Концепція керування безпекою інформаційних технологій

Сприйняття концепцій, що відповідають мікро політиці й оточенню, у яких працює організація може дати значний ефект у створенні підходів до безпеки в цілому. Крім того, вони можуть вплинути на відповідальні за захист окремі підрозділи організації. У деяких випадках уряд встановлює чи скасовує відповідальність уведенням у дію відповідних законів. В інших випадках відповідальність призначає власник чи керівник.

Підхід

Для визначання необхідних умов безпеки інформаційних технологій у межах організації потрібно застосовувати системний підхід Цей принцип також застосовують для організовування безпеки в інформаційних технологіях і наступному керуванні ним. Процес керування безпекою інформаційних технологій містить такі дії:

– розробляння стратегії безпеки інформаційних технологій;

– ідентифікація ролей і обов’язків у межах організації;

– керування ризиком, ідентифікацію й оцінювання:

• активів, що будуть в безпеці;

• загроз;

• вразливостей;

• уражень;

• ризиків;

• засобів безпеки;

• залишкових ризиків;

• обмежень;

– керування конфігурацією;

– керування змінами;

– планування випадкових процесів і планування відновлення у випадку непередбачених ситуацій;

– вибір засобів захисту та їхнє застосування;

– компетентність у безпеці;

– разом з:

• експлуатацією;

• контролюванням безпеки;

• перевірянням;

• перегляданням;

• оброблянням інцидентів.

Цілі безпеки, стратегії і методики

Цілі безпеки, стратегії і методики треба приймати за основу для організовування ефективної безпеки інформаційних технологій в організації. Вони супроводжують діяльність організації й сукупно гарантують стабільність усіх засобів безпеки та їхніх взаємозв’язків.

Цілі визначають, чого потрібно досягнути, стратегії визначають, як досягти цих цілей методики визначають, як виконувати конкретні заходи. Цілі, стратегії і методики можуть бути розроблені за рівнями підпорядкованості організації. Вони мають відображувати організаційні вимоги і брати до уваги будь-які зв’язки, вони також мають гарантувати незмінність на кожному рівні зокрема і на всіх рівнях разом. Безпека – це відповідальність усіх рівнів керівництва організації протягом усіх фаз життєвого циклу системи. Цілі стратегія і методики мають бути підтримані й з модифіковані на підставі результатів періодичного перегляду безпеки (наприклад аналізу ризику, аудиту захищеності) і змін в цілях ділової активності

Методика безпеки по суті містить принцип безпеки і директиви для організації в цілому. Методики безпеки мають детально відображати методики, охоплюючи ті, які стосуються індивідуальних прав, вимог законодавства і стандартів.

Методика безпеки інформаційних технологій має відображувати істотні принципи безпеки і директиви, що їх застосовують до корпоративної методики безпеки, та загальне використовування систем інформаційних технологій в організації.

Методика безпеки системи інформаційних технологій має відображувати принципи безпеки і директиви у межах методики безпеки інформаційних технологій. Вона має також містити детальний опис специфічних вимог безпеки і засобів безпеки, які будуть застосовані, а також метод, використаний для забезпечення відповідної безпеки. В усіх випадках важливим є вибір ефективного підходу до потреб діяльності організації.

Цілі, стратегії й методики систем безпеки в інформаційних технологіях, на які сподіваються в системах інформаційних технологій, описують з погляду безпеки. Їх звичайно описують природною мовою, однак можуть вказуватися вимоги щодо вираження їх у формальнішому вигляді, з використовуванням математичної мови. Вони призначені для забезпечення таких критеріїв безпеки інформаційних технологій, як:

– конфіденційність;

– цілісність;

– доступність;

– обліковість;

– достовірність;

– надійність.

Цілі, стратегії й методики визначають рівень безпеки в організації, а також допустимий рівень ризику і непередбачених обставин в організації.