КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Понятие управления безопасностью
|
|
|
|
Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.
При построении системы защиты компании должны учитывать специфику бизнеса, а не ориентироваться на достижение всех свойств информационных ресурсов. Например, для банковского сектора ключевой задачей в области информационной безопасности станет обеспечение целостности финансовой информации; для операторов связи ¾ доступности информационных ресурсов, начиная с адекватной пропускной способности каналов и заканчивая доступностью коммерческих сервисов; для государственных компаний, в свою очередь, важна конфиденциальность информации. Конечно, это не значит, что банки не заинтересованы в доступности информации или в госсекторе нет необходимости иметь целостные данные, отнюдь. Просто начинать внедрение системы безопасности надо с критически важных ее аспектов, и тогда, при правильном подходе к построению архитектуры, в конечном счете можно действительно получить надежную систему управления информационной безопасностью (СУИБ).
Для грамотного построения СУИБ уже сформированы готовые и отработанные стандарты. На сегодняшний день существует две большие группы международных стандартов для систем управления информационной безопасностью: ISO/IEC 27000 и ISO/IEC 13335.
Семейство 27000 включает в себя международные стандарты, определяющие требования к системам менеджмента защиты информации, управление рисками, метрики и измерения, а также руководство по внедрению.
|
|
|
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.
| ISO27000 | Определения и основные принципы. Планируется унификация со стандартами COBIT и ITIL. Проект стандарта находится в разработке. |
| ISO27001 | ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы менеджмента защиты информации. Требования (BS 7799-2:2005). Выпущен в июле 2005 г. |
| ISO27002 | ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005). |
| ISO27003 | Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
| ISO27004 | Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
| ISO27005 | Управление рисками информационной безопасности (на основе BS 7799-3:2006). Выпуск запланирован на 2007 г. |
| ISO27006 | ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью |
| ISO27007 | Руководство для аудитора СУИБ (в разработке). |
| ISO27011 | Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке). |
ISO 13335 ¾ Международные стандарты безопасности информационных технологий. Эта серия включает в себя следующие 4 стандарта:
|
Так же неотъемлемой частью СУИБ является управление инцидентами ИБ. Этому вопросу посвящен нормативный документ ISO/IEC TR 18044:2004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности". Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.
ISO/IEC 27001 "Системы менеджмента защиты информации. Требования"
Международный стандарт ISO/IEC 27001:2005 разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Он был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ). Рекомендуется, чтобы принятие СМЗИ было стратегическим решением для организации. Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.
Стандарт ISO 27001 определяет информационную безопасность как: "сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".
Конфиденциальность ¾ обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
|
|
|
Целостность ¾ обеспечение точности и полноты информации, а также методов ее обработки.
Доступность ¾ обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации. В соответствии с этим стандартом, любая СМЗИ должна основываться на PDCA модели:
· Plan (Планирование) — фаза создания СМЗИ, создание перечня активов, оценки рисков и выбора мер;
· Do (Действие) — этап реализации и внедрения соответствующих мер;
· Check (Проверка) — фаза оценки эффективности и производительности СМЗИ. Обычно выполняется внутренними аудиторами.
· Act (Улучшения) — выполнение превентивных и корректирующих действий.
На рис. 17.1 показано, как на вход СМЗИ поступают требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов СМЗИ выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.
ISO/IEC 13335-1 "Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"
Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Рис. 17.1. Модель PDCA, примененная к процессам СМЗИ.
Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям.
Часть документа посвящена терминам и определениям, далее определяются концепции безопасности и взаимосвязи. Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:
|
|
|
· менеджмент риска ¾ активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
· обязательства ¾ важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;
· служебные обязанности и ответственность ¾ руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;
· цели, стратегии и политика ¾ управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;
· управление жизненным циклом ¾ управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
С позиций фундаментальных принципов безопасности выделяются основные компонентов безопасности, вовлеченных в процесс управления безопасностью:
· Активы ¾ все, что имеет ценность для организации;
· Угрозы ¾ потенциальная причина инцидента, который может нанести ущерб системе или организации;
· Уязвимости ¾ слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозам;
· Воздействие ¾ это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу;
· Риск ¾ это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Следует учитывать, что риск никогда не устраняется полностью. Остаточный риск ¾ это риск, остающийся после его обработки;
· Защитные меры ¾ это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов;
· Ограничения. Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.
