KN_6_2013-2014 / СТЕПАНОВ / Захист інформації / Лекції / ZM1
.pdf
7.1. Базова політика безпеки.
Базова політика безпеки встановлює, як організація обробляє інформацію, хто може дістати до неї доступ і як це можна зробити. У описі базової політики безпеки визначаються дозволені і заборонені дії, а також указуються необхідні засоби управління в рамках архітектури безпеки, що реалізуються. З базовою політикою безпеки узгоджуються спеціалізовані політики і процедури безпеки.
Низхідний підхід, що реалізовується базовою політикою безпеки, дає можливість поступово і послідовно виконувати роботу із створення системи безпеки, не намагаючись відразу виконати її цілком. Базова політика позволяє в любий час ознайомитися з політикою безпеки в повному об'ємі і з'ясувати поточний стан безпеки в організації.
Огляд політики безпеки розкриває мету політики безпеки, описує структуру політики безпеки, детально встановлює, хто і за що відповідає, встановлює процедури і передбачувані тимчасові рамки для внесення змін. Залежно від масштабу організації політика безпеки може містити більше або менше розділів.
Керівництво по архітектурі безпеки описує реалізацію механізмів безпеки в компонентах архітектури, використовуваних в мережі організації.
7.2. Спеціалізовані політики безпеки.
7.3. Процедури безпеки.
Процедури безпеки визначають, як захистити ресурси і які механізми виконання політики, тобто як реалізовувати політики безпеки.
8. Розробка політики безпеки організації.
9. Роль стандартів інформаційної безпеки.
10.Міжнародні стандарти інформаційної безпеки.
10.1.Міжнародні організації із питань стандартизації.
Міжнародна електротехнічна комісія (МЕК; англ. International Electrotechnical Commission, IEC) - міжнародна некомерційна організація по стандартизації в області електричних, електронних і суміжних технологій.
Міжнародна організація по стандартизації, ІСО (International Organization for Standardization, ISO) - міжнародна організація, що займається випуском стандартів.
Спеціальна комісія інтернет-розробок (Internet Engineering Task Force, IETF) - відкрите міжнародне співтовариство проектувальників, вчених, мережевих операторів і провайдерів, яке займається розвитком протоколів і архітектури Інтернету.
10.2. Стандарти ISO/IEC 17799:2002 (BS 7799:2000).
ISO/IEC 17799 - стандарт інформаційної безпеки, опублікований в 2005 році організаціями ISO і IEC. Він озаглавлений як: Інформаційні технології - Технології безпеки - Практичні правила менеджменту інформаційної безпеки (англ. Information technology - Security techniques - Code of practice for information security management). Поточна версія стандарту є переробкою версії, опублікованої в 2000 році, яка була повною копією Британського стандарту BS 7799-1:1999.
Стандарт надає поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (упевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації і методів її обробки) і доступності (гарантії в тому, що уповноважені користувачі мають доступ до інформації і зв'язаних ресурсів)».
Поточна версія стандарту ISO/IEC 17799:2000 (BS 7799-1:2000) розглядає наступні актуальні питання забезпечення інформаційної безпеки організацій і підприємств:
-необхідність забезпечення інформаційної безпеки;
-основні поняття і визначення інформаційної безпеки;
-політика інформаційної безпеки компанії;
-організація інформаційної безпеки на підприємстві;
-класифікація і управління корпоративними інформаційними ресурсами;
-кадровий менеджмент і інформаційна безпека;
-фізична безпека;
-адміністрування безпеки корпоративних інформаційних систем;
-управління доступом;
-вимоги по безпеці до корпоративних інформаційних систем в ході їх розробки, експлуатації і супроводу;
-управління бізнес-процесами компанії з погляду інформаційної безпеки;
-внутрішній аудит інформаційної безпеки компанії.
10.3. Германський стандарт BSI.
Німецьке "Керівництво по захисту інформаційних технологій для базового рівня захищеності" 1998 присвячено детальному розгляду питань управління інформаційної безпеки компанії. У стандарті BSI представлені:
1)Загальний метод управління інформаційною безпекою (організація менеджменту в області ІБ, методологія використання керівництва).
2)Описи компонентів сучасних інформаційних технологій:
3)Описи основних компонентів організації режиму інформаційної безпеки (організаційний і технічний рівні захисту даних, планування дій в надзвичайних ситуаціях, підтримка безперервності бізнесу ).
3)Характеристики об'єктів інформатизації (будівлі, приміщення, кабельні мережі, контрольовані зони).
4)Характеристики основних інформаційних активів компанії (зокрема апаратне і ПЗ, робочі станції і сервера).
5)Характеристики мереж на основі різних мережевих технологій.
6)Характеристика активного і пасивного телекомунікаційного устаткування ведучих вендорів, наприклад Cisco Systems.
7)Каталоги погроз безпеці і мір контролю (> 600 найменувань в кожному).
Сценарій захисту інформаційних активів компанії у стандарті BSI.
