КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Управление информационной безопасностьюИнформационная безопасность является одним из важнейших аспектов внедрения ИС. С одной стороны, информатизация менеджмента создает ее неоценимую поддержку, но с другой стороны менеджмент попадает в прямую зависимость от уровня информационной безопасности ИС. Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных. Управление информационной безопасностью – процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности. К техническим мерам можно отнести: · защиту от несанкционированного доступа к системе, · резервирование особо важных обеспечивающих подсистем, · организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев, · установку оборудования для обнаружения и тушения пожаров, · использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов, · установку резервных систем электропитания, · оснащение помещений замками, · физическое разграничение доступа персонала в помещения, · установку систем сигнализации и т.д. К организационным мерам относятся: · охрана информационных систем, · тщательный подбор персонала, · исключение случаев ведения особо важных работ только одним человеком, · наличие плана восстановления работоспособности системы после выхода ее из строя, · организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы, · универсальность средств защиты для всех пользователей (включая высшее руководство), · разделение полномочий в области доступа к данным, · возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий. Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям: · разработка политики и организация ИБ, · организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов, · защита персонала и снижение внутренних угроз компании, · физическая безопасность в компании и безопасность окружающей среды, · управление средствами связи и эксплуатацией оборудования, · разработка и обслуживание аппаратно-программных систем, · управление непрерывностью бизнес-процессов в компании, · соблюдение правовых норм по безопасности. Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx). У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com). Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME и который включает в себя 5 этапов. 1 этап - оценка (assess). На этом этапе осуществляется идентификация и инвентаризация всех ресурсов организации. На данном этапе осуществляются анализ риска (risk assessment), а также поиск уязвимостей (vulnerability assessment), тестирование на проникновение (penetration assessment) и оценка угроз (threat assessment). 2 этап - проектирование (design). На этом этапе разрабатывается политика безопасности организации и вырабатываются принципы оценки эффективности, предлагаемых в ней мер (законодательных, организационных, программно-технических). При этом учитываются собранные на первом этапе данные о пользователях, имеющихся сетевых устройствах, расположении критических информационных ресурсов и т.п. 3 этап - развертывание (deploy). В рамках данного этапа осуществляются работы по установке средств защиты, их интеграции и тестированию в принятой технологии обработки информации, по обучению пользователей требованиям политики безопасности и правилам эксплуатации установленных защитных средств. 4 этап - эксплуатация (manage and support). На этом этапе оценивается эффективность принятых мер и их соответствие положениям разработанной политики безопасности. В случае возникновения инцидентов, связанных с ее нарушением, реализуется разработанный на втором этапе план реагирования на инциденты и, как следствие, осуществляется пересмотр некоторых положений политики безопасности. Изменение технологии обработки информации, появление новых технологий защиты и т.п. также являются толчком к пересмотру разработанных документов. 5 этап - обучение (education). Обучение - это постоянный процесс, осуществляемый на всех этапах построения комплексной системы информационной безопасности. В нем участвуют все сотрудники организации: операторы, администраторы, руководители и т.д. В идеальной компании процесс управления информационной безопасностью является проактивным (превентивным и постоянным).
Дата добавления: 2014-11-20; Просмотров: 1356; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |