OIBD

Інформаційна безпека досягається шляхом реалізації відповідного комплексу заходів з керування інформаційною безпекою, які можуть бути представлені політиками, методами, процедурами, організаційними структурами та функціями програмного забезпечення.

Організація пованна визначити свої вимоги до інформаційної безпеки з урахуванням наступних трьох факторів.

По-перше, оцінка ризиків організації. За допомогою оцінки ризиків відбувається виявлення загроз щодо активів організації, оцінка уразливості відповідних активів та імовірність виникнення загроз, а також оцінка можливих наслідків.

По-друге, юридичні, законодавчі, регулюючі та договірні вимоги, яким повинна задовольняти організація, її торгівельні партнери, підрядники та постачальники послуг.

По-третє, специфічний набір принципів та вимог, що розроблені організацією по відношенню до оробки інформації.

Як видно з приведеної частини документа в забезпеченні інформаційної безпеки організації на перший план виходить управління інформаційними ризиками. Керування процесом забезпечення безпеки базується на результатх оцінки ризиків. Вимоги до оцінки інформаційних ризиків організації визначаються у відповідності з стандартом.

Вимоги до інформаційної безпеки визначаються за допомогою систематичної оцінки ризиків. Рішення про расходи на заходи по управлінню інформаційною безпекою повинні прийматися виходячи з можливого збитку, нанесеного бузнесу в результаті порушень інформаційної безпеки.

Методи оцінки ризику можуть застосовуватися як для всієї організації, так и для будь-якої її частини, окремих інформаційних систем, певних компонентів систем або посуг, а саме там, де це практично можна виконати.

Результати цієї оцінки допоможуть у визначенні конкретних мір та пріоритетів в області управління ризиками, пов’язаними з інформаційною безпекою, а також впровадженню заходів з керування інформаційною безпекою з метою мінімізації цих ризиків.

Уровень деталізації аналізу треба визначати в залежності від результатів попередніх перевірок та рівня прийнятного ризику, що змінюється. Оцінка ризиків зазвичай проодиться спочатку на верхньому рівні, при цьому ресурси

161

спрямовуються в області найбільшого ризику, а потім на більш детальному рівні, що дозволяє розглянути специфічні ризики.

Вибір заходів з керування інформаційною безпекою повинен базуватися на співвідношенні вартості їх реалізації до ефекту від зниження ризиків та можливим збиткам у випадку порушення безпеки.

Деякі заходи з керування інформаційною безпекою, приведені в цьому стандарті, можуть розглядатися як керуючі принципи для управління інформаційною безпекою та застосовуватися для більшості організацій.

Таким чином, документ визначає собі місце в нормативній базі з керування інформаційними ризиками як визначний набір засобів, використовуючи які можна впливати на загальний рівень ризику для системи. Це відображено у першій частині документа, що визначає область його застосування.

Цей стандарт встановлює рекомендації з керування інформаційною безпекою особам, які відповідальні за планування, реалізацію або підтримку рішень безпеки в організації. Від призначений для забезпечення загальних основ для розробки стандартів безпеки та вибору практичних заходів з керування безпекою в організації, а також в інтересах забезпечення довіри в ділових відносинах між організаціями.

Виконання стандарту передбачає проведення класифікації інформаційних ресурсів.

Інформацію треба класифікувати, щоб визначити її пріоритетність, необхідність та ступінь її захисту.

Інформація має різні ступені чутливості та критичності. Деякі види інформації можуть вимагати додаткового рівня захисту або спеціальних методів обробки. Систему класифікації інформації треба використовувати для визначення відповідної множини рівней захисту та потреби в спеціальних методах обробки.

Встандарті розглядаються питання безпеки, пов’язані з персоналом. Метою даного розділу є мінімізація ризиків від помилок, пов’язаних з людським чинником, крадіжок шахрайства або невірного використання засобів обробки інформації.

Встандарті розглядається мінімізація ризиків загроз безпосереднього впливу навколишнього середовища на систему. Розглянуті різні питання протидії неавторизованому фізичному доступу до системи, пом’якшення

162

наслідків дії зовнішніх факторів техногенного характеру. Треба відмітити, що у розділі зроблено акцент на те, що оцінка ризиків для активів безпосередньо впливає на вибір засобів захисту для нейтралізації тієї або іншої загрози.

Восьма частина стандарту визначає порядок забезпечення безпеки передачі, збереження та обробки даних в інформаційних системах.

Розмежування обов’язків – це спосіб мінімізації ризику позаштатного використання систем внаслідок помилкових або зловмисних дій користувача. Необхідно розглядати принцип розмежування обов’язків у відношенні функцій керування, виконування певних задач та областей відповідності як спосіб зменшення неавторизованої модифікації або невірного використання інформації або сервісів.

Продуктивність системи безпосередньо впливає на рівень ризику, пов’язанного з порушенням доступності інформації, тому стандарт визначає:

-захист від шкідливого програмного забезпечення;

-керування мережевими ресурсами;

-безпека носіїв інформації;

-обмін інформацією та установка ПЗ.

Запитання для самоконтролю

1.Державні стандарти України, щодо забезпечення інформаційної безпеки.

2.ДСТУ 3396.0-96.

3.ДСТУ 3391.1-96.

4.ДСТУ 3396.2-97.

5.ДСТУ 4145-2002.

6.ДСТУ 3918-1999.

7.ДСТУ ISO/IEC TR 13335-1:2003.

8.ДСТУ ISO/IEC TR 13335-2:2003.

9.ДСТУ ISO/IEC TR13335-3:2003.

10.ДСТУ ISO/IEC TR 13335-4:2003.

11.ДСТУ ISO/IEC TR 13335-5:2005.

12.Міжнародні стандарти, що використовуються щодо забезпечення інформаційної безпеки?

13.ISO/IEC 18028 (27033).

14.ISO/IEC 18043.

15.ISO/IEC 18044.

16.ISO/IEC 18045.

17.ISO/IEC 17799-2000.

163