- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
3.3 Політика безпеки організації
Поняття політики безпеки
Головна задача керівництва організації щодо інформаційної безпеки - сформувати програму робіт у галузі інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан подій.
Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів. Керівництво кожної організації повинне усвідомлювати необхідність підтримки режиму безпеки і виділення на ці цілі значних ресурсів.
Політика безпеки будується на основі аналізу ризиків, які визнаються реальними для ІС організації. Коли ризики проаналізовано і стратегію захисту визначено, тільки тоді складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні. визначається порядок контролю виконання програми тощо.
Термін “політика безпеки” є не зовсім точним перекладом англійського словосполучення “Security policy", проте в даному випадку калька краще відображає сенс цього поняття, ніж лінгвістично правильний переклад “правила безпеки. Тут мова йде не про окремі правила або їх набори, а про стратегію організації у галузі інформаційної безпеки. Для вироблення стратегії і втілення її в життя потрібні політичні рішення, що приймаються на найвищому рівні керівництва організації, установи чи підприємства.
Політика безпеки - це сукупність документованих рішень, що приймаються керівництвом організації і спрямовані на захист інформації та асоційованих з нею ресурсів.
Аналітична фірма Gartner Group виділяє 4 рівні зрілості компанії з точки зору забезпечення інформаційної безпеки:
0-й рівень:
інформаційною безпекою в компанії ніхто не займається, керівництво компанії не усвідомлює важливості проблем інформаційної безпеки;
фінансування відсутнє;
інформаційна безпека реалізується штатними засобами операційних систем, СКБД і додатків (парольний захист, розмежування доступу до ресурсів і сервісів).
1-й рівень:
інформаційна безпека розглядається керівництвом як чисто «технічна» проблема, відсутня єдина програма (концепція, політика) розвитку системи забезпечення інформаційної безпеки компанії;
фінансування здійснюється в рамках загального ІТ-бюджету;
інформаційна безпека реалізується засобами нульового рівня плюс засоби резервного копіювання, «антивірусні» засоби, міжмережеві екрани, засоби організації VPN (віртуальних приватних мереж), тобто традиційні засоби захисту.
2-й рівень:
інформаційна безпека розглядається керівництвом як комплекс організаційних і технічних заходів, існує розуміння важливості інформаційної безпеки для виробничих процесів, є затверджена керівництвом програма розвитку системи забезпечення інформаційної безпеки компанії;
фінансування ведеться в рамках окремого бюджету ;
інформаційна безпека реалізується засобами першого рівня плюс засоби посиленої автентифікації, засоби аналізу поштових повідомлень і web-контенту, системи виявлення вторгнень, засоби аналізу захищеності та організаційні заходи (внутрішній і зовнішній аудит, аналіз ризиків, політика інформаційної безпеки, положення, процедури та регламенти).
3-й рівень:
інформаційна безпека є частиною корпоративної культури, призначено менеджера з питань забезпечення інформаційної безпеки;
фінансування здійснюється в рамках окремого бюджету;
інформаційна безпека реалізується засобами другого рівня плюс системи управління інформаційною безпекою.