125 Кібербезпека / Фаховий екзамен (Бакалавр) / Управління інформаційною безпекою
.pdf
Управління інформаційною безпекою
1.Загальний аналіз міжнародних стандартів та вимог управління інформаційною безпекою. Міжнародні критерії оцінки безпеки інформаційних ресурсів.
Сучасні ІКСМ уразливі до ряду мережних загроз, які можуть бути результатом реалізації несанкціонованого доступу, а також розкриття, викривлення або модифікації інформації. Щоб захистити сучасні інформаційні ресурси та послуги від загроз, необхідно застосовувати відповідні заходи управління безпекою.
Під управлінням інформаційної безпеки будемо розуміти циклічний процес, що включає: постановку задачі захисту інформації; збір та аналіз даних про стан інформаційної безпеки в ІКСМ; оцінку інформаційних ризиків; планування заходів з обробки ризиків; реалізацію і впровадження відповідних механізмів контролю; розподіл ролей і відповідальності. Процес впровадження системи управління інформаційної безпеки включає оцінку поточного стану інформаційного забезпечення захисту інформації ІКСМ, формування комплексу заходів щодо забезпечення оптимального рівня на основі оцінки ризиків.
Після ідентифікації вимог безпеки, варто вибирати й застосовувати заходи управління, таким чином, щоб забезпечувати впевненість у зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з безлічі інших документів та заходів управління визначених для даного класу систем, або можуть бути розроблені, щоб задовольнити потреби компанії відповідно до обраної політики безпеки. Управління безпекою ІКСМ є важливим аспектом забезпечення безпеки властивостей інформаційних ресурсів та послуг в мережах передачі даних. Для досягнення й підтримки безпеки в інформаційно-комунікаційних системах та мережах, потрібен визначений діапазон засобів та заходів управління. В роботі виділено ряд переваг застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO в сучасних ІКСМ.
Теоретико-методологічний аналіз міжнародних критеріїв інформаційної безпеки дає змогу виділити два основні підходи до дослідження цих критеріїв. У рамках першого підходу розглядається техніко-технологічний вимір інформаційної безпеки. Інформаційна війна розуміється як протиборство інформаційнокомунікаційних технологій та здатності державних і комерційних інформаційних систем забезпечити безпеку інфраструктури держави в цілому. До технікотехнологічного виміру, на наш погляд, варто віднести такі міжнародні критерії інформаційної безпеки: – захист інформаційних ресурсів від несанкціонованого доступу з метою забезпечення конфіденційності; – забезпечення цілісності інформаційних ресурсів шляхом їх захисту від несанкціонованої модифікації або знищення; – забезпечення працездатності систем за допомогою протидіїзагрозам відмови в обслуговуванні. В умовах інформаційної війни об'єктами руйнування стають ціннісні орієнтири суспільства, національний менталітет, суспільний ідеал, а одним з основних інструментів деструктивного інформаційного впливу стають засоби масової комунікації. Отже, проблема гарантування інформаційної безпеки
особистості й суспільства має комплексний характер і для її розв'язання потрібне системне об'єднання на державному рівні законодавчих, організаційних та програмно-технічних засобів.
2.Концепція захищеної автоматизованої системи. Принципи створення захищеної інформаційно-телекомунікаційної системи.
Розвиток нових інформаційних технологій, загальна комп'ютеризація та різке збільшення кількості інформаційно-комунікаційних систем і мереж (ІКСМ) призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик інформаційних систем. Фактор безпеки інформаційних ресурсів і послуг при розробці та експлуатації сучасних ІКСМ відіграє першорядну роль. При організації систем захисту потрібно керуватися рядом принципів, які забезпечать якісний захист та протидію від існуючих загроз. Ціль захисту інформації в ІКСМ є процес протидії впливу на інформаційні ресурси та послуги, якщо даний вплив виконується з метою порушення конфіденційності, цілісності та доступності, а саме знищення, крадіжка, зниження ефективності функціонування або несанкціонований доступ.
Класифікація загроз інформаційним ресурсам.
Побудова надійного та ефективного захисту інформаційної системи неможлива без попереднього аналізу можливих загроз безпеки системи. Цей аналіз повинен складатися з наступних етапів :
виявлення характеру інформації, яка зберігається в системі;
оцінку цінності інформації, яка зберігається в системі;
побудова моделі зловмисника;
визначення та класифікація загроз інформації в системі (несанкціоноване зчитування, несанкціонована модифікація і т.д.);
Під загрозою безпеки інформаційним ресурсам розуміють дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів [1-3].
Загрози інформаційним ресурсам та послугам можна класифікувати за наступними критеріями :
інформаційної безпеки (загрози конфіденційності даних і програм; загрози цілісності даних, програм, апаратури; загрози доступності даних; загрози відмови від виконання операцій).
по компонентам інформаційних систем, на які загрози націлені (інформаційні ресурси та послуги, персональні дані, програмні засоби, апаратні засоби, програмно-апаратні засоби;);
за способом здійснення (випадкові,навмисні,дії природного та техногенного характеру);
за розташуванням джерела загроз.
Всі загрози безпеки, спрямовані проти програмних і технічних засобів інформаційної системи, впливають на безпеку інформаційних ресурсів і призводять до порушення основних властивостей інформації, яка зберігається і обробляється в інформаційній системі. Як правило, загрози інформаційній безпеці розрізняються за способом їх реалізації.
Організаційні принципи захисту даних
Роль організаційного захисту інформації в системі заходів безпеки визначається своєчасністю та правильністю прийнятих управлінських рішень, способів і методів захисту інформації на основі діючих нормативно-методичних документів.
Організаційні методи захисту передбачають проведення організаційнотехнічних та організаційно-правових заходів, а так само включають в себе наступні принципи захисту інформації:
науковий підхід до організації захисту інформації;
планування захисту ;
керування системою захисту;
безперервність процесу захисту інформації;
мінімальна достатність організації захисту;
системний підхід до організації та проектування систем та методів захисту інформації;
комплексний підхід до організації захисту інформації;
відповідність рівня захисту цінності інформації;
гнучкість захисту;
багатозональність захисту, що передбачає розміщення джерел інформації в зонах з контрольованим рівнем її безпеки;
багаторубіжність захисту інформації;
обмеження числа осіб,які допускаються захищеної інформації;
особиста відповідальність персоналу за збереження довіреної інформації.
3.Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.
Основні засоби протидії загрозам безпеки в комп’ютерних системах поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні, технічні.
До правових засобів захисту відноситьсязаконодавчо-правабаза, на якій ґрунтуються інші засоби. Зокрема, в Україні це закони "Про інформацію", "Про технічний захист інформації", "Про державну таємницю", нормативні документи Державної служби спеціального зв’язку та захисту інформації, які регламентують правила обробки інформації.
До морально-етичних засобів протидії відноситься дотримання норм поведінки, що традиційно склались або складаються в інформаційному суспільстві країни та світу.
Організаційні (адміністративні) засоби захисту – це засоби організаційного характеру, що таким чином регламентують процес функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою, щоб унеможливити або максимально ускладнити здійснення загроз безпеки інформації.
Фізичні засоби захисту ґрунтуються на використанні різного роду механічних, електроабоелектронно-механічнихпристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення потенційних порушників, їх доступу до компонентів системи та інформації, що захищається, а також засоби візуального спостереження, зв’язку і охоронної сигналізації.
Технічні (апаратно-програмні)засоби захисту базуються на використанні різних електронних пристроїв і спеціального програмного забезпечення, що входять до складу автоматизованої системи і виконують, самостійно або в комплексі з іншими засобами, функції захисту інформації.
4.Основні поняття та задачі менеджменту інформаційної безпеки.
Усучасних умовах світового соціально-економічного розвитку, особливо важливою областю стало інформаційне забезпечення процесу управління, яке полягає
узборі й переробці інформації, необхідної для прийняття обґрунтованих управлінських рішень.
Перед керуючим органом постають завдання отримання інформації, її переробки, а також генерування й передачі нової похідної інформації у вигляді керуючих впливів. Такі впливи здійснюються в оперативному й стратегічному аспектах і ґрунтуються на раніше отриманих даних, від правдивості й повноти яких багато в чому залежить успішне рішення багатьох завдань управління.
Прийняття будь-якого рішення вимагає оперативної обробки значних масивів інформації; компетентність керівника вже залежить не стільки від досвіду, отриманого в минулому, скільки від володіння достатньою кількістю актуальної для даної ситуації інформації та вміння зробити корисні висновки.
У наш час слово «менеджмент», що має англійське походження, відоме майже кожній освіченій людині. В загальному розумінні менеджмент – це вміння досягати поставленої мети, використовуючи працю, інтелект, мотиви поведінки людей. Водночас менеджмент (відповідним терміном в українській мові є «управління») означає функцію – особливий вид діяльності, спрямований на ефективне керівництво людьми у різноманітних організаціях, а також певну сферу людського знання, яке допомагає реалізовувати цю функцію. У більш конкретному розумінні, менеджмент
– це управління в соціально-економічних системах: сукупність сучасних принципів, методів, засобів та форм управління виробництвом з метою покращення його ефективності та збільшення прибутку.
Інформація (від латинського informatio – роз’яснення), з самого початку означала відомості, передані людьми усним, письмовим або іншим способом (за допомогою умовних сигналів, технічних засобів, і т.д.), а десь із середини ХХ століття стала загальнонауковим поняттям, що поєднує в собі обмін відомостями між людьми, людиною й автоматом, автоматом і автоматом. Найбільш вираженою властивістю для інформації є здатність вносити зміни. Практична цінність інформації залежить від того, яку роль вона відіграє у прийнятті рішення, а також від уміння її використати. Сама по собі вона нічого не варта.
На будь-якому підприємстві, в організації, галузі, та й у світовій економіці в цілому, можна виділити три основні компоненти: бізнес(він реалізується за допомогою певних комерційних операцій, організованих структур та стратегій); предметні технології (з їхньою допомогою виробляється різна продукція) та інформація, яка все це зв’язує в єдине ціле.
В науці про управління, нажаль, поки що не існує однозначного розуміння такого поняття як інформаційний менеджмент (ІМ). Тому що різні види менеджменту тісно пов’язані між собою (наприклад, документний та інформаційний), а також тому, що, як правило, менеджмент трактується як синонім «управління» і не завжди враховуються його специфічні особливості. Крім того, мода на використання
іноземних термінів заважає коректному розумінню поняття «інформаційний менеджмент».
Виникнення інформаційного менеджменту як самостійного виду діяльності рівною мірою зумовлене, з одного боку, необхідністю підвищення ефективності при прийнятті управлінських рішень власне у сфері інформатизації (внутрішні задачі ІМ), а з іншого, - збільшенням впливу інформаційних технологій на ефективність основної діяльності суб’єктів господарювання (зовнішні задачі ІМ).
5.Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.
Всучасних умовах розвитку інформаційного суспільства активно розвивається інформаційна сфера, яка поєднує в собі інформацію, інформаційну інфраструктуру, зокрема інформаційні мережі, інформаційні відносини між суб'єктами цієї сфери, що складаються у процесі збирання, формування, розповсюдження і використання інформації. Інформаційні відносини займають чільне місце у формуванні інформаційної політики держави, в житті сучасного суспільства, а також в діловому та в особистому житті кожної людини. Це, в свою чергу, обумовлює необхідність розвитку й удосконалення правових засобів регулювання суспільних відносин у сфері інформаційної діяльності. Зрозуміло, що в демократичній правовій державі такі відносини мають базуватися на сучасній нормативно-правовій базі, що регулює діяльність в інформаційній сфері. Законодавчі норми у цій сфері істотно впливають на нормативно-правове регулювання відносин між суспільством, його членами та державою, між фізичними та юридичними особами тощо. Тобто на сучасному етапі інформаційні відносини виступають, з одного боку, зовнішнім проявом будь-яких відносин у житті країни, суспільства та громадян, з іншого - тими підвалинами, на яких формується законодавство в інших сферах їх існування. З огляду на викладене законність функціонування є однією з головних вимог до системи забезпечення інформаційної безпеки. Ця законність повинна базуватися на сукупності законів і підзаконних нормативних актів, які спрямовані на створення необхідних умов для захисту національних інтересів в інформаційній та інших сферах життя країни.
Перший етап. Управлінський
1.Усвідомити цілі і вигоди впровадження СМИБ
2.Отримати підтримку керівництва на впровадження і введення в експлуатацію системи менеджменту інформаційної безпеки (СМИБ)
3.Розподілити відповідальність по СМИБ
Другий етап. Організаційний
1.Створити групу по впровадженню і підтримці СМИБ
2.Навчити групу по впровадженню і підтримці СМИБ
3.Визначити область дії СМИБ
Третій етап. Первинний аналіз СМИБ
1.Провести аналіз існуючої СМИБ
2.Визначити перелік робіт по доробці існуючої СМИБ
Четвертий етап. Визначення політики і цілей СМИБ
1.Визначити політику СМИБ
2.Визначити меті СМИБ по кожному процесу СМИБ
П'ятий етап. Порівняння поточної ситуації зі стандартом
1.Провести навчання відповідальних за СМИБ вимогам стандарту
2.Проробити вимоги стандарту
3.Порівняти вимоги стандарту з існуючим положенням справ
Шостий етап. Планування впровадження СМИБ
1.Визначити перелік заходів для досягнення вимог стандарту
2.Розробити керівництво по інформаційній безпеці
Сьомий етап. Впровадження системи управління ризиками
1.Розробити процедуру по ідентифікації ризиків
2.Ідентифікувати і ранжировать активи
Восьмий етап. Розробка документації СМИБ
1.Визначити перелік документів (процедур, записів, інструкцій) для розробки
2.Розробка процедур і інших документів:
з управлінські процедури (стандарт на розробку документів, управління документацією, записами; коректуючі і застережливі заходи; внутрішній аудит; управління персоналом і інш.)
з технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління доступом; реєстрація і аналіз інцидентів; резервне копіювання; управління знімними носіями і інш.)
із запису управлінські (звіти про внутрішні аудити; аналіз СМИБ з боку вищого керівництва; звіт про аналіз ризиків; звіт про роботу комітету по інформаційній безпеці; звіт про стан коректуючих і застережливих дій; договору; особисті справи співробітників і інш.)
із записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; балки інформаційних систем; балки системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів по безперервності бізнесу і інш.)
з інструкції, положення (правила роботи з ПК, правила роботи з інформаційною системою, правила поводження з паролями, інструкція по відновленню даних з резервних копій, політика видаленого доступу, правила роботи з переносним обладнанням і інш.)
3.Розробка і введення в дію документів СМИБ
Дев'ятий етап. Навчання персоналу
1.Навчання керівників підрозділів вимогам ИБ
2.Навчання всього персоналу вимогам ИБ
Десятий етап. Розробка і вживання заходів по забезпеченню роботи СМИБ
1.Впровадження коштів захисту
з адміністративних
з учбових
з технічних
Одинадцятий етап. Внутрішній аудит СМИБ
1.Підбір команди внутрішнього аудиту СМИБ
2.Планування внутрішнього аудиту СМИБ
3.Проведення внутрішнього аудиту СМИБ
Дванадцятий етап. Аналіз СМИБ з боку вищого керівництва
1. Проведення аналізу СМИБ з боку вищого керівництва
Тринадцятий етап. Офіційний запуск СМИБ
1. Наказ про введення в дію СМИБ
Чотирнадцятий етап.
1. Сповіщення зацікавлених сторін/Інформуючого клієнтів, партнерів, ЗМІ про запуск СМИБ
6.Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною безпекою на базі міжнародного стандарту ІSO/ІEC 27002.
Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х. Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.
Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.
Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.
ISO / IEC 27002 — стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він має назву Інформаційні технології — Технології безпеки
— Практичні правила менеджменту інформаційної безпеки (англ. Information technology — Security techniques — Code of practice for information security management). До 2007 року цей стандарт називався ISO / IEC 17799. Стандарт розроблений в 2005 році на основі версії ISO 17799, опублікованій у 2000, яка була повною копією Британського стандарту BS 7799-1: +1999.
Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та пов'язаним з нею ресурсів)».