КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Обоснование необходимости разработки политики ИБ
 |
Политика ИБ
Для того чтобы обеспечить ИБ организации, необходимо знать какие имеются потенциальные угрозы ИБ, насколько они критичны и как им противостоять. Для этого каждая организация должна иметь свою политику информационной безопасности. ПИБ - это набор документов, регулирующий вопросы ИБ.
Сокращения
ИБ – информационная безопасность
ПИБ – политика инфо. безоп.
ИС – информационная система
Политика ИБ - совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации.
Политика безопасности включает в себя требования в адрес пользователей, менеджеров и технических служб.
Политика ИБ является объектом стандартизации. В настоящее время общепринятым стандартом, в соответствии с которым осуществляется разработка политики безопасности, является международный стандарт ISO 17799 "Управление информационной безопасностью. Практические правила"
Приведем некоторые аргументы в пользу необходимости разработки политики защиты:
- Разработка ПИБ инициирует проверку надежности существующей системы защиты ИС.
- Определяет допустимые и недопустимые типы поведения.
- Определяет ответственность пользователей, администраторов и руководителей.
- Создает основу для применения санкций в случае необходимости.
- Помогает определить какие средства и методы защиты требуются организации.
- Определяет процедуру обработки инцидентов защиты.
Без политики безопасности действия по защите ИС по сути представляют собой «затыкание дыр».
Основные этапы создания политики ИБ (согласно международных стандартов).
Процесс разработки ПИБ делится на несколько этапов. Каждый этап завершается написанием соответсвующего документа.
|
|
|
- Разработка концепции политики ИБ --- Документ, в котором в самом общем виде сформулированы цели и приоритеты организации в области ИБ, намечены общие пути достижения этих целей, т.е. дается общая характеристика объекта защиты, формулируются цели ПИБ т.д.;
- Описание границ системы и построение модели ИС с позиции безопасности --- Описываются существующая структура организации, размещение СВТ, определяются ресурсы ИС, подлежащие защите, оценивается их важность;
- Анализ рисков --- выявление существующих рисков и оценка их параметров;
Для оценки ценности ресурсов необходимо выбирать подходящую систему критериев. Критерии должны позволять описать потенциальный ущерб, связанный с нарушением ИБ.
Кроме прямых финансовых потерь, критерии могут отражать:
- ущерб репутации организации;
- неприятности, связанные с нарушением действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- ущерб от дезорганизации деятельности.
- Анализ возможных контрмер и оценка их эффективности --- На данном этапе разрабатывается стратегия управления рисками. Возможно несколько подходов:
o уменьшение риска;
Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.
o уклонение от риска;
От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
o изменение характера риска;
Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки.
|
|
|
o принятие риска;
Многие риски не могут быть уменьшены до пренебрежимо малой величины. Необходимо знать остаточную величину риска и учитывать предполагаемый ущерб от него.
- Выбор комплексной системы защиты на всех этапах жизненного цикла --- Описываются средства контроля и управления, обеспечивающие режим ИБ. Выбираются конкретные программные и аппаратные средства.
Также может понадобиться ряд дополнительных документов описывающих основные процедуры обработки инцидентов.
Например, коротко о том, как на ВАЗе организован процесс обработки инцидентов связанных с работой сети. На ВАЗе работает система нарядов и любое нарушение работоспособности ИС устраняется по наряду. В данном случае в процедуре обработки инцидентов необходимо указать, кто и по чьей инициативе должен открывать наряд. Инициаторами нарядов на отклонения в работе сети являются либо пользователи, обнаружившие проблему, либо администраторы сети, обнаружившие проблему средствами мониторинга. Следующий этап выполнения наряда – устранение проблемы. В политике безопасности должно быть описано, какие подразделения обрабатывают те или иные инциденты, какие ресурсы они могут привлекать для этого. После устранения проблемы необходим еще один этап – анализ инцидента и принятых мер. В политике безопасности должно быть указано, кем и какими способами данная информация обрабатывается.
Хочу заметить, что для мелких и средних компаний, разработка полномасштабной политики безопасности согласно международных стандартов, не всегда имеет смысл и может быть экономически нецелесообразна.
Разработка соответствующей стандарту ISO 17799 политики информационной безопасности необходима, если организация хочет пройти сертификацию на соответствие стандарту. Сертификация позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Сертификация может пригодиться крупным организациям, организациям в которых работают с секретными данными, а также организациям, для которых информационные системы составляют основу бизнеса (например, телефонные компании и операторы сотовой связи).
|
|
|
На ВАЗе, к сожалению, пока нет всеобъемлющей, четко документированной, политики ИБ. Но часть рекомендуемых разделов политики безопасности реализована в отдельных документах.
Рассмотрим более подробно этап анализ рисков.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 1768; Нарушение авторских прав?; Мы поможем в написании вашей работы!