- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
Синхронізація програми безпеки з життєвим циклом систем
Якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом сервісу, що захищається, можна досягти більшого ефекту з меншими витратами. Додати нову можливість вже готовій системі на порядок складніше, ніж спочатку спроектувати і реалізувати її. Те ж саме справедливо і для інформаційної безпеки.
У життєвому циклі інформаційного сервісу виділяються такі етапи та дії, що виконуються з позиції програми безпеки.
Ініціація. На даному етапі виявляється необхідність у придбанні нового сервісу, документується його передбачуване призначення.
З погляду інформаційної безпеки найважливішою дією тут є оцінювання критичності як самого сервісу, так і інформації, яка з його допомогою оброблятиметься.
Результати оцінювання критичності є відправним моментом у складанні специфікацій. Крім того, вони визначають ту міру уваги, яку служба безпеки організації повинна приділяти новому сервісу на подальших етапах його життєвого циклу.
Закупівля. На даному етапі складаються специфікації, опрацьовуються варіанти придбання, виконується власне закупівля.
Тут необхідно остаточно сформулювати вимоги до захисних засобів нового сервісу, до компанії, яка може претендувати на роль постачальника, і до кваліфікації, якою повинен володіти персонал, що використовує або обслуговує продукт, що купується. Всі ці відомості оформляються у вигляді специфікації, куди входять не тільки апаратура і програми, але і документація. обслуговування, навчання персоналу. Підкреслимо також, що нерідко засоби безпеки є необов'язковими компонентами комерційних продуктів, і потрібно прослідкувати, щоб відповідні пункти не випали із специфікації.
Встановлення. Сервіс встановлюється, конфігурується, тестується і вводиться в експлуатацію.
Коли продукт куплений, його необхідно встановити. По-перше, новий продукт слід конфігурувати. Як правило, комерційні продукти поставллються з відключеними засобами безпеки; їх необхідно включити і належним чином налаштувати. Для великої організації, де багато користувачів і даних, початкове налаштування може стати вельми трудомісткою і відповідальною справою.
По-друге, новий сервіс потребує процедурних регуляторів. Слід потурбуватися про чистоту і охорону приміщення, про документи, що регламентують використання сервісу, про підготовку планів на випадок екстрених ситуацій, про організацію навчання користувачів тощо.
Після здійснення перерахованих заходів необхідно провести тестування. Його повнота і комплексність можуть служити гарантією безпеки експлуатації в штатному режимі.
Експлуатація. На даному етапі сервіс не тільки працює та адмініструється, але і піддається модифікаціям.
Період експлуатації - найтриваліший та складний. З психологічної точки зору найбільшою небезпекою в цей час є незначні зміни в конфігурації сервісу, в поведінці користувачів і адміністраторів. Якщо безпеку не підтримувати, вона слабшає. Користувачі не так відповідально виконують посадові інструкції, адміністратори менш ретельно аналізують реєстраційну інформацію. То один, то інший користувач одержує додаткові привілеї. Здається. що по суті нічого не змінилося, але, насправді, від минулої безпеки не залишилося й сліду. Для боротьби з ефектом повільних змін доводиться вдаватися до періодичних перевірок безпеки сервісу. Зрозуміло, що після значних модифікацій подібні перевірки є обов'язковими.
Виведення з експлуатації. Відбувається перехід на новий сервіс.
При виведенні з експлуатації зачіпаються апаратно-програмні компоненти сервісу та оброблювані ними дані. Апаратура продається, утилізується або викидається. Тільки в окремих випадках необхідно піклуватися про фізичне руйнування апаратних компонентів, що зберігають конфіденційну інформацію. При виведенні даних з експлуатації їх звичайно переносять на іншу систему, архівують, викидають або знищують. Якщо архівація проводиться з наміром згодом прочитати дані у іншому місці, слід поклопотатися про апаратно-програмну сумісність засобів читання і запису. Інформаційні технології розвиваються дуже швидко, і через декілька років пристроїв, здатних прочитати старий носій, можна просто не знайти.
ІТ-спеціаліст з Оксфорда Ендрю Чепмен (Andrew Chapman) купив на аукціоні eBay старенький комп'ютер. Проте він і припустити не міг, що всього за 35 фунтів стерлінгів можна придбати актив вартістю в мільйони доларів. Вивчивши вміст комп'ютеру, він побачив базу даних з як мінімум мільйоном записів про банківські карти American Express, NatWest і Royal Bank of Scotland і повідомив про свою знахідку в поліцію. Як з'ясувалося, проданий комп'ютер належав компанії Mail Source, яка пропонує фінансовим структурам послуги з обробки інформації.
Якщо дані архівуються в зашифрованому вигляді, необхідно зберегти ключ і засоби розшифрування. При архівації і зберіганні архівної інформації не можна забувати про підтримку конфіденційності даних.