Текст лекції
з дисципліни: «Організація та управління службою захисту інформації»
Тема «Керування інформаційними ризиками та міжнародні стандарти»
Лекція «Керування інформаційними ризиками та міжнародні стандарти»
План проведення заняття
Навчальні питання
Вступ |
1. Міжнародний стандарт ISO 27001 (найменування першого питання) |
|
|
|
2. Німецький стандарт BSI (найменування другого питання) |
3. Стандарт США NIST 800-30 (найменування третього питання) |
Контрольні запитання. |
В останні часи у технологічно розвинених країнах з’явилося нове покоління стандартів в галузі ІБ, які стосуються вирішенню практичних питань організації режиму ІБ. Насамперед це міжнародні та національні стандарти оцінювання ІБ та керування нею - ISO 15408, ISO 17799 (BS7799), BSI; стандарти аудиту, які стосуються питання ІБ - COBIT, SAC, COSO, SAS 55/78 та інші аналогічні до них. У відповідності до зазначених стандартів організація режиму ІБ включає в себе наступне:
визначення мети забезпечення ІБ компанії;
створення ефективної системи керування ІБ;
розрахунок сукупності деталізованих не тільки якісних, але й кількісних показників для оцінювання відповідності ІБ визначеній меті;
застосування інструментарію забезпечення ІБ та оцінювання її поточного стану;
використання методик (із зрозумілою системою критеріїв та заходів забезпечення ІБ) в процесі аналізу ризиків та керування ними, що дозволяють об’єктивно оцінити поточний стан справ.
Нове покоління стандартів відрізняється від попередніх більшою формалізацією технології організації режиму ІБ та детальним комплексним обліком вимірюваних показників ІБ компанії. Комплексний облік показників передбачає і комплексний підхід до організації режиму ІБ, коли перевіряється на відповідність визначеним правилам не тільки програмно-технічна складова ІБ корпоративної ІС, але й організаційно-адміністративні заходи з її забезпечення.
Наявність системи керування ІБ, зокрема аналізу інформаційних ризиків та керування ними, є обов’язковою умовою організації режиму ІБ в компанії. Компанії, починаючи з розглянутого нами раніше третього рівня зрілості, застосовують певний варіант системи керування ризиками. Численні закордонні національні інститути стандартів та організації, які спеціалізуються на вирішенні комплексних проблем ІБ, запропонували схожі концепції керування інформаційними ризиками. Розглянемо концепції британського стандарту BS 7799 (ISO 17799), німецького стандарту BSI, стандарту США NIST, а також кількох аналогічних їм стандартів
Забезпечення максимальної безпеки і захищеності комп’ютерних і мережевих ресурсів організації вимагає наявності багатьох видів контролю. Наприклад, комп’ютерні центри і робочі місця кінцевих користувачів захищаються такими засобами, як ідентифікаційні значки (бейджі), електронні дверні замки, охоронна сигналізація, охоронці служби безпеки, внутрішнє й зовнішнє телеспостереження та інші системи виявлення. Комп’ютерні центри мають бути захищеними від можливого лиха такими охоронними засобами, як системи пожежної сигналізації та пожежогасіння; вогнетривке сховище для захисту файлів; системи аварійного енергопостачання; електромагнітне екранування; контроль наявності пилу, температурний контроль і контроль вологості. Захист комп'ютерних систем та мереж є серйозною проблемою, коли так багато компаній зараз активно використовують інтранети, екстранети та Інтернет. Дослідження, проведені американськими вченими, показали, що більше 50% всіх опитаних користувачів повідомляють про спроби неавторизованого втручання в їх комп’ютерні системи протягом останнього року; 47% користувачів повідомляють про небезпеку вторгнення через Інтернет, на 10% більше порівняно з попереднім роком; 50% не мають команди реагування на надзвичайні ситуації; 60 % не мають політики захисту мережі від зовнішнього втручання; 50 % компаній мають якусь політику захисту від зовнішнього втручання, але не мають досі ніякої політики для збереження доказів.