ISO/IEC 13335-3 "Методы менеджмента безопасности информационных технологий"
Настоящий стандарт устанавливает методы менеджмента безопасности информационных технологий. В основе этих методов лежат общие принципы, установленные в ИСО/МЭК 13335-1. Стандарт будет полезен при внедрении мероприятий по обеспечению безопасности информационных технологий.
Существуют четыре основных варианта стратегии анализа риска организации:
· использование базового подхода (с низкой степенью риска) для всех систем информационных технологий, независимо от уровня риска, которому подвергаются системы, принятие того, что уровень обеспечения безопасности не всегда может оказаться достаточным. Подразумевается выбора стандартных защитных мер безопасности. Перечень рекомендуемых стандартных защитных мер приведен в документах по базовой безопасности;
· использование неформального подхода к проведению анализа риска, обращая особое внимание на системы информационных технологий, которые, как представляется, подвергаются наибольшему риску. Этот вариант подхода предусматривает проведение неформального анализа риска, основанного на практическом опыте конкретного эксперта. Неформальный подход предполагает использование знаний и практического опыта специалистов, а не структурных методов;
· проведение детального анализа риска с использованием формального подхода ко всем системам информационных технологий. Данный вариант подхода предполагает проведение детального анализа риска с получением результатов для всех систем информационных технологий, действующих в организации. Детальный анализ риска включает в себя подробную идентификацию и оценку активов, оценку возможных угроз, которым могут подвергнуться эти активы, а также оценку уровня их уязвимости;
· использование комбинированного подхода, в котором сначала проводится анализ риска "высокого уровня" с тем, чтобы определить, какие из систем информационных технологий подвержены высокому уровню риска и какие имеют критическое значение для ведения деловых операций, с последующим проведением детального анализа риска для выделенных систем, а для всех остальных ¾ ограничиваются применением базового подхода к проблемам обеспечения безопасности.
Для выделения системы с высоким уровнем риска необходимо провести анализ уровня риска и выбрать варианты стратегии обеспечения безопасности информационных технологий. Затем выделенные системы рассматриваются с использованием метода детального анализа риска, а для остальных систем может применяться базовый подход (с принятием базового уровня риска).
ISO 27002 "Практические правила управления информационной безопасностью"
ISO/IEC 27002 — стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности. До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1:1999.
Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как «сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации и методов её обработки) и доступности (гарантии в том, что уполномоченные пользователи имеют доступ к информации и связанным ресурсам)». Для определения требований к информационной безопасности организация должна учитывать три фактора:
· оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а так же оценка возможных последствий;
· юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
· специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
После того, как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности.
ISO 18044 "Менеджмент инцидентов информационной безопасности"
Настоящий стандарт устанавливает рекомендации по менеджменту инцидентов информационной безопасности для руководителей подразделения по информационной безопасности, информационных систем, сервисов и сетей. Под инцидентом информационной безопасности понимают событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ.
Настоящий стандарт состоит из 11 разделов и построен следующим образом. В разделе 1 приводится область применения, в разделе 2 – перечень ссылок, в разделе 3 – термины и определения, которые в основном заимствованные из ISO/IEC 13335-1 и ISO/IEC 17799. В разделе 4 представлены основы менеджмента инцидентов информационной безопасности. В соответствии с этим стандартом любая система менеджмент инцидентов ИБ состоит из четырех отдельных процессов: планирование и подготовка, использование, пересмотр (анализ), улучшение.
|
|
|
|
|
Дата добавления: 2014-11-20; Просмотров: 902; Нарушение авторских прав?; Мы поможем в написании вашей работы!