Текст лекції

з дисципліни: «Організація та управління службою захисту інформації»

Тема «Моделі управління інформаційною безпекою підприємства»

Лекція «Моделі управління інформаційною безпекою підприємства»

План проведення заняття

Навчальні питання

Вступ

1. Модель Symantec LifeCycle Security (найменування першого питання)

2. Модель Gartner Group (найменування другого питання)

3. Модель Carnegie Mellon University (найменування третього питання)

Контрольні запитання.

1. Модель Symantec LifeCycle Security

Зазначена модель регламентує та описує етапи побудови корпоративної системи захисту інформації та організації режиму ІБ компанії в цілому. Виконання представленої в ній низки процедур дозволяє системно вирішувати задачі із захисту інформації та дає можливість оцінити ефект від затрат на технічні засоби та організаційні заходи захисту. З цієї точки зору ідеологія Lifecycle Security може бути протиставлена тактиці впровадження окремих рішень (наприклад, файерволів або систем аутентифікації користувачів на основі смарт-карт або e-Token). Без попереднього аналізу та планування подібна тактика може призвести до появи у корпоративній ІТС низки розрізнених засобів захисту інформації які несумісні між собою, що не дозволяє ефективно вирішувати проблему забезпечення ІБ.

Модель Lifecycle Security складається з семи основних етапів.

1. Політики безпеки, стандарти, процедури та метрики. На цьому етапі визначаються межі, в яких здійснюються заходи із забезпечення ІБ та задаються критерії для оцінювання отриманих результатів. Відмітимо, що під стандартами тут розуміють не тільки державні та міжнародні стандарти у галузі ІБ, але й корпоративні стандарти, які в багатьох випадках суттєво впливають на проект створюваної корпоративної системи захисту інформації. Рекомендоване введення метрики дозволяє оцінити стан системи до початку, а також після проведення робіт із захисту інформації. Крім того, метрика встановлює одиниці виміру та порядок вимірювання захищеності ІТС, що дає можливість співвіднести витрати на ІБ та отриманий ефект від впровадженої корпоративної системи захисту інформації.

2. Аналіз ризиків. Цей етап є свого роду відправною точкою для встановлення та підтримки ефективного керування системою захисту. За результатами аналізу ризиків стає можливим детально описати склад та структуру ІТС (якщо за певних причин цього не було зроблено раніше), ранжувати наявні ресурси за пріоритетами, базуючись на ступнеі їх важливості для нормального функціонування підприємства, виявити загрози та ідентифікувати вразливості системи.

3. Стратегічний план побудови системи захисту. Результати аналізу ризиків використовуються як підґрунтя для розробки стратегічного плану побудови системи захисту. Наявність детального плану допомогає розподілити за пріоритетами бюджети та ресурси, а у подальшому вибрати засоби захисту та розробити стратегію та тактику їх впровадження.

4. Вибір та впровадження рішень. Чіткі критерії прийняття рішень у сфері захисту інформації та наявність програми впровадження зменшують вірогідність придбання засобів захисту, які стають зайвим тягарем, що ускладнює розвиток інформаційної системи підприємства. На даному етапі слід також враховувати якість запропонованих постачальниками сервісних та навчальних послуг. Крім того, необхідно чітко визначити роль впроваджуваного рішення у виконанні розроблених планів та досягненні поставленої мети в галузі захисту інформації.

5. Навчання персоналу. Знання в галузі ІБ та технічні тренінги потрібні для побудови та обслуговування безпечного інформаційного середовища підприємства. Зусилля, витрачені на навчання персоналу, в подальшому сприяють значному підвищенню шансів на успіх заходів із забезпечення захисту корпоративної інформаційної системи.

6. Моніторинг захисту. Даний етап допомогає виявити аномалії та вторгнення у корпоративну інформаційну систему, а також дозволяє оперативно контролювати ефективність системи захисту інформації.

7. Розробка методів реагування у випадку інцидентів та відновлення. Без наявності раніше розроблених та відкоригованих процедур реагування на інциденти у сфері безпеки неможливо гарантувати, що у випадку виявлення атаки діям зловмисника будуть протиставлені ефективні заходи із захисту та роботу системи вдасться швидко відновити.

Суттєвим є те, що у моделі Lifecycle Security усі вищезазначені етапи взаємопов’язані між собою, а також передбачається безперервність процесу вдосконалення корпоративної системи захисту інформації. При цьому, етапу аналізу інформаційних ризиків у даній моделі відводиться досить достатньо значна роль. Аналіз ризиків рекомендується проводити у випадках:

• оновлення ІТС абовнесення суттєвих змін у її структурі;

• переходу на нові інформаційні технології побудови ІТС;

• організації нових підключень у компанії (наприклад, підключення локальної мережі філіалу до мережі головного офісу);

• підключення до глобальних мереж (в першу чергу до Інтернет);

• змін у стратегії і тактиці ведення бізнесу (наприклад, при організації електронного магазину);

• перевірки ефективності корпоративної системи захисту інформації.

Ключовими моментами аналізу інформаційних ризиків в корпоративній інформаційній системі є:

• детальне документування нововведень в системі, при цьому особливу увагу необхідно приділяти критично важливим для бізнесу додаткам;

• визначення ступеня залежності організації від штатного функціонування та структурних елементів системи, безпеки даних, що зберігаються та оброблюються;

• визначення та облік вразливих місць;

• визначення та облік потенційних загроз;

• оцінювання та облік інформаційних ризиків;

• оцінювання потенційних збитків власників інформації та ІТС в цілому.

Окремо зазначимо, що метрика та міра захисту ІТС визначають процедуру аналізу ризиків. З іншого боку, результати аналізу інформаційних ризиків надають необхідні початкові умови для розробки або вдосконалення існуючої корпоративної системи захисту інформації.