- •Управління інформаційною безпекою
- •Загальний аналіз міжнародних стандартів та вимог управління інформаційною безпекою. Міжнародні критерії оцінки безпеки інформаційних ресурсів.
- •Концепція захищеної автоматизованої системи. Принципи створення захищеної інформаційно-телекомунікаційної системи.
- •Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.
- •Основні поняття та задачі менеджменту інформаційної безпеки.
- •Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.
- •Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною безпекою на базі міжнародного стандарту іso/іec 27002.
- •Основні заходи забезпечення безпеки інформаційних мереж.
- •Організація управління доступом.
- •Технології аудиту інформаційної безпеки. Практичні кроки аудиту інформаційної безпеки. Задачі, що вирішуються при проведенні аудиту.
- •Принципи аналізу і управління інформаційними ризиками. Оцінка інформаційних ризиків з використання методів системного аналізу.
-
Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною безпекою на базі міжнародного стандарту іso/іec 27002.
Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х. Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.
Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.
Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.
ISO / IEC 27002 — стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він має назву Інформаційні технології — Технології безпеки — Практичні правила менеджменту інформаційної безпеки (англ. Information technology — Security techniques — Code of practice for information security management). До 2007 року цей стандарт називався ISO / IEC 17799. Стандарт розроблений в 2005 році на основі версії ISO 17799, опублікованій у 2000, яка була повною копією Британського стандарту BS 7799-1: +1999.
Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та пов'язаним з нею ресурсів)».
-
Основні заходи забезпечення безпеки інформаційних мереж.
Основні заходи забезпечення безпеки ІКСМ
Під забезпеченням безпеки інформаційних мереж будемо розуміти запобігання ушкодженню інформаційних активів і переривання дій, пов'язаних з реалізацією безперервного процесу бізнесу. Інформаційні ресурси та засоби обробки, поширення інформації – повинні бути керовані й фізично захищені.
Структура стандарту дозволяє вибрати засоби управління, які мають відношення до конкретної організації або сфери відповідальності у середині самої організації. Зміст стандарту включає наступні розділи: політика безпеки [security policy]; організація захисту [organizational security]; класифікація ресурсів та контроль [asset classification and control]; безпека персоналу [personnel security]; фізична безпека та безпека навколишнього середовища [physical and environmental security]; адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management]; керування доступом до системи [system access control]; розробка та супроводження інформаційних систем [system development and maintenance]; планування безперервної роботи організації [business continuing planning];виконання вимог (відповідність законодавству) [compliance] [2].
У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні: політика інформаційної безпеки; розподіл відповідальності за інформаційну безпеку; освіта та тренінг з інформаційної безпеки; звітність за інциденти з безпеки; захист від вірусів; забезпечення безперервності роботи; контроль копіювання ліцензованого програмного забезпечення; захист архівної документації організації; захист персональних даних; реалізація політики з інформаційної безпеки.
Як видно, поряд з елементами управління для автоматизованих систем та мереж, велику увагу приділяється питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам. Реалізація політики безпекиздійснюється на основі оцінки ризику та ретельно обґрунтовується.
Визначаємо ризик, як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням властивостей інформаційного ресурсу: конфіденційності; цілісності; доступності.
Вимоги безпеки ідентифікуються за допомогою методичної оцінки ризиків безпеки. Витрати на засоби управління повинні бути збалансовані з урахуванням можливого збитку бізнесу, що може з'явитися результатом порушень безпеки. Методи оцінки ризику можуть застосовуватися для всієї організації або тільки її частини, а також для окремих інформаційних систем, певних компонентів систем або послуг там, де це практично, реально й корисно.