідного рівня захисту даних; визначення ролей суб'єктів інформаційних відносин. Результатом розробки політики безпеки є комплексний документ, що представляє систематизований виклад цілей, задач, принципів і способів досягнення інформаційної безпеки. Цей документ є методологічною основою практичних заходів для забезпечення інформаційної безпеки і включає наступні групи відомостей:

  • основні положення інформаційної безпеки організації;

  • область застосування політики безпеки;

  • цілі й задачі забезпечення інформаційної безпеки організації;

  • розподіл ролей і відповідальності суб'єктів інформаційних відносин організації і їх загальних обов'язків.

Основні положення визначають важливість забезпечення інформаційної безпеки, загальні проблеми безпеки, напрямки їх вирішення, роль співробітників, нормативно-правові основи. При описі області застосування політики безпеки перелічуються компоненти автоматизованої системи обробки, збереження і передачі інформації, що підлягають захисту.

Цілі, задачі, критерії оцінки інформаційної безпеки визначаються функціональним призначенням організації. Наприклад, для режимних організацій на перше місце ставиться дотримання конфіденційності. Для сервісних інформаційних служб реального часу важливим є забезпечення приступності підсистем. Для інформаційних сховищ актуальним може бути забезпечення цілісності даних і т.д.

Політика безпеки стосується всіх суб'єктів інформаційних відносин в організації, тому на етапі розробки політики безпеки дуже важливо розмежувати їх права й обов'язки, пов'язані з їх безпосередньою діяльністю.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности