Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4603 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный авиационный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БОГУШ,ЮДИН.doc
Скачиваний:
1486
Добавлен:
19.02.2016
Размер:
3.5 Mб
Скачать
►Содержание►

9.1 Стандарти менеджменту інформаційної безпеки та їх основні положення

Інформаційна безпека представляє собою проблему високої скла­дності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на ор­ганізаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який до­зволяє реалізувати інформаційну безпеку [44,29,54].

Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпе­чення державних та комерційних організацій інструментом для ство­рення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 р. цей стандарт був признаний міжна­родним під назвою "International Standard ISO/IEC 17799. Information technology - Code of practice for information security management".

Стандарт ISO/IEC 17799 [84] — це модель системи мене­джменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробі­тників, використання оцінки ризику і т.ін. в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним го­сподарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організу­вати ефективний доступ до даних та нормальну роботу з ними.

Структура стандарту дозволяє вибрати ті засоби управління, які мають відношення до конкретної організації або сфери відповідаль-

379

Частина II Основи безпеки інформаційних технологій

ності усередині організації. Зміст стандарту включає наступні розді­ли (рис. 9.1):

  • політика безпеки [security policy];

  • організація захисту [organizational security];

  • класифікація ресурсів та контроль [asset classification and control];

  • безпека персоналу [personnel security];

  • фізична безпека та безпека навколишнього середовища [physical and environmental security];

  • адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];

  • керування доступом до системи [system access control];

  • розробка та супроводження інформаційних систем [system development and maintenance];

  • планування безперервної роботи організації [business continuing planning];

  • виконання вимог (відповідність законодавству) [compliance].

У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:

  • політика з інформаційної безпеки;

  • розподіл відповідальності за інформаційну безпеку;

  • освіта та тренінг з інформаційної безпеки;

  • звітність за інциденти з безпеки;

  • захист від вірусів;

  • забезпечення безперервності роботи;

  • контроль копіювання ліцензованого програмного забезпечення;

  • захист архівної документації організації;

  • захист персональних даних;

  • реалізація політики з інформаційної безпеки.

Як видно, поряд з елементами управління для комп'ютерів та комп'ютерних мереж стандарт велику увагу приділяє питанням роз­робки політики безпеки, роботі з персоналом (прийом на роботу, на­вчання, звільнення з роботи), забезпеченню безперервності виробни­чого процесу, юридичним вимогам.

Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке "меню", з якого слід вибрати елементи, які можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.

Ризик визначається як добуток показника можливих втрат на

380

Розділ 9 Основи управління інформаційною безпекою

Рис. 9.1.Структура стандарту ISO/IEC 17799

381

Частина II Основи безпеки інформаційних технологій

ймовірність того, що ця втрата відбудеться. Під втратами розуміютьматеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:

  • конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;

  • цілісність [integrity] — захищеність інформації від несанкціонова­ної зміни, забезпечення її точності та повноти;

  • доступності [availability] — можливість використання інформації, коли в цьому виникає необхідність, працездатність системи.

Стандарт не зосереджується тільки на забезпеченні конфіденцій­ності. У комерційних організаціях з точки зору матеріальних втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на на­ступні питання:

  • Що може загрожувати інформаційним ресурсам?

  • Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?

  • Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?

  • Наскільки часто слід очікувати подібні випадки?

Для одержання сертифіката система менеджменту інформацій­ної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 склада­ється з аналізу документації з системи менеджменту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті серти­фікаційні товариства, які пройшли акредитацію ISO. сертифікат, ви­даний такою організацією, признається на міжнародному рівні. Сут­тєве зростання сертифікації відповідно очікується у зв'язку з роз­витком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комер­ційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, тор­говельні фірми, телекомунікаційні компанії, медичні заклади, під­приємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.

382

Розділ 9 Основи управління інформаційною безпекою

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности